Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Hackeando o Hacker – Investigando e contra-atacando um phishing

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Matéria Hackeando o Hacker – Investigando e contra-atacando um phishing

    Então pessoal, lendo um pouco na internet, encontrei esse artigo, que por sinal ótimo para leitura e aprendizado, postado pelo Ronaldo Lima no site Crimes Cibernéticos, relatando um phishing scan, ou seja, o camarada recebeu um email fraudulento e resolvel investigar o assunto, o resto da história só lendo...

    Já posso adiantar o seguinte: Owned pro fraudador. rsrsrs
    Recomendo, muito bom.

    -------------------------------------------------------------------------------------------------------------------------------

    Primeiramente uma explicação sobre o título do artigo. O verbo “hackear” não existe oficialmente e o termo “hacker” aqui empregado não é o mais correto de ser utilizado, para mim hacker é quem possui conhecimentos avançados em computação e telecomunicações e utiliza esses conhecimentos em seu trabalho honesto para resolver problemas. Já no caso do artigo o termo mais correto seria “cracker” ou ainda fraudador, criminoso, bandido, estelionatário, etc. Enfim, utilizei esses termos por serem mais populares e causarem mais impacto.

    Dito isso, vamos ao artigo em si.

    Recebi um email cujo remetente se denominava “Banco do Brasil.” e o assunto “Informativo ao Clientes Banco do Brasil!”. No corpo do e-mail havia um link chamado “[Recadastrando Cliente – BB]” que apontava para o endereço:

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Esse por sua vez redirecionou para outro site:

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Estava aí mais um caso do nosso já conhecido phishing scam.

    O site que abriu era uma cópia do site original do Banco do Brasil. Uma das diferenças do original é que o falso solicitava várias senhas diferentes, conforme pode ser visto na figura abaixo

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Para obter mais informações sobre a fraude e uma possível identificação do autor, fiz uma pesquisa no site para tentar descobrir como o fraudador conseguiu obter o acesso não autorizado aos arquivos do mesmo.

    Constatei que o site foi construído utilizando a linguagem de programação PHP. Uma técnica de invasão muito comum nesse tipo de site é a chamada “PHP Injection” (também conhecida como RFI - Remote File Include). Trata-se de uma técnica que permite executar arquivos remotamente no site inserindo na URL do mesmo uma outra URL contendo um script que permite executar comandos dentro das pastas do próprio site.

    Para descobrir se o fraudador utilizou essa técnica, digitei a seguinte URL para ser executada no navegador:

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Através dessa URL é solicitado ao site original executar um arquivo que está em outro site. O arquivo “r57.txt” é um script que possui uma série de comandos para manipular pastas e arquivos do servidor onde está hospedado o site original, no exemplo em questão foi solicitado executar o comando “ls” (r57.txt?&cmd=ls) que lista todos os arquivos e pastas. Esse procedimento só funciona se o site alvo possuir uma falha de segurança específica da linguagem de programação PHP.

    Após a execução dessa URL obtive êxito e consegui listar todos os arquivos e pastas do site original, ver imagem abaixo.

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Na listagem foi possível descobrir a provável data que o site foi invadido. A data de modificação da pasta “admin” que foi onde o fraudador copiou o falso site era de 22 de julho, às 14:19 conforme a linha abaixo:

    57491894 drwxr-xr-x 4 citycrea citycrea 4096 Jul 22 14:19 admin

    Através do script “r57.txt” acessei as pastas “admin”, “central” e finalmente a “BancodoBrasil”.

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Realizei uma cópia de todos os arquivos do site falso para análise.

    Lendo os códigos-fontes dos arquivos copiados descobri que o arquivo “adesao.php” era o responsável por coletar todos os dados digitados pelas vítimas e salvá-los em um arquivo do tipo TXT chamado “PPx.txt”. Ao abrir o arquivo “PPx.txt” constatei que realmente já havia vários dados de agências, contas e senhas capturadas de possíveis vítimas.

    Ainda analisando os demais arquivos, encontrei o arquivo “bt0165.php” que tinha como título “By Scra3zy > AoD > CMD > File List”. Tratava-se de um script shell para manipular arquivos e pastas no servidor invadido, parecido com o “r57.txt” que eu estava utilizando. O fraudador o utilizava para manipular os arquivos do seu falso site.

    Sabendo disso e visando obter mais meios que pudessem identificar o autor da fraude, pensei em uma maneira de descobrir o endereço IP da conexão de Internet de onde o fraudador gerenciava todo esse sistema.

    Como já mencionado, ele utilizava o arquivo “bt0165.php” para manipular os arquivos do falso site e tendo conhecimento que esse sistema utilizava a linguagem PHP, resolvi adicionar ao código-fonte do “bt0165.php” algumas linhas de código que realizariam a função de: toda vez que o sistema fosse acessado, registrar o dia e hora atual do servidor (com fuso horário GMT) e o endereço IP de onde partiu a conexão e salvar em um arquivo do tipo TXT no próprio site, só que em outra pasta e nome que não revelasse a verdadeira intenção do arquivo, para que assim o fraudador não pudesse encontrar facilmente.

