Οι χάκερς έχουν παρατηρηθεί να προσπαθούν να παραβιάσουν περιβάλλοντα cloud μέσω των Microsoft SQL Servers που είναι ευάλωτοι σε SQL injection.
Οι ερευνητές ασφαλείας της Microsoft αναφέρουν ότι αυτή η τεχνική πλευρικής κίνησης έχει παρατηρηθεί στο παρελθόν σε επιθέσεις σε άλλες υπηρεσίες όπως VMs και Kubernetes clusters.
Ωστόσο, είναι η πρώτη φορά που βλέπουν SQL Servers να αξιοποιούνται για αυτόν τον σκοπό.
Αλυσιδωτή επίθεση
Οι επιθέσεις που παρατήρησε η Microsoft ξεκινούν με την εκμετάλλευση μιας ευπάθειας έγχυσης SQL σε μια εφαρμογή στο περιβάλλον του στόχου.
Αυτό επιτρέπει στους φορείς απειλής να αποκτήσουν πρόσβαση στην παρουσία του SQL Server που φιλοξενείται στην εικονική μηχανή Azure με αυξημένα δικαιώματα για την εκτέλεση εντολών SQL και την εξαγωγή πολύτιμων δεδομένων.
Αυτά περιλαμβάνουν δεδομένα σχετικά με βάσεις δεδομένων, ονόματα πινάκων, σχήματα, εκδόσεις βάσεων δεδομένων, ρυθμίσεις δικτύου και δικαιώματα ανάγνωσης/εγγραφής/διαγραφής.
Εάν η παραβιασμένη εφαρμογή έχει αυξημένα δικαιώματα, οι επιτιθέμενοι μπορούν να ενεργοποιήσουν την εντολή ‘xp_cmdshell’ για την εκτέλεση εντολών του λειτουργικού συστήματος (OS) μέσω SQL, δίνοντάς τους ένα κέλυφος στον κεντρικό υπολογιστή.
Οι εντολές που εκτελούνται από τους επιτιθέμενους σε αυτό το στάδιο περιλαμβάνουν τις εξής:
Ανάγνωση καταλόγων, απαρίθμηση διεργασιών και έλεγχος κοινοτήτων δικτύου.
Λήψη κωδικοποιημένων και συμπιεσμένων εκτελέσιμων αρχείων και σεναρίων PowerShell.
Ρυθμίστε μια προγραμματισμένη εργασία για την εκκίνηση ενός backdoor script.
Ανάκτηση των διαπιστευτηρίων χρήστη με απόρριψη των κλειδιών μητρώου SAM και SECURITY.
Διασπάστε δεδομένα χρησιμοποιώντας μια μοναδική μέθοδο που περιλαμβάνει τη δωρεάν υπηρεσία “webhook.site”, η οποία διευκολύνει την επιθεώρηση και την αποσφαλμάτωση αιτημάτων HTTP και μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Η χρήση μιας νόμιμης υπηρεσίας για την εκροή δεδομένων καθιστά τη δραστηριότητα λιγότερο πιθανό να φανεί ύποπτη ή να προκαλέσει προβλήματα στα προϊόντα ασφαλείας, επιτρέποντας στους επιτιθέμενους να κλέψουν διακριτικά δεδομένα από τον κεντρικό υπολογιστή.
Στη συνέχεια, οι επιτιθέμενοι επιχείρησαν να εκμεταλλευτούν την ταυτότητα cloud της παρουσίας του SQL Server για να αποκτήσουν πρόσβαση στο IMDS (Instant Metadata Service) και να αποκτήσουν το κλειδί πρόσβασης στην ταυτότητα cloud.
Στο Azure, στους πόρους συχνά εκχωρούνται διαχειριζόμενες ταυτότητες για τον έλεγχο ταυτότητας με άλλους πόρους και υπηρεσίες cloud. Εάν οι επιτιθέμενοι κατέχουν αυτό το κλειδί, μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε οποιονδήποτε πόρο cloud, στον οποίο η ταυτότητα έχει δικαιώματα.
Η Microsoft αναφέρει ότι οι επιτιθέμενοι δεν κατάφεραν να αξιοποιήσουν επιτυχώς αυτή την τεχνική λόγω σφαλμάτων, αλλά η προσέγγιση παραμένει έγκυρη και αποτελεί τρομερή απειλή για τους οργανισμούς.
Τέλος, οι φορείς της απειλής διέγραψαν όλα τα σενάρια που κατέβασαν και έσβησαν τις προσωρινές τροποποιήσεις της βάσης δεδομένων για να σβήσουν τα ίχνη της επίθεσης.
Συμβουλές Προστασίας
Η Microsoft προτείνει τη χρήση του Defender for Cloud και του Defender for Endpoint για να εντοπίσετε τις ενέσεις SQL και την ύποπτη δραστηριότητα SQLCMD, που χρησιμοποιήθηκαν και οι δύο στην επίθεση που παρατηρήθηκε.
Για τον μετριασμό της απειλής, η Microsoft συνιστά την εφαρμογή της αρχής των λιγότερων προνομίων κατά τη χορήγηση δικαιωμάτων χρήστη, η οποία πάντα προσθέτει τριβή στις προσπάθειες πλευρικής μετακίνησης.
Η BlackCat ransomware (ALPHV) χρησιμοποιεί τώρα κλεμμένους λογαριασμούς της Microsoft και τον Sphynx encryptor για να κρυπτογραφήσει το Azure cloud των στόχων της.
Κατά τη διερεύνηση μιας πρόσφατης παραβίασης, οι υπεύθυνοι αντιμετώπισης περιστατικών της Sophos X-Ops ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν μια νέα παραλλαγή του Sphynx με πρόσθετη υποστήριξη για τη χρήση προσαρμοσμένων διαπιστευτηρίων.
Αφού απέκτησαν πρόσβαση στο λογαριασμό Sophos Central χρησιμοποιώντας έναν κλεμμένο κωδικό πρόσβασης μίας χρήσης (OTP), απενεργοποίησαν την προστασία παραβίασης και τροποποίησαν τις πολιτικές ασφαλείας. Αυτές οι ενέργειες ήταν δυνατές μετά την κλοπή του OTP από το LastPass του θύματος χρησιμοποιώντας την επέκταση LastPass Chrome.
Στη συνέχεια, κρυπτογράφησαν τα συστήματα του πελάτη της Sophos και την απομακρυσμένη αποθήκευση στο cloud Azure και προσέθεσαν την επέκταση .zk09cvt σε όλα τα κλειδωμένα αρχεία. Συνολικά, οι χειριστές του ransomware μπόρεσαν να κρυπτογραφήσουν επιτυχώς 39 λογαριασμούς Azure Storage.
Διείσδυσαν στο Azure portal του θύματος χρησιμοποιώντας ένα κλεμμένο κλειδί Azure που τους παρείχε πρόσβαση στους στοχευμένους λογαριασμούς. Τα κλειδιά που χρησιμοποιήθηκαν στην επίθεση εισήχθησαν μέσα στο δυαδικό πρόγραμμα ransomware αφού κωδικοποιήθηκαν με χρήση Base64.
Οι επιτιθέμενοι χρησιμοποίησαν επίσης πολλαπλά εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως τα AnyDesk, Splashtop και Atera, καθ’ όλη τη διάρκεια της εισβολής.
