Anon | 00500

Имя пользователя: Anon

Статус: Активен

Регистрация jabber:

Поток: Anon

TG канал: Канал для опретивных оповещений



Закрыть

Назад
Что ж, давайте начнём. Первым разберём необходимость виртуалок
Виртуальные машины - это система в системе
Немного терминологии:
Виртуалка - операционка, котоая запускается в VirtualBox
Хост - основная система
Виртуалки будут терерь использоваться практически везде во всех курсах
Это сделано для защиты основной системы
Безопасность полностью зависит от основной системы. Если на хосте вирус, то вся безопасность рушится
Поэтому было много рекомендаций по установки системы и инструкции туда лишнего не ставить
Но это не значит, что в виртуальной системе можно делать всё, что угодно
Всё же есть вещи, которые могут представлять опастность и из неё
Для начала о том, как упростить себе жизнь с виртуалками
Использовать их будем постоянно, поэтому надо увеличить интергацию с основной системой
Для начала, если у кого-то виртуальна машина изначально тормозит, надо в настройках увеличить объём оперативки ей
Так же поднять доступное количество ядер с 1 до 4
И увеличить объём видеопамяти
Это надо делать, если виртуалка глючит, в других случаях необходимости нет
Дальше надо поставить гостевые дополнения(guest additions)
Они увеличивают интеграцию с основной системой. С ними можно делать общий буфер обмена
Или менять разрешение системы под размер окна
________________________________________
________________________________________
В windows поставить их просто. В запущенной вирталке надо открыть меню Devices вверху
Там выбрать Insert Guest Additions CD image
После этого надо в виртуальной windows открыть проводник
Там появится новый диск в устройствах
Открываем его, запускаем VBoxWindowsAdditions.exe
Процесс установки стандартный. После перезапуска в windows всё будет готово
Разрешение начнёт подстраиваться автоматически. Буфер можно будет настроить в настройках виртуальной машины в VirtualBox
Находится это в General - Advanced - Shared Clipboard
Возможные значения: отключён, однонаправленный и двунаправленный
Чтобы всё, что копируется на хосте попадало в виртуалку и наоборот надо выбрать последний
В настройках есть ещё один интересный пункт - Shared Folders
Это общая папка. Там можно передавать файлы между хостом и виртуалкой
Важно тут то, что файлы хранятся на хосте
Поэтому если с виртуалкой даже что-то случится, все сохранённые общие файлы будут невредимы
Помимо guest additions есть ещё extension pack
Он открывает доступ к компонентам основной системы из виртуалки. Его устанавливать уже не надо
Производительность он не поднимает, ничего полезного он нам не несёт. Наоборот, надо меньше интеграции с хостом
Небольшое уточнение про общие папки. При создании надо указать папку на хосте, которая будет расшариваться, и поставить параметр auto-mount
Тогда после перезапуска виртуальная папка появится в виде жёсткого диска

