Предисловие:
Тебе приходилось когда-нибудь
отсылать трояны "от другого лица" на
ящики пользователей? Тогда ты знаешь, что
успех зависит от нескольких факторов: во-первых
от того, кому попало письмо (ламер, юзер,
хакер и т.д.), во-вторых от умения
использовать социальную инженерию и в-третьих
от умения фальсификации заголовков.
Инструментарий:
Итак, что же нам понадобится:
-
Прога для создания письма.
Подойдёт любая: TheBat!, АутГлюк и т.д. Если
нужно отослать более одного письма,
рекомендую SendIt. -
Прога для массовой рассылки
писем с поддержкой использования прокси (Advanced
Direct Remailer, G-Loch
EasyMail, Advanced
Mass Sender , Group
Mail Free, Mega-MailerPro,
Beijing Express Direct
Email Blaster и т.
д.) -
Прога для работы других прог
через прокси: Socks Chain
и т. д. -
Ну, и письмо от чела, чьим "двойником"
станешь.
Все эти проги я описывать не буду.
Это выходит за рамки моей статьи. Описание
прог под пунктом "2" можно найти в
последнем номере журнала "Хакер" (ver 02.03
(50)).
Принцип работы
Принцип работы прост, как всё
гениальное: если пользователь
засомневается, что письмо пришло от того,
кто указан в поле "От", он полезет в
заголовки и будет с умным лицом их изучать (а
может и сравнит с пришедшими до этого
письмами). Поэтому нам надо подменить
заголовки писем на те, которые указываются
в настоящем письме. Вот для чего нам
требовалось получить письмо от того, кем мы
притворимся.
Формирование письма
Самый первый этап работы
заключается в правильном создании письма.
"А что сложного в создании писем?"
спросишь ты. Под "созданием письма" я
имею ввиду не текст письма, а создание
заголовков. Итак, всем известно, что при передачи письма
почтовому серверу тот вставляет свой
заголовок в начало. Т. е. самый первый
заголовок будет от сервака, где находится
твоё мыло, т.к. он последний получил письмо. Наша задача состоит в том, чтобы отправить
письмо серверу где находится мыло жертвы
напрямую, т.е. минуя другие сервера, и при
этом притворится настоящим отправляющим
сервером.
Вот тут нам понадобятся две проги (или
одна - смотря какими пользуешься): любой
почтовик и одна из прог под пунктом 2.
Внимание
Здесь и далее при описании работы
с прогами я имею ввиду проги Advanced Direct Remailer и
Socks Chain. Остальные программы должны работать
аналогично.
В почтовике составляем текст
письма. Это уж как-нибудь без меня. После
того, как письмо написано, его нужно
перенаправить к проге ADR (Advanced Direct Remailer). Для
этого в настройках почтовика заполняем
поле SMTP сервера как "localhost" (без кавычек) и отправляем письмо. Теперь
заходим в ADR, кликаем правой кнопкой мыши на
письмо и выбираем "Посмотреть сообщение".
У нас высвечивается Блокнот, в котором
показаны текст письма и заголовки
почтовика. Текст письма не трогаем, а вот
заголовки удаляем и вставляем нужные. Для
этого надо открыть письмо того чела, кем мы
будем прикидываться и настроить почтовик
на показ заголовков (например, в русском TheBat!
это делается так: вид-> показывать
заголовки (RFC-822)).
Нужно вставить все заголовки этого
письма, кроме самого первого (последний
заголовок вставит сервер). Теперь заголовки
необходимо отредактировать: заменить мыло
получателя на то, на которое собираешься
посылать письмо, изменить дату и время на то,
которое будет при отправке. При этом нужно
подсчитать разность времени между
получениями письма серверами, через
которое оно проходит, и ставить время для
каждого сервера своё.
Теперь лезем в настройки ADR.
Заходим в раздел "Доставка" и в поле
"Домен для "HELO"" пишем название
сервака, который отправляет почту (в
заголовках письма оно указано рядом с его IP).
Далее нам понадобится Socks Chain. В настройках
устанавливаем, через сколько проксей нужно
отправить письмо до того, как оно попадёт на
SMTP (хватит и одного). Не закрывая SC снова
лезем в настройки ADR-> "Прокси". Здесь
указываем адрес прокси как 127.0.0.1 и порт,
который стоит в настройках SC (по умолчанию
1081).
Всё, отправляем письмо.
Тест
До начала отправки жертве письма
рекомендую отправить письмо самому себе, и
посмотреть заголовок. Вот, что было у меня в
заголовке тестового письма (без вставки
нужных заголовков):
From shanker@mail.ru Sun Dec 08 09:04:04 2002
Envelope-to: shanker@mail.ru
Delivery-date: Sun, 08 Dec 2002 09:04:04 +0300
Received: from [12.221.199.26] (helo=webserver2.kaspersky-labs.com)
by mx5.mail.ru with smtp (Exim
SMTP.5)
id 18KuXr-000GQc-00
for shanker@mail.ru; Sun, 08 Dec 2002
09:04:04 +0300
From: <shanker@mail.ru>
To: shanker@mail.ru
Subject: Тест.
Mime-Version: 1.0
Content-Type: text/plain; charset=windows-1251
Message-Id: <E18KuXr-000GQc-00@mx5.mail.ru>
Date: Sun, 08 Dec 2002 09:04:04 +0300
Думаю, не для кого не секрет, кем я
хотел представиться 🙂
Проблемы
Иногда почтовые сервера с высокой
степенью защиты от спама не принимают почту,
если указать в "Домене для "HELO"" не
настоящее имя сервера, с которого пришло
письмо (такое было с mail.ru и hotbox.ru). Вероятно,
сервер сравнивает IP с какого идёт письмо (в
случае с использованием прокси - его адрес)
с IP сервера, на котором находится ящик
отсылающего. В этом случае письмо попадает
в "Плохие" с ошибкой "Почтовый ящик
не существует на этом сервере". Вероятные
решения этой проблемы:
-
Заменить имя домена на настоящее
(в случае использования прокси - указать
его IP) -
Попытаться использовать IP-спуфинг
-
Сделать имя своего компа таким
же, как и у хоста, который указывается в
"Домен для "HELO" (на тот случай, если
твою машину при соединении регистрируют
в сети прова).
При отправке письма напрямую,
некоторые сервера отказываются работать,
если используется их служба, а в строке "От"
указан ящик, чей аккаунт находится у
другого сервера (такое было у mail.ru).
Сервер отказывается принять
письмо, если указан несуществующий
обратный адрес.
В последнее время многие
сервера отказываются принимать почту, если
определённый IP соответствует прокси. Здесь
также стоит попробовать спуфинг.
Плюсы и минусы данного способа
К достоинствам этого способа можно
отнести возможность рассылки писем без
засветки своих реальных данных (IP, имя компа,
и т.д.) При этом, этот способ вполне может
подействовать не только на ламеров, которые
и о заголовках-то никогда не слышали, но и на
юзеров, если те полезли в заголовки письма (там
всё идентично, кроме IP).
Недостаток: может найтись тот
чувак, который проверит соответствие IP и
имя указанного домена. Но всё равно, уж
лучше так, чем отсылать заведомо
неправильно сформированное письмо.
Заключение
Ну, вот и всё. Желаю тебе побед в
нелёгкой борьбе против ламеров.