vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Migalki Club
Старожил
Меценат💎
Сегодня я хочу поделиться историей одного небольшого, но увлекательного расследования. Все началось, как обычно, с малого — с одного подозрительного IP-адреса. А закончилось вскрытием целой сетки фишинговых доменов и отправкой финального «письма счастья» хостинг-провайдеру.
Это не рассказ о взломе Пентагона с помощью 0-day. Это реальный кейс, показывающий, как с помощью базовых инструментов, OSINT и капельки терпения можно пресечь деятельность мошенников, которые, как выяснилось, работали с размахом.
Предыстория: Я подключил себе секретаря от тиньки, что б поприкалываться над мошенниками. И тут звонок, говорят из деканата, просят выгрузить какую-то характеристику и без этого якобы не получится получить диплом, устроиться на работу и тд. "Сотрудник деканата" просит зайти на портал и диктует урл по буквам. Далее попросили авторизоваться и там уже получить выгрузку. Но как вы уже поняли, мошенники хотят украсть креды от госуслуг.
sudo nmap -sS -p- --min-rate=1000 146.103.41.114
И тут нас ждал первый сюрприз. Nmap показал, что все 65535 портов находятся в состоянии open.
Классическая уловка. Файрвол на сервере настроен так, чтобы отвечать на любой SYN-пакет, сбивая с толку простые сканеры. Это говорит о том, что админ как минимум читал мануалы по базовой защите.
Хорошо, обходим блокировку ping и просим nmap определить версии сервисов на стандартных портах:
sudo nmap -sV -sC -Pn -p 21,22,80,443... 146.103.41.114
Картина прояснилась:
Главная страница лендинга
Текст на странице — классическая социальная инженерия: упоминание приказа Министерства образования, изменение параметров подключения к ЕСИА с будущей даты (12.02.2025 г.) и призыв авторизоваться через Госуслуги.
Страница "Логина в ГосУслуги"
Кнопка «Войти через Госуслуги» вела на /login, который, в свою очередь, перенаправлял нас на страницу, являющуюся полной копией настоящего портала Госуслуг. И вот здесь началось самое интересное. Анализ исходного кода этой страницы дал нам две ключевые зацепки:
/Login (Status: 302) [Size: 39] [--> /77cec69c40cadb88]
...
Прямой штурм захлебнулся. Пора было менять тактику.
Один-единственный запрос в Google по этой фразе дал ошеломляющий результат.
Мы увидели десятки доменов с абсолютно идентичным содержанием: , , и так далее. Быстрая проверка показала, что все они ведут на один и тот же IP 146.103.41.114.
Вывод: Мы столкнулись не с одним сайтом, а с целой сеткой доменов, созданной для уклонения от блокировок.
Единственный верный способ противодействия — уничтожить инфраструктуру.
Мы собрали все наши находки в один отчет:
Мораль сей басни проста: иногда самый эффективный «эксплойт» — это грамотно составленный email, подкрепленный тщательной разведкой. А OSINT по-прежнему остается королем.
Это не рассказ о взломе Пентагона с помощью 0-day. Это реальный кейс, показывающий, как с помощью базовых инструментов, OSINT и капельки терпения можно пресечь деятельность мошенников, которые, как выяснилось, работали с размахом.
Предыстория: Я подключил себе секретаря от тиньки, что б поприкалываться над мошенниками. И тут звонок, говорят из деканата, просят выгрузить какую-то характеристику и без этого якобы не получится получить диплом, устроиться на работу и тд. "Сотрудник деканата" просит зайти на портал и диктует урл по буквам. Далее попросили авторизоваться и там уже получить выгрузку. Но как вы уже поняли, мошенники хотят украсть креды от госуслуг.
Этап 1: Первичная разведка – Шум в эфире?
Все началось с IP-адреса 146.103.41.114 и связанного с ним домена . Первым делом, как и положено, запускаем nmap:sudo nmap -sS -p- --min-rate=1000 146.103.41.114
И тут нас ждал первый сюрприз. Nmap показал, что все 65535 портов находятся в состоянии open.
Классическая уловка. Файрвол на сервере настроен так, чтобы отвечать на любой SYN-пакет, сбивая с толку простые сканеры. Это говорит о том, что админ как минимум читал мануалы по базовой защите.
