Η προστασία μιας ιστοσελίδας WordPress είναι κρίσιμη για τη διατήρηση της ασφάλειάς της. Εδώ έχουμε μερικές βασικές οδηγίες για το πώς να προστατεύσετε την ιστοσελίδα σας:
Κρατήστε το WordPress, θέματα και πρόσθετα ενημερωμένα: Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας. Βεβαιωθείτε ότι το WordPress, τα θέματά σας και τα πρόσθετά σας είναι πάντα ενημερωμένα.
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Χρησιμοποιήστε μία συνδυασμό πεζών και κεφαλαίων γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς πρόσβασης του διαχειριστή σας.
Περιορίστε τις προσπάθειες σύνδεσης: Εγκαταστήστε ένα πρόσθετο περιορισμού προσπαθειών σύνδεσης (login attempts) για να αποτρέψετε επιθέσεις brute force.
Χρησιμοποιήστε SSL/HTTPS: Εγκαταστήστε ένα πιστοποιητικό SSL για να κρυπτογραφείτε την επικοινωνία με την ιστοσελίδα σας, προσφέροντας έτσι ασφαλή σύνδεση.
Περιορίστε την πρόσβαση στον φάκελο wp-admin: Μπορείτε να περιορίσετε την πρόσβαση στον φάκελο wp-admin μόνο σε συγκεκριμένες IP διευθύνσεις.
Ενεργοποιήστε την διήθηση δύο παραγόντων (2FA): Η συνδεση δύο παραγόντων προσθέτει επιπρόσθετη ασφάλεια, απαιτώντας έναν επιπλέον κωδικό εκτός από τον κωδικό πρόσβασης.
Καθαρίστε τον κώδικά σας: Αναζητήστε τυχόν αδυναμίες στον κώδικά σας και επιδιορθώστε τις αμέσως. Επιπλέον, απενεργοποιήστε ή διαγράψτε πρόσθετα ή θέματα που δεν χρησιμοποιείτε.
Εφαρμόστε αντι-DDoS μέτρα: Χρησιμοποιήστε μια υπηρεσία προστασίας από DDoS επιθέσεις για να προστατεύσετε την ιστοσελίδα σας από υπερφορτώσεις και επιθέσεις αυξημένης κίνησης.
Κάντε τακτικά αντίγραφα ασφαλείας: Κάντε τακτικά αντίγραφα ασφαλείας της ιστοσελίδας σας, συμπεριλαμβανομένης της βάσης δεδομένων, για να αποκαταστήσετε την ιστοσελίδα σε περίπτωση προβλημάτων.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Ξεκινώντας θα πω ότι η κάθε σελίδα διαφέρει από την άλλη… που σημαίνει ότι
μπορεί να μην δουλέψει κάτι από αυτά που θα γράψω εδώ… αλλά αυτό δεν σημαίνει ότι
δεν είναι ευάλωτη σε xss
Επιπλέον μπορεί να καταφέρεται να κάνετε xss σε firefox και να δοκιμάσετε την ίδια
τεχνική σε chrome χωρίς να δουλέψει… αυτό γίνετε γιατί έχουν και οι browsers κάποιες
άμυνες για το xss
Ας ξεκινήσουμε από τα βασικά…
1) Συχνά κάποια σελίδα διαγράφει την λέξη <script> από τα πεδία που ελέγχει ο χρήστης… δηλαδή αν δώσουμε <script>alert("xss")</script> το <script> θα διαγραφτεί… Παρόλα αυτά μου έχει τύχει περίπτωση που περνάει αυτό: <sCriPt> Πιθανότατα δεν έκανε όλα τα γράμματα μικρά πριν ελέγξει τα δεδομένα που εισάγομε στην σελίδα… Επόμενος αν γράψουμε <scRIPt>alert("xss")</script> θα λειτουργήσει κανονικά!
