Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad...

42
Your Logo Here Kulisy sławnych włamań #2 Zimowisko Linuksowe 2014 Marcin Stępnicki

Transcript of Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad...

Page 1: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

Your Logo Here

Kulisy sławnych włamań #2

Zimowisko Linuksowe 2014

Marcin Stępnicki

Page 2: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Dread Pirate Roberts - Ross William Ulbricht● Expectations:

Page 3: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Reality

Page 4: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● sprzedaż: 1.2 mld $. Narkotyki, dokumenty, usługi czarnorynkowe.

● Monitorowanie aktywności DPR na forum,● Przechwycenie zawartości dysków (włamanie do OVH):

● komunikacja DPR z administratorami nieszyfrowana,● Zlecenie zabójstwa FriendlyChemista

Źródło: http://www.scribd.com/doc/172764080/Ulbricht-Criminal-Complaint

Page 5: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Shroomery – altoid, 27.01.2011● Dane z wordpress.com● Post na forum

I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to buy and sell anything online anonymously.

I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it.

I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion.

Let me know what you think...

Page 6: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Bitcointalk.org – altoid, ● Szukasz pracy? - [email protected]● Dane użytkownika z Google● Profil na Google+ i YT, zainteresowania – Mises● IP z Gmaila / geolokacja – kolega z YT● Strefa czasowa

Page 7: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Analiza serwera● Dostęp dla konkretnego IP z VPNa z “certain

server-hosting company”. Połączenie z VPNem z IP kawiarenki z San Francisco.

● Przesyłka z fałszywymi ID

Page 8: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOSilkroad

● Stack Overflow:● Konto Ross Ulbricht, pytanie o Hidden Services z

kodem● Zmiana nicka i maila na “frosty” - 1 min. później● Ten sam kod na serwerze● frosty@frosty - klucze ssh

Page 9: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOWikileaks

● Cables.csv ● Daniel Domscheit-Berg & David Leigh

Page 10: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOWikileaks

The Guardian journalist had to set up the PGP encryption system on his laptop at home across the other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper:

ACollectionOfHistorySince_1966_ToThe_PresentDay#. “That’s the password,” he said. “But you have to add one extra word when you type it in. You have to put in the word ‘Diplomatic’ before the word ‘History’ Can you people to theremember that?” “I can remember that.” Leigh set off home, and successfully installed the PGP software. He typed in the lengthy password, and was gratified to be able to download a huge file from Assange’s temporary website. Then he realized it was zipped up – compressed using a format called 7z which he had never heard of, and couldn’t understand. He got back in his car and drove through the deserted London streets in the small hours, to Assange’s headquarters in Southwick Mews. Assange smiled a little pityingly, and unzipped it for him.

Źródło: WikiLeaks: Inside Julian Assange's War on Secrecy, David Leigh, Luke Harding

Page 11: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOFizyczne włamanie do Selective Service

● https://www.schneier.com/blog/archives/2014/02/1971_social_eng.html

Page 12: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOOVH

● Silkroad, Freedom Hosting, Tormail● Incydent parę dni po przechwyceniu przesyłki

do DPR – przez konto pracownika, 10 lipca● Lista klientów, serwer z domyślnymi kluczami

ssh

Page 13: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOOVH

● Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail.

● W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road.

● OVH: W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania.

● FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road

źródło: Zaufana Trzecia Strona

Page 14: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Applicate - InfoTorg● 5 adresów z Ludviki – diROX● Dane o sobie

Źródło: http://zaufanatrzeciastrona.pl/historia-pewnego-wlamania/

Page 15: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● ciekawość to pierwszy stopień do piekła

Page 16: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● tlt @ #hack.se● diROX miał dostęp do serwera od 2010 roku -

FTP● AVIY356 – konto szwedzkiego parlamentu do

automatycznego transferu plików● klon konfiguracji● exploity: HTTP i CNMUNIX

Page 17: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Follow the white rabbit

Page 18: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Konta 120000 użytkowników● Manipulacja uprawnieniami● Backdoory:

