Domanda (Sicurezza informatica) Qua serve un genio... mi sto perdendo qualcosa!

Ordina per data Ordina commenti per reazioni
B

bugg3rvance

Utente Silver
9 Aprile 2014
10
4
0
50
Buonasera a tutti,

Qualche vecchia volpe del forum forse mi riconoscerà dai tempi di Murdercode, Rossi46go, Darkfuneral, King lion etc etc. ero il grafico di tutti i forum della golden era dell' "hacking" italiano.

Fatta questa premessa procedo a illustrarvi un problema capitato ieri da cui non riesco in nessun modo a capire come sia stato effettuato l'attacco:

Un amico viene disconnesso da Fortnite ( vi prego non chiudete la pagina non è questo il fulcro) e ovviamente non riesce più a rientrare nell'account in quanto è stata cambiata la mail. Ovviamente vengo chiamato stile signor Wolf di pulp fiction per risolvere il problema e dico easy.. saranno i soliti scam alla nigeriana e gli rivolto l'attacco e segnalo i provider in modo che non rechi danno a nessuno.

La situazione invece si presenta cosi: account fortnite hackerato con ovvia rimozione di tutti i collegamenti e mail cambiata ( quindi la senza assistenza epic non si recupera ma non è questo il problema) il che presuppone che siano entrati da gmail... Infatti entriamo sulla gmail collegata a quell'account e nella cartella spam troviamo tutte le mail con le procedure necessarie per cambiare mail e rubare l'account.. dico in qualche modo ti avranno ciulato la password ed eluso la verifica a 2 fattori ma comunque troverò i log di chi è entrato che google registra..

e invece niente.. il nulla cosmico.. nessuna traccia... Passiamo alla mail secondaria: hackerata anche quella collegata all'iphone sempre con verifica a 2 fattori )non è arrivato nessun messaggio fortunatamente sono riuscito a blindargliele prima che potessero fare altri danni). 0 log anche li nessuna traccia che qualcuno sia entrato se non le mail modificare l'account instagram cambiando mail e mettendone una provvisoria di un provider russo.

Dico ok. Siamo nel 2024 in qualche modo sarà ancora possibile mettere un backdoor su win 11 ( il che non mi torna comunque ma va bene) quindi sempre con anydesk controllo il pc: 0 malware. monitoraggio di ogni singolo processo tutto pulito. Verifica di tutti gli ip e le porte in entrata e uscita tutto regolare. Controllo minuzioso di tutti i log di sistema e di ogni possibile cosa possiate immaginare usando reverse engineering e penetration testing. Nulla inviolabile tutto regolare.

Ora la domanda è: al dilà che gli account verranno recuperati in quanto abbiamo salvato il salvabile.

Secondo voi come santo cielo hanno fatto a bucare 2 gmail con 2 pwd diverse nel giro di 5 minuti senza lasciare un briciolo di attività/log sugli account google ( cosa mai vista.. ne ho viste a decine rimangono sempre log ip dispostivo e zona geografica) 1 account Meta ovvero instagram anche quello cambiando la mail senza lasciare log.. il tutto su un pc pulito che non presenta la minima traccia di attacchi nei log di sistema, 0 connessioni esterne del possibile attaccante, 0 falle ho provato di tutto in 4 ore..

Cosa mi sta sfuggendo signori?

Grazie in anticipo a chiunque voglia rispondere e siamo anche disponibili a andare su discord con anydesk se qualcuno volesse approfondire.

Un saluto e scusate il messaggio lungo e scritto male.

S7
 
Se nei log degli accessi di Google non c'è niente di sospetto e ha pure il 2FA l'unica spiegazione è che sia stata usata una sessione valida su un dispositivo registrato. Senza dati sono solo teorie, può essere tante cose dallo "scherzo" di qualcuno con accesso fisico al device, backdoor per Win 11 che è stata poi rimossa o che non hai trovato, backdoor per smartphone, all'API token rubato per la lettura di mail...