2)
Ίδια με τα παραπάνω… μόνο που τώρα ελέγχει και τα κεφαλαία γράμματα
Επόμενος αν γράψουμε <script>alert("xss")</script> θα διαγραφτεί το <script>
και θα γράψει alert("xss")</script>
Αυτό μπορούμε να το εκμεταλλευτούμε… και να γράψουμε <scr<script>ipt>alert("xss")</script>
Όταν ο browser διαγράψει το <script> θα ενωθούν τα <scr και ipt> φτιάχνοντας
το <script>. Με αυτόν τον τρόπο θα ήταν σαν να βάζαμε: <script>alert("xss")</script>
3)null bite <sc%00ript> το %00 είναι ένα null byte το όποιο μπορεί να περάσει μερικά filters
αλλά στην ουσία δεν γράφει τίποτα με αποτέλεσμα το <script> να γράφετε κανονικά στην σελίδα
4)Encryption:
Μπορείτε να κωδικοποιήσετε τα script σε διάφορες μορφές ώστε να παρακάμψετε πολλά filters
Για παράδειγμα μπορεί κάποια σελίδα να μην σας αφήνει να γράψετε το < και το > ή τα “
Μπορείτε να τα κωδικοποιήσετε σε διάφορες μορφές… για παράδειγμα url encoding %3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E
το παραπάνω είναι το <script>alert("xss")</script> κωδικοποιημένο σε url…
τα < > κλπ αλλάξαν… Για παράδειγμα το < έγινε %3C
Πέρα από το url encoding μπορείτε να δοκιμάσετε και unicode encoding για παράδειγμα %u003C το όποιο μπορεί να γραφτεί και με διάφορους τρόπους: %u03C %u0003C
Επιπλέον είναι και τα html chars που πρέπει να γνωρίζεται και το base64… Υπάρχουν
και άλλα όπως base16 αλλά τα παραπάνω είναι τα σημαντικότερα… χωρίς αυτό να σημαίνει ότι
δεν πρέπει να δείτε και τα υπόλοιπά… τρύπες ψάχνουμε… πρέπει να ξέρουμε τις λεπτομέρειες
για να τις βρούμε… Μπορείτε να κάνετε και διπλό url encoding
5)
Υποθέτουμε ότι δεν μπορούμε να βάλουμε το <script> στον κώδικα της σελίδας με κανέναν από του
τρόπους που γνωρίζουμε… μπορούμε να κάνουμε κάτι άλλο… <img src="invalidimg.img" onerror="alert('xss')" /> θα προσπαθήσει να βάλει μια
εικόνα στην σελίδα… δεν θα την βρει θα πάει στο onerror και θα εκτελέσει το scriptaki μας…
6)Bypassing ” filtering.
Αν έχετε όλα τα παραπάνω αλλά δεν μπορείτε να βάλετε ” τότε σας προτείνω να
χρησιμοποιήσετε την συνάρτηση String.fromCharCode
Για παράδειγμα: <script>alert(String.fromCharCode(65,66,67))</script>
Είναι σαν να γράψαμε: <script>alert("ABC")</script>
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Στις μέρες μας πολλοί άνθρωποι συνήθισαν πλέον να έχουν ένα προσωπικό τους Email για να μιλάνε με δικά τ ους πρόσωπα ακόμα και για να έχουν κάποια μέσα κοινωνικά δικτύωσης σκεφτήκατε ποτέ όμως ότι αυτό μπορεί να γίνει και ένα ολοζώντανο σενάριο Ηλεκτρονικής παραβίασης; Όχι φυσικά. Οπότε ας πάμε να το αναλύσουμε όσο ποιο πολύ μπορούμε.
Τι είναι ένα Email Spoofing? Ορισμός : Email spoofing είναι η δημιουργία των μηνυμάτων ηλεκτρονικού ταχυδρομείου με πλαστή διεύθυνση αποστολέα.
Ουσιαστικά οι spammers ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν Email Spoofing για να ξεγελάσουν τα θύματά τους ώστε να πιστέψουν ότι ο αποστολέας είναι κάποιος, ο οποίος δεν είναι στην ουσία . Ένα παράδειγμα θα ήταν αν κάποιος στείλει ένα μια επίσημη φόρμα στο θύμα τους, ισχυρίζοντας ότι είναι από το Facebook, με σκοπό την κλοπή και παραπλάνηση του ατόμου.
Πόσα άτομα πέφτουν στην απάτη αυτή καθημερινά?
Μπορώ να σας πω ότι μέσα από την πείρα χρόνων που έχω τα άτομα τα οποία έχουν πέσει θύμα σε αυτές τις επιθέσεις ξεπερνάνε τις χιλιάδες σε παγκόσμια εμβέλεια καθημερινός.
Για ποιους λόγους χρησιμοποιείτε το Email Spoofing?