Η Sophos ανακάλυψε την παραλλαγή Sphynx τον Μάρτιο του 2023 κατά τη διάρκεια μιας έρευνας για μια παραβίαση δεδομένων που είχε ομοιότητες με μια άλλη επίθεση που περιγράφεται σε μια έκθεση της IBM-Xforce που δημοσιεύθηκε τον Μάιο (το εργαλείο ExMatter χρησιμοποιήθηκε για την εξαγωγή των κλεμμένων δεδομένων και στις δύο περιπτώσεις).
Η Microsoft διαπίστωσε επίσης τον περασμένο μήνα ότι ο νέος Sphynx encryptor ενσωματώνει το εργαλείο hacking Remcom και το framework δικτύωσης Impacket για μετακίνηση σε παραβιασμένα δίκτυα.
Ως επιχείρηση ransomware που εμφανίστηκε τον Νοέμβριο του 2021, το BlackCat/ALPHV είναι ύποπτο ότι είναι μια νέα επωνυμία της DarkSide/BlackMatter.
Γνωστή αρχικά ως DarkSide, η ομάδα αυτή συγκέντρωσε την παγκόσμια προσοχή μετά την παραβίαση του Colonial Pipeline, προσελκύοντας άμεσα τον έλεγχο των διεθνών υπηρεσιών επιβολής του νόμου.
Παρόλο που μετονομάστηκαν σε BlackMatter τον Ιούλιο του 2021, οι δραστηριότητές τους διακόπηκαν απότομα τον Νοέμβριο, όταν οι αρχές κατέσχεσαν τους διακομιστές τους και η εταιρεία ασφαλείας Emsisoft ανέπτυξε ένα εργαλείο αποκρυπτογράφησης που εκμεταλλευόταν μια ευπάθεια στο ransomware.
Η ομάδα αυτή αναγνωρίζεται σταθερά ως μία από τις πιο εξελιγμένες και υψηλού προφίλ ομάδες ransomware που στοχεύει επιχειρήσεις σε παγκόσμια κλίμακα, προσαρμόζοντας και βελτιώνοντας συνεχώς τις τακτικές της.
Για παράδειγμα, σε μια νέα προσέγγιση εκβιασμού το περασμένο καλοκαίρι, η BlackCat χρησιμοποίησε έναν ειδικό καθαρό δικτυακό ιστότοπο για να διαρρεύσει τα κλεμμένα δεδομένα ενός συγκεκριμένου θύματος, παρέχοντας στους πελάτες και τους υπαλλήλους του θύματος τα μέσα για να διαπιστώσουν αν τα δεδομένα τους είχαν εκτεθεί.
Πιο πρόσφατα, η BlackCat εισήγαγε τον Ιούλιο ένα API διαρροής δεδομένων που σχεδιάστηκε για να βελτιώσει τη διάδοση των κλεμμένων δεδομένων.
Αυτή την εβδομάδα, μία από τις θυγατρικές συμμορίες της BlackCat (που εντοπίζεται ως Scattered Spider) ανέλαβε την επίθεση στην MGM Resorts, λέγοντας ότι κρυπτογράφησαν πάνω από 100 ESXi hypervisors αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική της υποδομή και αρνήθηκε να διαπραγματευτεί την καταβολή λύτρων.
Τον περασμένο Απρίλιο, το FBI εξέδωσε προειδοποίηση επισημαίνοντας ότι η ομάδα βρισκόταν πίσω από τις επιτυχείς παραβιάσεις περισσότερων από 60 οντοτήτων παγκοσμίως μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022.
Οδηγός Penetration Testing σε συσκευές Point Of Sale Device (POS)
POS ονομάζεται ένα σύστημα που διαχειρίζεται τις συναλλαγές πωλήσεων στις επιχειρήσεις. Αν και μπορεί να φαίνεται πολύπλοκο με την πρώτη ματιά, στην πραγματικότητα είναι αρκετά απλό.
Τώρα, ας εξηγήσουμε με περισσότερες λεπτομέρειες τι είναι το POS και πώς λειτουργεί. Το POS είναι μια συντομογραφία που προέρχεται από τα αρχικά της λέξης “Point of Sale” (σημείο πώλησης). Το σύστημα αυτό διευκολύνει και καταγράφει τις συναλλαγές πωλήσεων μεταξύ πελατών και πωλητών. Ένα σύστημα POS αποτελείται τόσο από στοιχεία υλικού όσο και από στοιχεία λογισμικού.
Στοιχεία υλικού: Ένα σύστημα POS περιλαμβάνει συνήθως στοιχεία υλικού, όπως έναν υπολογιστή ή ένα tablet, σαρωτή γραμμωτού κώδικα, συρτάρι μετρητών, εκτυπωτή και οθόνη.
Οι συσκευές αυτές χρησιμοποιούνται για τη διενέργεια συναλλαγών και την παροχή αποδείξεων ή τιμολογίων στους πελάτες.
Συστατικά λογισμικού: Το λογισμικό POS χρησιμοποιείται για τη διαχείριση των συναλλαγών, την παρακολούθηση των αποθεμάτων, την επεξεργασία των πληρωμών και τη δημιουργία αναφορών.
Αυτό το λογισμικό επιτρέπει στους πελάτες να δημιουργούν τα καλάθια αγορών τους, να πραγματοποιούν πληρωμές και να λαμβάνουν αποδείξεις.
Πώς λειτουργεί η συναλλαγή μέσω POS;
Βήμα Α : Ο πελάτης χρησιμοποιεί την κάρτα. Ξεκινά τη διαδικασία πληρωμής εισάγοντας την κάρτα του στη συσκευή POS και εισάγοντας τον εμπιστευτικό κωδικό PIN.
Βήμα Β : Η συσκευή POS εκκινεί τη συναλλαγή. Η συσκευή POS εκκινεί τη συναλλαγή μεταδίδοντας με ασφάλεια τα στοιχεία της κάρτας και τον κωδικό PIN, κρυπτογραφημένα, στον διακομιστή ATM Switch. Ο έλεγχος πρόσβασης στο δίκτυο (NAC) διασφαλίζει την ασφαλή πρόσβαση.
Βήμα Γ : Επαλήθευση κάρτας. Εάν η κάρτα ανήκει στην ίδια τράπεζα, το κλειδί ΑΤΜ επαληθεύει το PIN χρησιμοποιώντας τον διακομιστή Hardware Security Module (HSM). Μετά την επιτυχή επαλήθευση, το αίτημα συναλλαγής προωθείται στον διακομιστή CBS.
Βήμα Δ : Σενάριο διαφορετικής τράπεζας. Εάν η κάρτα ανήκει σε διαφορετική τράπεζα, η συναλλαγή δρομολογείται στο διακομιστή NFS. Ο διακομιστής NFS προωθεί τη συναλλαγή στον διακομιστή HSM της άλλης τράπεζας για επαλήθευση του PIN.
Μετά την επιτυχή επαλήθευση, η συναλλαγή αποστέλλεται στον διακομιστή CBS.
Βήμα Ε : Επαλήθευση λογαριασμού και μεταφορά χρημάτων. Ο διακομιστής CBS ελέγχει το υπόλοιπο του λογαριασμού του κατόχου της κάρτας και αφαιρεί το ποσό της αγοράς. Το αφαιρεθέν ποσό μεταφέρεται στο λογαριασμό του πωλητή.
