Информационные технологииStfw.Ru 🔍

Подмена заголовка письма

🕛 30.10.2006, 17:26
Предисловие:
Тебе приходилось когда-нибудь отсылать трояны "от другого лица" на ящики пользователей?
Тогда ты знаешь, что успех зависит от нескольких факторов: во-первых от того, кому попало письмо (ламер, юзер, хакер и т.д.), во-вторых от умения использовать социальную инженерию и в-третьих от умения фальсификации заголовков.

Инструментарий:
Итак, что же нам понадобится:
Прога для создания письма. Подойдёт любая: TheBat!, АутГлюк и т.д. Если нужно отослать более одного письма, рекомендую SendIt.
Прога для массовой рассылки писем с поддержкой использования прокси (Advanced Direct Remailer, G-Loch EasyMail, Advanced Mass Sender , Group Mail Free, Mega-MailerPro, Beijing Express Direct Email Blaster и т. д.)
Прога для работы других прог через прокси: Socks Chain и т. д.
Ну, и письмо от чела, чьим "двойником" станешь.


Все эти проги я описывать не буду. Это выходит за рамки моей статьи Описание прог под пунктом "2" можно найти в последнем номере журнала "Хакер" (ver 02.03 (50)).

Принцип работы
Принцип работы прост, как всё гениальное: если пользователь засомневается, что письмо пришло от того, кто указан в поле "От", он полезет в заголовки и будет с умным лицом их изучать (а может и сравнит с пришедшими до этого письмами). Поэтому нам надо подменить заголовки писем на те, которые указываются в настоящем письме. Вот для чего нам требовалось получить письмо от того, кем мы притворимся.

Формирование письма
Самый первый этап работы заключается в правильном создании письма. "А что сложного в создании писем?" спросишь ты. Под "созданием письма" я имею ввиду не текст письма, а создание заголовков. Итак, всем известно, что при передачи письма почтовому серверу тот вставляет свой заголовок в начало. Т. е. самый первый заголовок будет от сервака, где находится твоё мыло, т.к. он последний получил письмо. Наша задача состоит в том, чтобы отправить письмо серверу где находится мыло жертвы напрямую, т.е. минуя другие сервера, и при этом притворится настоящим отправляющим сервером. Вот тут нам понадобятся две проги (или одна - смотря какими пользуешься): любой почтовик и одна из прог под пунктом 2.

Внимание
Здесь и далее при описании работы с прогами я имею ввиду проги Advanced Direct Remailer и Socks Chain. Остальные программы должны работать аналогично.

В почтовике составляем текст письма. Это уж как-нибудь без меня. После того, как письмо написано, его нужно перенаправить к проге ADR (Advanced Direct Remailer). Для этого в настройках почтовика заполняем поле SMTP сервера как "localhost" (без кавычек) и отправляем письмо. Теперь заходим в ADR, кликаем правой кнопкой мыши на письмо и выбираем "Посмотреть сообщение". У нас высвечивается Блокнот, в котором показаны текст письма и заголовки почтовика. Текст письма не трогаем, а вот заголовки удаляем и вставляем нужные. Для этого надо открыть письмо того чела, кем мы будем прикидываться и настроить почтовик на показ заголовков (например, в русском TheBat! это делается так: вид-> показывать заголовки (RFC-822)).

Нужно вставить все заголовки этого письма, кроме самого первого (последний заголовок вставит сервер). Теперь заголовки необходимо отредактировать: заменить мыло получателя на то, на которое собираешься посылать письмо, изменить дату и время на то, которое будет при отправке. При этом нужно подсчитать разность времени между получениями письма серверами, через которое оно проходит, и ставить время для каждого сервера своё.

Теперь лезем в настройки ADR. Заходим в раздел "Доставка" и в поле "Домен для "HELO"" пишем название сервака, который отправляет почту (в заголовках письма оно указано рядом с его IP). Далее нам понадобится Socks Chain. В настройках устанавливаем, через сколько проксей нужно отправить письмо до того, как оно попадёт на SMTP (хватит и одного). Не закрывая SC снова лезем в настройки ADR-> "Прокси". Здесь указываем адрес прокси как 127.0.0.1 и порт, который стоит в настройках SC (по умолчанию 1081).

Всё, отправляем письмо.

Тест
До начала отправки жертве письма рекомендую отправить письмо самому себе, и посмотреть заголовок. Вот, что было у меня в заголовке тестового письма (без вставки нужных заголовков):

From shanker@mail.ru Sun Dec 08 09:04:04 2002
Envelope-to: shanker@mail.ru
Delivery-date: Sun, 08 Dec 2002 09:04:04 +0300
Received: from [12.221.199.26] (helo=webserver2.kaspersky-labs.com) by mx5.mail.ru with smtp (Exim SMTP.5) id 18KuXr-000GQc-00 for shanker@mail.ru; Sun, 08 Dec 2002 09:04:04 +0300
From: 
To: shanker@mail.ru
Subject: Тест.
Mime-Version: 1.0
Content-Type: text/plain; charset=windows-1251
Message-Id: 
Date: Sun, 08 Dec 2002 09:04:04 +0300

Думаю, не для кого не секрет, кем я хотел представиться :)


Проблемы
Иногда почтовые сервера с высокой степенью защиты от спама не принимают почту, если указать в "Домене для "HELO"" не настоящее имя сервера, с которого пришло письмо (такое было с mail.ru и hotbox.ru). Вероятно, сервер сравнивает IP с какого идёт письмо (в случае с использованием прокси - его адрес) с IP сервера, на котором находится ящик отсылающего. В этом случае письмо попадает в "Плохие" с ошибкой "Почтовый ящик не существует на этом сервере". Вероятные решения этой проблемы:

Заменить имя домена на настоящее (в случае использования прокси - указать его IP)

Попытаться использовать IP-спуфинг

Сделать имя своего компа таким же, как и у хоста, который указывается в "Домен для "HELO" (на тот случай, если твою машину при соединении регистрируют в сети прова).

При отправке письма напрямую, некоторые сервера отказываются работать, если используется их служба, а в строке "От" указан ящик, чей аккаунт находится у другого сервера (такое было у mail.ru). Сервер отказывается принять письмо, если указан несуществующий обратный адрес. В последнее время многие сервера отказываются принимать почту, если определённый IP соответствует прокси. Здесь также стоит попробовать спуфинг.

Плюсы и минусы данного способа
К достоинствам этого способа можно отнести возможность рассылки писем без засветки своих реальных данных (IP, имя компа, и т.д.) При этом, этот способ вполне может подействовать не только на ламеров, которые и о заголовках-то никогда не слышали, но и на юзеров, если те полезли в заголовки письма (там всё идентично, кроме IP).

Недостаток: может найтись тот чувак, который проверит соответствие IP и имя указанного домена. Но всё равно, уж лучше так, чем отсылать заведомо неправильно сформированное письмо.

Заключение
Ну, вот и всё. Желаю тебе побед в нелёгкой борьбе против ламеров.

Информационная безопасность   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