О том, как увеличение интеграции сказывается на безопасности

Мы сейчас настраиваем windows, который будет использоваться для работы с него
Лучше всё перенести туда со временем. Браузинг интернета, работа со сторонними программами в том числе мессенджерами и т.п.
Хост система остаётся просто как платформа для запуска виртуалок, так безопаснее
Помимо этой машины в ходе обучения появися ещё несколько. Как минимум уже есть kali
Так вот, некоторые машины используются для тестирования вирусов, запуска непроверенного ПО и т.п.
На таких машинах guest additions устанавливать можно. Сама установка не понижает защиту
Но вот общий буфер и папки лучше не использовать
Если делать общие папки, то только отдельные
Потому что если в виртуалку попадёт вирус, он сможет выгрести всё из общей папки, или зашить в лежащие там файлы вирусы
Надо понимать, что папки, расшаренные с виртуалками для запуска непроверенного ПО, потенциально заражены
В случае с буфером обмена ситуация не такая очевидная. Но вирусы могут легко читать буфер и красть его содержимое
Адреса кошелько, пароли, личные данные. Всё это часто оказывается в буфере
И проблема в том, что если с виртуалкой стоит общий буфер, то на ней всегда видно, что копируется на хосте
Даже если заражённая виртуалка свёрнута и не используется уже несколько часов
У знакомого был случай, когда через буфер вирус увёл средства
Он копировал адрес bitcoin для крупной оплаты, средства выслал, а через несколько дней оказалось, что деньги не дошли
Стал проверять - адрес, куда отправились средства совсем другой
Первая мысть, что на хосте вирус, надо срочно удалять всё, менять пароли
После беглого осмотра нашлась проблема - это виртуалка для тесторования вирусов
В ней был clipper. Эта программа подменяет адреса криптовалют. И буфер был общим
Адрес для отправки копировался из хоста и вставлялся там же, но всё равно данные были перехвачены. Поэтому надо разрганичивать вируталки и не давать лишних прав там. где это не надо
Помимо windows ставилась ещё и kali linux
kali linux известный дистрибутив для пинтеста. Исследование систем на взлом
Иногда его ставят как основную систему на хост. Но это не правильно и опастно
Потому что kali linux заточен не на безопасность, а на функциональность
Там есть куча инстручентов для разных атак, работакт много сервисов
Но это всё лишние вектора атак. В kali linux в жертву функциональности поставлена безопасноть
Поэтому даже сами разработчики его не рекомендуют ставить его как основную систему
Тем более устанавливая его как виртуалку мы можем добавить уровень защины whonix и тор
Единственное, когда может потребовать запустить kali напрямую - когда нужден доступ к железу
Например, к wi-fi карте
VirtualBox не может пробросить её в виртуальную систему, даже с extension pack
Поэтому можно записать live cd kali на флешку и запустить с него для выполнения нудной операции
Ну а теперь о том, как поставить на него guest additions
Процесс тут сложнее, чем в windows. Вообще в linux обычно делается всё сложнее, эта плата за большое количество возможнойстей конфигурации системы и настроек
Сначала систему надо обновить
Большинство linux систем и kali в том числе обновляется этими двумя командами
apt-get update
apt-get dist-upgrade
Первая - обновить базу приложений. Если лучше делать всегда перед установкой нового приложения, она решает большенство проблем
Вторая - более безотказная версия upgrade. Это обновляет систему в том числе ядро
Надо помнить, что linux системы, хоть и популярны на серверах, не всегда стабильны после обновления. Особенно kali
Поэтому надо делать бекапы важных файлов в виртуалке перед обновлением
Были случаи, когда после обновления после запуска был просто серый экран. Скорее всего, это ошибка конкретной версии. Но восстанавливать такую систему сложнее, чем просто переустановить
Если после командый apt-get update в консоли ничего не появилось и сразу появился ввод следующей команды, то в системе проблема с репозиториями
Тогда надо в среде обучения в FAQ найти В kali ничего не устанавливается
Выполнить там указанные действия и повторить попытку
После запуска update должно появится строчек десять или больше с различными адресами. Тогда всё нормально
Потом устанавливаем дополнения командой
apt-get install -y virtualbox-guest-x11
После upgrade системы её надо перезагрузить
И после установки guest additions тоже
В ходе обновления может запросить прочииать лиценьзионные соглашения, подтвердить конфигурацию и т.п. Надо просто yes нажимать. Без подтверждений процесс повиснет
Если после перезапуска с изменением размера окна разрешение системы подстраивается под него - всё ок
Когда использовать клонирование, а снапшоты
Снапшоты - более быстрая и лёгкая версия клонирования