    Isso foi possível utilizando o script “r57.txt” para editar e inserir o seguinte código ao arquivo “bt0165.php” utilizado pelo fraudador:

    Código:
    $nowt = date('r');
    $errors_file = "../error.txt";
    $errors_handler = fopen($errors_file, 'a');
    $errors_data = $nowt." - ".$_SERVER['REMOTE_ADDR']."\n";
    fwrite($errors_handler, $errors_data);
    fclose($errors_handler);
    Com isso, se o fraudador acessasse o “bt0165.php” para manipular os arquivos do site, automaticamente iria ficar registrada a data e hora (com fuso horário GMT) do acesso e o endereço IP de onde partiu a conexão. E ficaria salvo no arquivo “.../admin/central/Auto-Atendimento/error.txt”.

    Após algumas horas já foi possível perceber que o sistema deu certo, ao acessar o arquivo “error.txt” através do navegador, havia várias linhas com as conexões do fraudador conforme imagem abaixo.

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Após três dias de monitoramento, identifiquei o comportamento do fraudador, que era de acessar várias vezes ao dia o arquivo “PPx.txt” para verificar se havia sido capturada alguma informação de conta bancária e caso positivo ele copiava o arquivo possivelmente para seu computador e depois utilizava o script “bt0165.php” para apagar o “PPx.txt”. Cada acesso ao “bt0165.php” ficou registrado no arquivo “error.txt”.

    De posse do IP do “hacker” realizei uma varredura no seu micro, encontrei uma falha de segurança, invadi, obtive acesso root e formatei o HD dele. É brincadeira, não fiz isso, ele que é o bandido não eu.

    O IP dele era dinâmico, porém de um provedor nacional, o que mostra que dá para chegar até ele através da quebra de sigilo telemático solicitando na justiça os logs de acesso.

    Todas as informações encontradas nessa investigação repassei para as autoridades policiais responsáveis pelo combate ao crime cibernético. Lembrando que o método utilizado nesse artigo só é válido mediante prévio mandado judicial autorizando os procedimentos.

    É isso aí, até a próxima!
    Last edited by areax; 30-04-2011, 17:12.



    areax@hotmail.com



    Similar Threads

  • Font Size
    #2
    Parabéns ótimo trabalho.
    sigpic

    Comment


    • Font Size
      #3
      Muito legal mano, eu ja tinha feito isso tbm pega a shell do atacante e inseri um comando em php para salvar o ip do cara.
      vlw por compartilhar


      "Só Deus pode me julgar" 2Pac Eterno.


      Comment


      • Font Size
        #4
        Não satisfeito, decidi fazer a mesma coisa em um servidor hackeado onde encontrei várias shells.
        Implantei outros códigos na shell tb. =x



        kkkk.
        att.
        Last edited by areax; 01-05-2011, 18:05.



        areax@hotmail.com



        Comment


        • Font Size
          #5
          Muito 10


          Nossa, muito 10 a matéria, chega a ser inspirador sacanear quem tenta nos sacanear...rsrsrs
          ||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||

          sigpic

          ||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||-||

          Comment


          • Font Size
            #6
            Muito bom o que você fez!
            Valeu a pena ler o texto.
            Parabéns Areax (:
            .
            NÃO ME RESPONSABILIZO PELOS SEUS ATOS!

            Ajude o GH : |Recrutamento de Divulgadores |Doação| Camisa Guia Do Hacker|


            |Rádio GH||Regras e Termos de Uso|SEGURANÇA GH|


            sigpic


            Comment


            • Font Size
              #7
              Ótimo!
              PARABENS!!
              Twitter: @samukt << Siga me ;D

              Comment


              • Font Size
                #8
                Linda matéria.
                Deu altas inspirações do que fazer da vida... rsrsrs
                Quanto mais aprendo mais vejo o tamanho da minha ignorânica.
                sigpic

                Comment


                • Font Size
                  #9
                  Otima matéria, que nem dizem "Ladrão que rouba de ladrão tem cem anos de perdão"
                  a frase poderia ser alterada e serviria para o exemplo acima.

                  Comment


                  • Font Size
                    #10
                    Matéria Legal, ótima análise!

                    Comment


                    • Font Size
                      #11
                      Otimo Post Areax
                      sigpic



                      Comment


                      • Font Size
                        #12
                        Muito muito bom ate eu gostei

                        Comment


                        • Font Size
                          #13
                          muito bom,eu to com um caso que comṕarado a isso é nada ,minha prima me desafiou a recuperar o face dela ,que no caso estao se passando por ela,isso me inspirou a tentar de alguma forma a ajudar ela!!!

                          Comment


                          • Font Size
                            #14
                            Isso sim é ser hacker !
                            Meus parabéns, eu já fiz isso várias vezes também de pegar pedofilos/bandidos e pra saber ja ganhei até recompensa...
                            Isso é muito gratificante!
                            Att.



                            Comment


                            • Font Size
                              #15
                              Nota dez kra, parabéns.

                              Comment

                              X
                              Working...
                              X