● Dodatkowy serwer /bin/sh w inetd● CSQXDISP: połączenie poza firmę na port 443● Własny klucz dopisany do .ssh/authorized_keys

Page 19: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Używane toole:● REXX● HLASM (asm z/Architecture)● JCEL

Page 20: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Analiza – diROX, logi #hack.se

Page 21: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● <tlt> port 443: listening. ● <tLt> waiting for the APTback<TM>... ● <tLt> alert!!! advancing port 443 threat! ● <tLt> accepted persistent tcp connection from 93.186.170.54:26773 ● <tLt> $APTM1337 ENTERING ADVANCED PRINTER/TYPEWRITER MODE ● <tLt> pwd ● <tLt> uname -a ; id ● <tLt> 0S/390 SYS19 22.00 03 2817 ● <tLt> uid=2147483647(BPXDFLTU) gid=548400(E484) ● <tLt> chmod 755 /tmp/duku ● <tLt> l3tz g3t us s0m3 0f d4t r00t!@# ● <tLt> eu: 0 u: 0 g: 0 ● <tLt> g0t r00t ? ● <tLt> id ● <tLt> uid=0(SUPERUSR) gid=0(STCGROUP) groups=548400(E484)

Page 22: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Połączenia z Kambodży do serwerów Logica● Wyszukiwania w InfoTorg – konto Monique

Wadstedt (prawniczka vs TBP) + anakata● Przechwycenie dysków: TrueCrypt● Przechwycenie laptopa + logi● Deportacja

Page 23: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Nordea● Te same exploity co w Logica● Bank nie poinformował policji mimo przelewów na

3mln PLN z cudzych rachunków – z wyjątkiem pierwszego resztę zablokowano

● Atak z terminala, nie przez interfejs www● Wszystkie zrzuty ekranu były na dysku

Page 24: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Terminal

Page 25: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOAnakata

● Dodatki – sprawa w toku:● System duńskiej policji● Baza duńskich praw jazdy● System Informacyjny Schengen

Page 26: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOGówniana sprawa

● Bidet, woda, suszarka, klapa● Źródło: Niebezpiecznik.pl

Page 27: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● Ssnob.ms (0.50$ - 15$)● UGNazi exposed.su , dla celebrytów→

● Ssnob hacked, baza wykradziona● Własny botnet

Źródło: Krebs on Security

Page 28: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● … on-demand employment background screening, drug and health screening, and employment eligibility solutions that help employers automate, manage and control employment screening and related programs

● LexisNexis provides information to business, government and legal professionals for legitimate, approved purposes. This information includes public records, other publicly available information and some non-public information.

● Examples of public records include the following: Judgments and Liens, Secretary of State filings, Uniform Commercial Code filings, U.S. and Canadian business finder directories, Dun & Bradstreet Global Market Identifiers Worldbase, Experian Business Reports, Fictitious Business Name Information (DBA or doing business as), Dun & Bradstreet Federal Employer Identification Numbers, the Franchise Index, an inactive business index, tax liens, Securities of Exchange Commission Form 4 abstracts, FAA aircraft registrations

● D&B is the world's leading source of commercial information and insight, enabling companies to Decide with Confidence® since 1841. D&B's global commercial database contains more than 225 million business records, which we compile through a wide variety of commercial partners and public sources.

Page 29: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● Dane o historii kredytowej ważne przy przyznawaniu nowych kredytów● U kogo? Ile? Ostatnia rata? Poprzedni adres? Itd.● Więcej błędów u prawdziwych klientów

● Inne dane do uwierzytelniania

Page 30: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● Baza:

Page 31: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● Atak na serwery webowe, niezałatane Coldfusion - z nich dostęp do wewnątrz,

● Dodatkowa aplikacja – komunikacja z wewnątrz sieci do kontrolera na zewnątrz,

● Reseller dla innych – kolejne źródło dochodu,● Raporty po usunięciu zagrożenia nadal

generowane “from law student ID”

