• Партнер

  • Предисловие:

    Тебе приходилось когда-нибудь
    отсылать трояны "от другого лица" на
    ящики пользователей? Тогда ты знаешь, что
    успех зависит от нескольких факторов: во-первых
    от того, кому попало письмо (ламер, юзер,
    хакер и т.д.), во-вторых от умения
    использовать социальную инженерию и в-третьих
    от умения фальсификации заголовков.

    Инструментарий:

    Итак, что же нам понадобится:

    1. Прога для создания письма.
      Подойдёт любая: TheBat!, АутГлюк и т.д. Если
      нужно отослать более одного письма,
      рекомендую SendIt.

    2. Прога для массовой рассылки
      писем с поддержкой использования прокси (Advanced
      Direct Remailer
      , G-Loch
      EasyMail
      , Advanced
      Mass Sender
      , Group
      Mail Free
      , Mega-MailerPro,
      Beijing Express Direct
      Email Blaster
      и т.
      д.)

    3. Прога для работы других прог
      через прокси: Socks Chain
      и т. д.
    4. Ну, и письмо от чела, чьим "двойником"
      станешь.

    Все эти проги я описывать не буду.
    Это выходит за рамки моей статьи. Описание
    прог под пунктом "2" можно найти в
    последнем номере журнала "Хакер" (ver 02.03
    (50)).

    Принцип работы

    Принцип работы прост, как всё
    гениальное: если пользователь
    засомневается, что письмо пришло от того,
    кто указан в поле "От", он полезет в
    заголовки и будет с умным лицом их изучать (а
    может и сравнит с пришедшими до этого
    письмами). Поэтому нам надо подменить
    заголовки писем на те, которые указываются
    в настоящем письме. Вот для чего нам
    требовалось получить письмо от того, кем мы
    притворимся.

    Формирование письма

    Самый первый этап работы
    заключается в правильном создании письма.
    "А что сложного в создании писем?"
    спросишь ты. Под "созданием письма" я
    имею ввиду не текст письма, а создание
    заголовков. Итак, всем известно, что при передачи письма
    почтовому серверу тот вставляет свой
    заголовок в начало. Т. е. самый первый
    заголовок будет от сервака, где находится
    твоё мыло, т.к. он последний получил письмо. Наша задача состоит в том, чтобы отправить
    письмо серверу где находится мыло жертвы
    напрямую, т.е. минуя другие сервера, и при
    этом притворится настоящим отправляющим
    сервером.

    Вот тут нам понадобятся две проги (или
    одна - смотря какими пользуешься): любой
    почтовик и одна из прог под пунктом 2.

    Внимание

    Здесь и далее при описании работы
    с прогами я имею ввиду проги Advanced Direct Remailer и
    Socks Chain. Остальные программы должны работать
    аналогично.

    В почтовике составляем текст
    письма. Это уж как-нибудь без меня. После
    того, как письмо написано, его нужно
    перенаправить к проге ADR (Advanced Direct Remailer). Для
    этого в настройках почтовика заполняем
    поле SMTP сервера как "localhost" (без кавычек) и отправляем письмо. Теперь
    заходим в ADR, кликаем правой кнопкой мыши на
    письмо и выбираем "Посмотреть сообщение".
    У нас высвечивается Блокнот, в котором
    показаны текст письма и заголовки
    почтовика. Текст письма не трогаем, а вот
    заголовки удаляем и вставляем нужные. Для
    этого надо открыть письмо того чела, кем мы
    будем прикидываться и настроить почтовик
    на показ заголовков (например, в русском TheBat!
    это делается так: вид-> показывать
    заголовки (RFC-822)).

    Нужно вставить все заголовки этого
    письма, кроме самого первого (последний
    заголовок вставит сервер). Теперь заголовки
    необходимо отредактировать: заменить мыло
    получателя на то, на которое собираешься
    посылать письмо, изменить дату и время на то,
    которое будет при отправке. При этом нужно
    подсчитать разность времени между
    получениями письма серверами, через
    которое оно проходит, и ставить время для
    каждого сервера своё.

