Ukrywanie się w internecie (proxy chaining)

Wszystkie sprawy organizacyjne forum i bloga haker.edu.pl.
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Ukrywanie się w internecie (proxy chaining)

Post autor: Kenjin »

Witam,

poniewaz nie znalazlem dzialu sugestie to napisze tutaj. Bardzo byłbym rad gdyby ktoś znający się na temacie przybliżył mi tzw. ukrywanie się w sieci. Oczywiście znając podstawy funkcjonowania sieci odrazu na myśł nasuwa się perfekcyjna aczkolwiek bardzo trudna w realizacji metoda czyli proxy chaining po komputerach zombie. [dla laikow] przejmowanie coraz to wiekszej ilosci komputerow, laczenie sie po ssh lub innym protokole szyfrowanym z kazdym z nich i dopiero z n-tego dopuszczanie sie jakiegokolwiek ataku. Po ataku najlepiej zformatowac dyski wszystkich komputerow(co nie daje nam gwarancji bezpieczenstwa poniewaz obecnie mozna odzyskac wiekszosc zformatowanych danych) lub jeszcze lepiej zniszczyc je(jesli mamy fizyczny dostep lub za pomoca socjotechniki :)).
Ale jak t o wyglada w praktyce? Czy nie ma prostszych sposobow ? Szukanie ciagu HTTP proxy i probowanie łancuchowania w ten sposób, wydaje sie slabym rozwiazaniem szczegolnie ze wiekszosc z takich proxy pada po chwili. Myslalem, nawet nad napisaniem skryptu ktory bedzie z pliku .txt pobieral liste takich proxy i probowal sie dostac na jakas strone (za kazdym razem sprawdzajac czy server dziala jesli nie to zmienia kolejnosc lancucha) ale nie jestem pewien na ile takie rozwiazanie bedzie efektywne.

A wiec moje pytanie brzmi, jaki jest najlepszy sposob ukrycia w sieci ?
Awatar użytkownika
F3nix
Posty: 332
Rejestracja: 28 kwie 2015, 20:51

Re: Ukrywanie sie(proxy chaining)

Post autor: F3nix »

Moim zdaniem nie będzie efektywne wcale. Dokładnie tak jak piszesz działa sieć Tor z tym że pomiędzy PROXY komunikacja dodatkowo jest szyfrowana przed sniffingiem. Jako webmaster doskonale wiesz, że łatwo zaimplementować zbieranie adresu IP odwiedzających. Dodatkowo serwer typu apache też zbiera takie dane w logach. Te bramki proxy nie mają wysokiego poziomu anonimowości. Powiem więcej, prawo wielu krajów nakłada nie wprost obowiązek przetrzymywania takich informacji jak adres IP. Bo jak ktoś kogoś obrazi, coś zbroji to odpowiednie służby skontaktują się z adminem i poproszą o LOGI. Tak samo prawie każda usługa (FTP/jakieś dziwne serwery/SSH_komercyjne) też mają gdzieś logi zaimplementowane.

Do rzeczy. Wyobraź sobie taką komunikacje TY <-> BRAMKA_PROXY1 <-> BRAMKA_PROXY2 <-> BRAMKA_PROXY3 <-> BRAMKA_PROXY3 <-> OSTATECZNY_CEL. I teraz ktoś to zgłosi. policja idzie do OSTATECZNY_CEL i myśli, że włamania dokonał BRAMKA_PROXY3 idzie tam i okazuje się że to jakiś admin tam pracuje a nie przestępca i on też udostępnia im logi. Po nici do kłębka docierają do napastnika prawdziwego. Pytanie jest bardziej z zakresu prawa międzynarodowego/lokalnego czy kraj typu Kuba/Chiny chętnie wydają takie informacj choćby interpolowi. Dla niskiej szkodliwości nikomu by się nie chciało.

Jednak dobrze kminisz bo takie metody się jak najbardziej w praktyce. Najprostrzym dla laika sposobem jest opisywany przez nas system Whonix.