1. Για να τους κάνετε να τρέξουν κάποιο κακόβουλο λογισμικό δικό σας ( Στην περίπτωση μου έκανα τα θύματα να τρέχουν Meterpreters ) 2. Να κάνουν επίσκεψη σε μία σελίδα που θέλετε εσείς ( Λογικά για τα Views Per Click η για να προσαρμόσετε κάποιο Cookie Stealer / Session Hijack ) 3. Να πληροφορήσετε το θύμα σας με εσφαλμένες πληροφορίες ( Π.Χ ότι κάποιος γνωστός τους απεβίωσε για δικούς σας λόγους πάντα ) 4. Ηλεκτρονικό Ψάρεμα / Υποκλοπές
Το Email spoofing είναι ένας ισχυρός σύμμαχος, αν χρησιμοποιηθεί σωστά μπορείτε να χειραγωγήσετε όποιον θέλετε.
Αυτά είναι τα 4 βασικά στοιχεία που αποτελούν την δομή του Email Spoofing.
Ας ξεκινήσουμε λοιπόν στην σύνθεση του.
Η γλώσσα PhP είναι μια πολύ δυνατή γλώσσα μέσω αυτής μπορούμε να δημιουργήσουμε έναν απλό τύπου Email Spoofing σε php και να το ανεβάσουμε σε κάποια σελίδα δικιά μας,το θέμα μας εδώ είναι ότι κάθε πράγμα που θα αποστείλουμε μέσω του Script θα πάει κατευθείαν στο Spam Folder λόγο του ότι το gmail έχει παραμέτρους για τέτοια Script και τα φιλτράρει οπότε θα βρούμε μια μέθοδο προσπέλασης ας αρχίσουμε λοιπόν.
Θα πρέπει να κάνουμε έναν λογαριασμό αρχικά στο ManDrill από εδώ
https://mailchimp.com/
Προτού πάω παρακάτω θα πω τι είναι το ManDrill.Tο ManDrill είναι ένα Web Based Email Spooder που μας επιτρέπει να αποστείλουμε Email χωρίς το φίλτρο να καταλάβει ότι είναι κακόβουλο το Script με αποτέλεσμα να πάει κατευθείαν στο inbox του προορισμό που ορίσαμε. Ας συνεχίσουμε λοιπόν.
Μόλις κάνετε τον λογαριασμό θα πάτε στην μπάρα πάνω στην αριστερή πλευρά σας και θα επιλέξετε την επιλογή “OutBound” και θα πατήσετε “Compose Message” για όσους δεν κατάλαβαν που πρέπει να πάτε παραθέτω και μία εικόνα
Αμέσως μετά θα σας λέει να συμπληρώσετε στοιχεία αποστολέα και email ακόμα και το μήνυμα θα σας εξηγήσω τι βάζετε ακριβώς. – Από Email / From Email : Η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε να εμφανίζεται από όπου προήλθε το email π.χ μπορείτε να βάλετε από της αστυνομίας η από όποιον οργανισμό θέλετε. – Για Email / Τo Email : η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε το μήνυμα σύνθεσής σας που πρόκειται να παραδοθεί π.χ στον φίλο σας. – Θέμα / Subject : Εδώ βάζετε καθαρά το Θέμα που θα έχει το μήνυμα π.χ ” Facebook Support ” – Και το μεγάλο λευκό κείμενο : Είναι για να κάνετε σύνταξη του μηνύματος που θέλετε να στείλετε στο θύμα σας.
Παραθέτω μια εικόνα για το πως είναι.
Το ποιο σημαντικό κομμάτι είναι να κάνετε το Email σας να είναι πραγματικό οπότε μην ξεχάσετε να εφαρμόσετε και μερικά HTML Elements τι εννοώ με αυτό; Μπορείτε να πλαστογραφήσετε ένα ολόκληρο μήνυμα που σας στείλανε και να το βάλετε στην φόρμα σας κανονικό περιεχόμενο με αλλαγμένους τους σύνδεσμους.
Παραθέτω μια εικόνα.
Μόλις τα έχετε όλα έτοιμα πατήστε ” Send / Αποστολή “
Το μήνυμα θα έρθει στο θύμα μας μέσα σε μερικά λεπτά και θα είναι στο Inbox του.
Παραθέτω εικόνα του τελικού προϊόντος.
Τελευταίο και καλύτερο από όλα το ManDrill έχει την δυνατότητα να ξέρει πότε ο χρήστης έκανε κλίκ στο Email που το στείλαμε! Οπότε θα είστε ενημερωμένη πάντα αν το έλαβε και αν το διάβασε και δεν έπεσε θύμα.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Οι διακομιστές του καζίνο MGM κρυπτογραφήθηκαν από επίθεση ransomware
Μια θυγατρική της ομάδας BlackCat ransomware, επίσης γνωστή ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της MGM Resorts, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής. Σε ανακοίνωσή της, η ομάδα BlackCat ransomware ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφησε περισσότερους από 100 ESXi hypervisors, αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική υποδομή. Η ομάδα αναφέρει ότι εξαφάνισε δεδομένα από το δίκτυο και διατηρεί πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας ότι θα αναπτύξει νέες επιθέσεις εάν δεν επιτευχθεί συμφωνία για την καταβολή λύτρων.