Potrebbe anche essere il caso dell'infostealer che ultimamente ruba la sessione di Google:

Gli infostealer lasciano poche tracce in quanto spesso non hanno nemmeno la persistenza o bisogno di creare file binari localmente.
 
  • Mi piace
Reazioni: bugg3rvance
Salve Junk,

Grazie infinite per la risposta e perdonami se non si è capito molto. Giustamente andrebbe visto di persona perché anche io senza averlo visto farei fatica a crederci.

Anyway... 1: Nei log degli accessi Google non c'è nulla in entrambe le mail.. cosa mai vista in quanto quando sono entrato io mi ha messo subito nell'elenco degli accessi con relative info.
2: le uniche sessioni prima che mi facesse entrare erano esclusivamente del possessore del cellulare che lo aveva accanto in quel momento ed è stato disconnesso mentre stava giocando. Ho pensato anche io a uno scherzo a un backdoor ecc ecc.. ma la persona che ha subito l'attacco è seria e abbastanza navigata sull'argomento. Sa ci fosse stato qualcosa di rilevabile l'avrei trovato impossibile fare un attacco del genere non mirato senza lasciare una traccia.. ho provato io stesso qualche log lo lasci sempre e serve una backdoor con i controca**i molto recente o letteralmente uno 0day.

3: Non credendoci neanche io ho pensato subito a uno scherzo magari con un keylogger e una sessione rubata o appunto l'API token ma non trovo nessun riscontro. La persona attaccata non potendoselo spiegare era completamente in panico pensando che gli avessero swappato la sim o clonata... cosa impossibile per vari fattori tecnici e per il tipo di attacco che non giustificherebbe tanto sforzo per ottenere il nulla perché alla fine siamo tornati in possesso di tutto.

4: non ero informato sull'infostealer che ruba le sessioni di google ti ringrazio. Potrebbe avere senso anche se è scandaloso che non abbiano ancora tappato una falla del genere.. in ogni caso cercherò di informarmi meglio per capire se può essere quello.

Per il resto le mie uniche tesi che mi restano sono:

A) social engineering andato a buon fine verso un servizio che ha aperto le porte a tutti gli altri account hackerati.. di sicuro non gmail quindi partendo da Epic o chissà quale sito. Il che però non spiega come siano state spostate le mail dove viene effettuato il cambio password dalla posta principale a quella spam aprendole senza lasciare log di sessione.

B) Un attacco non dichiarato direttamente a google o epic o altri database che ha targettato un numero contenuto di utenti ( facendo la ricerca in inglese noto molte segnalazioni simili su reddit tra il 12 e il 13 di febbraio) il che continua a non spiegare però l'assenza di log.

In poche parole se non lo vedi non ci credi da un punto di vista informatico.

Ho visto di tutto ma siamo nel 2024 non penso che per rubare un account da 500 euro di fortnite ( perché quello era il bersaglio poi una volta entrati han cercato di prendere tutto quello che potevano per rivendicarne il possesso in futuro) abbiano utilizzato una backdoor recente non rilevabile facendo dei passaggi manuali troppo specifici e andando addirittura a cancellare manualmente i log sulla macchina attaccata e usandola per non lasciare traccia di log nelle sue mail. Ci ho provato e non sono al vostro livello ma è veramente difficilissimo farlo in 5/10 minuti.. per me impossibile.. ma conosco veramente poche persone con queste capacità e non gravitano in questo mondo di truffe per account.. lo capirei per cifre alte ma un impegno cosi specifico e tali competenze per un account di gioco per me non sono credibili e non vi è traccia.

Quindi ripeto o è una roba clamorosa mista tra social engineering e falle nei provider gigantesche o per me rimane inspiegabile.

