Οι ερευνητές ασφαλείας εντόπισαν υποδομές που ανήκουν σε έναν απειλητικό παράγοντα που τώρα εντοπίζεται ως ShadowSyndicate, ο οποίος πιθανότατα χρησιμοποίησε επτά διαφορετικές οικογένειες ransomware σε επιθέσεις κατά το περασμένο έτος.
Οι αναλυτές της Group-IB που συνεργάζονται με την Bridewell και τον ανεξάρτητο ερευνητή Michael Koczwara αποδίδουν με διάφορους βαθμούς εμπιστοσύνης τη χρήση από το ShadowSyndicate των ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus και Play σε πολλαπλές παραβιάσεις που παρατηρήθηκαν από τον Ιούλιο του 2022.
Με βάση τα ευρήματά τους, οι ερευνητές πιστεύουν ότι ο δράστης της απειλής θα μπορούσε να είναι ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), αν και τα στοιχεία δείχνουν ότι το ShadowSyndicate είναι συνεργάτης σε πολλαπλές επιχειρήσεις ransomware.
Οι ερευνητές βασίζουν τα συμπεράσματά τους σε ένα ξεχωριστό δακτυλικό αποτύπωμα SSH που ανακάλυψαν σε 85 διακομιστές IP, οι περισσότεροι από τους οποίους χαρακτηρίζονται ως μηχανές εντολών και ελέγχου Cobalt Strike.
Οι αναλυτές είδαν για πρώτη φορά το fingerprint στις 16 Ιουλίου 2022 και εξακολουθούσε να χρησιμοποιείται τον Αύγουστο του 2023.
ShadowSyndicate arsenal
Η ομάδα ερευνητών βασίστηκε σε διάφορα εργαλεία για την έρευνά της, τα οποία περιλάμβαναν μηχανές εντοπισμού όπως οι Shodan και Censys, μαζί με διάφορες τεχνικές OSINT. Αυτό τους επέτρεψε να ανακαλύψουν ένα εκτεταμένο αποτύπωμα δραστηριότητας του ShadowSyndicate.
Εξετάζοντας τους διακομιστές ShadowSyndicate που εντοπίστηκαν με βάση το αποτύπωμα SSH, οι ερευνητές “έπεσαν πάνω σε οκτώ διαφορετικά υδατογραφήματα [κλειδιά άδειας χρήσης] της Cobalt Strike”.
Οι οκτώ διακομιστές Cobalt Strike επικοινωνούσαν με τα ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop και BlackCat/ALPHV που αναπτύχθηκαν σε διάφορα δίκτυα θυμάτων.
Οι ερευνητές ανακάλυψαν επίσης διαμορφώσεις του Cobalt Strike που αναπτύχθηκαν σε δύο διακομιστές, αλλά μόνο ο ένας από αυτούς σε ένα μηχάνημα που διέθετε το αποτύπωμα SSH του ShadowSyndicate.
Σε ορισμένες επιθέσεις, το ShadowSyndicate χρησιμοποίησε το εργαλείο διείσδυσης Sliver, το οποίο θεωρούνταν προηγουμένως ως πιθανός αντικαταστάτης του Cobalt Strike.
Άλλα εργαλεία που παρατηρήθηκαν σε επιθέσεις του ShadowSyndicate περιλαμβάνουν τον φορτωτή κακόβουλου λογισμικού IcedID, τον φορτωτή MaaS Matanbuchus και το ωφέλιμο φορτίο Meterpreter Metasploit.
Ανάλυση server
Οι αναλυτές εξέτασαν την υπόθεση ότι και οι 85 διακομιστές με το ίδιο δακτυλικό αποτύπωμα κλειδιού SSH που συνδέονται με το ShadowSyndicate συνδέονται με έναν ενιαίο πάροχο φιλοξενίας, αλλά βρήκαν 18 διαφορετικούς ιδιοκτήτες, 22 διαφορετικά ονόματα δικτύου και 13 διαφορετικές τοποθεσίες.
Η ανάλυση των παραμέτρων του Cobalt Strike C2, όπως η ημερομηνία ανίχνευσης, τα υδατογραφήματα ή οι ρυθμίσεις του χρόνου αναστολής λειτουργίας, βοήθησε στην παραγωγή αποδεικτικών στοιχείων υψηλής αξιοπιστίας που συνδέουν το ShadowSyndicate με τα ransomware Quantum, Nokoyawa και ALPHV/BlackCat.
Συγκεκριμένα, οι αναλυτές συνέδεσαν τους διακομιστές με μια επίθεση Quantum από τον Σεπτέμβριο του 2022, τρεις επιθέσεις Nokoyawa από το τέταρτο τρίμηνο του 2022 και τον Απρίλιο του 2023 και μια επίθεση ALPHV από τον Φεβρουάριο του 2023.
Η Group-IB και τα προαναφερθέντα συνεργαζόμενα μέρη βρήκαν πρόσθετα στοιχεία που συνδέουν το ShadowSyndicate με λιγότερη εμπιστοσύνη με τις επιχειρήσεις κακόβουλου λογισμικού Ryuk, Conti, Trickbot, Royal, Clop και Play.
Ειδικά για το Clop, η έκθεση της Group-IB αναφέρει ότι τουλάχιστον 12 διευθύνσεις IP που προηγουμένως συνδέονταν με τους διαβόητους χειριστές ransomware μεταφέρθηκαν στο ShadowSyndicate από τον Αύγουστο του 2022 και τώρα χρησιμοποιούνται για το Cobalt Strike.
Παρά τα πολλά ευρήματα που υποδηλώνουν μια πιθανή σύνδεση, μια άμεση σύνδεση υψηλής εμπιστοσύνης μεταξύ του ShadowSyndicate και του Clop παραμένει ασύλληπτη.
Οι εμπειρογνώμονες πληροφοριών της Group-IB καταλήγουν στο συμπέρασμα ότι η ShadowSyndicate είναι πιθανότατα μια θυγατρική εταιρεία που συνεργάζεται με διάφορες επιχειρήσεις ransomware-as-a-service (RaaS). Ωστόσο, απαιτούνται πρόσθετα στοιχεία για να υποστηριχθεί αυτή η θεωρία.
Παρ’ όλα αυτά, το έργο αυτό είναι ζωτικής σημασίας για τον εντοπισμό και την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, με αυτό το πνεύμα, η εταιρεία κυβερνοκατασκοπείας καλεί εξωτερικούς ερευνητές να συνεργαστούν ανοιχτά μαζί της και να βοηθήσουν στην αποκάλυψη των υπόλοιπων ασαφών τμημάτων.
Για λεπτομέρειες που θα μπορούσαν να βοηθήσουν τους αμυντικούς να εντοπίσουν και να αποδώσουν τη δραστηριότητα του ShadowSyndicate, η Group-IB δημοσίευσε σήμερα μια έκθεση με τεχνικά δεδομένα από την έρευνά της.
Η BlackCat ransomware (ALPHV) χρησιμοποιεί τώρα κλεμμένους λογαριασμούς της Microsoft και τον Sphynx encryptor για να κρυπτογραφήσει το Azure cloud των στόχων της.
Κατά τη διερεύνηση μιας πρόσφατης παραβίασης, οι υπεύθυνοι αντιμετώπισης περιστατικών της Sophos X-Ops ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν μια νέα παραλλαγή του Sphynx με πρόσθετη υποστήριξη για τη χρήση προσαρμοσμένων διαπιστευτηρίων.
Αφού απέκτησαν πρόσβαση στο λογαριασμό Sophos Central χρησιμοποιώντας έναν κλεμμένο κωδικό πρόσβασης μίας χρήσης (OTP), απενεργοποίησαν την προστασία παραβίασης και τροποποίησαν τις πολιτικές ασφαλείας. Αυτές οι ενέργειες ήταν δυνατές μετά την κλοπή του OTP από το LastPass του θύματος χρησιμοποιώντας την επέκταση LastPass Chrome.
Στη συνέχεια, κρυπτογράφησαν τα συστήματα του πελάτη της Sophos και την απομακρυσμένη αποθήκευση στο cloud Azure και προσέθεσαν την επέκταση .zk09cvt σε όλα τα κλειδωμένα αρχεία. Συνολικά, οι χειριστές του ransomware μπόρεσαν να κρυπτογραφήσουν επιτυχώς 39 λογαριασμούς Azure Storage.
Διείσδυσαν στο Azure portal του θύματος χρησιμοποιώντας ένα κλεμμένο κλειδί Azure που τους παρείχε πρόσβαση στους στοχευμένους λογαριασμούς. Τα κλειδιά που χρησιμοποιήθηκαν στην επίθεση εισήχθησαν μέσα στο δυαδικό πρόγραμμα ransomware αφού κωδικοποιήθηκαν με χρήση Base64.
Οι επιτιθέμενοι χρησιμοποίησαν επίσης πολλαπλά εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως τα AnyDesk, Splashtop και Atera, καθ’ όλη τη διάρκεια της εισβολής.
Η Sophos ανακάλυψε την παραλλαγή Sphynx τον Μάρτιο του 2023 κατά τη διάρκεια μιας έρευνας για μια παραβίαση δεδομένων που είχε ομοιότητες με μια άλλη επίθεση που περιγράφεται σε μια έκθεση της IBM-Xforce που δημοσιεύθηκε τον Μάιο (το εργαλείο ExMatter χρησιμοποιήθηκε για την εξαγωγή των κλεμμένων δεδομένων και στις δύο περιπτώσεις).
Η Microsoft διαπίστωσε επίσης τον περασμένο μήνα ότι ο νέος Sphynx encryptor ενσωματώνει το εργαλείο hacking Remcom και το framework δικτύωσης Impacket για μετακίνηση σε παραβιασμένα δίκτυα.
Ως επιχείρηση ransomware που εμφανίστηκε τον Νοέμβριο του 2021, το BlackCat/ALPHV είναι ύποπτο ότι είναι μια νέα επωνυμία της DarkSide/BlackMatter.
Γνωστή αρχικά ως DarkSide, η ομάδα αυτή συγκέντρωσε την παγκόσμια προσοχή μετά την παραβίαση του Colonial Pipeline, προσελκύοντας άμεσα τον έλεγχο των διεθνών υπηρεσιών επιβολής του νόμου.
Παρόλο που μετονομάστηκαν σε BlackMatter τον Ιούλιο του 2021, οι δραστηριότητές τους διακόπηκαν απότομα τον Νοέμβριο, όταν οι αρχές κατέσχεσαν τους διακομιστές τους και η εταιρεία ασφαλείας Emsisoft ανέπτυξε ένα εργαλείο αποκρυπτογράφησης που εκμεταλλευόταν μια ευπάθεια στο ransomware.
Η ομάδα αυτή αναγνωρίζεται σταθερά ως μία από τις πιο εξελιγμένες και υψηλού προφίλ ομάδες ransomware που στοχεύει επιχειρήσεις σε παγκόσμια κλίμακα, προσαρμόζοντας και βελτιώνοντας συνεχώς τις τακτικές της.
Για παράδειγμα, σε μια νέα προσέγγιση εκβιασμού το περασμένο καλοκαίρι, η BlackCat χρησιμοποίησε έναν ειδικό καθαρό δικτυακό ιστότοπο για να διαρρεύσει τα κλεμμένα δεδομένα ενός συγκεκριμένου θύματος, παρέχοντας στους πελάτες και τους υπαλλήλους του θύματος τα μέσα για να διαπιστώσουν αν τα δεδομένα τους είχαν εκτεθεί.
Πιο πρόσφατα, η BlackCat εισήγαγε τον Ιούλιο ένα API διαρροής δεδομένων που σχεδιάστηκε για να βελτιώσει τη διάδοση των κλεμμένων δεδομένων.
Αυτή την εβδομάδα, μία από τις θυγατρικές συμμορίες της BlackCat (που εντοπίζεται ως Scattered Spider) ανέλαβε την επίθεση στην MGM Resorts, λέγοντας ότι κρυπτογράφησαν πάνω από 100 ESXi hypervisors αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική της υποδομή και αρνήθηκε να διαπραγματευτεί την καταβολή λύτρων.
Τον περασμένο Απρίλιο, το FBI εξέδωσε προειδοποίηση επισημαίνοντας ότι η ομάδα βρισκόταν πίσω από τις επιτυχείς παραβιάσεις περισσότερων από 60 οντοτήτων παγκοσμίως μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022.
Μια θυγατρική της ομάδας BlackCat ransomware, επίσης γνωστή ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της MGM Resorts, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής. Σε ανακοίνωσή της, η ομάδα BlackCat ransomware ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφησε περισσότερους από 100 ESXi hypervisors, αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική υποδομή. Η ομάδα αναφέρει ότι εξαφάνισε δεδομένα από το δίκτυο και διατηρεί πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας ότι θα αναπτύξει νέες επιθέσεις εάν δεν επιτευχθεί συμφωνία για την καταβολή λύτρων.
Ανάπτυξη Ransomware και κλοπή δεδομένων της MGM
Ο ερευνητής κυβερνοασφάλειας vx-underground αποκάλυψε πρώτος την είδηση ότι οι χάκερς που συνδέονται με την επιχείρηση ransomware ALPHV φέρεται να παραβίασαν την MGM μέσω επίθεσης κοινωνικής μηχανικής. Επικαλούμενες πηγές που γνωρίζουν το θέμα, αναφορές στο διαδίκτυο, ανέφεραν αργότερα ότι ο χάκερ που παραβίασε την MGM Resorts εντοπίζεται από εταιρείες κυβερνοασφάλειας ως Scattered Spider (Crowdstrike). Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να εντοπίσουν τον ίδιο δράστη απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).
Σύμφωνα με τους δημοσιογράφους του Bloomberg, οι Scattered Spider παραβίασαν επίσης το δίκτυο της Caesars Entertainment, η οποία, σε ανακοίνωση της αμερικανικής Επιτροπής Κεφαλαιαγοράς την Πέμπτη, έδωσε σαφή υπαινιγμό ότι πλήρωσε τον επιτιθέμενο για να αποφύγει τη διαρροή των δεδομένων πελατών που εκλάπησαν κατά την επίθεση. Η απαίτηση για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια. Στη σημερινή ανακοίνωσή της, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή σχετικά με το κανάλι επικοινωνίας που δόθηκε, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί την καταβολή λύτρων. Οι χάκερς τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας κάθε έναν από τους διακομιστές Okta Sync τους, αφού έμαθαν ότι παραμονεύαμε στους δικούς τους
Προς το παρόν, οι χάκερς δηλώνουν ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να αποσπάσουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός αν καταλήξουν σε συμφωνία με την MGM. Για να πιέσουν ακόμη περισσότερο την εταιρεία να πληρώσει, η BlackCat απείλησε ότι θα χρησιμοποιήσει την τρέχουσα πρόσβασή της στις υποδομές της MGM για να “πραγματοποιήσει πρόσθετες επιθέσεις”.
Ποιοι είναι οι Scattered Spider
Οι Scattered Spider πιστεύεται ότι είναι μια ομάδα χάκερς που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν εταιρικά δίκτυα. Αυτές οι επιθέσεις περιλαμβάνουν την υποδυόμενη προσωπικότητα του help desk για να εξαπατήσει τους χρήστες ώστε να τους παράσχουν διαπιστευτήρια, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής, καθώς και επιθέσεις κόπωσης και phishing MFA για να αποκτήσουν πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων. Σε αντίθεση με τους περισσότερους συνεργάτες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα χάκερ αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών. Επιπλέον, λόγω των παρόμοιων τακτικών, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση ως προς τα μέλη και τις τακτικές.
Μια εκστρατεία Scattered Spider με την ονομασία “0ktapus” χρησιμοποιήθηκε για να στοχεύσει πάνω από 130 οργανισμούς για να κλέψει διαπιστευτήρια ταυτότητας Okta και κωδικούς 2FA, με μερικούς από αυτούς τους στόχους να περιλαμβάνουν τις T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC και Best Buy. Μόλις οι απειλητικοί φορείς παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων “Φέρε τον δικό σου ευάλωτο οδηγό” για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για περαιτέρω πλευρική εξάπλωση στο δίκτυο, ενώ παράλληλα κλέβουν δεδομένα και τελικά αποκτούν πρόσβαση σε διαπιστευτήρια διαχειριστή. Μόλις αποκτήσουν πρόσβαση με διαπιστευτήρια διαχειριστή, μπορούν να πραγματοποιήσουν περαιτέρω επιθέσεις, όπως η πειρατεία της διαχείρισης ενιαίας σύνδεσης, η καταστροφή αντιγράφων ασφαλείας και πιο πρόσφατα, η ανάπτυξη του ransomware BlackCat/ALPHV για την κρυπτογράφηση συσκευών. Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας χάκερ, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για να μην δημοσιεύσουν δεδομένα ή για να λάβουν ένα κρυπτογράφημα.
Σε αυτό το tutorial θα χρησιμοποιήσουμε το NMAP για να συγκεντρώσουμε πληροφορίες για ανοικτές πόρτες στο στόχο μας.
Ας ξεκινήσουμε με κάποια βασικά πράγματα για το NMAP.
Χρησιμοποιώντας το NMAP μπορούμε να βρούμε ανοικτές πόρτες και εκδόσεις υπηρεσιών οι οποίες τρέχουν σε ένα server και μπορούν να μας βοηθήσουν να λάβουμε άμεση πρόσβαση εκμεταλλεύοντας οποιαδήποτε λειτουργία ή μέσω bruteforce. Επίσης μπορούν να μας βοηθήσουν να καταλάβουμε σχετικά με υπηρεσίες οι οποίες τρέχουν στο server, έτσι ώστε αργότερα μπορεί να χρειαστούν ενώ κάνουμε pentesting.
Δύο βασικοί τύποι σκαναρίσματος οι οποίοι χρησιμοποιούνται συχνότερα στο NMAP είναι το TCP connect() scanning [-sT] και το SYN scanning (γνωστό επίσης και ως half-open, ή stealth scanning) [-sS].
Για ένα απλό σκανάρισμα για πόρτες:
Nmap <IP Address>
Για ένα Stealth σκανάρισμα για πόρτες:
Nmap -sS <IP Address>
Για να σκανάρουμε την έκδοση μιας υπηρεσίας η οποία τρέχει σε ανοικτές πόρτες χρησιμοποιούμε τη μεταβλητή -sV
Nmap -sV <IP Address>
Μερικές φορές αν ένας server μπλοκάρει το ping μας και δείχνει πως δε λειτουργεί, τότε μπορούμε να χρησιμοποιήουμε τη μεταβλητή -Pn για να το σκανάρουμε
Nmap -sV -Pn <IP Address>
Για να βρούμε το λειτουργικό σύστημα μπορούμε να χρησιμοποιήσουμε το τη μεταβλητή -O
A buffer overflow (bof), or buffer overrun, is an anomaly whereby a program, while writing data to a buffer, overruns the buffer’s boundary and overwrites adjacent memory locations (Wikipedia).
Θα αναλύσουμε σε αυτό το άρθρο αυτή την πολύ παλιά ευπάθεια λογισμικού και θα δούμε αν αυτή εξακολουθεί να μετράει…
Από το πρώτο άρθρο του Aleph One (Elias Levy) το 1996, “Smashing The Stack For Fun And Profit“, έχουν περάσει πάνω από 25 χρόνια. Η απάντηση στην ερώτηση “Είναι αυτή η ευπάθεια ακόμα ενεργή;” είναι ένα μεγάλο: ΝΑΙ!
Αλλά πράγματι, σήμερα, με τα σύγχρονα περιβάλλοντα & γλώσσες ανάπτυξης λογισμικού (.Net, J2EE, RoR, κλπ) δεν είναι τόσο εύκολο να πραγματοποιηθεί μια τέτοια επίθεση, αλλά… οι εφαρμογές που δημιουργήθηκαν σε περισσότερο low level γλώσσες προγραμματισμού που είναι ευάλωτες στην buffer overflow (όπως η C ή η C++) εξακολουθούν να υπάρχουν, και είναι πολλές: Web servers, Λειτουργικά Συστήματα, DBMSs και γενικά, σχεδόν σε όλα όσα βάζουμε να “τρέχουν” οι “ασφαλείς” εφαρμογές μας…
Σε αυτή τη σειρά άρθρων θα προσπαθήσω να εξηγήσω στους νεοεισερχόμενους πώς μπορεί να γίνει μια τέτοια επίθεση σε σύγχρονα περιβάλλοντα και Λειτουργικά Συστήματα.
Δεδομένου ότι η συγκεκριμένη επίθεση έχει να κάνει με την αρχιτεκτονική της μνήμης, την αρχιτεκτονική των λειτουργικών συστημάτων και τις συγκεκριμένες υλοποιήσεις μεταγλωττιστών, υπάρχουν αρκετές παραδοχές που πρέπει να κάνουμε.
Θα συζητήσουμε αυτές τις υποθέσεις για κάθε αρχιτεκτονική που επιλέγουμε.
Ας ξεκινήσουμε το ταξίδι μας με Linux…
0x1. Linux 64bit σε εφαρμογή 64bit
Ας δημιουργήσουμε τη δοκιμαστική μας εφαρμογή σε γλώσσα C για να ολοκληρώσουμε τη δοκιμή.
Ο πηγαίος κώδικας είναι ο εξής:
Αυτό το πολύ απλό πρόγραμμα επίδειξης, αυτό που κάνει είναι να λάβει ένα κλειδί προϊόντος ως είσοδο και αν το κλειδί προϊόντος είναι σωστό θα συνεχίσει στην κύρια ροή, διαφορετικά παράγει ένα σφάλμα και εξέρχεται.
Η είσοδος μπορεί να δοθεί από όρισμα της γραμμής εντολών ή (αν δεν δοθούν ορίσματα) θα ζητήσει από τον χρήστη να το εισάγει.
Για να μπορέσουμε να πραγματοποιήσουμε μια επιτυχημένη επίθεση, κάνουμε κάποιες παραδοχές χρησιμοποιώντας συγκεκριμένες σημαίες (flags) του μεταγλωττιστή.
Μεταγλωττίζω το πρόγραμμα ως εξής:
-m64: δημιουργία ενός εκτελέσιμου αρχείου σε αρχιτεκτονική 64bit (για να είμαι ειλικρινής, θα μπορούσα να το παραλείψω στο συγκεκριμένο σύστημα, αφού χρησιμοποιείται ως προεπιλογή).
-g: για την παραγωγή ειδικών μεταδεδομένων για τον αποσφαλματωτή (debugger – που θα χρησιμοποιήσουμε αργότερα)
-fno-stack-protector: κατά την εκτέλεση του προγράμματος δεν θα πραγματοποιείται έλεγχος στοίβας μνήμης (no stack protection).
-z execstack: επιτρέπει την εκτέλεση κώδικα σε τμήμα στοίβας (στη μνήμη).
-o demo: όνομα του τελικού εκτελέσιμου αρχείου θα είναι demo.
Το συγκεκριμένο παράδειγμα έχει υλοποιηθεί στο KALI Linux 2022.4:
Επιπλέον, είναι πολύ σημαντικό να απενεργοποιήσετε την προστασία ASLR (Address Space Layout Randomization).
Για να το κάνετε αυτό, στο kali απλά εισάγετε την εντολή ως root:
Και… btw, αν θέλετε να ελέγξετε, ποια είναι η τρέχουσα κατάσταση του ASLR, εισάγετε αυτό:
$ sudo cat /proc/sys/kernel/randomize_va_space
Στην παρακάτω εικόνα βλέπουμε μια κανονική εκτέλεση του μικρού μου προγράμματος επίδειξης.
Όπως μπορείτε να δείτε, υπάρχουν δύο (τουλάχιστον!!) κύρια τρωτά σημεία στο πρόγραμμα: Είναι όπου χρησιμοποιείται η ευάλωτη συνάρτηση strcpy και ας το δούμε αυτό στην πράξη:
O παραπάνω είναι ένας σχετικά εύκολος ο τρόπος για να ελέγξουμε αν το πρόγραμμά μας είναι ευάλωτο σε μια επίθεση buffer overflow: Δίνουμε ένα πολύ μεγάλο αλφαριθμητικό και στη συνέχεια ελέγχουμε την απόκριση του προγράμματος. Αν λάβουμε ένα ‘segmentation fault’ τότε είναι πιθανό να έχουμε μια ευπάθεια bof (buffer overflow)…
0x1.0x1. Η προσέγγιση ROP
Σύμφωνα με τη Wikipedia: Return-oriented programming (ROP) is a computer security exploit technique that allows an attacker to execute code in the presence of security defenses such as executable space protection and code signing.
Ο κύριος στόχος μας εδώ είναι να εκμεταλλευτούμε την ευπάθεια ενός προγράμματος προκειμένου να ανακατευθύνουμε τη ροή του προγράμματος εκεί που μας αρέσει (και εκεί που μπορούμε, βεβαίως βεβαίως)…
Ας εξετάσουμε τη συμπεριφορά του προγράμματος χρησιμοποιώντας τον αποσφαλματωτή gdb.
Βάζουμε ένα σημείο διακοπής (break point) στη γραμμή 7, αμέσως μετά την strcpy, μέσα στη συνάρτηση checkProductKey.
Εκτελούμε την εφαρμογή μέσα στον αποσφαλματωτή ( απλά πληκτρολογούμε dbg ./demo ) περνώντας ένα κανονικό αλφαριθμητικό, προκειμένου να ελέγξουμε πού βρίσκεται η διεύθυνση RET (περισσότερα γι’ αυτό παρακάτω). Έτσι θα έχουμε:
Ας συζητήσουμε μερικά πραγματάκια εδώ…
Η παραπάνω εικόνα χωρίζεται σε 2 κονσόλες:
Η αριστερή κονσόλα είναι ο disassembled κώδικας του προγράμματος που λαμβάνω μετά την τοποθέτηση του σημείου διακοπής στη γραμμή 7 (break 7) και την εισαγωγή disassemble /s main. Η παράμετρος “/s” δίνει εντολή στον αποσφαλματωτή να παράγει τον disassembled κώδικα μαζί με τον αντίστοιχο πηγαίο κώδικα C (thanks to the flag -g στη φάση της μεταγλώττισης).
Η δεξιά κονσόλα είναι η κονσόλα εκτέλεσης στην οποία δουλεύουμε δοκιμάζοντας το πρόγραμμα μας.
Σημειώστε επίσης το εξής σημαντικό: οι διευθύνσεις μνήμης (που ορίζονται με μπλε χρώμα) είναι ίδιες και στις δύο εικόνες. Αυτό είναι πολύ δύσκολο να συμβεί σε πραγματικές καταστάσεις, επειδή αυτές οι διευθύνσεις μπορεί να μην είναι πάντα οι ίδιες κάθε φορά που εκτελούμε το πρόγραμμα. Αυτό συμβαίνει εξαιτίας του ASLR, και γι’ αυτό το λόγο το απενεργοποιούμε, παραπάνω, αλλιώς μπορεί να καταλήξουμε να κυνηγάμε… φαντάσματα, πιστέψτε με! — burned-burned-burned!!
Όπως μπορείτε να δείτε στα ΠΡΑΣΙΝΑ ΚΟΥΤΙΑ τρέχουμε το πρόγραμμα στον αποσφαλματωτή περνώντας 10 “Α” ως όρισμα: run AAAAAAAAAA
Αυτό αποθηκεύεται στη στοίβα (stack – μην μου πείτε οτι δεν το ξέρετε – see part I) καθώς καλείται η συνάρτηση checkProductKey αφού περνάει ως όρισμα στη συνάρτηση.
Μπορούμε να δούμε τη στοίβα στη μνήμη εισάγοντας την εντολή x/24xg $rsp στον αποσφαλματωτή. Αυτή η εντολή δίνει εντολή στον αποσφαλματωτή να εμφανίσει σε δεκαεξαδική μορφή “x”, τις επόμενες 24 θέσεις μνήμης σε γιγαντιαία (“g”) μορφή 8-bytes.
Το $rsp είναι το γνωστό Stack Pointer (το παλιό ESP στα 32bit συστήματα – see again part I) όπου στην περίπτωσή μας δείχνει τις μεταβλητές που πέρασαν ως ορίσματα μέσα στη συνάρτησή μας.
Τα “AAAAAAAAAA” αναπαρίστανται εδώ σε δεκαεξαδική μορφή (“x”) από τον αριθμό “41” που είναι η ASCII δεκαεξαδική αναπαράσταση του γράμματος “A”.
Επίσης, σημειώστε ότι τα 10 “Α” αποθηκεύονται στη θέση μνήμης με αντίστροφη σειρά, καθώς πρόκειται για την αρχιτεκτονική little endian.
Έτσι, η πραγματική συμβολοσειρά που διατηρείται στη στοίβα (στη μνήμη) είναι η “41.41.41.41.41.41.41.41.41.41.00” (έβαλα το “.” για να είναι πιο ευανάγνωστο).
Σημειώστε ότι το “00” είναι ο μηδενικός χαρακτήρας που δηλώνει τον τερματισμό της συμβολοσειράς. Να θυμάστε αυτό το “00” επειδή παίζει σημαντικό ρόλο (ως εμπόδιο) στην ανάπτυξη exploits γενικότερα, και ειδικά στη δημιουργία shellcode (ή bytecode) (περισσότερα για αυτό στο part III). Το βασικό σημείο που πρέπει να γνωρίζετε εδώ είναι το εξής: Η ανάγνωση (ή μερικές φορές η εκτέλεση) μιας σειράς θέσεων μνήμης διακόπτεται όταν το σύστημα συναντήσει ένα byte 00.
Επικεντρωθείτε τώρα στα κόκκινα κουτάκια της εικόνας μας και θυμηθείτε πού βρισκόμαστε: Βρισκόμαστε μέσα στη συνάρτηση checkProductKey.
Όταν η συνάρτηση τελειώσει, η λειτουργικότητα του προγράμματος πρέπει να επιστρέψει στο σημείο που κλήθηκε. Για να είμαστε πιο συγκεκριμένοι: πρέπει να επιστρέψει στη διεύθυνση του καλούντα.
Προκειμένου το σύστημα να θυμάται αυτή τη διεύθυνση, την αποθηκεύει σε μια συγκεκριμένη θέση μνήμης μέσα στο buffer της τρέχουσας συνάρτησης. Ονομάζουμε αυτή τη διεύθυνση: διεύθυνση RET (RETurn). Είναι μια από τις πιο σημαντικές διευθύνσεις των επιθέσεων buffer overflow και θεωρείται το “ιερό δισκοπότηρο” κάθε εκμετάλλευσης μιας αδυναμίας buffer overflow.
Όπως μπορείτε να δείτε στο κόκκινο πλαίσιο στη δεξιά κονσόλα, η διεύθυνση RET αποθηκεύεται στο τέλος του buffer, μετά τη διεύθυνση του αλφαριθμητικού εισόδου μας “AAAAAAAAAA” και κάποιες άλλες διευθύνσεις (όπως ο Base Pointer, κάποιες μεταβλητές περιβάλλοντος κ.λπ. που είναι σημαντικές… αλλά όχι τόσο σημαντικές για την ώρα).
Όπως μπορείτε να φανταστείτε αν εισάγουμε ένα πολύ μεγάλο αλφαριθμητικό εισόδου, μεγαλύτερο από αυτό που έχει κρατήσει το πρόγραμμα μας (στην περίπτωσή μας είναι 12 – λόγω της char key[12]; στη γραμμή 5) τότε αυτό θα γράψουμε από πάνω από όλες τις διευθύνσεις που ακολουθούν αυτή τη μεταβλητή, συμπεριλαμβανομένης της διεύθυνσης RET. Αυτό είναι πολύ σημαντικό και πολύ δύσκολο!
και αυτός είναι ο λόγος:
Έστω οτι δώσουμε αυτό σαν input: “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”.
To buffer μας μπορεί να χωρέσει μόνο τους πρώτους 12 χαρακτήρες (ή bytes στην αρχιτεκτονική i386), συμπεριλαμβανομένου του χαρακτήρα τερματισμού, δηλαδή του “00”. Τι γίνεται λοιπόν με τους υπόλοιπους χαρακτήρες; Μα, θα αντικαταστήσουν τις γειτονικές διευθύνσεις μνήμης… συμπεριλαμβανομένης της διεύθυνσης που βρίσκεται το RET .
Έτσι, η διεύθυνση RET θα γεμίσει με “A”, άρα “AAAAAAAA” ή “4141414141414141”.
Σημειώστε ότι επίτηδες επέλεξα 8 bytes για να δηλώσω τη διεύθυνση σε συστήματα 64bit.
Γενικά, θα πρέπει να γνωρίζετε ότι στα 64bit συστήματα (σε αντίθεση με τα 32bit συστήματα που είδαμε σαν θεωρία στο Part I) έχουμε τις εξής διαφορές:
Οι καταχωρητές γενικού σκοπού έχουν επεκταθεί σε 64-bit. Έτσι έχουμε τώρα τους RAX, RBX, RCX, RDX, RSI και RDI.
Ο Instruction Pointer, ο Base Pointer και ο Stack Pointer έχουν επίσης επεκταθεί σε 64-bit ως RIP, RBP και RSP αντίστοιχα.
Έχουν παρασχεθεί οι πρόσθετοι καταχωρητές: R8 έως R15.
Οι pointers έχουν μήκος 8-bytes.
Τα push/pop στο STACK έχουν μήκος 8-bytes.
To μέγιστο μέγεθος μιας επιτρεπτής διεύθυνσης είναι: 0x00007FFFFFFFFFFFFFFF (περισσότερα σχετικά με αυτό θα πούμε λίγο αργότερα).
Δείτε τώρα τη διεύθυνση RET σε συνδυασμό με μια άλλη πολύ σημαντική διεύθυνση, η οποία είναι αποθηκευμένη στη μνήμη του επεξεργαστή: Ο Instruction Pointer ή $RIP. Αυτή η διεύθυνση έχει πάντα τη διεύθυνση της επόμενης εντολής που θα εκτελέσει το πρόγραμμα. Έτσι, όταν φτάσουμε στο τέλος της συνάρτησης μας, εκτελείται η εντολή $RIP = RET. Έτσι, η λειτουργικότητα του προγράμματος θα επιστρέψει στον καλούντα, αφού η διεύθυνση RET διατηρεί τη διεύθυνση του καλούντος, και για να είμαστε πιο συγκεκριμένοι διατηρεί τη διεύθυνση της επόμενης εντολής από αυτή που κλήθηκε τη συνάρτηση.
Έτσι, στο παραπάνω θεωρητικό μας παράδειγμα η διεύθυνση RET θα γεμίσει με “4141414141414141”, δηλαδή το πρόγραμμα, στο τέλος της συνάρτησης checkProductKey θα προσπαθήσει να μεταβεί στη διεύθυνση 0x4141414141414141.
Αλλά μια τέτοια διεύθυνση δεν υπάρχει στο πλαίσιο του προγράμματός μας, οπότε λαμβάνουμε το γνωστό σφάλμα: segmentation fault
Έχοντας κατά νου τις παραπάνω γνώσεις ας προσπαθήσουμε να εκμεταλλευτούμε το πρόγραμμά μας.
Εξετάζοντας τη δομή $rsp στο αρχικό μας παράδειγμα (στην παραπάνω εικόνα) μπορούμε να δούμε ότι χρειαζόμαστε 3 x 8 bytes προκειμένου να ικανοποιήσουμε τη διεύθυνση RET.
Ας το αποδείξουμε αυτό με το ακόλουθο παράδειγμα:
Όπως μπορείτε να δείτε, εισάγουμε 24 x “A” = “AAAAAAAAAAAAAAAAAAAAAAAA” και τα 8 “B” “BBBBBBBB” αντικαθιστούν τη διεύθυνση RET.
Το πρόγραμμα κατέρρευσε… Αυτό που θα θέλαμε να κάνουμε στην πραγματικότητα είναι να αντικαταστήσουμε την $RIP με μια άκυρη διεύθυνση. Αλλά, στην πραγματικότητα δεν ελέγχουμε καθόλου την $RIP. Έχουμε έλεγχο μόνο στην RET όπως ήδη βλέπετε.
Για την ενημέρωσή σας πρέπει να το ξέρετε αυτό: Το μέγιστο μέγεθος διεύθυνσης που μπορούμε να χειριστούμε στην αρχιτεκτονική 64bit είναι 0x00007FFFFFFFFFFFFFFF. Αυτό που κάναμε μέχρι εδώ, είναι ότι γράψαμε επάνω στην $RIP, μέσω της RET, τη μη κανονική διεύθυνση 0x4242424242424242, η οποία προκαλεί τον επεξεργαστή να εγείρει μια εξαίρεση.
[Αν έχετε μπερδευτεί λίγο με τις 64μπιτες διευθύνσεις, μπορείτε να διαβάσετε περισσότερα για αυτή την αρχιτεκτονική των 64bit εδώ.]
Οπότε, ο στόχος ήταν να βρούμε το offset με το οποίο θα αντικαταστήσουμε την RET και κατά συνέπεια την $RIP με μια κανονική (υπαρκτή) διεύθυνση.
Για το λόγο αυτό χρησιμοποιώ ένα κυκλικό μοτίβο (ας πούμε “AAAAAABBBB” κλπ) και το δοκιμάζω μέχρι να καταλήξω στην απαραίτητη διεύθυνση (και ναι, ξέρω ότι υπάρχουν και άλλες δημοσιευμένοι μέθοδοι που υπολογίζουν διαφορετικά το απαιτούμενο offset, αλλά αυτή που παρουσίασα εδώ επίσης λειτουργεί… οπότε… ΟΚ! 😎 ).
Έτσι, θα πάω να αντικαταστήσω το “BBBBBBBBBB” με μια υπάρχουσα διεύθυνση του υπάρχοντος πηγαίου κώδικα (Code Segment) προκειμένου να παρακάμψω τους ελέγχους που γίνονται στον κώδικα για το σωστό κλειδί.
Αυτή η διεύθυνση είναι η ακόλουθη:
Σε αυτό το σημείο έχουν περάσει όλοι οι έλεγχοι σχετικά με το κλειδί προϊόντος, και αυτό είναι που ονομάζω ROP (βλ. τον τίτλο της παραγράφου).
Πρέπει να αντικαταστήσω το “B” με αυτή τη διεύθυνση: 0x0000555555555261
Αλλά πρέπει να περάσω την τιμή της ως bytes… και όχι ως συμβολοσειρά! Πώς να το κάνω αυτό;
Υπάρχουν διάφοροι τρόποι για να περάσετε αυτό το αλφαριθμητικό ως “bytes” στον αποσφαλματωτή:
Θα επιλέξω τον πιο γρήγορο… ρίξτε μια ματιά εδώ:
Ας εξετάσουμε λίγο την επίθεση “string” :
Εδώ χρησιμοποιώ λίγο την python v.2 (και στην v.3 λειτουργεί επίσης αν βάλω την εκτύπωση συμβολοσειράς σε παρενθέσεις: “(” και “)” ) : python2 -c ‘print “1”*24 + “\x55\x55\x55\x55\x55\x52\x61″[::-1]’
Αντί να γράψω μια εξήγηση σε κείμενο εδώ θα δείξω την εικόνα του αποτελέσματος όταν το εκτελώ στη γραμμή εντολών:
Όπως μπορείτε να δείτε, περνάω τα παραπάνω αποτελέσματα, ως όρισμα γραμμής εντολών στο dbg χρησιμοποιώντας τον συμβολισμό run $( <SYSTEM_COMMAND> ).
Αυτός είναι ένας εύκολος τρόπος για να περάσετε τη συμβολοσειρά της γραμμής εντολών ως bytes σε ένα πρόγραμμα.
Το πρόγραμμα “σκάει” (με segmentation fault), αλλά στο τέλος, έκανα μια επιτυχημένη ανακατεύθυνση, όπως μπορείτε να δείτε το μήνυμα ‘Welcome’ (στο πράσινο πλαίσιο παραπάνω). Έτσι, παρακάμπτω τον μηχανισμό ελέγχου!!
Σημειώστε επίσης, τον τρόπο με τον οποίο περνάω τη διεύθυνση στόχου, με αντίστροφη σειρά: ο συμβολισμός [::-1] της python απλά έβαλε τη δεκαεξαδική συμβολοσειρά αντίστροφα.
Έτσι, το “55.55.55.55.55.52.61” θα μπει στα string arguments ως “61.52.55.55.55.55.55.55” (θυμηθείτε την αρχιτεκτονική little endian που ανέφερα παραπάνω).
Σημαντική σημείωση: το “555555555261” τοποθετείται στη μνήμη με αντίστροφη σειρά ανά ζεύγος: το “55.55.55.55.55.52.61” θα τοποθετηθεί στη μνήμη ως “61.52.55.55.55.55.55“.
Και γενικά, κάθε διεύθυνση μνήμης που θα διαβάσουμε, είναι μια σειρά από ζεύγη – ή μια σειρά από 1 byte (8bits, από το 0 έως το 255 – ή αλλιώς 2^8=256 πιθανές διαφορετικές τιμές). “Historically, the byte was the number of bits used to encode a single character of text in a computer and for this reason it is the smallest addressable unit of memory in many computer architectures.” (wikipedia)
Το ίδιο ισχύει και για τα i386 64-bit Windows 10 αλλά και στο i386 64-bit Kali Linux.
Επιπλέον, ο συμβολισμός ‘\x’ υποδηλώνει ότι μιλάω στο πρόγραμμα όχι σε δεκαδικό αλλά σε δεκαεξαδικό σύστημα.
Το κάνω αυτό επειδή ο αποσφαλματωτής εμφανίζει τις διευθύνσεις μνήμης σε δεκαεξαδική σημειογραφία.