Хорошо, обходим блокировку ping и просим nmap определить версии сервисов на стандартных портах:
sudo nmap -sV -sC -Pn -p 21,22,80,443... 146.103.41.114
Картина прояснилась:
- 22/tcp: OpenSSH 8.2p1 (Ubuntu)
- 80/tcp, 443/tcp: nginx 1.18.0 (Ubuntu)
Этап 2: Анализ веба – Ловушка для простаков
Зайдя на сайт, мы увидели не клон Госуслуг, а страницу-прокладку, замаскированную под «Государственный Образовательный Портал».
Главная страница лендинга
Текст на странице — классическая социальная инженерия: упоминание приказа Министерства образования, изменение параметров подключения к ЕСИА с будущей даты (12.02.2025 г.) и призыв авторизоваться через Госуслуги.
Страница "Логина в ГосУслуги"
Кнопка «Войти через Госуслуги» вела на /login, который, в свою очередь, перенаправлял нас на страницу, являющуюся полной копией настоящего портала Госуслуг. И вот здесь началось самое интересное. Анализ исходного кода этой страницы дал нам две ключевые зацепки:
- Улика №1 (Лень):
<html lang="ru" data-scrapbook-source=" ">
Мошенники не стали заморачиваться и просто скопировали страницу с помощью расширения ScrapBook. Это кричало о низком уровне их технической подготовки. - Улика №2 (Откровение):
// Отправляем форму в Telegram
fetch("/send-login", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({ /* ... */ }),
})
Комментарий в коде (страница логина в ГУ, в тегe <script>, кому интересно, могу скинуть полный код обеих страниц) расставил все по своим местам. Им не нужна база данных. Они просто пересылают украденные логины и пароли себе в Telegram. Это объяснило, почему наши дальнейшие попытки найти SQL-инъекцию с помощью sqlmap провалились — атаковать было нечего.
Этап 3: Попытки прямого штурма – Стена
На этом этапе мы убедились, что цель хоть и примитивна, но защищена от атак «в лоб».- SQLi/Command Injection: Провалились.
- Сканирование директорий (gobuster): Наткнулось на хитрую защиту. Сервер на любой несуществующий путь отвечал не 404, а редиректом 302 на случайный URL, который в итоге показывал ту же страницу входа.
/Login (Status: 302) [Size: 39] [--> /77cec69c40cadb88]
...
Прямой штурм захлебнулся. Пора было менять тактику.
Этап 4: OSINT – Начинается настоящая работа
Раз технические средства не сработали, мы перешли к разведке по открытым источникам. У нас был уникальный артефакт — фраза со страницы-прокладки: "В связи с изменением 12.02.2025 г. параметров подключения системы к ЕСИА".Один-единственный запрос в Google по этой фразе дал ошеломляющий результат.
Мы увидели десятки доменов с абсолютно идентичным содержанием: , , и так далее. Быстрая проверка показала, что все они ведут на один и тот же IP 146.103.41.114.
Вывод: Мы столкнулись не с одним сайтом, а с целой сеткой доменов, созданной для уклонения от блокировок.
Этап 5: Профилирование инфраструктуры – Финальный штрих
Оставалось собрать всю информацию воедино.- subfinder не нашел субдоменов.
- dig и whois показали, что владельцы доменов скрыты за Whois Privacy.
- Анализ IP через сервисы типа
дал финальную картину:
Информация об IP-адресе
- Хостинг-провайдер: regxa-cloud (зарегистрирован в Ираке).
- Расположение сервера: Германия.
Заключение: Финальный удар – Abuse Report
Взлом сервера в данном случае был бы неэффективен. Даже получив доступ, мы бы просто увидели статические HTML-файлы и один скрипт-форвардер. А на следующий день они бы подняли копию на новом домене из своей сетки.Единственный верный способ противодействия — уничтожить инфраструктуру.
Мы собрали все наши находки в один отчет:
- IP-адрес сервера (146.103.41.114).
- Полный список обнаруженных фишинговых доменов.
- Описание мошеннической схемы.
- Неопровержимые доказательства (код с data-scrapbook-source и комментарием про Telegram).
Мораль сей басни проста: иногда самый эффективный «эксплойт» — это грамотно составленный email, подкрепленный тщательной разведкой. А OSINT по-прежнему остается королем.