В результате не получается новая виртуальная машина
А все изменения храняться отдельно. И после выключения виртуальной машины можно откатить её на состояние любого снимка
При клогировании создаётся новая машины. Есть 2 типа клонирования:
1. Linked clone
2. Full clone
Первый - надстройка над основной системой. Чтобы он нормально работал, надо чтобы была оригинальная система откуда взят клон
Второй - клонированная машина самостоятельная. Её можно хоть перенести куда угодно. Но вестит такой клон как оригинал(несколько десятког ГБ) и делается медленно
В большенстве случаем достаточно механизма снапшотов
На что надо обратить внимание при клонировании виртуалки
1. Mac address. В настройках сетевого адапрера у клона его надо обновить, чтобы не было пересечений
2. IP машины. В виртуалке мы устанавливали настройки IPv4, чтобы было соединение
В клоне эти переметры будут одинакорыми, что будет вызывать конфликт
Соединение может переодически рваться или его может просто не быть
В IPv4 есть поле IP. По сути его надо менять в клонах на новое значение
Менять надо 2 последние цифры
Например, было .20, в клоне ставим .21
Подключение в виртуалках
На данный момент на выходе в виртуалке мы имеем tor. Что не очень хорошо
Не столько в плане безопасности, сколько в комфорте работы. Приходится разгадывать кучу капч и другие трудности
В плане безопасности тоде есть подводные камни
В tor не все выходные узлы работают нормально. Которые стараются манипулировать трафиком и подменять его
Если подключение по протоколу https, то соединение защищено от этого
И с ноды невозможно определить IP пользователя, его скрывает тор
Но на незащищенных протоколах таких как http и ftp трафик могут подменить
Например, могут подменить счаевыемый файл и вшить в него вирус на лету
Поэтому работа с http сайтами через тор не безопасна
В связи с этим возникает потребность иметь дополительную защиту поверх tor
Тут есть такие варианты:
VPN - полное шифрование трафика с виртуальной системы
VPN можно запустить и с виртуалки. Только надо убедиться, что используется протокол tcp. Udp протокол не работает поверх тор
VPN самое координальное решение. Но не популярное. Проблема в том, что обновлять VPN конфиг часто не получится. Соответственно на выходе будет светиться один IP
Его используют тогда, тогда надо дать чистый IP для приложение, которое не умеет работать с прокси
В чём приемущество VPN поверх тора - весь трафик шифруется. Соответственно перехватить на заражённой tor ноде уже нельзя ничего будет
прокси - проксирование трафика конкретного приложения
Для отбеливания IP и вывода его из tor зоны прокси используются чаще всего
Это простой способ раздобыть нормальный IP и уйти от лишних проверок
Чтобы получить чистый IP надо использовать персональные прокси. Заполучить их несложно
Есть публичные прокси. Такие можно найти по базам в интернете
Зачастую с них так же будут капчи, но меньше, поэтому лучше всегда работать с прокси
В чём ещё другое приемущество: IP фиксируется
Большенство систем проверки пользователя отслеживают IP. IP из зоны тора или частая смена IP тогда красный флаг
И с помошью proxy можно решить эту проблему
Но есть и один существенный недостаток - нет шифрования
Это значит, что если сайт не поддерживает шифрование, то вирусная нода всё ещё может манипулировать трафиком. Опять же, это не касается https и onion сайтов
Кстати, onion сайты вроде тоже по http работают в большенстве своём. Но там другой механиз
м. При подключении к onion трафик не покидает тор и не расшифровывается
Поэтому на onion сайтах ничего не угрожает безопасности, какой бы протокол не было
У проблемы с шифрованием есть решение - туннель
Туннель - это защищенный канал связи для трафика
В использовании он не отличается от proxy, но поддерживает шифрование
Заполучить его не так сложно. Достаточно оформить любой VPS сервер
К VPS идёт ssh доступ для подключения
Через него и можно построить туннель
Для этого понадобится скачать openssh https://github.com/PowerShell/Win32-OpenSSH
И из этого архива файлы ssh.exe и libcrypto.dll переместить в c:\windows\system32
Если доступ к туннелю будет делаться с linux, то и этого делать не надо. В linux ssh уже в системе
76. После установки достаточно выполнить команду ssh -D 8888 -N root@SERVER_IP
SERVER_IP - IP вашего VPS
При подключении запросит пароль. Он будет среди доступов к серверу
В итоге на 8888 порту появятся socks5 прокси
Надо будет открыть настройки firefox, в поиске по настройкам ввести proxy и вписать в графу socks5 в IP 127.0.0.1, PORT 8888
Так же внизу есть опция DNS over socks. Её надо включить
И ещё один метод обходить прослушивание тора - своя нода
