your logo herezimowisko.linux.gda.pl/2014/papers/marcin_stepnicki... · 2014-02-25 · silkroad...

Your Logo Here

Kulisy sławnych włamań #2

Zimowisko Linuksowe 2014

Marcin Stępnicki

LOGOSilkroad

● Dread Pirate Roberts - Ross William Ulbricht● Expectations:

LOGOSilkroad

● Reality

LOGOSilkroad

● sprzedaż: 1.2 mld $. Narkotyki, dokumenty, usługi czarnorynkowe.

● Monitorowanie aktywności DPR na forum,● Przechwycenie zawartości dysków (włamanie do OVH):

● komunikacja DPR z administratorami nieszyfrowana,● Zlecenie zabójstwa FriendlyChemista

Źródło: http://www.scribd.com/doc/172764080/Ulbricht-Criminal-Complaint

LOGOSilkroad

● Shroomery – altoid, 27.01.2011● Dane z wordpress.com● Post na forum

I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to buy and sell anything online anonymously.

I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it.

I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion.

Let me know what you think...

LOGOSilkroad

● Bitcointalk.org – altoid, ● Szukasz pracy? - rossulbricht@gmail.com● Dane użytkownika z Google● Profil na Google+ i YT, zainteresowania – Mises● IP z Gmaila / geolokacja – kolega z YT● Strefa czasowa

LOGOSilkroad

● Analiza serwera● Dostęp dla konkretnego IP z VPNa z “certain

server-hosting company”. Połączenie z VPNem z IP kawiarenki z San Francisco.

● Przesyłka z fałszywymi ID

LOGOSilkroad

● Stack Overflow:● Konto Ross Ulbricht, pytanie o Hidden Services z

kodem● Zmiana nicka i maila na “frosty” - 1 min. później● Ten sam kod na serwerze● frosty@frosty - klucze ssh

LOGOWikileaks

● Cables.csv ● Daniel Domscheit-Berg & David Leigh

LOGOWikileaks

The Guardian journalist had to set up the PGP encryption system on his laptop at home across the other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper:

ACollectionOfHistorySince_1966_ToThe_PresentDay#. “That’s the password,” he said. “But you have to add one extra word when you type it in. You have to put in the word ‘Diplomatic’ before the word ‘History’ Can you people to theremember that?” “I can remember that.” Leigh set off home, and successfully installed the PGP software. He typed in the lengthy password, and was gratified to be able to download a huge file from Assange’s temporary website. Then he realized it was zipped up – compressed using a format called 7z which he had never heard of, and couldn’t understand. He got back in his car and drove through the deserted London streets in the small hours, to Assange’s headquarters in Southwick Mews. Assange smiled a little pityingly, and unzipped it for him.

Źródło: WikiLeaks: Inside Julian Assange's War on Secrecy, David Leigh, Luke Harding

LOGOFizyczne włamanie do Selective Service

● https://www.schneier.com/blog/archives/2014/02/1971_social_eng.html

LOGOOVH

● Silkroad, Freedom Hosting, Tormail● Incydent parę dni po przechwyceniu przesyłki

do DPR – przez konto pracownika, 10 lipca● Lista klientów, serwer z domyślnymi kluczami

ssh

LOGOOVH

● Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail.

● W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road.

● OVH: W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania.

● FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road

źródło: Zaufana Trzecia Strona

●

LOGOAnakata

● Applicate - InfoTorg● 5 adresów z Ludviki – diROX● Dane o sobie

Źródło: http://zaufanatrzeciastrona.pl/historia-pewnego-wlamania/

LOGOAnakata

● ciekawość to pierwszy stopień do piekła

LOGOAnakata

● tlt @ #hack.se● diROX miał dostęp do serwera od 2010 roku -

FTP● AVIY356 – konto szwedzkiego parlamentu do

automatycznego transferu plików● klon konfiguracji● exploity: HTTP i CNMUNIX

LOGOAnakata

● Follow the white rabbit

LOGOAnakata

● Konta 120000 użytkowników● Manipulacja uprawnieniami● Backdoory:

● Dodatkowy serwer /bin/sh w inetd● CSQXDISP: połączenie poza firmę na port 443● Własny klucz dopisany do .ssh/authorized_keys

LOGOAnakata

● Używane toole:● REXX● HLASM (asm z/Architecture)● JCEL

LOGOAnakata

● Analiza – diROX, logi #hack.se

LOGOAnakata

● <tlt> port 443: listening. ● <tLt> waiting for the APTback<TM>... ● <tLt> alert!!! advancing port 443 threat! ● <tLt> accepted persistent tcp connection from 93.186.170.54:26773 ● <tLt> $APTM1337 ENTERING ADVANCED PRINTER/TYPEWRITER MODE ● <tLt> pwd ● <tLt> uname -a ; id ● <tLt> 0S/390 SYS19 22.00 03 2817 ● <tLt> uid=2147483647(BPXDFLTU) gid=548400(E484) ● <tLt> chmod 755 /tmp/duku ● <tLt> l3tz g3t us s0m3 0f d4t r00t!@# ● <tLt> eu: 0 u: 0 g: 0 ● <tLt> g0t r00t ? ● <tLt> id ● <tLt> uid=0(SUPERUSR) gid=0(STCGROUP) groups=548400(E484)

LOGOAnakata

● Połączenia z Kambodży do serwerów Logica● Wyszukiwania w InfoTorg – konto Monique

Wadstedt (prawniczka vs TBP) + anakata● Przechwycenie dysków: TrueCrypt● Przechwycenie laptopa + logi● Deportacja

LOGOAnakata

● Nordea● Te same exploity co w Logica● Bank nie poinformował policji mimo przelewów na

3mln PLN z cudzych rachunków – z wyjątkiem pierwszego resztę zablokowano

● Atak z terminala, nie przez interfejs www● Wszystkie zrzuty ekranu były na dysku

LOGOAnakata

● Terminal

LOGOAnakata

● Dodatki – sprawa w toku:● System duńskiej policji● Baza duńskich praw jazdy● System Informacyjny Schengen

LOGOGówniana sprawa

● Bidet, woda, suszarka, klapa● Źródło: Niebezpiecznik.pl

LOGOKupowanie tożsamości

● Ssnob.ms (0.50$ - 15$)● UGNazi exposed.su , dla celebrytów→

● Ssnob hacked, baza wykradziona● Własny botnet

Źródło: Krebs on Security

LOGOKupowanie tożsamości

● … on-demand employment background screening, drug and health screening, and employment eligibility solutions that help employers automate, manage and control employment screening and related programs

● LexisNexis provides information to business, government and legal professionals for legitimate, approved purposes. This information includes public records, other publicly available information and some non-public information.

● Examples of public records include the following: Judgments and Liens, Secretary of State filings, Uniform Commercial Code filings, U.S. and Canadian business finder directories, Dun & Bradstreet Global Market Identifiers Worldbase, Experian Business Reports, Fictitious Business Name Information (DBA or doing business as), Dun & Bradstreet Federal Employer Identification Numbers, the Franchise Index, an inactive business index, tax liens, Securities of Exchange Commission Form 4 abstracts, FAA aircraft registrations

● D&B is the world's leading source of commercial information and insight, enabling companies to Decide with Confidence® since 1841. D&B's global commercial database contains more than 225 million business records, which we compile through a wide variety of commercial partners and public sources.

LOGOKupowanie tożsamości

● Dane o historii kredytowej ważne przy przyznawaniu nowych kredytów● U kogo? Ile? Ostatnia rata? Poprzedni adres? Itd.● Więcej błędów u prawdziwych klientów

● Inne dane do uwierzytelniania

LOGOKupowanie tożsamości

● Baza:

LOGOKupowanie tożsamości

● Atak na serwery webowe, niezałatane Coldfusion - z nich dostęp do wewnątrz,

● Dodatkowa aplikacja – komunikacja z wewnątrz sieci do kontrolera na zewnątrz,

● Reseller dla innych – kolejne źródło dochodu,● Raporty po usunięciu zagrożenia nadal

generowane “from law student ID”