Βήμα ΣΤ : Ολοκλήρωση της συναλλαγής. Όταν η συναλλαγή ολοκληρωθεί επιτυχώς, ο διακομιστής CBS παράγει μια απάντηση. Το κλειδί ΑΤΜ κρυπτογραφεί και αποστέλλει αυτή την απάντηση πίσω στη συσκευή POS. Η συναλλαγή ολοκληρώνεται.
Πώς μπορώ να διεξάγω μια pentest δοκιμή στο σημείο πώλησης (POS);
A. Επισκόπηση ασφαλών ρυθμίσεων του λειτουργικού συστήματος:
Αυτό το βήμα περιλαμβάνει τη διασφάλιση της σωστής διαμόρφωσης της συσκευής POS και των κατάλληλων ρυθμίσεων ασφαλείας.
Αυτό μπορεί να περιλαμβάνει τον έλεγχο αν η συσκευή χρησιμοποιεί ενημερωμένες εκδόσεις λογισμικού και hardware, την αλλαγή των προεπιλεγμένων κωδικών πρόσβασης, την απενεργοποίηση περιττών συνδέσεων δικτύου και την επανεξέταση των ρυθμίσεων τείχους προστασίας.
Οι συσκευές POS συνήθως διατίθενται με προεπιλεγμένες διαμορφώσεις και είναι απαραίτητο να αλλάξετε αυτές τις προεπιλεγμένες ρυθμίσεις πριν από την ανάπτυξή τους σε περιβάλλον παραγωγής.
Οι προεπιλεγμένες διαμορφώσεις μπορεί να περιλαμβάνουν τη διαχείριση πρόσβασης στη συσκευή, τις μεθόδους κρυπτογράφησης και τις προεπιλεγμένες ρυθμίσεις για υπηρεσίες όπως το FTP και το SSH.
Κατά τη διενέργεια επανεξέτασης της ασφάλειας των ρυθμίσεων μιας συσκευής POS, είναι ζωτικής σημασίας να εξετάσετε προσεκτικά όλες τις προεπιλεγμένες ρυθμίσεις διαμόρφωσης και άλλες βασικές παραμέτρους για να διασφαλίσετε ότι έχουν ρυθμιστεί σωστά.
Για παράδειγμα, το ακόλουθο παράδειγμα επισημαίνει τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή, ο οποίος μπορεί να διαφέρει ανάλογα με τη μάρκα και το μοντέλο της συσκευής:
“Ένα κρίσιμο βήμα για την ασφάλεια των συσκευών POS είναι η τροποποίηση των προεπιλεγμένων ρυθμίσεων. Αυτές οι προεπιλεγμένες ρυθμίσεις μπορεί να αποτελέσουν πιθανό κίνδυνο για την ασφάλεια της συσκευής.
Για παράδειγμα, κρίσιμες ρυθμίσεις όπως ο κωδικός πρόσβασης διαχειριστή μπορεί να διευκολύνουν τους κακόβουλους φορείς να αποκτήσουν πρόσβαση στη συσκευή.
Ως εκ τούτου, η επανεξέταση όλων των προεπιλεγμένων ρυθμίσεων και η χρήση ισχυρών κωδικών πρόσβασης είναι απαραίτητη για μια ασφαλή διαμόρφωση”.
a. Αξιολόγηση φυσικής ασφάλειας: Σε αυτή την ενότητα, διάφορα εξαρτήματα, όπως θύρες USB, θύρες LAN, αναγνώστες καρτών NFC και άλλα, βρίσκονται συχνά σε μια συσκευή POS.
Είναι σημαντικό να διασφαλιστεί η συσκευή POS με τέτοιο τρόπο ώστε να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε αυτές τις περιοχές. Εάν είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση, κακόβουλοι φορείς μπορούν να προσαρτήσουν μονάδες flash, συμπεριλαμβανομένων εκείνων που μοιάζουν με BAD USB, οι οποίες μπορούν να επιτρέψουν την απομακρυσμένη πρόσβαση στο τερματικό της συσκευής POS.
Για τον μετριασμό τέτοιων επιθέσεων, πρέπει να διασφαλίζεται τόσο η φυσική ασφάλεια όσο και η ασφάλεια των θυρών USB για τις συσκευές POS.
b. POS Skimming: Μια άλλη μορφή φυσικής επίθεσης είναι το POS skimming, όπου μια συσκευή τοποθετείται κρυφά στον μηχανισμό σάρωσης καρτών για να κλέψει πληροφορίες καρτών από τις μαγνητικές λωρίδες.
Ως εκ τούτου, η τακτική επιθεώρηση του μηχανισμού σάρωσης καρτών της συσκευής POS είναι ζωτικής σημασίας. Σε αυτό το πλαίσιο, ένας ελεγκτής διείσδυσης μπορεί να χρησιμοποιήσει μια φορητή μέθοδο skimming για να τοποθετήσει μια συσκευή skimmer σε συσκευές POS εντός ενός οργανισμού, καταγράφοντας δυνητικά στοιχεία καρτών, αριθμούς PIN και διάφορα άλλα δεδομένα.
Αυτό χρησιμεύει ως μια σημαντική δοκιμή στο πλαίσιο της φυσικής ασφάλειας
c. Χειραγώγηση του πληκτρολογίου PIN: Οι επιτιθέμενοι μπορούν να χειραγωγήσουν το πληκτρολόγιο PIN για να καταλάβουν τους κωδικούς PIN της κάρτας πελάτη. Μπορούν να χρησιμοποιήσουν μια ψεύτικη επικάλυψη που μοιάζει με το πληκτρολόγιο μιας πραγματικής συσκευής POS για να πραγματοποιήσουν τέτοιες επιθέσεις.
Ως εκ τούτου, είναι σημαντικό να επανεξετάζεται περιοδικά το πληκτρολόγιο της συσκευής POS και να ελέγχεται η παρουσία συσκευών καταγραφής πλήκτρων. Αυτό είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας των δεδομένων των καρτών των πελατών και την προστασία από δόλιες δραστηριότητες.
d. Σύνδεση δικτύου POS: Μια κρίσιμη πτυχή της αξιολόγησής μας περιλαμβάνει την εξέταση της σύνδεσης δικτύου της συσκευής POS. Το δίκτυο POS πρέπει να παραμείνει απομονωμένο, διασφαλίζοντας ότι κανένας άλλος χρήστης δεν μπορεί να συνδεθεί στο ίδιο δίκτυο Wi-Fi ή LAN.
Θα πραγματοποιήσουμε δοκιμή διείσδυσης σε τοπικό δίκτυο για να επαληθεύσουμε την ασφάλεια του δικτύου POS. Στόχος μας εδώ είναι να αξιολογήσουμε την ανθεκτικότητα του δικτύου σε μη εξουσιοδοτημένη πρόσβαση και πιθανές εισβολές.
Θα εντοπίσουμε τυχόν τρωτά σημεία που ενδέχεται να εκθέσουν το σύστημα POS σε εξωτερικές απειλές και θα παράσχουμε συστάσεις για την αποκατάστασή τους.
e. Προεπιλεγμένα διαπιστευτήρια στη συσκευή: Στο πλαίσιο της αξιολόγησής μας, θα διερευνήσουμε τη χρήση προεπιλεγμένων διαπιστευτηρίων στη συσκευή POS, ιδίως όσον αφορά τη διαχείριση υλικού.
Τα προεπιλεγμένα ονόματα χρήστη και οι κωδικοί πρόσβασης αποτελούν κοινούς στόχους για τους επιτιθέμενους. Θα εξετάσουμε εξονυχιστικά τη συσκευή για να εντοπίσουμε περιπτώσεις όπου χρησιμοποιούνται προεπιλεγμένα διαπιστευτήρια.
Στόχος μας είναι να διασφαλίσουμε ότι χρησιμοποιούνται οι κατάλληλοι μηχανισμοί ελέγχου ταυτότητας για τη διαχείριση της συσκευής και να εξαλείψουμε τους πιθανούς κινδύνους ασφάλειας που σχετίζονται με τα προεπιλεγμένα διαπιστευτήρια σύνδεσης.
f. Κρυπτογράφηση: Η μετάδοση δεδομένων μέσω καναλιών Wi-Fi ή LAN είναι μια κρίσιμη πτυχή της ασφάλειας των συσκευών POS. Για να επαληθεύσουμε την ασφάλεια των δεδομένων κατά τη μεταφορά, θα εξετάσουμε τις ρυθμίσεις κρυπτογράφησης στη συσκευή POS.
Είναι σημαντικό να διασφαλιστεί ότι η κρυπτογράφηση είναι τόσο ενεργή όσο και σωστά ρυθμισμένη για την προστασία των ευαίσθητων δεδομένων κατά τη μετάδοση.
Η αξιολόγησή μας θα επικεντρωθεί στην αξιολόγηση της ισχύος των χρησιμοποιούμενων πρωτοκόλλων κρυπτογράφησης και στον εντοπισμό τυχόν αδυναμιών που θα μπορούσαν ενδεχομένως να θέσουν σε κίνδυνο την ασφάλεια των δεδομένων.
g. Μη ασφαλής αποθήκευση δεδομένων: Η συσκευή μπορεί να αποθηκεύει δεδομένα στην κάρτα μνήμης ή στο εσωτερικό της. Ελέγχουμε αν τα αρχεία διαμόρφωσης είναι κρυπτογραφημένα για την ασφάλεια αυτών των δεδομένων. Εάν τα δεδομένα δεν είναι κρυπτογραφημένα, η ασφάλεια των ευαίσθητων πληροφοριών μπορεί να τεθεί σε κίνδυνο.
h. Υπηρεσίες καθαρού κειμένου: Ελέγχουμε αν είναι ενεργοποιημένες υπηρεσίες καθαρού κειμένου στη συσκευή, όπως το FTP, το οποίο κατεβάζει υλικολογισμικό της συσκευής από το διακομιστή για αναβαθμίσεις υλικολογισμικού. Η απενεργοποίηση των υπηρεσιών καθαρού κειμένου στη συσκευή είναι απαραίτητη.
i. Αρχεία καταγραφής: Εξετάζουμε τα αρχεία καταγραφής της συσκευής. Τα αρχεία καταγραφής είναι ζωτικής σημασίας για τον εντοπισμό και την παρακολούθηση πιθανών παραβιάσεων ασφαλείας.
j. Ελλιπείς patches: Οι ελλείπουσες ενημερώσεις αντιμετωπίζουν ευπάθειες που θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα, κλιμάκωση προνομίων, άρνηση παροχής υπηρεσιών και αποκάλυψη εμπιστευτικών πληροφοριών. Ελέγχουμε για τις πιο πρόσφατες ενημερώσεις.
k. Μη εξουσιοδοτημένη έκθεση ευαίσθητων δεδομένων χωρίς έλεγχο ταυτότητας: Η συσκευή POS μπορεί να εκτυπώνει αναφορές που περιέχουν ευαίσθητες πληροφορίες, όπως στοιχεία συσκευής και λεπτομέρειες συναλλαγών. Επιχειρήσαμε να αποκτήσουμε πρόσβαση σε αυτή τη λειτουργία χωρίς έλεγχο ταυτότητας.
l. Ρυθμίσεις ενημέρωσης της συσκευής: Ελέγχουμε τις ρυθμίσεις της συσκευής και επαληθεύουμε τις τελευταίες ενημερώσεις.
m. Πολιτική κωδικού πρόσβασης: Ελέγχουμε την πολιτική κωδικών πρόσβασης που εφαρμόζεται στη συσκευή και αξιολογούμε τη συμμόρφωσή της με τις βέλτιστες πρακτικές που προωθούν τη χρήση ισχυρών κωδικών πρόσβασης.
n. Θύρες συσκευής POS: Επιθεωρούμε όλες τις περιφερειακές θύρες (θύρες Ethernet, τηλεφώνου, RS-232 και USB) για να διασφαλίσουμε ότι οι αχρησιμοποίητες θύρες είναι απενεργοποιημένες.
B. Δοκιμές εφαρμογής
Η δοκιμή της εφαρμογής είναι ένα κρίσιμο στάδιο για την ασφάλεια των συσκευών POS, επειδή η εφαρμογή SoftPay εκτελεί βασικές λειτουργίες, όπως online και offline πωλήσεις, επιστροφές χρημάτων και άλλες συναλλαγές πληρωμών.
Κατά τη διάρκεια αυτού του σταδίου, είναι σημαντικό να εντοπιστούν και να αντιμετωπιστούν τα τρωτά σημεία ασφαλείας που ενδέχεται να υπάρχουν σε επίπεδο εφαρμογής και λογικού επιπέδου.
a. Ανάλυση κίνησης καθαρού κειμένου : Αρχικά, συνδέουμε τον φορητό υπολογιστή μας στο τμήμα δικτύου POS και διασφαλίζουμε ότι η διεύθυνση IP του φορητού υπολογιστή ταιριάζει με τη διεύθυνση πύλης της συσκευής POS.
Στη συνέχεια, επεξεργαζόμαστε τις ρυθμίσεις της διεύθυνσης πύλης της συσκευής POS, ξεκινάμε ένα αίτημα κίνησης καθαρού κειμένου και χρησιμοποιούμε εργαλεία όπως το Wireshark στο φορητό μας υπολογιστή για να καταγράψουμε την κίνηση.
b. Προσπάθεια επιστροφής : Δεύτερον, προσπαθούμε να επιστρέψουμε ένα ποσό μεγαλύτερο από το ποσό αγοράς. Αυτό μας βοηθά να ελέγξουμε αν η εφαρμογή χειρίζεται με ασφάλεια τις συναλλαγές επιστροφής χρημάτων.
c. Δοκιμή κλιμάκωσης προνομίων : Η εφαρμογή έχει διαφορετικά επίπεδα προνομίων, όπως υπάλληλος, διαχειριστής και υπερ-χρήστης. Προσομοιώνουμε μια επίθεση κλιμάκωσης προνομίων χρησιμοποιώντας έναν λογαριασμό Clerk για να προσπαθήσουμε να αποκτήσουμε πρόσβαση σε λειτουργίες ή δεδομένα επιπέδου Manager.
d. Έλεγχος επαλήθευσης PIN : Προσπαθούμε να χρησιμοποιήσουμε ένα άκυρο PIN κατά τη διάρκεια μιας αγοράς προϊόντος για να ελέγξουμε αν η επαλήθευση PIN επιβάλλεται σωστά κατά τη διάρκεια των συναλλαγών.
e. Προσπάθεια χειραγώγησης δεδομένων : Επιχειρούμε να χειραγωγήσουμε δεδομένα διακόπτοντας ή μεταβάλλοντας τη ροή της κυκλοφορίας. Αυτό μας βοηθά να παρατηρήσουμε πώς οι ευάλωτες εφαρμογές χειρίζονται τα δεδομένα.
f. Αξιολόγηση αποκάλυψης ευαίσθητων πληροφοριών : Η συσκευή POS παράγει αποδείξεις συναλλαγής όταν ένα προϊόν ή μια υπηρεσία πληρωθεί επιτυχώς.
Είναι επιτακτική ανάγκη να εξετάζονται αυτές οι παραγόμενες αποδείξεις συναλλαγών για την παρουσία ευαίσθητων δεδομένων, όπως αριθμοί λογαριασμών και στοιχεία καρτών.
Η κρίσιμη πτυχή είναι να διασφαλιστεί ότι τυχόν πληροφορίες κάρτας εντός της απόδειξης συναλλαγής καλύπτονται αποτελεσματικά για την προστασία των δεδομένων των πελατών.
g. Συναλλαγή POS χωρίς PIN : Στο πλαίσιο της αξιολόγησής μας, στοχεύουμε στη διεξαγωγή μιας δοκιμαστικής συναλλαγής εντός του συστήματος POS χωρίς την ανάγκη χρήσης κωδικού PIN.
Η διαδικασία αυτή μας επιτρέπει να εξετάσουμε τον τρόπο με τον οποίο η συσκευή POS χειρίζεται τις συναλλαγές χωρίς έλεγχο ταυτότητας PIN, ρίχνοντας φως σε πιθανά τρωτά σημεία ασφαλείας.
h. Προσπάθεια πώλησης εκτός σύνδεσης χωρίς κωδικό εξουσιοδότησης : Η στρατηγική δοκιμών μας περιλαμβάνει μια απόπειρα εκτέλεσης μιας συναλλαγής πώλησης εκτός σύνδεσης χωρίς την παρουσία κωδικού εξουσιοδότησης ή με τη χρήση λανθασμένου κωδικού.
Αυτό το συγκεκριμένο σενάριο δοκιμής μας επιτρέπει να αξιολογήσουμε την ανθεκτικότητα και τα μέτρα ασφαλείας του συστήματος POS όσον αφορά τις συναλλαγές εκτός σύνδεσης ελλείψει των απαραίτητων κωδικών εξουσιοδότησης.
C. Αξιολόγηση τρωτότητας και δοκιμή διείσδυσης
a. Ασφάλεια δικτύου συσκευών POS : Η σύνδεση των συσκευών PO με τον απομονωμένο backend server της τράπεζας είναι κρίσιμης σημασίας για την αξιολόγηση των τρωτών σημείων ασφαλείας σε επίπεδο δικτύου.
Οι δοκιμές αυτές διεξάγονται για την αξιολόγηση της ασφάλειας της σύνδεσης δικτύου της συσκευής POS και τον εντοπισμό πιθανών κινδύνων.
b. Έλεγχος σύνδεσης δικτύου : Αρχικά, λαμβάνουμε τα στοιχεία IP της συσκευής POS και συνδέουμε το φορητό μας υπολογιστή στο δίκτυο POS. Αυτό μας επιτρέπει να προσομοιώσουμε την πρόσβαση στο δίκτυο.
Στη συνέχεια, εξετάζουμε διεξοδικά τη σύνδεση δικτύου. Συμβουλή: Αυτή η διαδικασία μας δίνει την ευκαιρία να εξετάσουμε το λειτουργικό σύστημα της συσκευής POS.
c. Προσδιορισμός των ανοικτών θυρών : Χρησιμοποιώντας εργαλεία όπως το Nmap, είναι ζωτικής σημασίας η σάρωση για ανοικτές θύρες TCP και UDP στη συσκευή POS. Αυτό μας βοηθά να προσδιορίσουμε ποιες υπηρεσίες εκτελούνται και ποιες θύρες είναι εκτεθειμένες στον εξωτερικό κόσμο.
Αναζητούμε πιθανά τρωτά σημεία ασφαλείας σε αυτές τις υπηρεσίες.
Παράδειγμα διαμόρφωσης τερματικού POS TCP και εφαρμογής TCP
d. Σάρωση τρωτών σημείων : Για να εντοπίσουμε πιο ολοκληρωμένα τα τρωτά σημεία ασφαλείας στη συσκευή POS, χρησιμοποιούμε εργαλεία σάρωσης τρωτών σημείων ασφαλείας όπως το Nessus.
Αυτή η σάρωση καλύπτει ένα ευρύ φάσμα, ξεκινώντας από την έκδοση του λειτουργικού συστήματος και επεκτεινόμενη σε πιθανές ευπάθειες ασφαλείας σε υπηρεσίες όπως το FTP και το SNMP.
Αξίζει να σημειωθεί ότι οι αυτοματοποιημένες διαδικασίες ενδέχεται να παραβλέψουν ορισμένα τρωτά σημεία, επομένως η χειροκίνητη προσπάθεια είναι απαραίτητη για τον εντοπισμό και την εκμετάλλευση των τρωτών σημείων, ιδίως εκείνων που σχετίζονται με λογικά σφάλματα, ανασφαλείς σχεδιασμούς και άλλα μη αυτοματοποιημένα τρωτά σημεία.
e. Εξέταση των υπηρεσιών : Οι συσκευές POS συνήθως εκτελούν περιορισμένο αριθμό υπηρεσιών. Η εξέταση αυτών των υπηρεσιών περιλαμβάνει,
Operating System Version : Προσπαθούμε να εντοπίσουμε την έκδοση του λειτουργικού συστήματος και να την επιθεωρήσουμε για ευπάθειες ασφαλείας.
FTP Service : Η υπηρεσία FTP χρησιμοποιείται για τη λήψη ενημερώσεων και τη μεταφόρτωση αρχείων της συσκευής. Εξετάζουμε αυτή την υπηρεσία για τρωτά σημεία ασφαλείας.
SNMP Service : Η υπηρεσία SNMP χρησιμοποιείται για την κεντρική διαχείριση της συσκευής POS. Αξιολογούμε το SNMP για τρωτά σημεία ασφαλείας.
Management Portal : Επαληθεύουμε την πρόσβαση στην πύλη διαχείρισης. Επιπλέον, εγκαταστήσαμε το POS SDK API στο φορητό μας υπολογιστή, το οποίο χρησιμοποιείται για την προσαρμογή της εφαρμογής POS. Προσπαθούμε να αποκτήσουμε πρόσβαση στη συσκευή POS μέσω σύνδεσης USB.
POS Application : Ελέγχουμε την έκδοση της εφαρμογής POS και διερευνούμε τα τρωτά σημεία ασφαλείας που σχετίζονται με αυτή την έκδοση. Ο έλεγχος ασφάλειας για συσκευές PoS έχει κρίσιμη σημασία για τις επιχειρήσεις και τα χρηματοπιστωτικά ιδρύματα.
Οι δοκιμές αυτές είναι απαραίτητες για τη διασφάλιση των επιχειρησιακών δεδομένων και των δεδομένων των πελατών, τη διασφάλιση της ασφάλειας των χρηματοοικονομικών συναλλαγών και την πρόληψη πιθανών τρωτών σημείων ασφαλείας.
Οι δοκιμές ασφαλείας που πραγματοποιούνται αξιολογούν την ασφάλεια δικτύου, τη φυσική ασφάλεια, την ασφάλεια εφαρμογών και άλλες πτυχές των συσκευών PoS.
Οι δοκιμές αυτές βοηθούν στον εντοπισμό πιθανών απειλών και παρέχουν την ευκαιρία για έγκαιρη παρέμβαση. Επιπλέον, οι τακτικές δοκιμές ασφαλείας συμβάλλουν στην ενίσχυση των μέτρων ασφαλείας για την άμυνα έναντι των τρεχουσών απειλών και μεθόδων επίθεσης.
Θα ήμουν ευτυχής να σας βοηθήσω με δοκιμές διείσδυσης για να επιτύχετε τη συμμόρφωση με το PCI DSS και να ενισχύσετε την ασφάλεια της επιχείρησής σας.
Εντοπίζοντας αθέατες απειλές, μπορώ να σας βοηθήσω να προστατεύσετε καλύτερα ευαίσθητα δεδομένα, όπως πληροφορίες καρτών πληρωμής και στοιχεία πελατών.
Ενισχύοντας την ασφάλεια της επιχείρησής σας, μπορούμε να δημιουργήσουμε μια ισχυρότερη άμυνα απέναντι στις επιθέσεις στον κυβερνοχώρο. Μπορώ να σας βοηθήσω να κερδίσετε την εμπιστοσύνη των πελατών και να διασφαλίσετε τη συμμόρφωση με τους κανονισμούς.
Μη διστάσετε να επικοινωνήσετε μαζί μας σήμερα για να μάθετε περισσότερα και να ανακαλύψετε πώς μπορώ να σας βοηθήσω να μεγιστοποιήσετε την ασφάλεια της επιχείρησής σας. Θυμηθείτε, είμαι εδώ για να αποκαλύψω αυτό που μπορεί να μην είναι άμεσα ορατό.
Μια κακόβουλη εκστρατεία που οι ερευνητές παρατήρησαν ότι γίνεται όλο και πιο σύνθετη κατά το τελευταίο εξάμηνο, εγκατέστησε σε πλατφόρμες ανοιχτού κώδικα εκατοντάδες πακέτα κλοπής πληροφοριών που μέτρησαν περίπου 75.000 λήψεις.
Η εκστρατεία παρακολουθείται από τις αρχές Απριλίου από τους αναλυτές της ομάδας Supply Chain Security της Checkmarx, οι οποίοι ανακάλυψαν 272 πακέτα με κώδικα για την κλοπή ευαίσθητων δεδομένων από στοχευμένα συστήματα.
Η επίθεση έχει εξελιχθεί σημαντικά από τότε που εντοπίστηκε για πρώτη φορά, με τους συγγραφείς των πακέτων να εφαρμόζουν όλο και πιο εξελιγμένα στρώματα απόκρυψης και τεχνικές αποφυγής εντοπισμού.
Οι ερευνητές λένε ότι άρχισαν να βλέπουν ένα μοτίβο “στο οικοσύστημα Python από τις αρχές Απριλίου 2023”.
Ένα παράδειγμα που παρέχεται είναι το αρχείο “_init_py”, το οποίο φορτώνει μόνο αφού ελέγξει ότι εκτελείται σε ένα σύστημα-στόχο και όχι σε ένα εικονικό περιβάλλον – ένα τυπικό σημάδι ενός ξενιστή ανάλυσης κακόβουλου λογισμικού.
Μόλις ξεκινήσει, στοχεύει τις ακόλουθες πληροφορίες στα μολυσμένα συστήματα:
Εργαλεία προστασίας από ιούς που εκτελούνται στη συσκευή.
Λίστα εργασιών, κωδικοί πρόσβασης Wi-Fi και πληροφορίες συστήματος.
Τα διαπιστευτήρια, το ιστορικό περιήγησης, τα cookies και οι πληροφορίες πληρωμής που αποθηκεύονται στα προγράμματα περιήγησης ιστού.
Δεδομένα σε εφαρμογές πορτοφολιού κρυπτονομισμάτων όπως το Atomic και το Exodus.
Discord badges, αριθμοί τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και κατάσταση nitro.
Δεδομένα χρηστών Minecraft και Roblox.
Επιπλέον, το κακόβουλο λογισμικό μπορεί να τραβήξει στιγμιότυπα οθόνης και να κλέψει μεμονωμένα αρχεία από το παραβιασμένο σύστημα, όπως οι κατάλογοι Desktop, Pictures, Documents, Music, Videos και Downloads.
Το πρόχειρο του θύματος παρακολουθείται επίσης συνεχώς για διευθύνσεις κρυπτονομισμάτων και το κακόβουλο λογισμικό τις ανταλλάσσει με τη διεύθυνση του επιτιθέμενου για να εκτρέψει τις πληρωμές σε πορτοφόλια που βρίσκονται υπό τον έλεγχό του.
Οι αναλυτές εκτιμούν ότι η εκστρατεία έκλεψε άμεσα περίπου 100.000 δολάρια σε κρυπτονόμισμα.
Χειραγώγηση εφαρμογών
Η Checkmarx αναφέρει ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε σε αυτή την εκστρατεία προχωρά ένα βήμα παραπέρα από τις τυπικές επιχειρήσεις κλοπής πληροφοριών, εμπλέκοντας τη χειραγώγηση δεδομένων εφαρμογών για να επιφέρει ένα πιο αποφασιστικό χτύπημα.
Για παράδειγμα, το αρχείο electron της εφαρμογής διαχείρισης πορτοφολιού κρυπτονομισμάτων Exodus αντικαθίσταται για να αλλοιώσει τα βασικά αρχεία, επιτρέποντας στους επιτιθέμενους να παρακάμψουν την Πολιτική Ασφάλειας Περιεχομένου (Content-Security-Policy) και να εξαφανίσουν δεδομένα.
Στο Discord, εάν είναι ενεργοποιημένες ορισμένες ρυθμίσεις, το κακόβουλο λογισμικό εισάγει κώδικα JavaScript που εκτελείται κατά την επανεκκίνηση του προγράμματος-πελάτη.
Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ένα σενάριο PowerShell σε ένα υπερυψωμένο τερματικό για να χειραγωγήσει τους “κεντρικούς υπολογιστές” των Windows, ώστε τα προϊόντα ασφαλείας που εκτελούνται στην παραβιασμένη συσκευή να μην μπορούν να επικοινωνήσουν με τους διακομιστές τους.
Εξέλιξη της επίθεσης
Σύμφωνα με τους ερευνητές, ο κακόβουλος κώδικας αυτής της εκστρατείας σε πακέτα από τον Απρίλιο ήταν σαφώς ορατός, καθώς ήταν απλό κείμενο.
Τον Μάιο, όμως, οι συγγραφείς των πακέτων άρχισαν να προσθέτουν κρυπτογράφηση για να εμποδίσουν την ανάλυση. Τον Αύγουστο, ο ερευνητής παρατήρησε ότι στα πακέτα είχε προστεθεί συσκότιση πολλαπλών επιπέδων.
Σε μια ξεχωριστή έκθεση του ερευνητή της Checkmarx, Yahuda Gelb, αναφέρθηκε ότι δύο από τα πιο πρόσφατα πακέτα χρησιμοποιούσαν όχι λιγότερα από 70 επίπεδα συσκοτισμού.
Επίσης, τον Αύγουστο, οι προγραμματιστές του κακόβουλου λογισμικού συμπεριέλαβαν τη δυνατότητα απενεργοποίησης των προϊόντων προστασίας από ιούς, πρόσθεσαν το Telegram στη λίστα των στοχευμένων εφαρμογών και εισήγαγαν ένα εφεδρικό σύστημα διαφυγής δεδομένων.
Οι ερευνητές προειδοποιούν ότι οι κοινότητες ανοικτού κώδικα και τα οικοσυστήματα προγραμματιστών εξακολουθούν να είναι ευάλωτα σε επιθέσεις στην αλυσίδα εφοδιασμού και ότι οι φορείς απειλών ανεβάζουν καθημερινά κακόβουλα πακέτα σε ευρέως χρησιμοποιούμενα αποθετήρια και συστήματα ελέγχου εκδόσεων, όπως το GitHub, ή σε μητρώα πακέτων όπως το PyPi και το NPM.
Συνιστάται στους χρήστες να εξετάζουν προσεκτικά τα έργα και τους εκδότες πακέτων που εμπιστεύονται και να επαγρυπνούν σχετικά με τα ονόματα πακέτων που περιέχουν τυπογραφικά λάθη.
Ένας κατάλογος των κακόβουλων πακέτων που χρησιμοποιήθηκαν σε αυτή την εκστρατεία είναι διαθέσιμος εδώ.
Νέο CVE υψηλής βαθμολογίας από την Google στη libwebp
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Χρησιμοποιώντας το Dirb για εντοπισμό κρυφών φακέλων και αρχείων σε ιστότοπους
Το Dirb είναι ένα εργαλείο ανοικτού κώδικα για την εξερεύνηση καταλόγων σε ιστότοπους. Πρόκειται για ένα εργαλείο σάρωσης καταλόγων (directory scanner) που χρησιμοποιείται συνήθως για τεστ ασφαλείας σε ιστότοπους.
Οι κυριότερες λειτουργίες του Dirb περιλαμβάνουν την ανίχνευση κρυμμένων καταλόγων και την εντοπισμό ανοικτών αρχείων. Χρησιμοποιεί λίστες κοινών ονομάτων αρχείων και καταλόγων για να δοκιμάσει την ύπαρξή τους σε έναν συγκεκριμένο ιστότοπο.
Εγκατάσταση του Dirb:
Καταρχάς, θα πρέπει να εγκαταστήσετε το Dirb.
Ανάλογα με το λειτουργικό σας σύστημα, ο τρόπος εγκατάστασης μπορεί να διαφέρει. Για παράδειγμα, σε συστήματα Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε την εντολή:
sudo apt-get install dirb
Kali Linux
Στο Kali Linux, το εργαλείο Dirb συνήθως είναι προεγκατεστημένο.
Μπορείτε να το εκτελέσετε απευθείας από το τερματικό χρησιμοποιώντας την εντολή dirb.
Χρήση του Dirb:
Αφού εγκατασταθεί, μπορείτε να το χρησιμοποιήσετε για την εξερεύνηση ενός ιστότοπου ως εξής:
dirb http://example.com
Αυτή η εντολή θα αρχίσει μια σάρωση καταλόγων στον ιστότοπο http://example.com. Το Dirb θα χρησιμοποιήσει μια λίστα συνηθισμένων ονομάτων αρχείων και καταλόγων για να ελέγξει αν υπάρχουν προσβάσιμες διαδρομές.
Μπορείτε να προσαρμόσετε την εντολή ανάλογα με τις ανάγκες σας, π.χ.:
dirb http://example.com -o output.txt -r
-o output.txt: Αποθηκεύει τα αποτελέσματα σε ένα αρχείο κειμένου.
-r: Επαναλαμβάνει τον έλεγχο για υπάρχοντα subdirectories.
Χρήση WordList
Αν θέλετε να χρησιμοποιήσετε μια δική σας λίστα, μπορείτε να την περάσετε στο Dirb με την επιλογή -w. Για παράδειγμα:
Αν δεν καθορίσετε μια συγκεκριμένη λίστα, το Dirb θα χρησιμοποιήσει την ενσωματωμένη λίστα που έχει προκαθορισμένα.
Σε γενικές γραμμές, οι λίστες για εξερεύνηση καταλόγων περιλαμβάνουν συνηθισμένα ονόματα αρχείων (όπως index.html, admin.php, κλπ.) και γνωστά ονόματα καταλόγων (όπως admin/, images/, κλπ.).
Αν θέλετε να χρησιμοποιήσετε πολλαπλές wordlists με το Dirb, μπορείτε να το κάνετε παρέχοντας τα ονόματα αρχείων των wordlists ως επιπλέον παραμέτρους. Οι λίστες θα πρέπει να έχουν ένα όνομα αρχείου αντίστοιχο με το Dirb και πρέπει να βρίσκονται στον ίδιο κατάλογο ή να παρέχεται ο πλήρης διαδρομή.
Παράδειγμα:
dirb http://example.com -w wordlist1.txt -w wordlist2.txt Σε αυτό το παράδειγμα, το Dirb θα χρησιμοποιήσει τις λίστες wordlist1.txt και wordlist2.txt για την εξερεύνηση του ιστότοπου.
Αναζήτηση Συγκεκριμένων αρχείων σε μια ιστοσελίδα
Μμπορείτε να χρησιμοποιήσετε την επιλογή -X.
Παράδειγμα:
dirb http://example.com -X .php,.html,.txt
Σε αυτό το παράδειγμα, το Dirb θα εξερευνήσει τον ιστότοπο για αρχεία με κατάληξη .php, .html και .txt.
Μπορείτε να προσθέσετε ή να αφαιρέσετε καταλήξεις ανάλογα με τις ανάγκες σας.
Σημερα θα “σπασουμε” MD5 αλλα ο ιδιος τροπος λειτουργει και με ολα τα hash.
Ας ξεκινησουμε.
Πρωτα οταν βρουμε το hash πρεπει να δουμε τι τυπος hash ειναι.
Εμεις για εκπαιδευτικους σκοπους εχουμε το παρακατω hash 928a03ac2fe32e3b728ac071fc07787e ειναι απο password απο gmail. Παμε να το κανουμε αναλυση να δουμε τι ειναι.
Οπως βλεπουμε το hash μας ειναι MD5.
Ας αρχισουμε.
Θελουμε καποιο wordlist…wordlists μπορειτε να βρειτε εδω https://weakpass.com/wordlist εχει απειρα wordlist σε παρα πολλες γλωσσες απο ολο το κοσμο και απο πολλα databases.
Εγω εχω φτιαξει ενα δικο μου τωρα γιατι ειναι για να σας δειξω πως γινεται και ειναι μικρο.
To worlist ειναι το εξης:
Μεσα εχει καποια random passwords εχει ομως και το real password που ειναι το hash μας.
Ξεκιναμε με το hashcat….Επειδη εχω ubuntu δεν εχω gui…αυτοι που εχουν windows7/8/10 μπορουν να εοχυν και gui θα αφησω links στο τελος και για windows και για linux και καποια tutorial να δειτε πως γινονται install αν και ειναι πολυ ευκολο και μπορειτε να βρειτε απειρα στο youtube.