В дополнительном материале расскажу как настроить. Она нужна для тех же вещей, что разбирали выше
Т.е. не отдавать незащищённые данные зараженным нодам
По сути, эта альтернатива методу с VPN
Давайте обобщу тогда, что и когда нужно
Прокси, VPN, туннель нужен, чтобы получитьт чистый IP вне зоны тор
Прокси бывают персональные, тогда IP чистый. С нормальными персональными прокси не должно возникнуть проблем даже в ЛК банка карты дропа
Подключение в виртуалках
На данный момент на выходе в виртуалке мы имеем tor. Что не очень хорошо
Не столько в плане безопасности, сколько в комфорте работы. Приходится разгадывать кучу капч и другие трудности
В плане безопасности тоде есть подводные камни
В tor не все выходные узлы работают нормально. Которые стараются манипулировать трафиком и подменять его
Если подключение по протоколу https, то соединение защищено от этого
И с ноды невозможно определить IP пользователя, его скрывает тор
Но на незащищенных протоколах таких как http и ftp трафик могут подменить
Например, могут подменить счаевыемый файл и вшить в него вирус на лету
Поэтому работа с http сайтами через тор не безопасна
В связи с этим возникает потребность иметь дополительную защиту поверх tor
Тут есть такие варианты:
VPN - полное шифрование трафика с виртуальной системы
VPN можно запустить и с виртуалки. Только надо убедиться, что используется протокол tcp. Udp протокол не работает поверх тор
VPN самое координальное решение. Но не популярное. Проблема в том, что обновлять VPN конфиг часто не получится. Соответственно на выходе будет светиться один IP
Его используют тогда, тогда надо дать чистый IP для приложение, которое не умеет работать с прокси
В чём приемущество VPN поверх тора - весь трафик шифруется. Соответственно перехватить на заражённой tor ноде уже нельзя ничего будет
прокси - проксирование трафика конкретного приложения
Для отбеливания IP и вывода его из tor зоны прокси используются чаще всего
Это простой способ раздобыть нормальный IP и уйти от лишних проверок
Чтобы получить чистый IP надо использовать персональные прокси. Заполучить их несложно
Есть публичные прокси. Такие можно найти по базам в интернете
Зачастую с них так же будут капчи, но меньше, поэтому лучше всегда работать с прокси
В чём ещё другое приемущество: IP фиксируется
Большенство систем проверки пользователя отслеживают IP. IP из зоны тора или частая смена IP тогда красный флаг
И с помошью proxy можно решить эту проблему
Но есть и один существенный недостаток - нет шифрования
Это значит, что если сайт не поддерживает шифрование, то вирусная нода всё ещё может манипулировать трафиком. Опять же, это не касается https и onion сайтов
Кстати, onion сайты вроде тоже по http работают в большенстве своём. Но там другой механиз
При подключении к onion трафик не покидает тор и не расшифровывается
Поэтому на onion сайтах ничего не угрожает безопасности, какой бы протокол не было
У проблемы с шифрованием есть решение - туннель
Туннель - это защищенный канал связи для трафика
В использовании он не отличается от proxy, но поддерживает шифрование
Заполучить его не так сложно. Достаточно оформить любой VPS сервер
К VPS идёт ssh доступ для подключения
Через него и можно построить туннель
Для этого понадобится скачать openssh https://github.com/PowerShell/Win32-OpenSSH
И из этого архива файлы ssh.exe и libcrypto.dll переместить в c:\windows\system32
Если доступ к туннелю будет делаться с linux, то и этого делать не надо. В linux ssh уже в системе
После установки достаточно выполнить команду ssh -D 8888 -N root@SERVER_IP
SERVER_IP - IP вашего VPS
При подключении запросит пароль. Он будет среди доступов к серверу
В итоге на 8888 порту появятся socks5 прокси
Надо будет открыть настройки firefox, в поиске по настройкам ввести proxy и вписать в графу socks5 в IP 127.0.0.1, PORT 8888
Так же внизу есть опция DNS over socks. Её надо включить
И ещё один метод обходить прослушивание тора - своя нода
В дополнительном материале расскажу как настроить. Она нужна для тех же вещей, что разбирали выше
Т.е. не отдавать незащищённые данные зараженным нодам
По сути, эта альтернатива методу с VPN
Давайте обобщу тогда, что и когда нужно
Прокси, VPN, туннель нужен, чтобы получитьт чистый IP вне зоны тор
Прокси бывают персональные, тогда IP чистый. С нормальными персональными прокси не должно возникнуть проблем даже в ЛК банка карты дропа
Публичные прокси нужны, чтобы IP не прыгал и зачастую с ними меньше проверок
VPN и туннель шифруют всё. VPN на уровне системы, туннель на уровне браузера. Это позвоялет решить проблему с прослушкой нод
Личная нода позволяет уйти от прослушки, так всегда используется своя надёжная нода, но IP всё ещё в зоне тор. Лучше поверх ноды использовать как минимум прокси