Page 32: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

Page 33: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● Dodatek:● National White Collar Crime Center ● Internet Crime Complaint Center● Niezałatany serwer VPN serwery webowe z →

niezałatanym Coldfusion● http://www.exploit-db.com/exploits/24946/

● http://www.exploit-db.com/exploits/25305

● http://www.exploit-db.com/exploits/27755/

● http://www.exploit-db.com/exploits/14641/

● http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2861

Page 34: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKupowanie tożsamości

● ‘I1211100143194982 , ‘Kernersville Police Dept.’, ’174.98.xxx.xxx’, ’2012-11-10 ′01:43:19 , ’2012-11-10 01:47:01 , ‘I was on an adult website (I don\’t know which one) ′ ′when suddenly a screen popped up that had the FBI logo at the top and all this information about my having violated copyright laws or child pornography laws and my computer had been locked by the FBI and if I didn’t pay a $300 fine within 72 hours by MoneyPak a criminal charge would automatically be filed and I would go to prison for 2 to 12 years.

Page 35: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKonto na Twitterze

● Scenariusz:● Konto @n na Twitterze● Mail podpięty pod domenę zarezerwowaną na

GoDaddy● Konto PayPal

Page 36: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKonto na Twitterze

● Najlepsze urządzenie hakerskie

Page 37: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKonto na Twitterze

● Telefon do Paypala jako pracownik 4 ostatnie →cyfry karty

● Telefon do GoDaddy “zagubienie” karty, 4 →ostatnie+2 pierwsze cyfry reset hasła→

● Zmiana DNSa w GoDaddy● Inicjalizacja resetu hasła na Twitterze● Wolna propagacja DNSa● Mail od włamywacza

Page 38: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOKonto na Twitterze

● Sygnały:● sms z PayPala – two-factor auth zadziałał,● Logowanie na maila – mail z GoDaddy● Telefon do GoDaddy – dane już zmienione● Konto zostało oddane w zamian za hasło do

GoDaddy

Źródło: http://niebezpiecznik.pl/post/jak-przejac-czyjes-konto-na-twitterze-nie-znajac-hasla/

Page 39: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOHack The Planet

● .edu – EDUCAUSE● Pierwsze logowanie udane● we can't say we expect much from a registrar

running ASPX on their backend

- zmiana DNSów MIT na Cloudflare● Zmiana rekordu MX● root server

Źródło: http://www.exploit-db.com/papers/25306/

Page 40: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOHack The Planet

● Drobna zmianaDomain Name: MIT.EDU Registrant: Massachusetts Institute of Technology Cambridge, MA 02139 UNITED STATES Administrative Contact: I got owned Massachusetts Institute of Technology MIT Room W92-167, 77 Massachusetts Avenue Cambridge, MA 02139-4307 UNITED STATES (617) 324-1337 [email protected] Technical Contact: OWNED NETWORK OPERATIONS ROOT US DESTROYED, MA 02139-4307 UNITED STATES (617) 253-1337 [email protected] Name Servers: FRED.NS.CLOUDFLARE.COM KATE.NS.CLOUDFLARE.COM Domain record activated: 23-May-1985 Domain record last updated: 22-Jan-2013 Domain expires: 31-Jul-2013

Page 41: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGOHack The Planet

● KorespondencjaFrom: "CloudFlare Support" <[email protected]> Subject: [CloudFlare Support] Pending request: Why is cloudflare staff modifying my dns records? (ticket #12053) Date: Wed, January 23, 2013 4:48 pm To: "Fuckmit" <[email protected]> Justin, Jan 22 11:48 am (PST) Hi, We have reason to believe you are not the actual owner of the mit.edu domain. We have been in contact with the actual owner this morning. As such we have taken steps to secure the account, and the domain has already been returned to the actual owner. ---------------------------------------------- Fuckmit, Jan 22 11:45 am (PST) Two questions: Why is cloudflare staff modifying my dns records without authorization? Why is cloudflare staff repeatedly regenerating my API key every time they decide to modify my dns records without authorization?

Page 42: Your Logo Herezimowisko.linux.gda.pl/2014/papers/Marcin_Stepnicki... · 2014-02-25 · Silkroad LOGO Shroomery – altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across

LOGO

THE END