HTML

Az élet kódjai

Csináld maga. Senki nem csinálja meg helyetted.

Keresés

Friss topikok

  • sdani: Sajnos nekem is hasonló érzéseim vannak az R kiszorulásával kapcsolatban. Remélem jobban fogja tar... (2024.04.29. 10:48) R meetup
  • sdani: Nagyon jók ezek a bejegyzések! Feszültséggel teli, fordulatos, mint egy jobb krimi. :D Abba ne hag... (2024.04.29. 10:35) Wgel CTF
  • sdani: @Travis.CG: Egy kis szerencse sosem árt. :D (2024.03.01. 13:19) A bioinformatika helyzete 2024-ben
  • Travis.CG: Szóval az akadémiai szféra mazochistává tett, amit a Pinephone-al élek ki? Hmm, érdekes összefüggé... (2023.10.05. 18:23) Új barátom az Informatikai titkárságról
  • Travis.CG: Túl nagy a hype körülötte, ezért túlzó elvárások vannak vele szembe. Ha a korábbi chatbotokhoz kép... (2023.02.28. 06:28) chatGPT, a bioinformatikus

Archívum

Feedek

XML

Címkék

amiga (15) android (5) barkácsolás (26) bioinformatika (164) biztonság (36) c64 (5) cloud computing (21) demoscene (158) életmód (99) enterprise (1) filozofálás (57) flipperzero (3) hadoop (3) irodalom (25) java (4) machine learning (12) nanopore (6) opencv (6) opengl (15) pinephone (4) programozás (71) publikáció (34) rendszergazda (60) sport (7) statisztika (9) Sun (2) Címkefelhő

Egy kis malware elemzés

2021.05.17. 08:57 Travis.CG

Nemrég az egyetemi levelezésen keresztül, egyetemi email címről kaptam egy béna malware-t. Annyira béna volt, hogy letöltöttem elemzési céllal. Az eset remekül példázza azt, hogy kártékony kód írásához nem kell különös képzettség, tudás, de még igényesség sem, csupán rosszindulat.

A szakértők a kártékony kódokat egy virtuális gépen szokták tanulmányozni, ahol megteszik a megfelelő intézkedéseket, hogy a program ne tudjon onnan elszökni és más gépeket megfertőzni. Én semmi ilyesmit nem csináltam, mert az egész egy HTML állomány volt, böngészőben pedig nem szándékoztam megnyitni.

A levél szövege szerint ahhoz, hogy az egyetem egyik fontos dokumentumát megnézhessem, egy kliens programot kell letöltenem. Ez a kliens program a HTML akart lenni a levél csatolmányában. Már a szövegről látszott, hogy ez egy jelszó lopó borzalom, de azt hittem, talán valami fergetegesen zseniális JavaScript van elrejtve benne.

Nem volt. A HTML az egyetemi levelezés bejelentkező képernyőjét másolta annyi különbséggel, hogy a beírt felhasználó nevet és jelszót egy dislack.com-os címre küldte el. Mi a csoda ez a Dislack?

A Dislack segítségével webes űrlapokat készíthetünk, nagyobb szabadságot kapva. Mintha a SurveyMonkey és a Wix keveréke lenne. Regisztráció után kipróbáltam, mit tud a rendszer. Lehet formot is készíteni, de akár végpontot is egy létező HTML-hez. Ebben az esetben a rendszer csak adatot gyűjt. Jelen esetben jelszavakat. Az összegyűjtott adatokat táblázatos formában megjeleníti, ahol az oszlopok az input mezők nevei, a sorok pedig a kitöltött a mezők értékei. A form elküldése után egy dislack oldal jelenik meg, ahol megköszönik, hogy használtuk a rendszert. Elég egyértelmű, hogy nem az egyetem terméke, de akkor már szinte mindegy, mert a jelszavunkat elküldtük. Bár ha ebben a pillanatban valaki felismeri a tévedését, még mindig megváltoztathatja a jelszavát. Az ingyenes verzióval 100 formot lehet feldolgozni, viszont nincs email ellenőrzés, ezért biztos lehet kamu email címekkel rengeteg ingyenes hozzáférést generálni. Ennek ellenére a módszer szerintem nem túl hatékony.

Nem is az a szörnyű, hogy ilyen minimális tudással csinált valaki jelszó lopót, hanem az, hogy a jelek szerint működik! Nyilván ugyan ezzel a módszerrel szerezték meg annak a felhasználónak a hozzáférését is, akitől kaptam ezt a levelet. Miután elemeztem egy kicsit a módszert, az összes információt elküldtem a rendszergazdáknak, akik írtak egy körlevelet képernyőképekkel, hogy a felhasználók felismerhessék a csapdát. Egyetlen probléma volt csak vele. Ezen az ismertetőn a rektori hivataltól jött a jelszólopós email...

Facebook Tumblr Tweet Pinterest Tetszik
0

2 komment

Címkék: biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://cybernetic.blog.hu/api/trackback/id/tr8316535538

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sdani 2021.05.17. 14:39:08

Na, ez elég érdekes. A Dislack címből nem lehet valahogy visszafejteni, hogy kik töltötték ki az ívet? Bár gyanítom úgy lett beállítva az oldal, hogy csak adatokat gyűjtsön. Meg lehet próbálni jelenteni. Valószínűleg törölni fogják azt az accoutot.

Egyszer-kétszer kaptam én is ilyen scam sms-t, ahol pl. csomag kiszállítást kellett megerősíteni, HMRC adó-visszaigénylést intézni, ilyesmi. Párszor, amikor éppen volt időm írtam kis Python scripteket, ami random szeméttel megszórta az adatbázisukat (többnyire valami POST requestbe csomagolva kellett elküldeni egy csomó információt).

Van egy nagyon szuper Python könyvtár, ami direkt arra van, hogy adatokat mock-oljanak vele: Faker. Amikor inicializálod, megmondhatod, hogy milyen lokalizációt akarsz. Pl. magyart, és amikor azt mondod, hogy OK, generálj 100 random női nevet, akkor 100 random magyar női nevet fog adni. De tud magyar vagy akármilyen rendszámot is. Lehet generáltatni validálható kreditkártya számot, és megadhatod, hogy pl. mastercard vagy visa számot akarsz. :D fantasztikus.
Válasz erre 

Travis.CG 2021.05.21. 07:46:46

Elméletileg lehet, gyakorlatilag nem, mert írtam is, hogy akár kamu emaillel is lehet adatot gyűjteni. Egyébként ezt is megkapta az IT, innentől az ő dolguk, hogy mit kezdenek vele.
Válasz erre 
süti beállítások módosítása