Co do bardziej teoretycznych zagadnień przestępczości SUPER komputerowej :lol: . Nie traktuj tego jako rady ani recepty:
  • kupić kartę WiFi w bezpieczny sposób na bazarze bez kamer
  • używać ją tylko do włamów
  • przebierać się
  • spalić po ważnym skoku
  • w miare możliwości używać cudzej sieci WiFI z dala od miasta bez monitoringu zakupioną kartą WiFi
  • nie logować tam się na prywatne szpargoły w sieci i używać bezpiecznego systemu
  • wykupić w sposób bezpieczny nie na swoje dane lub na dane słupa anonimowo usługę anonimowego VPN (najlepiej dwa)
  • utworzyć bardzo bezpieczne wręcz niemożliwe połączenie:
  • TY <-> VPN <-> TOR <-> VPN <-> INTERNET
  • Jako że węzły końcowe w Tor nie są szyfrowane to właśnie VPN to załatwia (usługodawca internetu nie widzi wtedy że korzystasz z dziwacznego Tora, choć i tak nie wie co tam robisz).
  • działać w nieschematyczny sposób o różnych porach
  • nie wyszukiwać w wyszukiwarkach WWW w tej konfiguracji bezpiecznej fraz które mogą zawęzić pole poszukiwania organom (np: dentysta Kostrzyn)
  • najlepiej nie korzystać z języka ojczystego
  • skorzystać z dodatkowych cudaków takich jak wymieniłeś
  • korzystać z bezpiecznych protokołów gdzie się da (SFTP, SSH)
  • zniszczyć fizycznie kartę WiFi
Nic więcej mi o tej porze nie przychodzi do głowy.

Twoje proxy chaining znajdziesz być może pod frazami w google: pivoting, pivot, pivoting hacking. Jak najbardziej stosują cyberprzestępcy takie sztuczki. Często z innego też względu. Dostają się do intranetu (sieć wewnętrzna LAN) w celu sniffowania i skanowania innych kompów w sieci w celu poszerzania ataku. To nie jest tak, że jak ktoś włamać chce się do jakiegoś komputera JANKIELA w firmie lub komputera SWOJEJ_EX to od razu bije skanerem w te kompy i szuka podatności. Bo może nic nie znaleźć z zewnątrz. Próbować może wtedy uderzać w kogoś w tej sieci lub nawet urządzenie (router). Wtedy z odpowiednią wiedzą i kreatywnością może prze konfigurować router lub z poziomu niedocelowego komputera wykonać inny atak na komputer cel w firmie lub swojej_ex. Wykonuje wtedy jakby pivoting właśnie do komputera do którego się włamał w celu dalszej eksploracji sieci (sniffing otwarty, mitm otwarte, dns spoof otwarte może w ten sposób znajdzie sposób na hack).

Jest to właśnie korzystanie z komputerów pośredniczących (np: zombie) do włamań. Co do zacierania śladów to jak najbardziej można wedle umiejętności czyścić logi systemowe i aplikacji. Nawet meterpreter ma takowe polecenie:
clearev

The ‘clearev‘ command will clear the Application, System and Security logs on a Window systems. There are no options or arguments.
Co do samej sieci Tor bo niewiele osób chyba nadal sobie z tego zdaje sprawę, to ona nie jest tylko do przeglądania stron WWW. Można sobie w dowolnej aplikacji skonfigurować Tora (o ile posiada opcje konfiguracji PROXY). Kiedyś GG miało w ustawieniach opcje PROXY opcjonalne, teraz nie wiem jak jest bo nie korzystam.


BTW: Jeśli Ci się nudzi to implementuj. Zawsze to jakaś zabawa i nauka i rozkminy jak czasem staje się nad pewnym problemem.
BTW2: Najczęściej stosuje się tylko TOR+VPN+NIE LOGOWANIE SIĘ NA PRYWATNE KONTA lub nawet tylko TOR+rozwaga_w_logowaniu.