Poi oddio abbiamo visto storicamente che si può fare di tutto.. però stiamo parlando di un account di gioco che ha un target di possibili attaccanti di livello molto basso vista la rendita. Invece quello che è successo troppo avanzato.

Scusa il messaggio lungo e grazie ancora per l'attenzione

Se qualcuno volesse contribuire si senta libero di scrivere sarebbe illuminante!.

S7
 
Ultima modifica:
Buon pomeriggio!

AGGIORNAMENTO!

Continuano a bypassare 2 Gmail diverse come se fosse un portone aperto nonostante in entrambe ci sia la 2FA e password impossibili.

Cercando di replicare la cosa non vi è modo di non essere fermati dalla verifica a 2 fattori pur sapendo la pwd serve l'autorizzazione tramite codice via cell.
Quello che sto vedendo per me (e come abbiamo discusso in sede privata con altri) rimane magia nera al momento ma vedendo che succede devo prenderne atto!.. ci deve essere una spiegazione razionale e tecnica. Oltre al danno quello che mi "triggera" il cervello è non avere la minima idea di come sia possibile effettuare e subire un attacco del genere. Che io sappia non esiste uno 0day che ti fa entrare come se niente fosse in varie gmail blindate senza lasciare log di sessione e senza notifiche.. e per logica se esistesse lo userebbero per fare attacchi molto proficui non per il nulla cosmico.

Se qualcuno fosse interessato a discuterne qua o in pvt mi contatti pure massima apertura anzi sarebbe un piacere! perché non se lo sanno spiegare neanche alcune persone di massimo spessore in Italia che lavorano nella sicurezza informatica come voi.

Un saluto e grazie in anticipo

@JunkCoder @DispatchCode @0xbro

S7
 
capitò una cosa simile ad un mio cliente che riuscivano a bypassare la 2FA tutte le volte senza che tu te ne accorgessi. Sono 99% sicuro che su uno dei suoi dispositivi ci sia una backdoor magari anche FUD che qualsiasi AV non rileva.
Ci sono delle backdoor che possono creare un Hidden VNC e quindi usare il tuo PC senza che tu veda cosa loro fanno (in un desktop secondario invisibile) e praticamente possono aprire qualsiasi sito per esempio come se effettivamente fossero sul suo PC.

Da questo mio cliente continuavano a forzare gli account e i telefoni collegati e li formattavano tutti. Anche Kaspersky Rescue Disk non trovò niente ma mi venne l'illuminazione che in quell'oretta che il PC del titolare stava scansionando (a sistema operativo spento) non era successo niente. Analizzando più a fondo avevo trovato un task che non mi piaceva e vidi che qualcuno (persona conosciuta e successivamente denunciata ai carabinieri) aveva infettato il PC.

Google senza Cookie rubati o backdoor varie non si sfonda.
 
  • Mi piace
Reazioni: bugg3rvance
Valance ha detto:
capitò una cosa simile ad un mio cliente che riuscivano a bypassare la 2FA tutte le volte senza che tu te ne accorgessi. Sono 99% sicuro che su uno dei suoi dispositivi ci sia una backdoor magari anche FUD che qualsiasi AV non rileva.
Ci sono delle backdoor che possono creare un Hidden VNC e quindi usare il tuo PC senza che tu veda cosa loro fanno (in un desktop secondario invisibile) e praticamente possono aprire qualsiasi sito per esempio come se effettivamente fossero sul suo PC.

Da questo mio cliente continuavano a forzare gli account e i telefoni collegati e li formattavano tutti. Anche Kaspersky Rescue Disk non trovò niente ma mi venne l'illuminazione che in quell'oretta che il PC del titolare stava scansionando (a sistema operativo spento) non era successo niente. Analizzando più a fondo avevo trovato un task che non mi piaceva e vidi che qualcuno (persona conosciuta e successivamente denunciata ai carabinieri) aveva infettato il PC.