Ανάπτυξη Ransomware και κλοπή δεδομένων της MGM
Ο ερευνητής κυβερνοασφάλειας vx-underground αποκάλυψε πρώτος την είδηση ότι οι χάκερς που συνδέονται με την επιχείρηση ransomware ALPHV φέρεται να παραβίασαν την MGM μέσω επίθεσης κοινωνικής μηχανικής. Επικαλούμενες πηγές που γνωρίζουν το θέμα, αναφορές στο διαδίκτυο, ανέφεραν αργότερα ότι ο χάκερ που παραβίασε την MGM Resorts εντοπίζεται από εταιρείες κυβερνοασφάλειας ως Scattered Spider (Crowdstrike). Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να εντοπίσουν τον ίδιο δράστη απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).
Σύμφωνα με τους δημοσιογράφους του Bloomberg, οι Scattered Spider παραβίασαν επίσης το δίκτυο της Caesars Entertainment, η οποία, σε ανακοίνωση της αμερικανικής Επιτροπής Κεφαλαιαγοράς την Πέμπτη, έδωσε σαφή υπαινιγμό ότι πλήρωσε τον επιτιθέμενο για να αποφύγει τη διαρροή των δεδομένων πελατών που εκλάπησαν κατά την επίθεση. Η απαίτηση για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια. Στη σημερινή ανακοίνωσή της, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή σχετικά με το κανάλι επικοινωνίας που δόθηκε, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί την καταβολή λύτρων. Οι χάκερς τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας κάθε έναν από τους διακομιστές Okta Sync τους, αφού έμαθαν ότι παραμονεύαμε στους δικούς τους
Προς το παρόν, οι χάκερς δηλώνουν ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να αποσπάσουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός αν καταλήξουν σε συμφωνία με την MGM. Για να πιέσουν ακόμη περισσότερο την εταιρεία να πληρώσει, η BlackCat απείλησε ότι θα χρησιμοποιήσει την τρέχουσα πρόσβασή της στις υποδομές της MGM για να “πραγματοποιήσει πρόσθετες επιθέσεις”.
Ποιοι είναι οι Scattered Spider
Οι Scattered Spider πιστεύεται ότι είναι μια ομάδα χάκερς που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν εταιρικά δίκτυα. Αυτές οι επιθέσεις περιλαμβάνουν την υποδυόμενη προσωπικότητα του help desk για να εξαπατήσει τους χρήστες ώστε να τους παράσχουν διαπιστευτήρια, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής, καθώς και επιθέσεις κόπωσης και phishing MFA για να αποκτήσουν πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων. Σε αντίθεση με τους περισσότερους συνεργάτες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα χάκερ αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών. Επιπλέον, λόγω των παρόμοιων τακτικών, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση ως προς τα μέλη και τις τακτικές.
Μια εκστρατεία Scattered Spider με την ονομασία “0ktapus” χρησιμοποιήθηκε για να στοχεύσει πάνω από 130 οργανισμούς για να κλέψει διαπιστευτήρια ταυτότητας Okta και κωδικούς 2FA, με μερικούς από αυτούς τους στόχους να περιλαμβάνουν τις T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC και Best Buy. Μόλις οι απειλητικοί φορείς παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων “Φέρε τον δικό σου ευάλωτο οδηγό” για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για περαιτέρω πλευρική εξάπλωση στο δίκτυο, ενώ παράλληλα κλέβουν δεδομένα και τελικά αποκτούν πρόσβαση σε διαπιστευτήρια διαχειριστή. Μόλις αποκτήσουν πρόσβαση με διαπιστευτήρια διαχειριστή, μπορούν να πραγματοποιήσουν περαιτέρω επιθέσεις, όπως η πειρατεία της διαχείρισης ενιαίας σύνδεσης, η καταστροφή αντιγράφων ασφαλείας και πιο πρόσφατα, η ανάπτυξη του ransomware BlackCat/ALPHV για την κρυπτογράφηση συσκευών. Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας χάκερ, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για να μην δημοσιεύσουν δεδομένα ή για να λάβουν ένα κρυπτογράφημα.