Co do implementacji tego co napisałeś to najlepsze rozwiązanie to byłaby lista zainfekowanych komputerów gdzieś anonimowo w sieci umieszczona (np plik tekstowy na hostingu anonimowo zalozonym ktory niejako jest centrum danych). Do tego aplikacja typu klient-serwer. Serwery to zombi, klient to twój program do ataku. Jeśli chcesz wykonać atak łączysz się z dowolnym kompem z listy (np: random()), ten komputer pobiera też tą listę. Logika programu tworzy randomowa droga do celu no i zaczyna się tą wygenerowaną drogą łączyć z innymi aż do celu. Problem jest tutaj raczej do rozwiązania jeszcze z synchronizacją i trasowaniem na nowo drogi (bo co jak ktoś wyłączy komputer). Jakby jeszcze komunikacja była szyfrowana to by było już coś. Myślę, że wymyślania koła na nowo mija się z celem.

Równie dobrze można tak jak piszesz SSH do jakiegoś kompa i napisać jakiś ładny skrypt BASH/PYTHON który korzystając z gotowych narzędzi utworzy nam ładne dalsze połączenie.
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Ukrywanie się w internecie (proxy chaining)

Post autor: Kenjin »

Masz racje z tym wymyslaniem kola na nowo, jednak w celach edukacyjnych w wolnej chwili pobawie sie tym.
Troche z innej beczki, pewnie slyszales o "slynnym" hakerze McKinnon'ie, ktory byl laikiem a wlamal sie do komputerow NASA, FBI itd.
Zrobil to poprzez napisanie prostego skryptu, ktory lecial po liscie IP i probowal polaczenia SSH na root'a z pustym haslem, lub root//root. W ten sposob zyskiwal kontrole nad coraz to wieksza iloscia komputerow i szukal w nich informacji. Tym prostym sposobem dostal sie nawet do komputerow NASA i FBI :).

Zainteresowales mnie tym Whonixem i ogolnie siecia TOR. Oczywiscie wiedzialem o jej istnieniu wczesniej ale nigdy na powaznie sie tym nie zajmowalem, moze juz czas.

PS: Jeszcze co do tych kart WIFI, czy laczac sie w ten sposob (nawet za pomoca sieci sasiada) nie zostaje na jego i wszystkich innych routerach przez ktore sie dalej lacze zapisany nasz MAC address?
Awatar użytkownika
F3nix
Posty: 332
Rejestracja: 28 kwie 2015, 20:51

Re: Ukrywanie się w internecie (proxy chaining)

Post autor: F3nix »

Zostaje adres MAC dlatego napisałem o hardkorowych crackerach, że kupują do tego celu specjalnie kartę wifi zewnętrzną najlepiej z mocną anteną. Ewentualnie adres MAC można zmienić w ustawieniach karty sieciowej w systemie. Zapomniałem wspomnieć apropo tego co wyszukujesz w sieci. Chodzi o to żeby poprzez korelacje pewnych danych (adres MAC w różnych miejsach, wyszukiwane informacje) ktoś nie powiązał niby anonimowej osoby z Tobą. Tak najczęściej wpadali przestępcy w Polsce używający Tora. Logowali się na maila nie tylko za pomocą Tora ale i z domowego łącza. Logi zostają na serwerze więc takie używanie Tora można sobie do du&@ wsadzić. Tak samo jest z używaniem pseudonimów.

Nie słyszałem o tej akcji, ale często się zdarza że są w sieci osoby które losowo cały świat skanują i próbują się zalogować na łatwe lub puste dane. W końcu bank po kilku próbach Cię zablokuje, ale jeśli próbujesz tego samego hasła popularnego do wielu kont losowych to już nie. A nóż się trafi.
bennielon
Posty: 7
Rejestracja: 20 kwie 2019, 22:05

Ukrywanie sie w internecie proxy chaining

Post autor: bennielon »

Ja sie jakos nie moge odnaleźć albo to u mnie działa nie tak
Czy Portal sie u was otwiera ?
pzdr
ODPOWIEDZ