Google senza Cookie rubati o backdoor varie non si sfonda.
Clicca per espandere...
Grazie per la risposta

Ti assicuro che a parte setacciare stile "old school" ogni singolo processo in doppio cieco quindi controllando anche quelli più sicuri per verificarne attività etc.. non esiste un singolo processo che riporti a una backdoor... ma questo è già na roba vecchiotta esistono backdoor che riescono a nascondersi anche dal task manager attivandosi per pochi secondi per poi richiudersi.

Oltre a questo cito quello che ho scritto sopra: non esiste una singola traccia di log in nessun registro (che per essere cancellati come puoi immaginare avrebbero occupato un bel po di tempo e si parla di alti profili e attacchi mirati su un soggetto che non sta in questo target) e ti assicuro ho la fortuna di poter sperimentare emulando virtual machine "progetti" abbastanza recenti... e i log li lasci e come. è un macello aggirare tutto e soprattutto cambiare 2 mail con relativi vari account collegati e riregistrali in neanche 5 minuti anche avendo un'interfaccia grafica non visibile alla macchina attaccata.

Oltre a questo abbiamo letteralmente fatto una lunghissima diagnostica forense su quel sistema sia dal vivo che da remoto e non c'è una singola cosa fuori posto ne una backdoor al 100%.

Poi che non venga rilevata da vari antivirus ok ma che non esista traccia dobbiamo stare su livelli molto alti e specifici che coinvolgono personalità decisamente sopra la media non le solite lamerate nigeriane etc.

Quindi escludo categoricamente sia stata usata una backdoor. Se gradisci posso farti vedere in 5 minuiti i risultati o puoi verificare da remoto il sistema.

Rimane l'opzione della sessione rubata. Ma anche qua implica attacchi abbastanza professionali come un mitm e tipologie simili. Pishing non è perche la persona che ha subito l'attacco è super diffidente e non vi è traccia. Quindi escluse le ipotesi più banali a me restano:

1) Furto di token/sessione quindi sono entrati lisci come se nulla fosse. Come ben saprai ci sono vari modi per farlo e nessuno di questi è facile a meno che non sia ci sia un bug clamoroso del provider e della macchina attaccata il che implica che venga eseguita da uno o piu persone esperte che hanno uno 0day o un exploit non noto. Ma il primo attacco è stato un circa 20 giorni fa se avessero tra le mani una roba del genere non penso farebbero pesca a strascico su account inutili ma andrebbero su bersagli grossi

2) come è successo qualche giorno fa per epic games dove sono stati rubati 180 gb di dati comprese password e dati bancari qualcuno di poco geniale stia usando uno 0day direttamente sui provider magari che ruba sessioni flash... il resto siamo nella fantascienza.

Concordo con te che google senza backdoor o coockie/token/sessioni rubate non si buca... il problema è che (invece l'han bucata) ci sono altri post del genere e che soprattutto ho visto con i miei occhi che è successo! ed è successo qualcosa che per me dopo aver scansionato quel sistema e averlo blindato non può essere successa ne infettando la macchina ne con un attacco da remoto su di essa. Ma anche secondo altri del settore infatti sembriamo sul paranormale.

Poi magari verremmo a sapere che c'era una megafalla su gmail e ha coinvolto migliaia di utenti.

Ma per ora non sembra esserci quindi non so che dirvi a parte cercare altre risposte illuminanti.

S7
 

DISCUSSIONI SIMILI

H
Difesa Cos'è l'Ingegneria Sociale? E perché è l'anello più debole della sicurezza informatica?
  • 2
  • 1K
2
1K
Manuali di Hacking e IT-Security
hck2009
D
Investimento CROWDPEAR: 25 EURO SUBITO +25 EURO A INVITO (DEPOSITO 100 EURO SUBITO PRELEVABILI)
  • Chiuso
  • 18
  • 1K
18
1K
Guadagnare con Promozioni
Dr Heisenberg
0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
Top Bottom
Indietro