    Теперь лезем в настройки ADR.
    Заходим в раздел "Доставка" и в поле
    "Домен для "HELO"" пишем название
    сервака, который отправляет почту (в
    заголовках письма оно указано рядом с его IP).
    Далее нам понадобится Socks Chain. В настройках
    устанавливаем, через сколько проксей нужно
    отправить письмо до того, как оно попадёт на
    SMTP (хватит и одного). Не закрывая SC снова
    лезем в настройки ADR-> "Прокси". Здесь
    указываем адрес прокси как 127.0.0.1 и порт,
    который стоит в настройках SC (по умолчанию
    1081).

    Всё, отправляем письмо.

    Тест

    До начала отправки жертве письма
    рекомендую отправить письмо самому себе, и
    посмотреть заголовок. Вот, что было у меня в
    заголовке тестового письма (без вставки
    нужных заголовков): 

    From shanker@mail.ru Sun Dec 08 09:04:04 2002
    Envelope-to: shanker@mail.ru
    Delivery-date: Sun, 08 Dec 2002 09:04:04 +0300
    Received: from [12.221.199.26] (helo=webserver2.kaspersky-labs.com)
            by mx5.mail.ru with smtp (Exim
    SMTP.5)
            id 18KuXr-000GQc-00
            for shanker@mail.ru; Sun, 08 Dec 2002
    09:04:04 +0300
    From: <shanker@mail.ru>
    To: shanker@mail.ru
    Subject: Тест.
    Mime-Version: 1.0
    Content-Type: text/plain; charset=windows-1251
    Message-Id: <E18KuXr-000GQc-00@mx5.mail.ru>
    Date: Sun, 08 Dec 2002 09:04:04 +0300

    Думаю, не для кого не секрет, кем я
    хотел представиться 🙂

    Проблемы

    Иногда почтовые сервера с высокой
    степенью защиты от спама не принимают почту,
    если указать в "Домене для "HELO"" не
    настоящее имя сервера, с которого пришло
    письмо (такое было с mail.ru и hotbox.ru). Вероятно,
    сервер сравнивает IP с какого идёт письмо (в
    случае с использованием прокси - его адрес)
    с IP сервера, на котором находится ящик
    отсылающего. В этом случае письмо попадает
    в "Плохие" с ошибкой "Почтовый ящик
    не существует на этом сервере". Вероятные
    решения этой проблемы:

    1. Заменить имя домена на настоящее
      (в случае использования прокси - указать
      его IP)

    2. Попытаться использовать IP-спуфинг

    3. Сделать имя своего компа таким
      же, как и у хоста, который указывается в
      "Домен для "HELO" (на тот случай, если
      твою машину при соединении регистрируют
      в сети прова).

    При отправке письма напрямую,
    некоторые сервера отказываются работать,
    если используется их служба, а в строке "От"
    указан  ящик, чей аккаунт находится у
    другого сервера (такое было у mail.ru).

    Сервер отказывается принять
    письмо, если указан несуществующий
    обратный адрес.

    В  последнее время многие
    сервера отказываются принимать почту, если
    определённый IP соответствует прокси. Здесь
    также стоит попробовать спуфинг.

    Плюсы и минусы данного способа

    К достоинствам этого способа можно
    отнести возможность рассылки писем без
    засветки своих реальных  данных (IP, имя компа,
    и т.д.) При этом, этот способ вполне может
    подействовать не только на ламеров, которые
    и о заголовках-то никогда не слышали, но и на
    юзеров, если те полезли в заголовки письма (там
    всё идентично, кроме IP).

    Недостаток: может найтись тот
    чувак, который проверит соответствие IP и
    имя указанного домена. Но всё равно, уж
    лучше так, чем отсылать заведомо
    неправильно сформированное письмо.

    Заключение

    Ну, вот и всё. Желаю тебе побед в
    нелёгкой борьбе против ламеров.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии