BiTA23 окт 2009 в 14:59

Три способа обнаружения фарминг-атаки в Windows

2 мин

4.8K

Чулан

+14

Комментарии 19

BarsMonster 23 окт 2009 в 15:12

Да уж, сменить IP адрес нужного сервера — самый простой способ перехватить пароли…
И не обязательно снифить весь трафик…

А еще можно эмулировать ответы DNS сервера… :-)

НЛО прилетело и опубликовало эту надпись здесь

BarsMonster 23 окт 2009 в 15:55

Это-то как раз элементарно, обычный HTTP прокси на 80-м порту :-)

blum 23 окт 2009 в 15:59

На «сменненом» IP достаточно поднять прокси, который бы выборочно логировал введённые жертвой данные, например логины с паролями, номера кредиток и т.п…

BiTA 23 окт 2009 в 16:02

Можно и так. Но выгоднее продавать услугу перенаправления пользователей такого своеобразного «ботнета» на заданные фишинговые сервера. Сегодня оплатили одни — перенаправление на одних, завтра другие — значит на них будет осуществлять перенаправление. Бизнес, так сказать.

Makor 3 дек 2010 в 13:30

SEO ботнет?:)

Andrey_Rogovsky 23 окт 2009 в 15:19

Если не работать от админского аккаунта — то по идее эти действия трояны не смогут совершать (под обычным юзером)

BiTA 23 окт 2009 в 15:25

Если в сети есть ложный DHCP-сервер, то не имеет никакого значения под какой учетной записью работать. В общем-то, не требуется даже наличие вредоносной программы на этом компьютере. Действующий в сети DNSChanger может подбросить ложные данные о DNS-серверах и все:) Подробнее про это описано в разделе «Регистрация ложного DHCP-сервера» полной версии статьи: av-school.ru/article/a-107.html

GOLDEN_key 23 окт 2009 в 16:33

Ложные DHCP-сервера детектятся

en.wikipedia.org/wiki/Rogue_DHCP

Rogue DHCP servers can be detected using:

* dhcp_probe (UNIX)
* dhcploc.exe (Win32) in ResourceKit
* Roadkil's DHCP Find (Win32)
* DHCP Sentry (Win32) – DHCP Sentry tool
* Scapy (Python)
* Rogue detect (Perl)

CaptainFlint 23 окт 2009 в 16:14

HKLM\System\ControlSet001\Services\tcpip\parameters

Лучше не ControlSet001, а CurrentControlSet, потому что ещё неизвестно, первый ли профиль используется системой на данный момент.

CaptainFlint 23 окт 2009 в 16:16

Хотя нет, лучше проверить сразу уж все профили ControlSetN.

BiTA 23 окт 2009 в 16:22

Точно! Обновил текст. Спасибо!

НЛО прилетело и опубликовало эту надпись здесь

BiTA 23 окт 2009 в 20:27

Ха-ха-ха. Соглашусь на 100%. Меня буквально на днях спрашивали, неужели есть такие пользователи. Не просто есть, а много :) Впрочем, фарминг — атака скрытная, а поддельные странички настолько точно имитируют настоящие, что без спецсредств увидеть подмену имхо и не получится…

Alibobaevich 24 окт 2009 в 04:04

вот пару часов назад заметил в хроме:

конечно попасть на такую удочку сложно, т.к. хром отправляет на страницу поиска а не на свой «я счастливчик», да и хром пока не браузер «по умолчанию».

BiTA 24 окт 2009 в 08:38

Самое прикольное, что в нашей полной статье есть головоломка, которая очень близко связана с вашим скриншотом, он мог бы быть отправной точкой для решения :)

sapsan 25 окт 2009 в 20:58

В некоторых антивирусах уже добавлена проверка на изменение файла HOSTS. Думаю, что и вышеописанные проверки добавят. По крайней мере, стоит им задуматься о добавлении данной возможности, так как это их прерогатива. Спасибо за обзор.

srka 27 окт 2009 в 12:41

ну незнаю… незнаюю…

пойду-ка обновлю свою кубунту :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий