28

У моей подруги только что украли ее Macbook. Ее учетная запись Dropbox по-прежнему работает на Macbook, поэтому она может видеть каждый раз, когда Macbook подключается к сети, и она может получить его IP-адрес.

Она передала эту информацию в полицию, которая говорит, что для получения реального местоположения с IP-адреса может потребоваться до месяца. Мне было интересно, могли бы мы помочь найти ноутбук, так как тогда человека с ним можно было бы арестовать сейчас за обращение с похищенными товарами (в противном случае они могли бы переустановить его до того, как полиция поймает их).

Вот факты об украденном Macbook:

  • Он работает под управлением OS X, но я не уверен, какая именно версия (хотя я выясню).
  • Была только одна учетная запись пользователя, без пароля и с правами администратора.
  • Dropbox оригинального владельца все еще синхронизируется, что дает нам IP-адрес каждый раз, когда он подключается к сети.
  • Первоначальный владелец не технарь, поэтому она вряд ли включит какие-либо функции дистанционного управления, такие как SSH, VNC и т.д. (Я отправил ей электронное письмо с просьбой).
  • Она не использует iCloud или.Mac сервис.

Я собирался вставить соблазнительный файл в Dropbox, чтобы пользователь щелкнул по нему. Я предполагаю, что у меня будет только один шанс на это, поэтому я хотел бы поделиться некоторыми идеями о том, что лучше всего сделать.

Мои идеи пока:

  • Установите какой-нибудь регистратор ключей, чтобы отправить всю информацию обратно владельцу. Есть ли способ сделать это без уведомления пользователя?
  • Сделайте файл сценарием оболочки, чтобы получить как можно больше полезной информации, например истории браузера, поиска резервных копий iPhone и т.д. Я не уверен, что лучший способ отправить эту информацию обратно, хотя. Похоже, я могу использовать команду mail (конечно, для бесплатной учетной записи электронной почты)?
  • Может быть, включить удаленное управление. Есть ли способ сделать это без принятия пользователем всплывающих окон безопасности?

У кого-нибудь есть какие-нибудь советы здесь? Я написал множество сценариев оболочки, но мне было интересно, могут ли быть лучше другие варианты OS X, например, Applescript? У кого-нибудь есть идеи получше, чем вставить в него файл Dropbox?

Я знаю, что этот вопрос в основном относится к написанию вредоносных программ, но я бы хотел подражать моему герою из лекции DEF CON « Что происходит, когда вы крадете компьютер хакера» .

Прежде чем что-либо предпринять, мы обязательно сверимся с полицией, чтобы не нарушать никаких законов.

6 ответов6

15

Отправьте электронное письмо от тети, желающей ей счастливого дня рождения, и о том, что тетя хотела бы отправить ей подарочную карту от Abercrombie & Fitch+ на ее день рождения, но ей нужен правильный адрес. Тогда это до вора, чтобы влюбиться в этот малобюджетный мошеннический трюк.

+ Или какой-то другой известный бренд

11

Я помню, как смотрел это видео доктора Зоза. Хорошая вещь.

Похоже, вы хорошо разбираетесь в сценариях оболочки и просто нуждаетесь в векторе атаки. Ключ к созданию чего-то похожего на то, что делал Zoz, - это получение доступа по SSH. В отличие от его ситуации, когда вор использовал коммутируемый модем, почти наверняка, так как более новые Маки не делают dialup, что вор использует широкополосное соединение и находится за своего рода маршрутизатором NAT.

Даже если на компьютере был включен SSH, на маршрутизаторе необходимо было бы настроить переадресацию портов, чтобы вы могли получить доступ к прослушивающему порту SSH машины извне. Преимущество широкополосного соединения заключается в том, что IP-адрес почти наверняка будет меняться реже, чем при коммутируемом соединении.

Если бы я занимал ваш IP-адрес вора, я бы сначала попытался войти в веб-интерфейс их маршрутизатора и посмотреть, что я могу сделать оттуда. Удивительно, сколько людей оставляют свои стандартные пароли маршрутизатора / модема на месте, и в Интернете есть списки, где вы можете найти пароли по умолчанию для большинства крупных производителей.

Оказавшись внутри, проверьте список клиентов DHCP на маршрутизаторе и посмотрите, сможете ли вы найти MacBook. Многие маршрутизаторы будут показывать MAC (аппаратный) адрес, назначенный внутренний IP-адрес (чаще всего 192.168.1.x) и, самое главное, имя машины.

Выясните, какой IP-адрес назначен MacBook, а затем настройте порт для переадресации на него в настройках маршрутизатора. Используйте какой-либо внешний порт, отличный от 22 (например, порт 2222), и перенаправьте его на порт 22 IP-адреса MacBook.

На многих маршрутизаторах включен доступ по SSH, поэтому доступ к IP-порту 22 вора может привести вас к оболочке маршрутизатора, а не к оболочке компьютера. Теперь у вас должен быть порт на внешнем IP-адресе вора (который вы получили из Dropbox), который доставит вас непосредственно к порту SSH, к которому должен быть привязан MacBook. За исключением того, что SSH еще не включен.

Эта часть требует некоторых действий от вора. Мне нравится идея электронной почты, но она требует, чтобы ваш друг использовал Apple Mail. Лучшим подходом может быть загрузка заманчивого файла .app в Dropbox, который включит SSH (удаленный вход).

