Взгляд на мелких мошенников через «анонимный» прокси-сервер

Discussion in 'Мировые новости. Обсуждения.' started by d3l3t3, 30 Jul 2012.

  1. d3l3t3

    d3l3t3 Banned

    Joined:
    3 Dec 2010
    Messages:
    1,771
    Likes Received:
    98
    Reputations:
    10
    Испанский специалист по безопасности Чема Алонсо (Chema Alonso) из компании Informatica64 использовал весьма сомнительный метод, с юридической точки зрения, для изучения киберпреступности. Он запустил «анонимный прокси» и опубликовал его адрес на подпольных форумах. На сервере Алонсо разместил троянскую программу в JavaScript-файле, которая подменяла легальный JS-файл в кэше браузера поражённого компьютера. Троян изучал содержимое кэша, в том числе куки браузера и учётные записи с разных сайтов — вся собранная информация отсылалась исследователю.

    В течение одного дня своеобразный ботнет вырос до 4000 ботов, так что Алонсо получил обширную выборку для исследования — чем же на самом деле занимаются люди, которые скрывают свою активность в интернете через «анонимные прокси»? Результаты работы специалист озвучил на хакерской конференции Black Hat в рамках доклада Owning bad guys {and mafia} with javascript botnets.

    Через ловушку испанца прошло много интересного: например, мошенники, которые рассылали «нигерийские письма», приглашения на работу, притворяясь британскими чиновниками. Был один мужчина, который выдавал себя за симпатичную девушку на сайте знакомств, пробуя выманить у ухажёров деньги на авиабилет. И ещё один гражданин, который продавал несуществующих йоркширских терьеров.

    Алонсо предположил, что правоохранительные органы и разведывательные службы уже используют данный метод (прокси-сервер + троян в кэше) для слежки за пользователями.

    Дата: 30.07.2012
    http://www.xakep.ru/post/59073/
     
  2. AaoiOa

    AaoiOa Member

    Joined:
    18 Jun 2012
    Messages:
    146
    Likes Received:
    7
    Reputations:
    7
    Интересно, а такой метод работает на машины под никсами? Насколько велика вероятность? Или она стремиться к нулю?
     
  3. Чакэ

    Чакэ Elder - Старейшина

    Joined:
    15 Aug 2010
    Messages:
    260
    Likes Received:
    66
    Reputations:
    62
    это не зависит от операционной системы, так как js выполнялся лишь в браузере.
     
  4. Plank

    Plank Banned

    Joined:
    22 Mar 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Трижды прочитал...
    Фигня какая-то написана.
    разместил трой в яваскрипте? о_О приватный сплойт что ли?
    Не ) кто-нибудь понял фишку сего написанного?
     
  5. $Robin

    $Robin Member

    Joined:
    25 Jun 2010
    Messages:
    47
    Likes Received:
    5
    Reputations:
    0
    Что-то я тоже не понял как так. Т.е. не важно через какую цепочку прокси\сокс+ВПН, например, идет подключение к прокси Алонсо? Он все равно получает доступ к кешу браузера?

    А вообще, рассказывать об этом на хакерской конференции... :D
    По-моему, это очевидно. Интереснее было бы посмотреть на реализацию
     
    #5 $Robin, 30 Jul 2012
    Last edited: 30 Jul 2012
  6. webst

    webst New Member

    Joined:
    4 Jun 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Единственный пришедший в голову вариант - это был некий анонимайзер. Те. скриптик с веб интерфейсом, делающий запросы через курл или что нибудь подобное.
     
  7. Чакэ

    Чакэ Elder - Старейшина

    Joined:
    15 Aug 2010
    Messages:
    260
    Likes Received:
    66
    Reputations:
    62
    очевидно же.
     
  8. justonline

    justonline network ninja

    Joined:
    27 Jul 2011
    Messages:
    499
    Likes Received:
    60
    Reputations:
    53
    нет. написали же, что это прокси-сервер.
    никогда не видели что-ли, как на некоторых проксиках топлайном баннеры вешали? тут тоже самое, скорее всего. Js инжектится в страницу на уровне прокси и отображается в браузере в исправленном виде и получаешь доступ к кукам. а запросы сниффером обрабатываются
     
  9. AaoiOa

    AaoiOa Member

    Joined:
    18 Jun 2012
    Messages:
    146
    Likes Received:
    7
    Reputations:
    7
    Вывод, Firefox + NoScript рулят.
     
  10. shellz[21h]

    shellz[21h] Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    311
    Likes Received:
    68
    Reputations:
    6
    https://code.google.com/p/sergio-proxy/
     
  11. \/ITA

    \/ITA Member

    Joined:
    21 Sep 2011
    Messages:
    25
    Likes Received:
    28
    Reputations:
    8
    вобще все просто, прокси следит за GET и как внутри появляется .JS он закачивает этот файл, дописывает в конце свой инжект и отдает клиенту.
    запущенный таким образом .JS выполняет анализ в пределах контекста сайта (куки, браузер, перемещение мышкой, нажатия клавиш, плагины, хистори etc.).
     
    #11 \/ITA, 1 Aug 2012
    Last edited: 1 Aug 2012
  12. shellz[21h]

    shellz[21h] Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    311
    Likes Received:
    68
    Reputations:
    6
    ага, http://beefproject.com/
     
Loading...