LOGOKupowanie tożsamości

●

LOGOKupowanie tożsamości

● Dodatek:● National White Collar Crime Center ● Internet Crime Complaint Center● Niezałatany serwer VPN serwery webowe z →

niezałatanym Coldfusion● http://www.exploit-db.com/exploits/24946/

● http://www.exploit-db.com/exploits/25305

● http://www.exploit-db.com/exploits/27755/

● http://www.exploit-db.com/exploits/14641/

● http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2861

LOGOKupowanie tożsamości

● ‘I1211100143194982 , ‘Kernersville Police Dept.’, ’174.98.xxx.xxx’, ’2012-11-10 ′01:43:19 , ’2012-11-10 01:47:01 , ‘I was on an adult website (I don\’t know which one) ′ ′when suddenly a screen popped up that had the FBI logo at the top and all this information about my having violated copyright laws or child pornography laws and my computer had been locked by the FBI and if I didn’t pay a $300 fine within 72 hours by MoneyPak a criminal charge would automatically be filed and I would go to prison for 2 to 12 years.

LOGOKonto na Twitterze

● Scenariusz:● Konto @n na Twitterze● Mail podpięty pod domenę zarezerwowaną na

GoDaddy● Konto PayPal

LOGOKonto na Twitterze

● Najlepsze urządzenie hakerskie

LOGOKonto na Twitterze

● Telefon do Paypala jako pracownik 4 ostatnie →cyfry karty

● Telefon do GoDaddy “zagubienie” karty, 4 →ostatnie+2 pierwsze cyfry reset hasła→

● Zmiana DNSa w GoDaddy● Inicjalizacja resetu hasła na Twitterze● Wolna propagacja DNSa● Mail od włamywacza

LOGOKonto na Twitterze

● Sygnały:● sms z PayPala – two-factor auth zadziałał,● Logowanie na maila – mail z GoDaddy● Telefon do GoDaddy – dane już zmienione● Konto zostało oddane w zamian za hasło do

GoDaddy

Źródło: http://niebezpiecznik.pl/post/jak-przejac-czyjes-konto-na-twitterze-nie-znajac-hasla/

LOGOHack The Planet

● .edu – EDUCAUSE● Pierwsze logowanie udane● we can't say we expect much from a registrar

running ASPX on their backend

- zmiana DNSów MIT na Cloudflare● Zmiana rekordu MX● root server

Źródło: http://www.exploit-db.com/papers/25306/

LOGOHack The Planet

● Drobna zmianaDomain Name: MIT.EDU Registrant: Massachusetts Institute of Technology Cambridge, MA 02139 UNITED STATES Administrative Contact: I got owned Massachusetts Institute of Technology MIT Room W92-167, 77 Massachusetts Avenue Cambridge, MA 02139-4307 UNITED STATES (617) 324-1337 cunt@mit.edu Technical Contact: OWNED NETWORK OPERATIONS ROOT US DESTROYED, MA 02139-4307 UNITED STATES (617) 253-1337 owned@mit.edu Name Servers: FRED.NS.CLOUDFLARE.COM KATE.NS.CLOUDFLARE.COM Domain record activated: 23-May-1985 Domain record last updated: 22-Jan-2013 Domain expires: 31-Jul-2013

LOGOHack The Planet

● KorespondencjaFrom: "CloudFlare Support" <support@cloudflare.com> Subject: [CloudFlare Support] Pending request: Why is cloudflare staff modifying my dns records? (ticket #12053) Date: Wed, January 23, 2013 4:48 pm To: "Fuckmit" <fuckmit@tormail.org> Justin, Jan 22 11:48 am (PST) Hi, We have reason to believe you are not the actual owner of the mit.edu domain. We have been in contact with the actual owner this morning. As such we have taken steps to secure the account, and the domain has already been returned to the actual owner. ---------------------------------------------- Fuckmit, Jan 22 11:45 am (PST) Two questions: Why is cloudflare staff modifying my dns records without authorization? Why is cloudflare staff repeatedly regenerating my API key every time they decide to modify my dns records without authorization?

LOGO

THE END