Вы можете сделать это с помощью сценария оболочки, но сделав это с помощью Applescript, сохранив Applescript в виде .app и присвоив ему красивый значок, все это будет иметь большое значение для того, чтобы обмануть вашу цель и не выдать себя.

Вот код Applescript для включения удаленного входа:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Этот бит кода вернет строку с серийным номером машины, которую вы можете отправить себе по электронной почте, если хотите это сделать:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Я бы написал appleScript, чтобы он включал удаленный вход и делал все, что вам нужно. Старайтесь не создавать сценарии для GUI или любых приложений, кроме оболочки, так как это вызовет подозрения. В конце выведите сообщение о том, что "Это приложение не может работать на этом Macintosh". с кнопкой "Выйти", чтобы уменьшить подозрение. Когда сценарий будет работать в редакторе AppleScript, сохраните его как файл .app только для запуска.

Попробуйте замаскировать .app как популярную игру, Plants vs. Zombies или Angry Birds или что-то в этом роде. Вы можете экспортировать значок из .app реальной игры и поместить его в .app, который вы экспортируете из Applescript. Если ваш друг хорошо посмотрел на вора, вы можете сделать социальный профиль его / ее и замаскировать .app как что-то еще, что может заинтересовать его.

При условии, что вы можете настроить переадресацию порта (ваша отметка не обеспечивает надлежащие меры безопасности), и вы можете заставить его / ее запустить приложение, у вас будет полный SSH-доступ к машине и вы сможете продолжить поиск подсказок без немедленно отдавая свое присутствие. Это также требует, чтобы знак не уставал от уведомлений Growl Dropbox и выходил из него, поэтому я бы посоветовал вашему другу на некоторое время прекратить сохранять файлы в ее Dropbox.

Примечание. Если вор отключится от своего интернет-провайдера и снова подключится, он получит новый внешний IP-адрес. Добавьте файл в Dropbox и дождитесь его синхронизации. Это должно получить вам обновленный IP.

Примечание 2: Если пользователь не подключается к маршрутизатору с MacBook в течение определенного периода времени (обычно 24 часа), срок аренды DHCP для внутреннего IP-адреса, назначенного MacBook, истекает. Скорее всего, при следующем подключении он получит тот же IP-адрес, если в сеть не будет добавлено другое устройство. В этом случае вам придется вручную войти в маршрутизатор и изменить порт вперед.

Это не единственное средство атаки, но это то, что я буду делать, когда понял, что IP все еще обновляется через Dropbox. Удачи!

РЕДАКТИРОВАТЬ: "Права администратора" в конце каждой строки "do shell script" очень важны. Пользователю будет предложено ввести пароль администратора вашего друга, и сценарий не будет выполнен, если вы не включите имя пользователя и пароль в строку.

6

Честно говоря, свяжитесь с Apple. Они могут иметь информацию о том, как отследить свой компьютер. Я уверен, что вы не первый человек, у которого украли Mac.

Изменить: Я посмотрел на страницу поддержки Apple, и это на самом деле менее полезно, чем я думал, что будет. Вы можете попробовать использовать iCloud для удаленной блокировки вашего Macbook.

Дэниел Бек на самом деле проверил это и сказал, что:

«Хотя это и не" секретный бэкдор Mac ", и [хотя это] не очень помогает вернуть компьютер, он очень хорошо работает, чтобы блокировать людей от вашего Mac. Ваш комментарий побудил меня попробовать его, и это действительно впечатляет. Экран становится белым, он выключает компьютер и требует шестизначного кода, который вы указали ранее через iCloud, чтобы возобновить нормальный процесс загрузки ».

3

Это не поможет напрямую в этой ситуации, но в будущем и для всех остальных, у кого Macbook скачивает Prey, вы можете отследить вора. Добыча предоставит отчет, в котором будет указано местонахождение и фотография вашего вора, и это, в сочетании с помощью полиции, может вернуть вам ваш ноутбук. Имейте в виду, что многие отделы полиции не помогут, если вы не подадите в полицию отчет об украденных вещах, когда потеряете компьютер; так сделайте это как можно скорее.

2

Учитывая IP-адрес, вы, вероятно, сможете определить, через какого интернет-провайдера он подключается или более.

Перейти к: http://remote.12dt.com/lookup.php

Введите IP-адрес.

Например, предположим, что IP-адрес: 203.97.37.85 (это фактически адрес веб-сервера интернет-провайдера в Новой Зеландии).

И это может показать доменное имя компании или провайдера. Если похоже, что это название компании, значит, вы быстро сужаетесь. Но если это имя сетевого провайдера (в данном случае выше - TelstraClear NZ).

В дополнение к вышесказанному я бы сделал поиск в whois. Используйте один из онлайн-инструментов для поиска в Whois.

http://networking.ringofsaturn.com/Tools/whois.php

И вы получите много информации. Но вы можете видеть, что это адрес в сети TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Это было бы вопросом для полиции в этот момент. Я сомневаюсь, что интернет-провайдер скажет вам, кто входит в данный момент.

Если вы вернете ноутбук или в итоге получите новый, установите на него preyproject. Позже все станет намного проще. Можно даже сфотографировать обидчика :)

1

Есть множество вещей, которые вы могли бы сделать, и я настоятельно рекомендую вам не делать ничего из них. Пусть полиция сделает свою работу и произведет арест.

Это не умный ответ, но правильный, imho.

- не в последнюю очередь, если вы возитесь с этим удаленно, и они думают, что вы на них, они, вероятно, разобьют ноутбук на кусочки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .