Η κυβερνοασφάλεια είναι μια από τις σημαντικότερες προκλήσεις που αντιμετωπίζει ο ψηφιακός κόσμος μας σήμερα. Κάθε μέρα, διάφοροι κυβερνοεπιθέτες προσπαθούν να παραβιάσουν συστήματα, να κλέψουν προσωπικά δεδομένα, και να προκαλέσουν ζημιές. Για να καταπολεμήσουν αυτές τις απειλές, οι ειδικοί σε κυβερνοασφάλεια αναπτύσσουν διάφορα εργαλεία και τεχνικές για τη διατήρηση της ασφάλειας στον ψηφιακό κόσμο. Ένα από αυτά τα εργαλεία είναι το Zphisher.
Τι είναι το Zphisher;
Το Zphisher είναι ένα εργαλείο για τον κλώνο ιστοσελίδων με σκοπό την ανίχνευση ευπαθειών και την ευαισθητοποίηση των χρηστών όσον αφορά τις κυβερνοαπειλές. Πρόκειται για ένα εργαλείο που χρησιμοποιείται για εκπαιδευτικούς σκοπούς και εξαιρετικά σημαντικό για την ευαισθητοποίηση των ανθρώπων σχετικά με τις απειλές του phishing.
Κύρια χαρακτηριστικά του Zphisher:
Κλώνος Ιστοσελίδων: Το Zphisher επιτρέπει στους χρήστες να δημιουργήσουν πιστικές κλώνους ιστοσελίδων, όπως των κοινωνικών δικτύων, των τραπεζών και άλλων δημοφιλών ιστοσελίδων.
Ανίχνευση Ευπαθειών: Το εργαλείο επιτρέπει στους χρήστες να αναζητήσουν ευπάθειες στους κλώνους ιστοσελίδων τους, προκειμένου να διορθώσουν τυχόν αδυναμίες στην ασφάλεια των ιστοσελίδων.
Εκπαιδευτικός Σκοπός: Το Zphisher δημιουργήθηκε με εκπαιδευτικούς σκοπούς, προκειμένου να ευαισθητοποιήσει τους χρήστες σχετικά με τον κίνδυνο του phishing και τους βοηθήσει να προστατευτούν.
Σημείωση: Η χρήση του Zphisher για κακόβουλους σκοπούς είναι παράνομη και απαράδεκτη. Η ευαισθητοποίηση σχετικά με τις κυβερνοαπειλές πρέπει να γίνεται με ηθικό τρόπο και με σεβασμό προς τον νόμο.
Στον σύγχρονο κόσμο της τεχνολογίας, τα δίκτυα αποτελούν τον πυλώνα της επικοινωνίας και της διασύνδεσης. Είναι δύσκολο να φανταστούμε μια ζωή χωρίς το Διαδίκτυο και τις υπηρεσίες που παρέχει. Όμως, πίσω από αυτόν τον εντυπωσιακό κόσμο των δικτύων κρύβονται πολύπλοκες τεχνολογίες και διαδικασίες που απαιτούν εξειδικευμένα εργαλεία για την ανάλυση και τη διαχείρισή τους. Εδώ είναι που έρχεται το Wireshark, ένα πανίσχυρο εργαλείο ανάλυσης δικτύου που μας επιτρέπει να εισβάλλουμε στον κόσμο των πακέτων δεδομένων και να ανακαλύψουμε τα μυστικά της επικοινωνίας στο Διαδίκτυο.
Τι είναι το Wireshark; Το Wireshark είναι ένα ελεύθερο και ανοικτού κώδικα λογισμικό ανάλυσης πακέτων δεδομένων. Αρχικά αναπτύχθηκε το 1998 από την ομάδα του Gerald Combs, και από τότε έχει γίνει το αγαπημένο εργαλείο των ειδικών δικτύων παγκοσμίως. Το Wireshark επιτρέπει στους χρήστες να ακολουθούν την ροή των πακέτων δεδομένων σε ένα δίκτυο, να αναλύουν το περιεχόμενό τους και να εξάγουν σημαντικές πληροφορίες που αφορούν την κυκλοφορία, την ασφάλεια και την απόδοση του δικτύου.
Πως λειτουργεί το Wireshark; Το Wireshark λειτουργεί καταγράφοντας όλα τα πακέτα δεδομένων που κυκλοφορούν σε ένα δίκτυο. Αυτά τα πακέτα περιέχουν πληροφορίες σχετικά με τις αποστολές και τις λήψεις δεδομένων, καθώς και τις πηγές και τους προορισμούς τους. Οι χρήστες μπορούν να εφαρμόσουν διάφορα φίλτρα και εργαλεία ανάλυσης για να εξάγουν πληροφορίες όπως τον χρόνο απόκρισης του δικτύου, τη ζωτικότητα των υπηρεσιών, τυχόν προβλήματα ασφάλειας και πολλά άλλα.
Εφαρμογές του Wireshark:
Διαγνωστικά Εργαλεία: Το Wireshark χρησιμοποιείται για την εύρεση και επίλυση προβλημάτων στα δίκτυα. Μπορεί να ανιχνεύσει προβλήματα όπως πτώση της απόδοσης, καθυστερήσεις και πακέτα που χάνονται.
Ασφάλεια Δικτύου: Οι επαγγελματίες ασφάλειας χρησιμοποιούν το Wireshark για την ανίχνευση ανωμαλιών και την ανάλυση επιθέσεων στο δίκτυο.
Εκπαίδευση: Είναι ένα εξαιρετικό εκπαιδευτικό εργαλείο για να κατανοήσετε τη λειτουργία των δικτύων και των πρωτοκόλλων.
Ανάλυση Κυκλοφορίας: Μπορεί να χρησιμοποιηθεί για την παρακολούθηση της κυκλοφορίας σε ένα δίκτυο, βοηθώντας στη βελτιστοποίηση της απόδοσης.
Το Wireshark αποτελεί ένα ισχυρό εργαλείο για την ανάλυση δικτύων, βοηθώντας επαγγελματίες και ερασιτέχνες να κατανοήσουν καλύτερα τη λειτουργία των δικτύων και να αντιμετωπίσουν προβλήματα απόδοσης και ασφάλειας. Είναι ένα εργαλείο που δίνει στους χρήστες τη δυνατότητα να εξερευνήσουν τον μαγικό κόσμο της δικτύωσης και να αποκαλύψουν τα μυστικά της επικοινωνίας στο Διαδίκτυο.
Το Metasploit είναι ένα από τα πιο ισχυρά και δημοφιλή εργαλεία στον κόσμο της κυβερνοασφάλειας. Πρόκειται για ένα πλαίσιο ασφαλείας που χρησιμοποιείται για τη δοκιμή ασφάλειας συστημάτων και εφαρμογών. Αναπτύχθηκε αρχικά από την Rapid7 και τώρα είναι διαθέσιμο ως ανοικτού κώδικα λογισμικό.
Το Metasploit επιτρέπει στους ερευνητές ασφάλειας, τους επαγγελματίες κυβερνοασφάλειας και ακόμη και τους επιτιθέμενους να εκμεταλλευτούν ασφαλιστικές ελλείψεις σε συστήματα και εφαρμογές. Με τη χρήση του Metasploit, μπορείτε να ελέγξετε την ασφάλεια του συστήματός σας, να εντοπίσετε τυχόν ευπάθειες και να αναπτύξετε εκμεταλλευτικές επιθέσεις για να τις επιλύσετε προτού κακόβουλοι επιτιθέμενοι τις εκμεταλλευτούν.
Η χρήση του Metasploit περιλαμβάνει τα ακόλουθα βήματα:
Επιλογή Στόχου: Αρχικά, πρέπει να επιλέξετε τον στόχο που θέλετε να δοκιμάσετε ή να ελέγξετε την ασφάλειά του. Αυτό μπορεί να είναι ένας διακομιστής, μια εφαρμογή ή ακόμη και ένας υπολογιστής.
Σάρωση: Το Metasploit μπορεί να εκτελέσει σάρωση του στόχου για ευπάθειες και ανοιχτές πόρτες. Αυτό βοηθάει στην εντοπισμό πιθανών ευκαιριών για επίθεση.
Επίθεση: Με βάση τις ευπάθειες που ανακαλύψατε, μπορείτε να χρησιμοποιήσετε το Metasploit για να εκτελέσετε επιθέσεις. Αυτές μπορεί να είναι εκμεταλλευτικές επιθέσεις, όπως εισβολές σε αυτό το σύστημα ή την εφαρμογή.
Αξιολόγηση: Μετά την επίθεση, αξιολογείτε την αποτελεσματικότητα της και τυχόν πληροφορίες που αποκτήσατε.
Αναφορά: Το Metasploit παρέχει εκτενείς αναφορές και καταγραφές των επιθέσεών σας, κάτι που είναι σημαντικό για την κυβερνοασφάλεια και την επίλυση τυχόν ευπαθειών.
Το Metasploit είναι ένα εξαιρετικά χρήσιμο εργαλείο για τη δοκιμή ασφάλειας και την προστασία των συστημάτων από κυβερνοεπιθέσεις. Ωστόσο, πρέπει να χρησιμοποιείται με προσοχή, καθώς η ανοικτή χρήση του χωρίς την ανάλογη εξουσιοδότηση είναι παράνομη.
Για να χρησιμοποιήσετε το Metasploit με ασφάλεια και νοηματική ευθύνη, είναι σημαντικό να έχετε την άδεια και την εξουσιοδότηση για να δοκιμάσετε την ασφάλεια των συστημάτων ή των εφαρμογών που ανήκουν σε εσάς ή σε εκείνους που έχετε τη συγκατάθεσή τους. Πάντα πρέπει να τηρείτε τους νόμους περί κυβερνοασφάλειας και ιδιωτικότητας.
Εν κατακλείδι, το Metasploit είναι ένα εξαιρετικά ισχυρό εργαλείο για την ανίχνευση ευπαθειών και τη δοκιμή ασφάλειας. Ωστόσο, πρέπει να χρησιμοποιείται με προσοχή, ευθύνη και σεβασμό προς τους νόμους και την ιδιωτικότητα των άλλων. Με την κατάλληλη εκπαίδευση και τον ηθικό προσανατολισμό, μπορεί να συμβάλει στην ενίσχυση της κυβερνοασφάλειας και την προστασία από δυνητικούς κινδύνους στον ψηφιακό κόσμο.
Οι επιθέσεις XSS, γνωστές και ως Cross-Site Scripting, αποτελούν σοβαρή απειλή για την ασφάλεια των ιστοσελίδων και των χρηστών τους. Στο παρόν άρθρο, θα εξετάσουμε τι είναι οι επιθέσεις XSS, πώς λειτουργούν και ποιοι τρόποι προστασίας μπορούν να υιοθετηθούν για να αποτραπεί η κακόβουλη εκμετάλλευσή τους.
Τι είναι η επίθεση XSS;
Η επίθεση XSS αναφέρεται σε καταστάσεις όπου κακόβουλος κώδικας JavaScript ενσωματώνεται σε μια ιστοσελίδα και εκτελείται στον φυλλομετρητή των χρηστών χωρίς τη συναίνεσή τους. Ο κακόβουλος κώδικας μπορεί να προέρχεται από εξωτερικές πηγές ή ακόμη και από τον ίδιο τον ιστότοπο, εάν τα εισαγόμα δεδομένα δεν ελέγχονται σωστά.
Οι επιθέσεις XSS διακρίνονται σε τρεις κατηγορίες:
Stored XSS: Ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων του ιστότοπου και παραδίδεται στους χρήστες όταν επισκέπτονται τη σελίδα. Αυτή η μορφή επίθεσης μπορεί να έχει μακροχρόνιες συνέπειες.
Reflected XSS: Ο κακόβουλος κώδικας ενσωματώνεται σε URL ή φόρμες και εκτελείται κατά την αίτηση που κάνει ο χρήστης. Συνήθως, αυτές οι επιθέσεις επηρεάζουν μόνο τον συγκεκριμένο χρήστη.
DOM-based XSS: Αυτή η μορφή επίθεσης συμβαίνει στον πελάτη, όταν ο κακόβουλος κώδικας τροποποιεί το DOM (Document Object Model) της σελίδας, επηρεάζοντας έτσι την εμφάνιση ή τη συμπεριφορά της.
Πώς Λειτουργούν οι Επιθέσεις XSS;
Για να κατανοήσουμε πώς λειτουργούν οι επιθέσεις XSS, ας ρίξουμε μια ματιά στα βασικά στάδια:
Εισαγωγή Κακόβουλου Κώδικα: Ο επιτιθέμενος εισάγει κακόβουλο κώδικα (συνήθως JavaScript)
Στη συνέχεια, ας εξετάσουμε πώς μπορείτε να προστατευτείτε από αυτούς τους κινδύνους και να ενισχύσετε την ασφάλεια του ιστότοπού σας:
Είσοδος δεδομένων (Input Validation): Το πρώτο βήμα στην προστασία από επιθέσεις XSS είναι η προσεκτική εισαγωγή και επεξεργασία των δεδομένων που εισέρχονται στην ιστοσελίδα σας. Βεβαιωθείτε ότι εφαρμόζετε κανόνες εισαγωγής (input validation) και αποτρέπετε την εκτέλεση κώδικα που μπορεί να εισαχθεί από χρήστες.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποίηση εξόδου είναι η διαδικασία με την οποία τα δεδομένα εξόδου, πριν αποσταλούν στον πελάτη, κωδικοποιούνται έτσι ώστε να μην εκτελεστούν ως κώδικας JavaScript. Χρησιμοποιήστε αξιόπιστες βιβλιοθήκες ή εργαλεία κωδικοποίησης εξόδου.
Content Security Policy (CSP): Το CSP είναι ένα ισχυρό εργαλείο ασφάλειας που επιτρέπει στους διαχειριστές ιστοσελίδων να καθορίσουν ποια περιεχόμενα μπορούν να εκτελεστούν σε μια σελίδα. Μπορείτε να ρυθμίσετε το CSP σας για να αποτρέψετε την εκτέλεση εξωτερικού JavaScript και άλλων πόρων.
Διαχείριση συνόδων (Session Management): Βεβαιωθείτε ότι οι συνεδρίες των χρηστών διαχειρίζονται με ασφάλεια και ότι οι πληροφορίες συνόδου δεν μπορούν να προσπελαστούν ή να τροποποιηθούν από κακόβουλους.
Ενημερωμένοι Φυλλομετρητές (Browsers): Ενθαρρύνετε τους χρήστες να χρησιμοποιούν ενημερωμένους φυλλομετρητές, καθώς πολλοί από αυτούς έχουν ενσωματωμένα μέτρα ασφαλείας κατά των επιθέσεων XSS.
Εκπαίδευση των Χρηστών: Εκπαιδεύστε τους χρήστες σας σχετικά με τους κινδύνους των επιθέσεων XSS και τη σημασία της προσοχής κατά την περιήγηση.
Αυτόματοι Ελεγκτές Ασφαλείας (Security Scanners): Χρησιμοποιήστε αυτόματους ελεγκτές ασφαλείας για να ανιχνεύσετε πιθανές ευπάθειες στον κώδικα της ιστοσελίδας σας.
Συνεχής Ενημέρωση: Η ασφάλεια των ιστοσελίδων είναι μια συνεχής προσπάθεια. Κρατήστε το λογισμικό, τον κώδικα, και τα CMS (Content Management Systems) σας ενημερωμένα σε τακτά χρονικά διαστήματα.
Αντιμετώπιση των Επιθέσεων XSS:
Αν παρόλα αυτά εκτελεστεί μια επίθεση XSS στον ιστότοπό σας, είναι σημαντικό να ξέρετε πώς να αντιμετωπίσετε την κατάσταση:
Κατανόηση της Επίθεσης: Πρέπει να κατανοήσετε πώς λειτούργησε η επίθεση και ποια δεδομένα εκτελέστηκαν. Αυτό σας επιτρέπει να αντιδράσετε αποτελεσματικότερα.
Κλείσιμο της Ευπάθειας: Βεβαιωθείτε ότι κλείνετε την ευπάθεια στον κώδικα σας που επέτρεψε την επίθεση. Αυτό μπορεί να σημαίνει την τροποποίηση του κώδικα ή την απενεργοποίηση προσωρινά του επιρρέποντος τμήματος του ιστότοπου.
Ανάλυση Κακόβουλου Κώδικα: Εξετάστε τον κακόβουλο κώδικα που χρησιμοποιήθηκε στην επίθεση για να κατανοήσετε τις πιθανές συνέπειες και να αντιμετωπίσετε τυχόν επιπτώσεις.
Καταγραφή Και Αναφορά: Καταγράψτε την επίθεση και αναφέρετέ την στις κατάλληλες αρχές ασφαλείας. Αυτό μπορεί να βοηθήσει να προστατευτείτε από περαιτέρω επιθέσεις και να βελτιώσετε την ασφάλεια του ιστότοπου σας.
Ενημέρωση των Χρηστών: Ενημερώστε τους χρήστες σας για το περιστατικό και τα μέτρα που λαμβάνετε για την αντιμετώπισή του.
Εφαρμογή Παρακολούθησης (Monitoring): Χρησιμοποιήστε λογισμικό παρακολούθησης κίνησης και ασφαλείας για να εντοπίζετε πρόωρα επιθέσεις και ανωμαλίες στην κίνηση της ιστοσελίδας σας.
Οι επιθέσεις XSS αποτελούν μια σοβαρή απειλή για την ασφάλεια του ιστότοπού σας και των χρηστών σας. Με την εφαρμογή σωστών πρακτικών ασφαλείας και την ενημέρωση για τις τρέχουσες απειλές, μπορείτε να προστατεύσετε τον ιστότοπό σας από αυτούς τους κινδύνους.
Φίλτρα:
Για να προστατευτείτε από επιθέσεις XSS, μπορείτε να χρησιμοποιήσετε διάφορα φίλτρα και μέτρα ασφαλείας στον κώδικα της ιστοσελίδας σας. Αυτά τα φίλτρα θα σας βοηθήσουν να ελέγξετε την εισερχόμενη και εξερχόμενη πληροφορία για πιθανούς κώδικες XSS. Εδώ είναι μερικά από τα βασικά μέτρα που μπορείτε να λάβετε:
Εισαγωγή δεδομένων (Input Validation): Επιβεβαιώστε ότι τα δεδομένα που εισάγονται από τους χρήστες στην ιστοσελίδα σας ελέγχονται για ανεπιθύμητους χαρακτήρες και κωδικούς πριν τα αποθηκεύσετε ή τα εμφανίσετε. Χρησιμοποιήστε λειτουργίες όπως htmlspecialchars() για την κωδικοποίηση εισόδου.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποιήστε την εξαγόμενη πληροφορία πριν την εμφανίσετε στους χρήστες. Χρησιμοποιήστε τη σωστή συνάρτηση κωδικοποίησης, όπως htmlspecialchars() για τον HTML κώδικα και json_encode() για τα δεδομένα JSON.
Content Security Policy (CSP): Ρυθμίστε μια αποτρεπτική πολιτική CSP που να περιορίζει τις εκτελούμενες πηγές κώδικα στον ιστότοπό σας. Μπορείτε να καταχωρίσετε ποιοι πόροι επιτρέπονται και απαγορεύονται, όπως τα scripts από εξωτερικούς διακομιστές.
Εσωτερική Λειτουργία Escape: Χρησιμοποιήστε εσωτερικές λειτουργίες αποτροπής των επιθέσεων XSS που παρέχονται από το framework ή το περιβάλλον ανάπτυξης που χρησιμοποιείτε (όπως htmlspecialchars() σε PHP).
Βελτιωμένη Αυθεντικοποίηση (Authentication): Ενισχύστε το σύστημα αυθεντικοποίησης για τους χρήστες σας και βεβαιωθείτε ότι διαχειρίζεστε την πρόσβαση στις προστατευμένες περιοχές του ιστότοπου σας με ασφάλεια.
Παρακολούθηση και Συνεχής Ενημέρωση: Χρησιμοποιήστε λογισμικό παρακολούθησης και συνεχώς ενημερώνετε τον κώδικα σας για να αντιμετωπίσετε νέες απειλές και ευπάθειες.
Αυτά τα μέτρα συνιστούν ένα ισχυρό σύνολο πρακτικών για την προστασία από επιθέσεις XSS.
Βεβαιωθείτε ότι εφαρμόζετε αυτά τα μέτρα ασφαλείας σε όλα τα μέρη της ιστοσελίδας σας, συμπεριλαμβανομένων των πεδίων εισόδου, των φορμών επικοινωνίας, των σχολίων χρηστών και άλλων σημείων που εμφανίζουν πληροφορίες από τους χρήστες.
Επιπλέον, αξίζει να σημειωθεί ότι το καλύτερο μέτρο προστασίας είναι η συνεχής ενημέρωση και η εφαρμογή των καλών πρακτικών ασφαλείας στην ανάπτυξη και τη συντήρηση του ιστότοπού σας. Επίσης, πρέπει να είστε ενήμεροι για τις τρέχουσες απειλές και να αναθεωρείτε τα μέτρα σας ασφαλείας κατά τακτά χρονικά διαστήματα.
Επιπλέον, εάν χρησιμοποιείτε πλατφόρμες διαχείρισης περιεχομένου (CMS) όπως το WordPress, υπάρχουν πολλά πρόσθετα (plugins) και επεκτάσεις που μπορείτε να χρησιμοποιήσετε για την αυτόματη εφαρμογή ορισμένων από αυτά τα μέτρα ασφαλείας.
Το να προστατεύσετε τον ιστότοπό σας από επιθέσεις XSS είναι κρίσιμης σημασίας για την ασφάλεια των χρηστών σας και τη φήμη του ιστότοπού σας. Εφαρμόστε τα παραπάνω μέτρα ασφαλείας και παρακολουθήστε συνεχώς τον ιστότοπό σας για ενδεχόμενες αδυναμίες ασφαλείας.
Εκατομμύρια επιθέσεις ανά τον κόσμο, γίνονται καθημερινά από κακόβουλους «χάκερ» οι οποίοι θέλουν να υποκλέψουν προσωπικά δεδομένα από χρήστες.
Τις περισσότερες φορές πιστεύουμε πως αν η συσκευή μας είναι ασφαλής, τότε είμαστε και εμείς. Ωστόσο αυτό δεν ισχύει, διότι το μεγαλύτερο θύμα δεν είναι ένα σύστημα, αλλά ο άνθρωπος.
Γιατί όμως είναι ο άνθρωπος και τι κινήσεις μπορούμε να κάνουμε για να είμαστε έστω και λίγο ασφαλής;
Ας μιλήσουμε λοιπόν για τις επιθέσεις «ψαρέματος» γνωστές και ως phishing.
ΤΙ ΕΙΝΑΙ ΤΟ PHISHING?
Η μέθοδος phishing είναι αρκετά γνωστή και χρησιμοποιείται πολύ συχνά από τους «χάκερ». Σίγουρα θα σας έχει σταλεί μήνυμα στο κινητό σας τηλέφωνο από την δήθεν Εθνική Τράπεζα, από το δήθεν ταχυδρομείο για να παραλάβετε το δέμα σας, και άλλα πολλά.
Ο σκοπός λοιπόν του επιτιθέμενου είναι να σας προσελκύσει να πατήσετε τον σύνδεσμο, έτσι ώστε να ανακατευθυνθείτε σε μία σελίδα ΚΛΩΝΟ της ανάλογης official ιστοσελίδας που έχει χρησιμοποιήσει ο χάκερ, να βάλετε τα στοιχεία σας και να προσπαθήσει να πάρει πρόσβαση στους λογαριασμούς σας.
Επίσης ο επιτιθέμενος έχει την δυνατότητα, να σας επισυνάψει ένα αρχείο στέλνοντας στο email σας με το οποίο θα μπορεί να πάρει απομακρυσμένη μη εξουσιοδοτημένη πρόσβαση στην συσκευή σας. Αφού λοιπόν εσύ ανοίξεις το αρχείο, ξεκινάει και το «παιχνίδι» του χάκερ. Παίρνοντας πρόσβαση στην συσκευή σου θα μπορεί με λίγες απλές εντολές να κάνει κάποια βασικά πράγματα όπως: Να ανοίξει την κάμερα σου live, να ηχογραφήσει από το μικρόφωνο, να κατεβάσει αρχεία στην δική του συσκευή και με την ησυχία του μετά να κάτσει να τα επεξεργαστεί ή να «ανεβάσει» αρχεία στην δική σου συσκευή και άλλα πολλά και διάφορα.
ΠΩΣ ΜΠΟΡΩ ΝΑ ΠΡΟΣΤΑΤΕΥΤΩ;
Δεν μπορούμε να εγγυηθούμε πως υπάρχει 100% ασφάλεια για κανέναν λόγο. Το πιο δυνατό σύστημα να έχεις και ο πιο έξυπνος άνθρωπος να είσαι, πάντα θα υπάρξει αυτό το κενό ασφαλείας. Είτε στο σύστημα σου, είτε από την απροσεξία σου.
Όμως, μπορούμε να κάνουμε κάποιες ενέργειες έτσι ώστε να αποφύγουμε κάθε είδους επίθεση phishing. Δεν ανοίγουμε ποτέ συνδέσμους από email, sms τα οποία μας φαίνονται άγνωστα ή περίεργα. Πάντα ελέγχουμε το link να δούμε αν είναι official και από εκεί κρίνουμε αν θα το ανοίξουμε ή όχι.
Δεν ανοίγουμε αρχεία για κανέναν λόγο τύπου (Αφαιρέθηκαν από τον λογαριασμό σας 1.000 ευρώ, κάνε κλικ στο PDF αρχείο για να δεις αναλυτικά) κ.τ.λ.
Μπορεί επίσης κάποιος να παριστάνει κάποιον φίλο σας. Η καλύτερη λύση εκεί ποιά είναι λοιπόν; Όχι πάντως να του στείλετε μήνυμα, αλλά να τον πάρετε κλήση και να τον ρωτήσετε αν ο ίδιος σας έστειλε το αρχείο. Διότι μπορεί ο κακόβουλος χάκερ να έχει φτιάξει ένα παρόμοιο email (ελέγχουμε πολύ καλά τα email) ή να έχει εισβάλει στον λογαριασμό του φίλου σας και να σας στέλνει διάφορα.
ΒΟΗΘΑΕΙ ΤΟ ΝΑ ΕΧΩ ANTIVIRUS ΑΝ ΤΥΧΩΝ ΑΝΟΙΞΩ ΚΑΚΟΒΟΥΛΟ ΑΡΧΕΙΟ;
Εννοείται βοηθάει αλλά όχι σε όλες τις περιπτώσεις. Διότι πλέον υπάρχουν αρκετά προγράμματα τα οποία περνάνε εύκολα το firewall, είτε το ακυρώνουν τελείως με την έναρξη τους.
ΠΩΣ ΜΠΟΡΩ ΝΑ ΔΩ ΑΝ ΕΝΑΣ ΣΥΝΔΕΣΜΟΣ ΕΙΝΑΙ ΚΑΚΟΒΟΥΛΟΣ;
Λοιπόν. Εδώ γίνονται λίγο περίεργα τα πράγματα. Έχουμε ακούσει αρκετές φορές την καραμέλα «Μην βάζετε τα στοιχεία σας στους συνδέσμους». Ωστόσο λίγοι έχουν μιλήσει για το cookie stealing. Τα cookies ουσιαστικά περιέχουν κάποιες πληροφορίες σχετικά με τις συνδέσεις σου και κάποιες άλλες πληροφορίες πάνω στο browser. Δεν θα αναλύσουμε σε αυτό το άρθρο τι είναι ακριβώς αλλά καλό θα ήταν αν σας φαίνεται άγνωστος αυτός που σας στέλνει το μήνυμα να μην το ανοίγεται διότι έστω και με ένα άνοιγμα μπορεί να γίνει υποκλοπή των cookies και να πάρουν πληροφορίες από το Browser σας. (Αν γνωρίζεις κάτι παραπάνω από υπολογιστές και θες να ανοίξεις σύνδεσμο, σου προτείνουμε το burpsuite).
Αν βλέπετε «περίεργη» την διεύθυνση URL , τότε κάτι πάει λάθος. Π.χ πες ότι ο επιτιθέμενος θέλει να σε πείσει ότι είναι από την Εθνική. (Το official site της εθνικής είναι www.nbg.gr) ο επιτιθέμενος λοιπόν μπορεί να έχει τον σύνδεσμο ως εξής “www.nbgg.com.gr”. Μπορείτε να διακρίνετε και μόνοι σας τις διαφορές.
Για το κλείσιμο θα θέλαμε να σας ενημερώσουμε πως δεν είστε μόνοι σας, την έχουμε πατήσει και εμείς όπως και όλοι. Όπως είπαμε και πριν, ο πιο έξυπνος άνθρωπος να είσαι ή ο καλύτερος προγραμματιστής ή ακόμα και χάκερ, υπάρχει περίπτωση να πέσεις στην παγίδα.
Τι είναι το Spoofing; Πώς λειτουργεί και πώς να το αποτρέψετε
Το spoofing είναι μια κακόβουλη εφαρμογή που συγκαλύπτει μια νόμιμη πηγή για να αποκτήσει ευαίσθητες πληροφορίες ή για να αποκτήσει πρόσβαση στις συσκευές των θυμάτων. Ένας κακόβουλος χρήστης μπορεί να σας παρασύρει στην πίστη ότι είναι από την πηγή με spoofing και έτσι να σας υποκλέψει προσωπικά στοιχεία ( social media κ.α )
Το spoofing είναι ένα είδος επίθεσης ( attack ) όπου “αυτό που βλέπουμε θα μοιάζει με αυτό, αλλά δεν είναι“.
Τύποι Spoofing
Email Spoofing:
Περίπου το 90% των Cyber Attacks πραγματοποιούνται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου. Η ψευδαισθήσεις μέσω ηλεκτρονικού ταχυδρομείου είναι κάτι που ο εισβολέας στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που θέτει ως νόμιμο αποστολέα, παραβιάζοντας τη διεύθυνση
“Από:” ( ή “from:” )την διεύθυνση, με αυτόν τον τρόπο το θύμα δεν θα παρατηρήσει τη διεύθυνση του αποστολέα και πέσει για τον εισβολέα.
Προστασία: Ελέγξτε τη διεύθυνση του αποστολέα εάν λαμβάνετε ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου και μην αποστέλλετε συνημμένα εκτός εάν ο αποστολέας είναι επαληθευμένος. επαληθεύστε την κεφαλίδα του email και βεβαιωθείτε ότι η διεύθυνση email αυτό είναι από κάποιο πραγματικό άτομο ( δηλαδή είναι πραγματική και δεν είναι ψεύτικη ). Spoofing κλήσεων:
Το Call Spoofing είναι μια περίεργη πρακτική στην οποία οι επιτιθέμενοι καλούν τους μισούς από τους αξιόπιστους οργανισμούς και αναζητούν προσωπικά στοιχεία όπως στοιχεία πιστωτικών καρτών και χρεωστικών καρτών, τραπεζικά στοιχεία και άλλα προσωπικά στοιχεία.
Προστασία: Μην εκθέτεται δημόσια τηλεφωνικά ευαίσθητες πληροφορίες σας, όπως στοιχεία πιστωτικών καρτών, στοιχεία τραπεζικού λογαριασμού ή αριθμό κοινωνικής ασφάλισης.
Spoofing ιστοτόπου:
Αυτή η επίθεση ονομάζεται τεχνικά phishing, όπου ο επιτιθέμενος δημιουργεί έναν ιστότοπο και μας παραπέμπει να εισαγάγουμε στοιχεία ( έτσι ώστε αυτομάτως να πάνε σε εκείνον ).
Προστασία: Ελέγχετε πάντα τη διεύθυνση URL του ιστότοπου προτού εισαγάγετε προσωπικά σας στοιχεία ( email, password αριθμούς κ.α ).
Εάν η διεύθυνση URL ΔΕΝ ταιριάζει με την αρχική διεύθυνση URL του ιστότοπου, μην εισάγετε διαπιστευτήρια.
ARP Spoofing:
Επέκταση ως Spoofing πρωτόκολλο ανάλυσης διευθύνσεων. Αυτή η αποτυχία είναι δύο τύπων,
Spoofing IP: Ο εισβολέας βρίσκει την ιδιωτική διεύθυνση IP και κόβει το δρομολογητή πιστεύοντας ότι είναι επίσης από το ίδιο δίκτυο.
Συνήθως, αυτή η επίθεση γίνεται για να αποκτήσετε πρόσβαση σε ένα διακομιστή ο οποίος είναι προσβάσιμος μόνο για συγκεκριμένα συστήματα μέσα σε ένα δίκτυο.
Προστασία: Μείωση του υποδικτύου και εκκαθάριση του αρχείου καταγραφής κενών διευθύνσεων IP θα μειώσει αυτόν τον τύπο επίθεσης.
MAC Spoofing:
Όλοι μας γνωρίζουμε ότι η MAC διεύθυνση είναι η μόνιμη διεύθυνση που δίνεται από τον κατασκευαστή. Και ο επιτιθέμενος μπορεί να παραβιάσει τη διεύθυνση MAC ενός συγκεκριμένου συστήματος μέσα σε ένα δίκτυο για να αποκτήσει παράνομη πρόσβαση σε ένα διακομιστή.
Προστασία: Η εγκατάσταση φίλτρων πακέτων ή δυναμικών ελέγχων ARP θα μειώσει αυτόν τον τύπο επιθέσεων Spoofing.
Δισεκατομμύρια χρήστες Android σε όλο τον κόσμο ενδέχεται να επηρεαστούν από μια νέα ευπάθεια στο WiFi, την οποία οι χάκερ μπορεί να εκμεταλλευτούν για να δημιουργήσουν κλώνους των σημείων πρόσβασης WiFi και να παρακολουθήσουν δεδομένα, ανακάλυψαν ερευνητές. Μια άλλη νέα ευπάθεια επιτρέπει την μη εξουσιοδοτημένη πρόσβαση σε προστατευμένα οικιακά δίκτυα Wi-Fi, αποκαλύπτοντας συσκευές και δεδομένα.
Η πρώτη αδυναμία ασφαλείας επηρεάζει το “wpa_supplicant”, μια υλοποίηση λογισμικού ανοιχτού κώδικα μηχανισμών ασφαλείας για ασύρματα δίκτυα, όπως το WPA (WiFi Protected Access).
Τα ασύρματα δίκτυα Wi-Fi που χρησιμοποιούν το Επιχειρησιακό λειτουργικό του WPA2/3 είναι εκτεθειμένα σε κίνδυνο, όπως απέδειξαν ο Simon Migliano από το top10vpn.com και ο έμπειρος ερευνητής ασφαλείας Mathy Vanhoef.
“Υπάρχουν 2,3 δισεκατομμύρια χρήστες Android σε όλο τον κόσμο που θα μπορούσαν να επηρεαστούν από αυτή την ευπάθεια,” είπαν οι ερευνητές.
Επίσης, αυτή η υλοποίηση ανοιχτού κώδικα βρίσκεται σχεδόν σε όλες τις συσκευές Linux και στο ChromeOS, που χρησιμοποιείται στα Chromebooks.
“Η ευπάθεια του wpa_supplicant επιτρέπει σε κακόποιο να εξαπατήσει το θύμα του να συνδεθεί αυτόματα σε ένα κακόβουλο κλώνο ενός αξιόπιστου δικτύου Wi-Fi για να παρακολουθήσει την κίνησή τους. Δεδομένου ότι η επίθεση δεν απαιτεί καμία ενέργεια από το θύμα, είναι πιθανό το θύμα να μην γνωρίζει ότι έχει γίνει στόχος,” προειδοποιούν οι ερευνητές.
Η ευπάθεια αφορά την υλοποίηση του PEAP (προστατευόμενο πρωτόκολλο επεκτάσιμης πιστοποίησης), το οποίο είναι ένα πρωτόκολλο ασφαλείας που χρησιμοποιείται για να ασφαλίσει καλύτερα τα δίκτυα Wi-Fi. Οι επιτιθέμενοι θα μπορούσαν να παραλείψουν το δεύτερο στάδιο της πιστοποίησης όταν η συσκευή-στόχος δεν έχει διαμορφωθεί σωστά για να επαληθεύσει το διακομιστή πιστοποίησης.
Μια άλλη ευπάθεια επηρεάζει την πλατφόρμα Intel’s iNet Wireless Daemon (IWD), μια ολοκληρωμένη λύση συνδεσιμότητας για Linux, η οποία είναι επίσης ανοιχτού κώδικα και κυρίως χρησιμοποιείται σε οικιακά δίκτυα Wi-Fi.
“Επηρεάζει όλους όσους χρησιμοποιούν το IWD ως σημείο πρόσβασης, καθώς η ευπάθεια δεν εξαρτάται από κάποια κακή διαμόρφωση,” προειδοποιούν οι ερευνητές. “Επιτρέπει σε έναν αντίπαλο να κερδίσει πλήρη πρόσβαση σε ένα υπάρχον προστατευμένο δίκτυο Wi-Fi, εκθέτοντας τους υπάρχοντες χρήστες και συσκευές σε επίθεση.”
Οι κίνδυνοι περιλαμβάνουν επιθέσεις από ransomware, παραβίαση email, κλοπή κωδικών και άλλα.
Δυστυχώς, οι χρήστες Android πρέπει να περιμένουν για ένα νέο ενημερωμένο πακέτο ασφαλείας Android που περιλαμβάνει την επιδιόρθωση του wpa_supplicant.
Οι ShadowSyndicate χάκερ συνδέονται με πολλαπλές επιθέσεις ransomware
Οι ερευνητές ασφαλείας εντόπισαν υποδομές που ανήκουν σε έναν απειλητικό παράγοντα που τώρα εντοπίζεται ως ShadowSyndicate, ο οποίος πιθανότατα χρησιμοποίησε επτά διαφορετικές οικογένειες ransomware σε επιθέσεις κατά το περασμένο έτος.
Οι αναλυτές της Group-IB που συνεργάζονται με την Bridewell και τον ανεξάρτητο ερευνητή Michael Koczwara αποδίδουν με διάφορους βαθμούς εμπιστοσύνης τη χρήση από το ShadowSyndicate των ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus και Play σε πολλαπλές παραβιάσεις που παρατηρήθηκαν από τον Ιούλιο του 2022.
Με βάση τα ευρήματά τους, οι ερευνητές πιστεύουν ότι ο δράστης της απειλής θα μπορούσε να είναι ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), αν και τα στοιχεία δείχνουν ότι το ShadowSyndicate είναι συνεργάτης σε πολλαπλές επιχειρήσεις ransomware.
Οι ερευνητές βασίζουν τα συμπεράσματά τους σε ένα ξεχωριστό δακτυλικό αποτύπωμα SSH που ανακάλυψαν σε 85 διακομιστές IP, οι περισσότεροι από τους οποίους χαρακτηρίζονται ως μηχανές εντολών και ελέγχου Cobalt Strike.
Οι αναλυτές είδαν για πρώτη φορά το fingerprint στις 16 Ιουλίου 2022 και εξακολουθούσε να χρησιμοποιείται τον Αύγουστο του 2023.
ShadowSyndicate arsenal
Η ομάδα ερευνητών βασίστηκε σε διάφορα εργαλεία για την έρευνά της, τα οποία περιλάμβαναν μηχανές εντοπισμού όπως οι Shodan και Censys, μαζί με διάφορες τεχνικές OSINT. Αυτό τους επέτρεψε να ανακαλύψουν ένα εκτεταμένο αποτύπωμα δραστηριότητας του ShadowSyndicate.
Εξετάζοντας τους διακομιστές ShadowSyndicate που εντοπίστηκαν με βάση το αποτύπωμα SSH, οι ερευνητές “έπεσαν πάνω σε οκτώ διαφορετικά υδατογραφήματα [κλειδιά άδειας χρήσης] της Cobalt Strike”.
Οι οκτώ διακομιστές Cobalt Strike επικοινωνούσαν με τα ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop και BlackCat/ALPHV που αναπτύχθηκαν σε διάφορα δίκτυα θυμάτων.
Οι ερευνητές ανακάλυψαν επίσης διαμορφώσεις του Cobalt Strike που αναπτύχθηκαν σε δύο διακομιστές, αλλά μόνο ο ένας από αυτούς σε ένα μηχάνημα που διέθετε το αποτύπωμα SSH του ShadowSyndicate.
Σε ορισμένες επιθέσεις, το ShadowSyndicate χρησιμοποίησε το εργαλείο διείσδυσης Sliver, το οποίο θεωρούνταν προηγουμένως ως πιθανός αντικαταστάτης του Cobalt Strike.
Άλλα εργαλεία που παρατηρήθηκαν σε επιθέσεις του ShadowSyndicate περιλαμβάνουν τον φορτωτή κακόβουλου λογισμικού IcedID, τον φορτωτή MaaS Matanbuchus και το ωφέλιμο φορτίο Meterpreter Metasploit.
Ανάλυση server
Οι αναλυτές εξέτασαν την υπόθεση ότι και οι 85 διακομιστές με το ίδιο δακτυλικό αποτύπωμα κλειδιού SSH που συνδέονται με το ShadowSyndicate συνδέονται με έναν ενιαίο πάροχο φιλοξενίας, αλλά βρήκαν 18 διαφορετικούς ιδιοκτήτες, 22 διαφορετικά ονόματα δικτύου και 13 διαφορετικές τοποθεσίες.
Η ανάλυση των παραμέτρων του Cobalt Strike C2, όπως η ημερομηνία ανίχνευσης, τα υδατογραφήματα ή οι ρυθμίσεις του χρόνου αναστολής λειτουργίας, βοήθησε στην παραγωγή αποδεικτικών στοιχείων υψηλής αξιοπιστίας που συνδέουν το ShadowSyndicate με τα ransomware Quantum, Nokoyawa και ALPHV/BlackCat.
Συγκεκριμένα, οι αναλυτές συνέδεσαν τους διακομιστές με μια επίθεση Quantum από τον Σεπτέμβριο του 2022, τρεις επιθέσεις Nokoyawa από το τέταρτο τρίμηνο του 2022 και τον Απρίλιο του 2023 και μια επίθεση ALPHV από τον Φεβρουάριο του 2023.
Η Group-IB και τα προαναφερθέντα συνεργαζόμενα μέρη βρήκαν πρόσθετα στοιχεία που συνδέουν το ShadowSyndicate με λιγότερη εμπιστοσύνη με τις επιχειρήσεις κακόβουλου λογισμικού Ryuk, Conti, Trickbot, Royal, Clop και Play.
Ειδικά για το Clop, η έκθεση της Group-IB αναφέρει ότι τουλάχιστον 12 διευθύνσεις IP που προηγουμένως συνδέονταν με τους διαβόητους χειριστές ransomware μεταφέρθηκαν στο ShadowSyndicate από τον Αύγουστο του 2022 και τώρα χρησιμοποιούνται για το Cobalt Strike.
Παρά τα πολλά ευρήματα που υποδηλώνουν μια πιθανή σύνδεση, μια άμεση σύνδεση υψηλής εμπιστοσύνης μεταξύ του ShadowSyndicate και του Clop παραμένει ασύλληπτη.
Οι εμπειρογνώμονες πληροφοριών της Group-IB καταλήγουν στο συμπέρασμα ότι η ShadowSyndicate είναι πιθανότατα μια θυγατρική εταιρεία που συνεργάζεται με διάφορες επιχειρήσεις ransomware-as-a-service (RaaS). Ωστόσο, απαιτούνται πρόσθετα στοιχεία για να υποστηριχθεί αυτή η θεωρία.
Παρ’ όλα αυτά, το έργο αυτό είναι ζωτικής σημασίας για τον εντοπισμό και την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, με αυτό το πνεύμα, η εταιρεία κυβερνοκατασκοπείας καλεί εξωτερικούς ερευνητές να συνεργαστούν ανοιχτά μαζί της και να βοηθήσουν στην αποκάλυψη των υπόλοιπων ασαφών τμημάτων.
Για λεπτομέρειες που θα μπορούσαν να βοηθήσουν τους αμυντικούς να εντοπίσουν και να αποδώσουν τη δραστηριότητα του ShadowSyndicate, η Group-IB δημοσίευσε σήμερα μια έκθεση με τεχνικά δεδομένα από την έρευνά της.
Το ZeroFont phishing ξεγελάει το Outlook και δείχνει ψεύτικες AV σαρώσεις
Οι χάκερς χρησιμοποιούν ένα νέο τέχνασμα, χρησιμοποιώντας γραμματοσειρές μηδενικού σημείου στα μηνύματα ηλεκτρονικού ταχυδρομείου, για να κάνουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να φαίνονται ότι σαρώνονται με ασφάλεια από τα εργαλεία ασφαλείας του Microsoft Outlook.
Αν και η τεχνική ZeroFont phishing έχει χρησιμοποιηθεί στο παρελθόν, είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το τέχνασμα θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των επιχειρήσεων phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξή της.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, η οποία καταγράφηκε για πρώτη φορά από την Avanan το 2018, είναι μια τεχνική phishing που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα επεξεργασίας τεχνητής νοημοσύνης και φυσικής γλώσσας (NLP) στις πλατφόρμες ασφαλείας ηλεκτρονικού ταχυδρομείου αναλύουν το κείμενο.
Περιλαμβάνει την εισαγωγή κρυμμένων λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, θέτοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο για τους ανθρώπινους στόχους, αλλά διατηρώντας το αναγνώσιμο από τους αλγόριθμους NLP.
Η επίθεση αυτή αποσκοπεί στην αποφυγή των φίλτρων ασφαλείας με την εισαγωγή αόρατων καλοήθων όρων που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, διαστρεβλώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή της για το 2018, η Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε την προηγμένη προστασία από απειλές (ATP) του Office 365 της Microsoft, ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων antivirus
Σε ένα νέο phishing email που είδε η Kopriva, ένας απειλητικός παράγοντας χρησιμοποιεί την επίθεση ZeroFont για να χειραγωγήσει τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω μήνυμα ηλεκτρονικού ταχυδρομείου εμφάνιζε ένα διαφορετικό μήνυμα στη λίστα email του Outlook από ό,τι στο παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, στο παράθυρο της λίστας email αναγράφεται “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM,” ενώ η αρχή του email στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Offer | Employment Opportunity”.
Αυτή η ασυμφωνία επιτυγχάνεται με την αξιοποίηση του ZeroFont για την απόκρυψη του ψεύτικου μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού μηνύματος phishing, έτσι ώστε ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Ο στόχος είναι να ενσταλάξουν στον παραλήπτη μια ψευδή αίσθηση νομιμότητας και ασφάλειας.
Παρουσιάζοντας ένα παραπλανητικό μήνυμα σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό ότι το Outlook δεν είναι το μόνο πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου που αρπάζει το πρώτο τμήμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, οπότε συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.
Η ψεύτικη εφαρμογή συναγερμού πυραύλων “RedAlert” για το Ισραήλ εγκαθιστά κατασκοπευτικό λογισμικό Android
Οι Ισραηλινοί χρήστες Android έχουν στοχοποιηθεί από μια κακόβουλη έκδοση της εφαρμογής “RedAlert – Rocket Alerts”, η οποία, ενώ προσφέρει την υποσχόμενη λειτουργικότητα, λειτουργεί ως λογισμικό κατασκοπείας στο παρασκήνιο. Το RedAlert – Rocket Alerts είναι μια νόμιμη εφαρμογή ανοιχτού κώδικα που χρησιμοποιείται από τους Ισραηλινούς πολίτες για να λαμβάνουν ειδοποιήσεις για εισερχόμενες ρουκέτες που στοχεύουν τη χώρα. Η εφαρμογή είναι ιδιαίτερα δημοφιλής, με πάνω από ένα εκατομμύριο λήψεις στο Google Play.
Από τότε που οι τρομοκράτες της Χαμάς εξαπέλυσαν την επίθεσή τους στο Νότιο Ισραήλ την περασμένη εβδομάδα, με χιλιάδες ρουκέτες, το ενδιαφέρον για την εφαρμογή έχει εκραγεί, καθώς οι άνθρωποι αναζητούσαν έγκαιρες προειδοποιήσεις για επερχόμενες αεροπορικές επιδρομές στην περιοχή τους. Σύμφωνα με την Cloudflare, χάκερ άγνωστης αιτιολογίας και προέλευσης εκμεταλλεύονται το αυξημένο ενδιαφέρον για την εφαρμογή και τον φόβο των επιθέσεων για να διανείμουν μια ψεύτικη έκδοση που εγκαθιστά λογισμικό κατασκοπείας.
Αυτή η κακόβουλη έκδοση διανέμεται από τον ιστότοπο “redalerts[.]me”, ο οποίος δημιουργήθηκε στις 12 Οκτωβρίου 2023 και περιλαμβάνει δύο κουμπιά για τη λήψη της εφαρμογής για τις πλατφόρμες iOS και Android. Η λήψη για το iOS ανακατευθύνει τον χρήστη στη σελίδα του νόμιμου έργου στο App Store της Apple, αλλά το κουμπί για το Android κατεβάζει απευθείας ένα αρχείο APK για να εγκατασταθεί στη συσκευή.
Ειδοποίηση Spyware
Το APK που κατεβάσατε χρησιμοποιεί τον νόμιμο κώδικα της πραγματικής εφαρμογής RedAlert, έτσι ώστε να περιέχει όλες τις κανονικές λειτουργίες και να εμφανίζεται ως ένα νόμιμο εργαλείο συναγερμού πυραύλων.
Ωστόσο, η Cloudflare διαπίστωσε ότι η εφαρμογή ζητά πρόσθετες άδειες από τα θύματα, συμπεριλαμβανομένης της πρόσβασης στις επαφές, τους αριθμούς, το περιεχόμενο SMS του χρήστη, τη λίστα του εγκατεστημένου λογισμικού, τα αρχεία καταγραφής κλήσεων, το IMEI του τηλεφώνου, τους συνδεδεμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου και εφαρμογών και πολλά άλλα.
Κατά την εκκίνηση, η εφαρμογή ξεκινά μια υπηρεσία παρασκηνίου που κάνει κατάχρηση αυτών των δικαιωμάτων για να συλλέξει δεδομένα, να τα κρυπτογραφήσει με AES σε λειτουργία CBC και να τα φορτώσει σε μια σκληρά κωδικοποιημένη διεύθυνση IP.
Η εφαρμογή διαθέτει επίσης μηχανισμούς κατά της αποσφαλμάτωσης, κατά της εξομοίωσης και κατά των δοκιμών που την προστατεύουν από τους ερευνητές και τα εργαλεία αναθεώρησης κώδικα.
Συμβουλές ασφαλείας RedAlert
Ο ψεύτικος ιστότοπος είναι εκτός λειτουργίας τη στιγμή που γράφονται αυτές οι γραμμές. Ωστόσο, οι απειλητικοί φορείς πιθανότατα θα στραφούν σε νέο τομέα μετά την αποκάλυψη της επιχείρησής τους.
Ένας απλός τρόπος για να διακρίνετε μεταξύ της πραγματικής και της παγιδευμένης έκδοσης είναι να ελέγξετε τα δικαιώματα που ζητά η εφαρμογή κατά την εγκατάσταση ή στα οποία έχει πρόσβαση σε περίπτωση που είναι ήδη εγκατεστημένη στη συσκευή σας.
Για να το ελέγξετε αυτό, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής, επιλέξτε “Πληροφορίες εφαρμογής” και πατήστε “Δικαιώματα”.
Επίσης, έχουν αναφερθεί περιπτώσεις αεροπειρατείας στην πραγματική εφαρμογή RedAlert, με χακτιβιστές να εκμεταλλεύονται ελαττώματα API για να προωθούν ψεύτικες ειδοποιήσεις στους χρήστες. Για να ελαχιστοποιήσετε την πιθανότητα τέτοιων περιστατικών, βεβαιωθείτε ότι χρησιμοποιείτε την τελευταία έκδοση της εφαρμογής που περιλαμβάνει όλες τις διαθέσιμες διορθώσεις ασφαλείας.
Η παραλλαγή του Mirai DDoS αυξάνει τους στόχους με 13 exploits για δρομολογητές
Ένα botnet κακόβουλου λογισμικού DDoS (distributed denial of service) που βασίζεται στο Mirai και παρακολουθείται ως IZ1H9 έχει προσθέσει δεκατρία νέα ωφέλιμα φορτία για να στοχεύσει δρομολογητές και δρομολογητές που βασίζονται σε Linux από τις εταιρείες D-Link, Zyxel, TP-Link, TOTOLINK και άλλες.
Οι ερευνητές της Fortinet αναφέρουν ότι παρατήρησαν μια κορύφωση στα ποσοστά εκμετάλλευσης γύρω στην πρώτη εβδομάδα του Σεπτεμβρίου, φτάνοντας τις δεκάδες χιλιάδες απόπειρες εκμετάλλευσης εναντίον ευάλωτων συσκευών.
Το IZ1H9 θέτει σε κίνδυνο συσκευές για να τις επιστρατεύσει στο σμήνος DDoS και στη συνέχεια εξαπολύει επιθέσεις DDoS σε συγκεκριμένους στόχους, προφανώς σε πελάτες που νοικιάζουν τη δύναμη πυρός του.
Στόχος IoT συσκευών
Όσο περισσότερες συσκευές και τρωτά σημεία στοχοποιούνται από ένα κακόβουλο λογισμικό DDoS, τόσο αυξάνεται η δυνατότητα δημιουργίας ενός μεγάλου και ισχυρού botnet, ικανού να επιφέρει μαζικά πλήγματα σε ιστότοπους.
Στην περίπτωση του IZ1H9, η Fortinet αναφέρει ότι χρησιμοποιεί exploits για τα ακόλουθα ελαττώματα, που χρονολογούνται από το 2015 έως το 2023:
Η εκστρατεία στοχεύει επίσης σε ένα απροσδιόριστο CVE που σχετίζεται με τη διαδρομή “/cgi-bin/login.cgi”, επηρεάζοντας δυνητικά τον δρομολογητή Prolink PRC2402M.
Αλυσιδωτή επίθεση
Μετά την εκμετάλλευση ενός από τα προαναφερθέντα CVEs, ένα payload IZ1H9 εισάγεται στη συσκευή που περιέχει μια εντολή για την ανάκτηση ενός προγράμματος λήψης σεναρίων shellμε όνομα “l.sh” από μια καθορισμένη διεύθυνση URL.
Κατά την εκτέλεση, το σενάριο διαγράφει τα αρχεία καταγραφής για να αποκρύψει την κακόβουλη δραστηριότητα και, στη συνέχεια, φέρνει πελάτες bot προσαρμοσμένους για διαφορετικές αρχιτεκτονικές συστημάτων.
Τέλος, το σενάριο τροποποιεί τους κανόνες iptables της συσκευής ώστε να εμποδίζει τη σύνδεση σε συγκεκριμένες θύρες και να δυσχεραίνει την αφαίρεση του κακόβουλου λογισμικού από τη συσκευή.
Έχοντας κάνει όλα τα παραπάνω, το bot εγκαθιστά επικοινωνία με τον διακομιστή C2 (command and control) και περιμένει την εκτέλεση εντολών.
Οι υποστηριζόμενες εντολές αφορούν τον τύπο της επίθεσης DDoS που θα εξαπολύσει, συμπεριλαμβανομένων των UDP, UDP Plain, HTTP Flood και TCP SYN.
Η Fortinet αναφέρει επίσης ότι το IZ1H9 διαθέτει ένα τμήμα δεδομένων με σκληρά κωδικοποιημένα διαπιστευτήρια που χρησιμοποιούνται για επιθέσεις brute-force.
Αυτές οι επιθέσεις μπορεί να είναι χρήσιμες για τη διάδοση σε παρακείμενες συσκευές ή για τον έλεγχο ταυτότητας σε συσκευές IoT για τις οποίες δεν υπάρχει λειτουργικό exploit.
Συνιστάται στους κατόχους συσκευών IoT να χρησιμοποιούν ισχυρά διαπιστευτήρια χρήστη διαχειριστή, να τις ενημερώνουν στην τελευταία διαθέσιμη έκδοση υλικολογισμικού και, αν είναι δυνατόν, να μειώνουν την έκθεσή τους στο δημόσιο διαδίκτυο.
Οι Σύγχρονες GPU είναι ευάλωτες σε επιθέσεις GPU.zip side-channel
Ερευνητές από τέσσερα αμερικανικά πανεπιστήμια ανέπτυξαν μια νέα επίθεση δευτερεύοντος καναλιού GPU που αξιοποιεί τη συμπίεση δεδομένων για να διαρρεύσουν ευαίσθητα οπτικά δεδομένα από τις σύγχρονες κάρτες γραφικών κατά την επίσκεψη σε ιστοσελίδες.
Οι ερευνητές απέδειξαν την αποτελεσματικότητα αυτής της επίθεσης “GPU.zip” εκτελώντας επιθέσεις κλοπής pixel από φίλτρο SVG cross-origin μέσω του προγράμματος περιήγησης Chrome.
Οι ερευνητές αποκάλυψαν την ευπάθεια στους επηρεαζόμενους κατασκευαστές καρτών γραφικών τον Μάρτιο του 2023. Ωστόσο, μέχρι τον Σεπτέμβριο του 2023, κανένας από τους επηρεαζόμενους προμηθευτές GPU (AMD, Apple, Arm, NVIDIA, Qualcomm) ή η Google (Chrome) δεν έχουν κυκλοφορήσει διορθώσεις για την αντιμετώπιση του προβλήματος.
Το νέο ελάττωμα περιγράφεται σε έγγραφο από ερευνητές του Πανεπιστημίου του Τέξας στο Όστιν, του Πανεπιστημίου Carnegie Mellon, του Πανεπιστημίου της Ουάσινγκτον και του Πανεπιστημίου του Ιλινόις Urbana-Champaign και θα δημοσιευτεί στο 45ο Συμπόσιο IEEE για την Ασφάλεια και την Ιδιωτικότητα.
Διαρροή μέσω συμπίεσης
Γενικά, η συμπίεση δεδομένων δημιουργεί ξεχωριστή κίνηση DRAM και χρήση κρυφής μνήμης, η οποία μπορεί να χρησιμοποιηθεί για διαρροή μυστικών, οπότε το λογισμικό απενεργοποιεί τη συμπίεση όταν χειρίζεται ευαίσθητα δεδομένα.
Οι ερευνητές του GPU.zip εξηγούν ότι όλες οι σύγχρονες μονάδες επεξεργαστών γραφικών, ειδικά τα ενσωματωμένα τσιπ της Intel και της AMD, εκτελούν συμπίεση δεδομένων που είναι ορατή από το λογισμικό, ακόμη και όταν δεν τους ζητείται ρητά.
Οι σύγχρονες GPU ακολουθούν αυτή την επικίνδυνη πρακτική ως στρατηγική βελτιστοποίησης, καθώς βοηθά στην εξοικονόμηση εύρους ζώνης μνήμης και στη βελτίωση των επιδόσεων χωρίς λογισμικό.
Αυτή η συμπίεση είναι συχνά μη τεκμηριωμένη και ειδική για τον προμηθευτή και οι ερευνητές βρήκαν έναν τρόπο να την εκμεταλλευτούν για να διαρρεύσουν οπτικά δεδομένα από τις GPU.
Συγκεκριμένα, παρουσίασαν μια επίθεση που εξάγει μεμονωμένα δεδομένα pixel μέσω ενός προγράμματος περιήγησης στο διαδίκτυο σε διάφορες συσκευές και αρχιτεκτονικές GPU, όπως φαίνεται παρακάτω.
Η proof-of-concept επίθεση επιδεικνύει την κλοπή του ονόματος χρήστη από ένα iframe της Wikipedia, η οποία είναι δυνατή μέσα σε 30 λεπτά σε Ryzen και 215 λεπτά σε Intel GPU, με ακρίβεια 97% και 98,3%, αντίστοιχα.
Το iframe φιλοξενεί μια διασταυρούμενη ιστοσελίδα της οποίας τα pixel απομονώνονται και μετατρέπονται σε δυαδικά, δηλαδή μετατρέπονται σε δύο πιθανά χρώματα.
Στη συνέχεια, αυτά τα εικονοστοιχεία μεγεθύνονται και εφαρμόζεται μια εξειδικευμένη στοίβα φίλτρων SVG για τη δημιουργία υφών που είναι είτε συμπιέσιμες είτε όχι. Μετρώντας τον χρόνο που απαιτείται για την απόδοση της υφής, οι ερευνητές μπορούν να συμπεράνουν το αρχικό χρώμα/κατάσταση του εικονοστοιχείου-στόχου.
Πρόσφατα είδαμε την εφαρμογή των φίλτρων SVG για την πρόκληση εκτέλεσης που εξαρτάται από τα δεδομένα και τη χρήση της JavaScript για τη μέτρηση του χρόνου και της συχνότητας υπολογισμού για τη διάκριση του χρώματος του εικονοστοιχείου στην επίθεση “Hot Pixels”.
Ενώ το Hot Pixels εκμεταλλεύεται τους εξαρτώμενους από τα δεδομένα χρόνους υπολογισμού στους σύγχρονους επεξεργαστές, το GPU.zip στηρίζεται στην ατεκμηρίωτη συμπίεση δεδομένων της GPU για να επιτύχει παρόμοια αποτελέσματα.
Η σοβαρότητα του GPU.zip
Το GPU.zip επηρεάζει σχεδόν όλους τους μεγάλους κατασκευαστές GPU, συμπεριλαμβανομένων των AMD, Apple, Arm, Intel, Qualcomm και NVIDIA, αλλά δεν επηρεάζονται εξίσου όλες οι κάρτες.
Το γεγονός ότι κανένας από τους επηρεαζόμενους κατασκευαστές δεν έχει αποφασίσει να διορθώσει το πρόβλημα βελτιστοποιώντας την προσέγγιση συμπίεσης δεδομένων και περιορίζοντας τη λειτουργία της σε μη ευαίσθητες περιπτώσεις αυξάνει περαιτέρω τον κίνδυνο.
Αν και το GPU.zip επηρεάζει δυνητικά τη συντριπτική πλειονότητα των φορητών υπολογιστών, των smartphones, των tablet και των επιτραπέζιων υπολογιστών παγκοσμίως, ο άμεσος αντίκτυπος στους χρήστες μετριάζεται από την πολυπλοκότητα και το χρόνο που απαιτείται για την εκτέλεση της επίθεσης.
Επίσης, οι ιστότοποι που αρνούνται την ενσωμάτωση iframe cross-origin δεν μπορούν να χρησιμοποιηθούν για τη διαρροή δεδομένων χρηστών μέσω αυτής ή παρόμοιων επιθέσεων πλευρικού καναλιού.
“Οι περισσότεροι ευαίσθητοι ιστότοποι αρνούνται ήδη την ενσωμάτωση από ιστότοπους cross-origin. Ως αποτέλεσμα, δεν είναι ευάλωτες στην επίθεση κλοπής pixel που τοποθετήσαμε χρησιμοποιώντας το GPU.zip”, εξηγούν οι ερευνητές σε ένα FAQ στον ιστότοπο της ομάδας.
Τέλος, οι ερευνητές σημειώνουν ότι ο Firefox και ο Safari δεν πληρούν όλα τα κριτήρια που απαιτούνται για να λειτουργήσει το GPU.zip, όπως η δυνατότητα φόρτωσης cross-origin iframes με cookies, η απόδοση φίλτρων SVG σε iframes και η ανάθεση εργασιών rendering στη GPU.
Νέο CVE υψηλής βαθμολογίας από την Google στη libwebp
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης
Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.
Πρόσφατες επιθέσεις της Gelsemium
Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.
Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.
Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.
Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.
Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.
Η Insomniac Games στο Στόχαστρο του Ransomware Rhysida
Η Insomniac κερδίζει τις εντυπώσεις με δύο βραβευμένα παιχνίδια, το Spider-Man, ενώ παράλληλα ετοιμάζεται για τον επερχόμενο τίτλο που βασίζεται στο Marvel’s Wolverine.
Ωστόσο, πρόσφατες εξελίξεις αναδεικνύουν πιθανά αρκετά ενδιαφέροντα στοιχεία σχετικά με το παιχνίδι Wolverine. Υπάρχει η πιθανότητα ορισμένες λεπτομέρειες να έχουν διαρρεύσει λόγω ενός hack, καθώς εντοπίστηκε ένα σχολιασμένο στιγμιότυπο οθόνης από το παιχνίδι στα δεδομένα απόδειξης της συμμορίας. Παρατηρούνται επίσης εικονογραφήσεις χαρακτήρων που φαίνεται να συνδέονται με άλλους ήρωες της Marvel, οι οποίοι ενδέχεται να κάνουν εμφάνιση στο παιχνίδι.
Πέραν τούτου, οι σαρώσεις αποκαλύπτουν διαβατήρια που φέρουν το όνομα πρώην ή τρέχοντος προσωπικού της Insomniac, συμπεριλαμβανομένου ενός πρώην μέλους που νυν εργάζεται στη Disney, έπειτα από απόλυσή πριν από δύο μήνες. Επίσης, ένα άλλο έγγραφο φαίνεται να ανήκει στον ηθοποιό που υποδύθηκε τον Peter Parker, γνωστό ως Spider-Man, στην πρόσφατη έκδοση του παιχνιδιού, με τον Yuri Lowenthal.
Εκτός από αυτά, τα έγγραφα που παρουσιάζονται ως αποδεικτικό υλικό για την παραβίαση περιλαμβάνουν εσωτερικά emails και υπογεγραμμένα εμπιστευτικά έγγραφα.
Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης
Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.
Πρόσφατες επιθέσεις της Gelsemium
Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.
Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.
Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.
Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.
Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.
Κακόβουλα πακέτα Solana, Kucoin μολύνουν τους προγραμματιστές του NuGet με το SeroXen RAT
Κακόβουλα πακέτα NuGet που εμφανίζονται να έχουν πάνω από 2 εκατομμύρια λήψεις υποδύονται τα πορτοφόλια κρυπτογράφησης, το ανταλλακτήριο κρυπτογράφησης και τις βιβλιοθήκες Discord για να μολύνουν τους προγραμματιστές με το trojan απομακρυσμένης πρόσβασης SeroXen.
Το NuGet είναι ένα σύστημα διαχείρισης πακέτων ανοικτού κώδικα και διανομής λογισμικού που λειτουργεί διακομιστές φιλοξενίας πακέτων για να μπορούν οι χρήστες να τα κατεβάζουν και να τα χρησιμοποιούν για τα αναπτυξιακά τους έργα.
Τα κακόβουλα πακέτα που ανέβηκαν στο NuGet από έναν χρήστη με το όνομα “Disti” ανακαλύφθηκαν από τους ερευνητές της Phylum, οι οποίοι δημοσίευσαν σήμερα μια έκθεση για να προειδοποιήσουν για την απειλή.
Και τα έξι πακέτα στο αποθετήριο του Disti περιέχουν το ίδιο αρχείο XML που κατεβάζει το “x.bin”, ένα συγκεκαλυμμένο αρχείο δέσμης των Windows που εκτελεί κακόβουλες δραστηριότητες στο σύστημα που έχει παραβιαστεί.
Τα πακέτα μιμούνται δημοφιλή έργα, ανταλλαγές και πλατφόρμες κρυπτονομισμάτων, εμφανίζοντας ακόμη και τα επίσημα λογότυπα για να ξεγελάσουν τους χρήστες.
Τα έξι πακέτα που ανέβασε ο Disti στο NuGet, και τα οποία είναι ακόμη διαθέσιμα τη στιγμή που γράφεται αυτή η αναφορά, είναι τα εξής:
Kraken.Exchange – 635k downloads
KucoinExchange.Net – 635k downloads
SolanaWallet – 600k downloads
Modern.Winform.UI – 100k downloads
Monero – 100k downloads
DiscordsRpc – 75k downloads
Οι αριθμοί λήψης θεωρούνται υπερβολικοί και ενδέχεται να μην είναι αντιπροσωπευτικοί της εμβέλειας αυτών των πακέτων στην κοινότητα NuGet.
Παρόλα αυτά, αυτοί οι αριθμοί λήψεων ενισχύουν αποτελεσματικά την αντιληπτή αξιοπιστία των πακέτων, κάνοντάς τα να φαίνονται σαν γνήσιες εκδόσεις των εφαρμογών ή των πλατφορμών που υπονοούνται από τα ονόματά τους.
Ο Disti μπορεί να διόγκωσε τα στοιχεία λήψης χρησιμοποιώντας αυτοματοποιημένα σενάρια, botnets, εικονικές μηχανές ή cloud containers που κατεβάζουν ένα πακέτο πολλές φορές.
Τα πακέτα ενσωματώνουν δύο σενάρια PowerShell που εκτελούν αρχεία CMD και Batch κατά την εγκατάσταση στον υπολογιστή του θύματος.
Η δέσμη ενεργειών κατεβάζει ένα αρχείο από μια εξωτερική διεύθυνση URL, το αποθηκεύει ως “.cmd” σε έναν προσωρινό κατάλογο και το εκτελεί χωρίς να εμφανίζει τίποτα στην οθόνη.
Αυτή η δέσμη ενεργειών ανακτά ένα άλλο αρχείο με όνομα “x.bin”, το οποίο, παρά το όνομά του, είναι μια συγκεκαλυμμένη δέσμη ενεργειών με πάνω από 12.000 γραμμές και σκοπός της είναι να κατασκευάσει και να εκτελέσει μια ακόμη δέσμη ενεργειών PowerShell.
Τελικά, αυτή η τελική δέσμη ενεργειών διαβάζει τμήματα από το αρχείο cmd για να αποκρυπτογραφήσει και να αποσυμπιέσει ένα κωδικοποιημένο ωφέλιμο φορτίο από το εσωτερικό του, το οποίο σύμφωνα με την Phylum είναι το SeroXen RAT.
Αυτό το πλούσιο σε χαρακτηριστικά trojan απομακρυσμένης πρόσβασης διατίθεται στην αγορά ως νόμιμο πρόγραμμα και πωλείται για $15/μήνα ή για μια εφάπαξ “ισόβια” αγορά των $60.
Τον Μάιο, η AT&T ανέφερε ότι το SeroXen RAT κερδίζει ολοένα και μεγαλύτερη δημοτικότητα μεταξύ των κυβερνοεγκληματιών που εκτιμούν τα χαμηλά ποσοστά εντοπισμού και τις ισχυρές δυνατότητές του.
Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.
Πιστεύω όλοι έχουμε πάει να κάνουμε ηλεκτρονικές αγορές, ή να φτιάξουμε λογαριασμός στα Social Media σωστά;
Πιστεύω όλοι έχουμε δει αυτό την επιλογή που λέει να προσθέσουμε τον αριθμό κινητού μας έτσι ώστε να μας στείλουν έναν κωδικό επιβεβαιώσεις σωστά;
Πάρα πολλά άτομα ξενερώνουν με την Ανωνυμία επειδή αναγκάζονται να προσθέσουν τα προσωπικά τους στοιχεία ( όπως τον αριθμό τους ).
Σήμερα θα σας δείξω έναν πολύ απλό τρόπο έτσι ώστε να κάνετε αγορές καθώς και λογαριασμούς χωρίς να προσθέτετε τα προσωπικά σας στοιχεία.
Temp-SMS
https://temp-sms.org/sms/642108797516
Αυτός ο ιστότοπος είναι πολύ παρόμοιος με το temp mail – sms, αλλά σε αυτόν τον ιστότοπο μπορείτε να πάρετε έναν αριθμό EN , υπάρχει όμως μια μικρή περίπτωση
μερική ιστότοποι να μην μπορούν να επιβεβαιώσουν τον αριθμό αυτόν οπότε πρέπει να δείτε και άλλους συνδέσμους.
7sim
https://7sim.org/free-phone-number-45MwGrzN
Αυτός ο ιστότοπος είναι ένας άλλος πολύ καλός ιστότοπος που έχω χρησιμοποιήσει και δίνει έναν πραγματικά περίεργο αριθμό όπως το 570, αλλά μπορείτε να πάρετε έναν αριθμό από το Ηνωμένο Βασίλειο ( παράδειγμα ) και να περάσετε από το yahoo και άλλους ιστότοπους με αυτό το ελεύθερο site ελέγχου sms.
http://freesmsverification.com/
k7.net – Αυτή η χρήση για δωρεάν Verifications δουλεύει τέλεια σε όλα τα site για οποιαδήποτε χώρα!
Το site αυτό έχει κατασκευαστή για να σας δώσει έναν αριθμό που ήταν σαν έναν πραγματικό αριθμό τηλεφώνου και ήταν glitchy δεδομένου ότι δεν προσφέρουν sms, αλλά θα μπορούσατε να χρησιμοποιήσετε τη φωνητική επαλήθευση επειδή με την επιβεβαίωση του αριθμού αμέσως θα πάρετε ένα φωνητικό μήνυμα και θα λάβετε τους κωδικούς επαλήθευσης σας δυστυχώς, ξεκίνησαν αυτό το site αντιμετωπίζει μερικές φορές θέματα όταν πηγαίνετε στο k7 και προσπαθήστε να πάρετε έναν αριθμό, αν το κάνετε αυτό και σας βγάλει κάποιο σφάλμα, απλά θα σας ανακατευθύνει σε εκεί νέο site που προσφέρει μόνο 800 αριθμούς.
Οι 800 αριθμοί ενδέχεται να μην δουλεύουν σχεδόν καθόλου για την επαλήθευση.
Για να περάσει την επαλήθευση των sms στο gmail παράδειγμα δοκιμάστε της παραπάνω μεθόδους που έγραψα.
Είναι μια μέθοδος που για εμένα δούλεψε, αυτό θα σας βοηθήσει στο να ξεφύγετε ακόμη και να χρειαστεί να χρησιμοποιήσετε έναν αριθμό τηλεφώνου, σας προτείνω αυτή τη μέθοδο.
Μερικά ακόμα links για δωρεάν verifications numbers:
Πως να πιάσετε συχνότητα WiFI ακτίνας 2-5 Χιλιομέτρων ( + Amplified Aircrack )
Γενικές Πληροφορίες
Σε αυτόν τον οδηγό θα σας δείξω πως μπορείτε να πιάσετε σήμα WiFi σε ακτίνα 2 – 5 χιλιομέτρων. Τώρα θα μου πει κάποιος είναι εφικτό αυτό; Φυσικά και ναι. Οπότε πάω στον οδηγό κατευθείαν.
Τι Θα χρειαστούμε;
Αρχικά θα χρειαστούμε κάποια πράγματα προς αγορά για να τελέσουμε τον οδηγό μας και φυσικά κοστίζουν καθώς είναι υλικά αγαθά οπότε έχουμε και λέμε.
1. Yagi Antenna Είναι τύπος κεραίας ώστε να πιάσουμε μεγάλες συχνότητες. ( RP-SMA connector / DBI )
A buffer overflow (bof), or buffer overrun, is an anomaly whereby a program, while writing data to a buffer, overruns the buffer’s boundary and overwrites adjacent memory locations (Wikipedia).
Θα αναλύσουμε σε αυτό το άρθρο αυτή την πολύ παλιά ευπάθεια λογισμικού και θα δούμε αν αυτή εξακολουθεί να μετράει…
Από το πρώτο άρθρο του Aleph One (Elias Levy) το 1996, “Smashing The Stack For Fun And Profit“, έχουν περάσει πάνω από 25 χρόνια. Η απάντηση στην ερώτηση “Είναι αυτή η ευπάθεια ακόμα ενεργή;” είναι ένα μεγάλο: ΝΑΙ!
Αλλά πράγματι, σήμερα, με τα σύγχρονα περιβάλλοντα & γλώσσες ανάπτυξης λογισμικού (.Net, J2EE, RoR, κλπ) δεν είναι τόσο εύκολο να πραγματοποιηθεί μια τέτοια επίθεση, αλλά… οι εφαρμογές που δημιουργήθηκαν σε περισσότερο low level γλώσσες προγραμματισμού που είναι ευάλωτες στην buffer overflow (όπως η C ή η C++) εξακολουθούν να υπάρχουν, και είναι πολλές: Web servers, Λειτουργικά Συστήματα, DBMSs και γενικά, σχεδόν σε όλα όσα βάζουμε να “τρέχουν” οι “ασφαλείς” εφαρμογές μας…
Σε αυτή τη σειρά άρθρων θα προσπαθήσω να εξηγήσω στους νεοεισερχόμενους πώς μπορεί να γίνει μια τέτοια επίθεση σε σύγχρονα περιβάλλοντα και Λειτουργικά Συστήματα.
Δεδομένου ότι η συγκεκριμένη επίθεση έχει να κάνει με την αρχιτεκτονική της μνήμης, την αρχιτεκτονική των λειτουργικών συστημάτων και τις συγκεκριμένες υλοποιήσεις μεταγλωττιστών, υπάρχουν αρκετές παραδοχές που πρέπει να κάνουμε.
Θα συζητήσουμε αυτές τις υποθέσεις για κάθε αρχιτεκτονική που επιλέγουμε.
Ας ξεκινήσουμε το ταξίδι μας με Linux…
0x1. Linux 64bit σε εφαρμογή 64bit
Ας δημιουργήσουμε τη δοκιμαστική μας εφαρμογή σε γλώσσα C για να ολοκληρώσουμε τη δοκιμή.
Ο πηγαίος κώδικας είναι ο εξής:
Αυτό το πολύ απλό πρόγραμμα επίδειξης, αυτό που κάνει είναι να λάβει ένα κλειδί προϊόντος ως είσοδο και αν το κλειδί προϊόντος είναι σωστό θα συνεχίσει στην κύρια ροή, διαφορετικά παράγει ένα σφάλμα και εξέρχεται.
Η είσοδος μπορεί να δοθεί από όρισμα της γραμμής εντολών ή (αν δεν δοθούν ορίσματα) θα ζητήσει από τον χρήστη να το εισάγει.
Για να μπορέσουμε να πραγματοποιήσουμε μια επιτυχημένη επίθεση, κάνουμε κάποιες παραδοχές χρησιμοποιώντας συγκεκριμένες σημαίες (flags) του μεταγλωττιστή.
Μεταγλωττίζω το πρόγραμμα ως εξής:
-m64: δημιουργία ενός εκτελέσιμου αρχείου σε αρχιτεκτονική 64bit (για να είμαι ειλικρινής, θα μπορούσα να το παραλείψω στο συγκεκριμένο σύστημα, αφού χρησιμοποιείται ως προεπιλογή).
-g: για την παραγωγή ειδικών μεταδεδομένων για τον αποσφαλματωτή (debugger – που θα χρησιμοποιήσουμε αργότερα)
-fno-stack-protector: κατά την εκτέλεση του προγράμματος δεν θα πραγματοποιείται έλεγχος στοίβας μνήμης (no stack protection).
-z execstack: επιτρέπει την εκτέλεση κώδικα σε τμήμα στοίβας (στη μνήμη).
-o demo: όνομα του τελικού εκτελέσιμου αρχείου θα είναι demo.
Το συγκεκριμένο παράδειγμα έχει υλοποιηθεί στο KALI Linux 2022.4:
Επιπλέον, είναι πολύ σημαντικό να απενεργοποιήσετε την προστασία ASLR (Address Space Layout Randomization).
Για να το κάνετε αυτό, στο kali απλά εισάγετε την εντολή ως root:
Και… btw, αν θέλετε να ελέγξετε, ποια είναι η τρέχουσα κατάσταση του ASLR, εισάγετε αυτό:
$ sudo cat /proc/sys/kernel/randomize_va_space
Στην παρακάτω εικόνα βλέπουμε μια κανονική εκτέλεση του μικρού μου προγράμματος επίδειξης.
Όπως μπορείτε να δείτε, υπάρχουν δύο (τουλάχιστον!!) κύρια τρωτά σημεία στο πρόγραμμα: Είναι όπου χρησιμοποιείται η ευάλωτη συνάρτηση strcpy και ας το δούμε αυτό στην πράξη:
O παραπάνω είναι ένας σχετικά εύκολος ο τρόπος για να ελέγξουμε αν το πρόγραμμά μας είναι ευάλωτο σε μια επίθεση buffer overflow: Δίνουμε ένα πολύ μεγάλο αλφαριθμητικό και στη συνέχεια ελέγχουμε την απόκριση του προγράμματος. Αν λάβουμε ένα ‘segmentation fault’ τότε είναι πιθανό να έχουμε μια ευπάθεια bof (buffer overflow)…
0x1.0x1. Η προσέγγιση ROP
Σύμφωνα με τη Wikipedia: Return-oriented programming (ROP) is a computer security exploit technique that allows an attacker to execute code in the presence of security defenses such as executable space protection and code signing.
Ο κύριος στόχος μας εδώ είναι να εκμεταλλευτούμε την ευπάθεια ενός προγράμματος προκειμένου να ανακατευθύνουμε τη ροή του προγράμματος εκεί που μας αρέσει (και εκεί που μπορούμε, βεβαίως βεβαίως)…
Ας εξετάσουμε τη συμπεριφορά του προγράμματος χρησιμοποιώντας τον αποσφαλματωτή gdb.
Βάζουμε ένα σημείο διακοπής (break point) στη γραμμή 7, αμέσως μετά την strcpy, μέσα στη συνάρτηση checkProductKey.
Εκτελούμε την εφαρμογή μέσα στον αποσφαλματωτή ( απλά πληκτρολογούμε dbg ./demo ) περνώντας ένα κανονικό αλφαριθμητικό, προκειμένου να ελέγξουμε πού βρίσκεται η διεύθυνση RET (περισσότερα γι’ αυτό παρακάτω). Έτσι θα έχουμε:
Ας συζητήσουμε μερικά πραγματάκια εδώ…
Η παραπάνω εικόνα χωρίζεται σε 2 κονσόλες:
Η αριστερή κονσόλα είναι ο disassembled κώδικας του προγράμματος που λαμβάνω μετά την τοποθέτηση του σημείου διακοπής στη γραμμή 7 (break 7) και την εισαγωγή disassemble /s main. Η παράμετρος “/s” δίνει εντολή στον αποσφαλματωτή να παράγει τον disassembled κώδικα μαζί με τον αντίστοιχο πηγαίο κώδικα C (thanks to the flag -g στη φάση της μεταγλώττισης).
Η δεξιά κονσόλα είναι η κονσόλα εκτέλεσης στην οποία δουλεύουμε δοκιμάζοντας το πρόγραμμα μας.
Σημειώστε επίσης το εξής σημαντικό: οι διευθύνσεις μνήμης (που ορίζονται με μπλε χρώμα) είναι ίδιες και στις δύο εικόνες. Αυτό είναι πολύ δύσκολο να συμβεί σε πραγματικές καταστάσεις, επειδή αυτές οι διευθύνσεις μπορεί να μην είναι πάντα οι ίδιες κάθε φορά που εκτελούμε το πρόγραμμα. Αυτό συμβαίνει εξαιτίας του ASLR, και γι’ αυτό το λόγο το απενεργοποιούμε, παραπάνω, αλλιώς μπορεί να καταλήξουμε να κυνηγάμε… φαντάσματα, πιστέψτε με! — burned-burned-burned!!
Όπως μπορείτε να δείτε στα ΠΡΑΣΙΝΑ ΚΟΥΤΙΑ τρέχουμε το πρόγραμμα στον αποσφαλματωτή περνώντας 10 “Α” ως όρισμα: run AAAAAAAAAA
Αυτό αποθηκεύεται στη στοίβα (stack – μην μου πείτε οτι δεν το ξέρετε – see part I) καθώς καλείται η συνάρτηση checkProductKey αφού περνάει ως όρισμα στη συνάρτηση.
Μπορούμε να δούμε τη στοίβα στη μνήμη εισάγοντας την εντολή x/24xg $rsp στον αποσφαλματωτή. Αυτή η εντολή δίνει εντολή στον αποσφαλματωτή να εμφανίσει σε δεκαεξαδική μορφή “x”, τις επόμενες 24 θέσεις μνήμης σε γιγαντιαία (“g”) μορφή 8-bytes.
Το $rsp είναι το γνωστό Stack Pointer (το παλιό ESP στα 32bit συστήματα – see again part I) όπου στην περίπτωσή μας δείχνει τις μεταβλητές που πέρασαν ως ορίσματα μέσα στη συνάρτησή μας.
Τα “AAAAAAAAAA” αναπαρίστανται εδώ σε δεκαεξαδική μορφή (“x”) από τον αριθμό “41” που είναι η ASCII δεκαεξαδική αναπαράσταση του γράμματος “A”.
Επίσης, σημειώστε ότι τα 10 “Α” αποθηκεύονται στη θέση μνήμης με αντίστροφη σειρά, καθώς πρόκειται για την αρχιτεκτονική little endian.
Έτσι, η πραγματική συμβολοσειρά που διατηρείται στη στοίβα (στη μνήμη) είναι η “41.41.41.41.41.41.41.41.41.41.00” (έβαλα το “.” για να είναι πιο ευανάγνωστο).
Σημειώστε ότι το “00” είναι ο μηδενικός χαρακτήρας που δηλώνει τον τερματισμό της συμβολοσειράς. Να θυμάστε αυτό το “00” επειδή παίζει σημαντικό ρόλο (ως εμπόδιο) στην ανάπτυξη exploits γενικότερα, και ειδικά στη δημιουργία shellcode (ή bytecode) (περισσότερα για αυτό στο part III). Το βασικό σημείο που πρέπει να γνωρίζετε εδώ είναι το εξής: Η ανάγνωση (ή μερικές φορές η εκτέλεση) μιας σειράς θέσεων μνήμης διακόπτεται όταν το σύστημα συναντήσει ένα byte 00.
Επικεντρωθείτε τώρα στα κόκκινα κουτάκια της εικόνας μας και θυμηθείτε πού βρισκόμαστε: Βρισκόμαστε μέσα στη συνάρτηση checkProductKey.
Όταν η συνάρτηση τελειώσει, η λειτουργικότητα του προγράμματος πρέπει να επιστρέψει στο σημείο που κλήθηκε. Για να είμαστε πιο συγκεκριμένοι: πρέπει να επιστρέψει στη διεύθυνση του καλούντα.
Προκειμένου το σύστημα να θυμάται αυτή τη διεύθυνση, την αποθηκεύει σε μια συγκεκριμένη θέση μνήμης μέσα στο buffer της τρέχουσας συνάρτησης. Ονομάζουμε αυτή τη διεύθυνση: διεύθυνση RET (RETurn). Είναι μια από τις πιο σημαντικές διευθύνσεις των επιθέσεων buffer overflow και θεωρείται το “ιερό δισκοπότηρο” κάθε εκμετάλλευσης μιας αδυναμίας buffer overflow.
Όπως μπορείτε να δείτε στο κόκκινο πλαίσιο στη δεξιά κονσόλα, η διεύθυνση RET αποθηκεύεται στο τέλος του buffer, μετά τη διεύθυνση του αλφαριθμητικού εισόδου μας “AAAAAAAAAA” και κάποιες άλλες διευθύνσεις (όπως ο Base Pointer, κάποιες μεταβλητές περιβάλλοντος κ.λπ. που είναι σημαντικές… αλλά όχι τόσο σημαντικές για την ώρα).
Όπως μπορείτε να φανταστείτε αν εισάγουμε ένα πολύ μεγάλο αλφαριθμητικό εισόδου, μεγαλύτερο από αυτό που έχει κρατήσει το πρόγραμμα μας (στην περίπτωσή μας είναι 12 – λόγω της char key[12]; στη γραμμή 5) τότε αυτό θα γράψουμε από πάνω από όλες τις διευθύνσεις που ακολουθούν αυτή τη μεταβλητή, συμπεριλαμβανομένης της διεύθυνσης RET. Αυτό είναι πολύ σημαντικό και πολύ δύσκολο!
και αυτός είναι ο λόγος:
Έστω οτι δώσουμε αυτό σαν input: “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”.
To buffer μας μπορεί να χωρέσει μόνο τους πρώτους 12 χαρακτήρες (ή bytes στην αρχιτεκτονική i386), συμπεριλαμβανομένου του χαρακτήρα τερματισμού, δηλαδή του “00”. Τι γίνεται λοιπόν με τους υπόλοιπους χαρακτήρες; Μα, θα αντικαταστήσουν τις γειτονικές διευθύνσεις μνήμης… συμπεριλαμβανομένης της διεύθυνσης που βρίσκεται το RET .
Έτσι, η διεύθυνση RET θα γεμίσει με “A”, άρα “AAAAAAAA” ή “4141414141414141”.
Σημειώστε ότι επίτηδες επέλεξα 8 bytes για να δηλώσω τη διεύθυνση σε συστήματα 64bit.
Γενικά, θα πρέπει να γνωρίζετε ότι στα 64bit συστήματα (σε αντίθεση με τα 32bit συστήματα που είδαμε σαν θεωρία στο Part I) έχουμε τις εξής διαφορές:
Οι καταχωρητές γενικού σκοπού έχουν επεκταθεί σε 64-bit. Έτσι έχουμε τώρα τους RAX, RBX, RCX, RDX, RSI και RDI.
Ο Instruction Pointer, ο Base Pointer και ο Stack Pointer έχουν επίσης επεκταθεί σε 64-bit ως RIP, RBP και RSP αντίστοιχα.
Έχουν παρασχεθεί οι πρόσθετοι καταχωρητές: R8 έως R15.
Οι pointers έχουν μήκος 8-bytes.
Τα push/pop στο STACK έχουν μήκος 8-bytes.
To μέγιστο μέγεθος μιας επιτρεπτής διεύθυνσης είναι: 0x00007FFFFFFFFFFFFFFF (περισσότερα σχετικά με αυτό θα πούμε λίγο αργότερα).
Δείτε τώρα τη διεύθυνση RET σε συνδυασμό με μια άλλη πολύ σημαντική διεύθυνση, η οποία είναι αποθηκευμένη στη μνήμη του επεξεργαστή: Ο Instruction Pointer ή $RIP. Αυτή η διεύθυνση έχει πάντα τη διεύθυνση της επόμενης εντολής που θα εκτελέσει το πρόγραμμα. Έτσι, όταν φτάσουμε στο τέλος της συνάρτησης μας, εκτελείται η εντολή $RIP = RET. Έτσι, η λειτουργικότητα του προγράμματος θα επιστρέψει στον καλούντα, αφού η διεύθυνση RET διατηρεί τη διεύθυνση του καλούντος, και για να είμαστε πιο συγκεκριμένοι διατηρεί τη διεύθυνση της επόμενης εντολής από αυτή που κλήθηκε τη συνάρτηση.
Έτσι, στο παραπάνω θεωρητικό μας παράδειγμα η διεύθυνση RET θα γεμίσει με “4141414141414141”, δηλαδή το πρόγραμμα, στο τέλος της συνάρτησης checkProductKey θα προσπαθήσει να μεταβεί στη διεύθυνση 0x4141414141414141.
Αλλά μια τέτοια διεύθυνση δεν υπάρχει στο πλαίσιο του προγράμματός μας, οπότε λαμβάνουμε το γνωστό σφάλμα: segmentation fault
Έχοντας κατά νου τις παραπάνω γνώσεις ας προσπαθήσουμε να εκμεταλλευτούμε το πρόγραμμά μας.
Εξετάζοντας τη δομή $rsp στο αρχικό μας παράδειγμα (στην παραπάνω εικόνα) μπορούμε να δούμε ότι χρειαζόμαστε 3 x 8 bytes προκειμένου να ικανοποιήσουμε τη διεύθυνση RET.
Ας το αποδείξουμε αυτό με το ακόλουθο παράδειγμα:
Όπως μπορείτε να δείτε, εισάγουμε 24 x “A” = “AAAAAAAAAAAAAAAAAAAAAAAA” και τα 8 “B” “BBBBBBBB” αντικαθιστούν τη διεύθυνση RET.
Το πρόγραμμα κατέρρευσε… Αυτό που θα θέλαμε να κάνουμε στην πραγματικότητα είναι να αντικαταστήσουμε την $RIP με μια άκυρη διεύθυνση. Αλλά, στην πραγματικότητα δεν ελέγχουμε καθόλου την $RIP. Έχουμε έλεγχο μόνο στην RET όπως ήδη βλέπετε.
Για την ενημέρωσή σας πρέπει να το ξέρετε αυτό: Το μέγιστο μέγεθος διεύθυνσης που μπορούμε να χειριστούμε στην αρχιτεκτονική 64bit είναι 0x00007FFFFFFFFFFFFFFF. Αυτό που κάναμε μέχρι εδώ, είναι ότι γράψαμε επάνω στην $RIP, μέσω της RET, τη μη κανονική διεύθυνση 0x4242424242424242, η οποία προκαλεί τον επεξεργαστή να εγείρει μια εξαίρεση.
[Αν έχετε μπερδευτεί λίγο με τις 64μπιτες διευθύνσεις, μπορείτε να διαβάσετε περισσότερα για αυτή την αρχιτεκτονική των 64bit εδώ.]
Οπότε, ο στόχος ήταν να βρούμε το offset με το οποίο θα αντικαταστήσουμε την RET και κατά συνέπεια την $RIP με μια κανονική (υπαρκτή) διεύθυνση.
Για το λόγο αυτό χρησιμοποιώ ένα κυκλικό μοτίβο (ας πούμε “AAAAAABBBB” κλπ) και το δοκιμάζω μέχρι να καταλήξω στην απαραίτητη διεύθυνση (και ναι, ξέρω ότι υπάρχουν και άλλες δημοσιευμένοι μέθοδοι που υπολογίζουν διαφορετικά το απαιτούμενο offset, αλλά αυτή που παρουσίασα εδώ επίσης λειτουργεί… οπότε… ΟΚ! 😎 ).
Έτσι, θα πάω να αντικαταστήσω το “BBBBBBBBBB” με μια υπάρχουσα διεύθυνση του υπάρχοντος πηγαίου κώδικα (Code Segment) προκειμένου να παρακάμψω τους ελέγχους που γίνονται στον κώδικα για το σωστό κλειδί.
Αυτή η διεύθυνση είναι η ακόλουθη:
Σε αυτό το σημείο έχουν περάσει όλοι οι έλεγχοι σχετικά με το κλειδί προϊόντος, και αυτό είναι που ονομάζω ROP (βλ. τον τίτλο της παραγράφου).
Πρέπει να αντικαταστήσω το “B” με αυτή τη διεύθυνση: 0x0000555555555261
Αλλά πρέπει να περάσω την τιμή της ως bytes… και όχι ως συμβολοσειρά! Πώς να το κάνω αυτό;
Υπάρχουν διάφοροι τρόποι για να περάσετε αυτό το αλφαριθμητικό ως “bytes” στον αποσφαλματωτή:
Θα επιλέξω τον πιο γρήγορο… ρίξτε μια ματιά εδώ:
Ας εξετάσουμε λίγο την επίθεση “string” :
Εδώ χρησιμοποιώ λίγο την python v.2 (και στην v.3 λειτουργεί επίσης αν βάλω την εκτύπωση συμβολοσειράς σε παρενθέσεις: “(” και “)” ) : python2 -c ‘print “1”*24 + “\x55\x55\x55\x55\x55\x52\x61″[::-1]’
Αντί να γράψω μια εξήγηση σε κείμενο εδώ θα δείξω την εικόνα του αποτελέσματος όταν το εκτελώ στη γραμμή εντολών:
Όπως μπορείτε να δείτε, περνάω τα παραπάνω αποτελέσματα, ως όρισμα γραμμής εντολών στο dbg χρησιμοποιώντας τον συμβολισμό run $( <SYSTEM_COMMAND> ).
Αυτός είναι ένας εύκολος τρόπος για να περάσετε τη συμβολοσειρά της γραμμής εντολών ως bytes σε ένα πρόγραμμα.
Το πρόγραμμα “σκάει” (με segmentation fault), αλλά στο τέλος, έκανα μια επιτυχημένη ανακατεύθυνση, όπως μπορείτε να δείτε το μήνυμα ‘Welcome’ (στο πράσινο πλαίσιο παραπάνω). Έτσι, παρακάμπτω τον μηχανισμό ελέγχου!!
Σημειώστε επίσης, τον τρόπο με τον οποίο περνάω τη διεύθυνση στόχου, με αντίστροφη σειρά: ο συμβολισμός [::-1] της python απλά έβαλε τη δεκαεξαδική συμβολοσειρά αντίστροφα.
Έτσι, το “55.55.55.55.55.52.61” θα μπει στα string arguments ως “61.52.55.55.55.55.55.55” (θυμηθείτε την αρχιτεκτονική little endian που ανέφερα παραπάνω).
Σημαντική σημείωση: το “555555555261” τοποθετείται στη μνήμη με αντίστροφη σειρά ανά ζεύγος: το “55.55.55.55.55.52.61” θα τοποθετηθεί στη μνήμη ως “61.52.55.55.55.55.55“.
Και γενικά, κάθε διεύθυνση μνήμης που θα διαβάσουμε, είναι μια σειρά από ζεύγη – ή μια σειρά από 1 byte (8bits, από το 0 έως το 255 – ή αλλιώς 2^8=256 πιθανές διαφορετικές τιμές). “Historically, the byte was the number of bits used to encode a single character of text in a computer and for this reason it is the smallest addressable unit of memory in many computer architectures.” (wikipedia)
Το ίδιο ισχύει και για τα i386 64-bit Windows 10 αλλά και στο i386 64-bit Kali Linux.
Επιπλέον, ο συμβολισμός ‘\x’ υποδηλώνει ότι μιλάω στο πρόγραμμα όχι σε δεκαδικό αλλά σε δεκαεξαδικό σύστημα.
Το κάνω αυτό επειδή ο αποσφαλματωτής εμφανίζει τις διευθύνσεις μνήμης σε δεκαεξαδική σημειογραφία.
Αν αναρωτιέστε γιατί ο αποσφαλματωτής προτιμά τη δεκαεξαδική σημειογραφία, θα έλεγα το εξής:
Η δεκαδική αναπαράσταση της δεκαεξαδικής διεύθυνσης 555555555261 είναι αυτός ο αριθμός: 93824992236129. Λοιπόν, φαίνεται σαν έναν τηλεφωνικό αριθμό, ε;! 😆
Έτσι… δεν είναι τόσο εύκολο για τον άνθρωπο να αντιμετωπίσει τόσο μεγάλους αριθμούς μήκους. Η δεκαεξαδική σημειογραφία είναι πιο εύχρηστη και συνεπώς διαχειρίσιμη. Αυτός είναι ο λόγος για τον οποίο έχει υιοθετηθεί από (σχεδόν) όλα τα προγράμματα εντοπισμού σφαλμάτων στον κόσμο για την αναπαράσταση διευθύνσεων η 16δική αναπαράσταση.
Μέχρι στιγμής, λοιπόν, έχω εκτελέσει, στην ουσία, ένα “goto” (θυμάστε στη BASIC την εντολή goto😉 ή ένα JUMP (assembly-wise) με τη χρήση του debugger.
Αυτό που χρειάζομαι τώρα είναι να κάνω το ίδιο στο τελικό εκτελέσιμο από τη γραμμή εντολών σε μια κονσόλα, και ΟΧΙ με τη χρήση του dbg.
Λοιπόν, η απάντηση φαίνεται αρκετά απλή: Απλά το τρέχω από τη γραμμή εντολών αυτό:
Όπως μπορείτε να δείτε, ανοίγω την οθόνη καλωσορίσματος χωρίς να πληκτρολογήσω κανένα κλειδί προϊόντος και μόλις δημιούργησα την πρώτη μου εκμετάλλευση buffer overflow… 😎
Σημειώστε ότι τα αποτελέσματα στην παραπάνω εικόνα δεν είναι πάντα τόσο προφανή, ειδικά όταν πειράζουμε τις διευθύνσεις μνήμης και τη στοίβα απευθείας. Αρκετές φορές αυτό που βλέπω στον αποσφαλματωτή δεν είναι ακριβώς το ίδιο με αυτό που βλέπω όταν εκτελώ το πρόγραμμα απευθείας από τη γραμμή εντολών και αυτό είναι πολύ συνηθισμένο όταν πρέπει να αναφερθώ σε διευθύνσεις στη στοίβα (και όχι στο τμήμα κώδικα όπως έκανα εδώ).
Τέτοιο παράδειγμα θα δούμε στο Μέρος ΙΙI αυτής της σειράς άρθρων, όταν θα δείξω πώς να βάλω ένα “shell” στη στοίβα και πώς να το εκτελέσω. Επιπλέον στο Μέρος ΙΙI θα δούμε τι είναι το bytecode, πώς θα δημιουργήσουμε ή θα βρούμε κάποιους έτοιμα byte-codes και πώς θα τα ελέγξουμε. Θα δούμε, οτι σε τέτοιες περιπτώσεις ότι τα αποτελέσματα μπορεί να μην είναι τόσο ντετερμινιστικά όσο θα περιμέναμε…