Αυτα ειναι για Linux για Windows πως ειπα εχει GUI και δεν χρειαζονται commands απλα καποιες ρυθμισεις!
Ξεκιναμε με την παρακατω εντολη για να δουμε και τι εχει το hashcat
./hashcat64.bin --help
Οπως μπορουμε να δουμε εχει παρα πολλα options που μπορουμε να χρησιμοποιησουμε για να κανουμε εμεις το δικο μας custom atack.
Εμεις τωρα θα χρησιμοποιησουμε καποια απλα options.
Ξεκιναμε τωρα με το attack μας…εμεις θα βαλουμε την παρακατω εντολη:
./hashcat64.bin -m 0 -a 3 /home/xampos/Desktop/hashmail2/hashmail2 /home/xampos/Desktop/wordlist/testwordlist
Τωρα για να σας πω τι ειναι το καθε ενα στο hashcat το -m 0 ειναι το hash mode δειτε παρακατω στο screenshot:
To καθε hash εχει το δικο του mode ας πουμε αμα θελουμε SHA1 θα βαλουμε -m 100 αμα θελουμε SHA-512 θα βαλουμε -m 1700 και ουτω καθεξης για ολα τα modes κανουμε το ιδιο πραγμα.
To -a 3 ειναι τη επιθεση θα κανουμε δειτε στο screenshot:
Εμεις σε αυτη την περιπτωση θα κανουμε Brute-Force αρα επιλεγουμε το 3…θα σας εξηγησω αλλη φορα τι ειναι τα αλλα τα attack τι κανει το καθε ενα και που χρησιμευει το καθε ενα.
Ωραια τωρα ξεκιναμε το attack μας και ας δουμε τι εχει γινει στα παρακατω screenshot.
Προσοχη!Πρεπει να εχετε σωστα τους DRIVERS της καρτας γραφικων σας κανει INSTALL αλλιως ΔΕΝ θα δουλεψει και θα εχετε συνεχεια ERRORS!
Οπως μπορειτα να δειτε το hashcat τρεχει κανονικα και στο τελος μας βρηκε ποιος κωδικος ειναι αυτο το hash που βαλαμε….Ο κωδικος οπως μπορειτε να δειτε ειναι ο εξης: !abc123456789 για να ειμαστε 100% σιγουροι ας παμε να δουμε εαν οντως αυτος ο κωδικος εαν τον κανουμε encrypt θα μας δωσει το hash μας.
Οπως βλεπουμε το password αυτο εαν το κανουμε encrypt μας δινει το hash που ειχαμε αρα ειμαστε σωστοι 100% τωρα.
Παμε και στο gmail που φτιαξαμε για αυτο το σκοπο να δουμε εαν μπαινει και ο κωδικος.
Οπως βλεπουμε εχουμε προσβαση στο gmail με τον κωδικο που βαλαμε!
Αυτα για σημερα την επομενη φορα οπως ανεφερα θα δουμε καποια αλλα πραγματα για το hashcat που ειναι χρησιμα οπως θα δουμε και τι ειναι το mask attack που ειναι ενας καλυτερος τροπος για να σπασουμε καποιο hash που πιθανον να μην υπαρχει σε καποιο wordlist.
CSRF: Όταν οι Κρυφές Επιθέσεις Κατά των Δικτυακών Εφαρμογών απειλούν την Ασφάλειά μας
Στην εποχή της ψηφιακής επανάστασης, η ασφάλεια στον κυβερνοχώρο αποτελεί προτεραιότητα. Μέσα σε αυτό το πλαίσιο, μια σοβαρή απειλή που απειλεί την ασφάλεια των δικτυακών εφαρμογών και των χρηστών τους είναι η CSRF (Cross-Site Request Forgery). Σε αυτό το άρθρο, θα διερευνήσουμε αναλυτικά την ευπάθεια CSRF, τον τρόπο λειτουργίας της και τα σημαντικά μέτρα που μπορούμε να λάβουμε για την προστασία μας.
Τι είναι η CSRF;
Η CSRF, ή Cross-Site Request Forgery, είναι μια ευπάθεια ασφαλείας που επιτρέπει σε επιτιθέμενους να προσομοιώνουν αιτήματα από διαδικτυακές εφαρμογές που εμπιστεύονται τον χρήστη, εξαπατώντας το σύστημα και να εκτελούν εντολές χωρίς τη συναίνεση του χρήστη.
Πώς λειτουργεί η CSRF;
Κατά τη διάρκεια μιας επίθεσης CSRF, ο επιτιθέμενος προσποιείται ότι είναι ο χρήστης και προσπαθεί να προωθήσει αιτήματα προς μια διαδικτυακή εφαρμογή που ο χρήστης έχει συνδεθεί. Αν ο χρήστης έχει ανοιχτή τη σύνδεσή του στην εφαρμογή, το αίτημα εκτελείται με τα δικαιώματα του χρήστη, κάνοντας την επίθεση ακόμη πιο επικίνδυνη.
Πώς μπορούμε να προστατευτούμε;
Η προστασία από CSRF απαιτεί σωστό σχεδιασμό και εφαρμογή των δικτυακών εφαρμογών. Ορισματικά μέτρα περιλαμβάνουν:
Χρήση Tokens (CSRF Tokens): Μια από τις κύριες πρακτικές για την προστασία από CSRF είναι η χρήση CSRF tokens. Αυτά τα τυχαία δημιουργημένα tokens ενσωματώνονται στα αιτήματα του χρήστη και στον εξυπηρετητή. Αν το αίτημα δεν περιλαμβάνει το σωστό token, απορρίπτεται.
Χρήση του SameSite Attribute: Οι cookies που χρησιμοποιούνται για την αυθεντικοποίηση πρέπει να έχουν το SameSite attribute ορισμένο σωστά. Αυτό μπορεί να αποτρέψει την αποστολή cookies από άλλες τομές του διαδικτύου.
Έλεγχος Προέλευσης (Origin): Ο έλεγχος της προέλευσης (origin) των αιτημάτων μπορεί να βοηθήσει στην αποτροπή επιθέσεων CSRF. Οι διαδικτυακές εφαρμογές πρέπει να ελέγχουν ότι τα αιτήματα προέρχονται από την αναμενόμενη προέλευση.
Χρήση Προθεμάτων (Prefixes) στα Cookies: Η προσθήκη προθεμάτων στα cookies μπορεί να βοηθήσει στον περιορισμό της διαδικασίας ανάγνωσης και εγγραφής cookies από ανεπιθύμητες προσπάθειες.
Ενημέρωση και Εκπαίδευση: Οι προγραμματιστές και οι διαχειριστές συστημάτων πρέπει να είναι ενημερωμένοι για τις ευπάθειες CSRF και να εκπαιδεύονται σχετικά με τις βέλτιστες πρακτικές για την προστασία των εφαρμογών τους.
Η ευπάθεια CSRF αποτελεί μια σοβαρή απειλή για την ασφάλεια των δικτυακών εφαρμογών και των δεδομένων των χρηστών. Με την εφαρμογή των παραπάνω μέτρων, μπορούμε να περιορίσουμε τον κίνδυνο και να διασφαλίσουμε την ασφαλή λειτουργία των εφαρμογών μας στον ψηφιακό κόσμο.