Αν αναρωτιέστε γιατί ο αποσφαλματωτής προτιμά τη δεκαεξαδική σημειογραφία, θα έλεγα το εξής:
Η δεκαδική αναπαράσταση της δεκαεξαδικής διεύθυνσης 555555555261 είναι αυτός ο αριθμός: 93824992236129. Λοιπόν, φαίνεται σαν έναν τηλεφωνικό αριθμό, ε;! 😆
Έτσι… δεν είναι τόσο εύκολο για τον άνθρωπο να αντιμετωπίσει τόσο μεγάλους αριθμούς μήκους. Η δεκαεξαδική σημειογραφία είναι πιο εύχρηστη και συνεπώς διαχειρίσιμη. Αυτός είναι ο λόγος για τον οποίο έχει υιοθετηθεί από (σχεδόν) όλα τα προγράμματα εντοπισμού σφαλμάτων στον κόσμο για την αναπαράσταση διευθύνσεων η 16δική αναπαράσταση.
Μέχρι στιγμής, λοιπόν, έχω εκτελέσει, στην ουσία, ένα “goto” (θυμάστε στη BASIC την εντολή goto😉 ή ένα JUMP (assembly-wise) με τη χρήση του debugger.
Αυτό που χρειάζομαι τώρα είναι να κάνω το ίδιο στο τελικό εκτελέσιμο από τη γραμμή εντολών σε μια κονσόλα, και ΟΧΙ με τη χρήση του dbg.
Λοιπόν, η απάντηση φαίνεται αρκετά απλή: Απλά το τρέχω από τη γραμμή εντολών αυτό:
Όπως μπορείτε να δείτε, ανοίγω την οθόνη καλωσορίσματος χωρίς να πληκτρολογήσω κανένα κλειδί προϊόντος και μόλις δημιούργησα την πρώτη μου εκμετάλλευση buffer overflow… 😎
Σημειώστε ότι τα αποτελέσματα στην παραπάνω εικόνα δεν είναι πάντα τόσο προφανή, ειδικά όταν πειράζουμε τις διευθύνσεις μνήμης και τη στοίβα απευθείας. Αρκετές φορές αυτό που βλέπω στον αποσφαλματωτή δεν είναι ακριβώς το ίδιο με αυτό που βλέπω όταν εκτελώ το πρόγραμμα απευθείας από τη γραμμή εντολών και αυτό είναι πολύ συνηθισμένο όταν πρέπει να αναφερθώ σε διευθύνσεις στη στοίβα (και όχι στο τμήμα κώδικα όπως έκανα εδώ).
Τέτοιο παράδειγμα θα δούμε στο Μέρος ΙΙI αυτής της σειράς άρθρων, όταν θα δείξω πώς να βάλω ένα “shell” στη στοίβα και πώς να το εκτελέσω. Επιπλέον στο Μέρος ΙΙI θα δούμε τι είναι το bytecode, πώς θα δημιουργήσουμε ή θα βρούμε κάποιους έτοιμα byte-codes και πώς θα τα ελέγξουμε. Θα δούμε, οτι σε τέτοιες περιπτώσεις ότι τα αποτελέσματα μπορεί να μην είναι τόσο ντετερμινιστικά όσο θα περιμέναμε…
Νότια Κορέα: Έρευνα για Κυβερνοεπίθεση – Πιθανή Κλοπή Στρατιωτικών Μυστικών
Οι νότιοκορεατικές αρχές ερευνούν εάν μια ομάδα χάκερ από τη Βόρεια Κορέα, που κατηγορείται για την κλοπή δεδομένων, απέκτησε πληροφορίες σχετικά με τεχνολογία άμυνας, συμπεριλαμβανομένου ενός λέιζερ αντιαεροπορικού, δήλωσε επίσημος της αστυνομίας της πόλης του Σεουλ την Τετάρτη.
Η έρευνα, η οποία διεξάγεται σε συνεργασία με το FBI των Ηνωμένων Πολιτειών, προσπαθεί να καθορίσει το εύρος των δεδομένων που απέκτησε η ομάδα που είναι γνωστή ως Andariel, είπε ο Jeong Jin-ho,επικεφαλής μιας ομάδας στην Αστυνομική Υπηρεσία της Μητροπολιτικής Περιοχής του Σεουλ που ερευνά την υπόθεση, στο Reuters.
Το Υπουργείο Οικονομικών των Ηνωμένων Πολιτειών κατέταξε το Andariel ως μια ομάδα χάκερ υποστηριζόμενη από το κράτος της Βόρειας Κορέας, προσανατολισμένη στη διεξαγωγή κακόβουλων κυβερνοεπιθέσεων σε ξένες επιχειρήσεις, κυβερνητικές υπηρεσίες και την αμυντική βιομηχανία.
Τα δεδομένα που απέκτησαν περιλάμβαναν νοτιοκορεατικές εταιρείες άμυνας, ερευνητικά ινστιτούτα και φαρμακευτικές εταιρείες, ανέφερε προηγούμενη ανακοίνωση της αστυνομίας. Οι χάκερ απέσπασαν 250 αρχεία, ή 1,2 τεραμπάιτ δεδομένων.
Ένας εξουσιοδοτημένος διακομιστής που δημιουργήθηκε από την ομάδα χρησιμοποιήθηκε 83 φορές σε έναν περιφερειακό χώρο της πρωτεύουσας της Βόρειας Κορέας, Πιονγκγιάνγκ, μεταξύ Δεκεμβρίου και Μαρτίου, είπε η αστυνομία.
Ο διακομιστής χρησιμοποιήθηκε για να αποκτήσει πρόσβαση στις ιστοσελίδες των εταιρειών και των ινστιτούτων, με την ομάδα να εκμεταλλεύεται έναν υπηρεσιακό πάροχο της Νότιας Κορέας που ενοικιάζει διακομιστές σε ανώνυμους πελάτες.
Επίσης, η ομάδα εκβίασε 470 εκατομμύρια γουόν (357,866 δολάρια) αξίας bitcoin από τρεις νότιοκορεατικές και ξένες εταιρείες με επιθέσεις ransomware, είπε η αστυνομία.
Γυναίκα από το εξωτερικό ερευνάται για σχέση με τις επιθέσεις ransomware, αφού μερικά από τα bitcoin μεταφέρθηκαν μέσω του λογαριασμού της τράπεζας και αναλήφθηκαν από τράπεζα στην Κίνα, δήλωσε η αστυνομία. Η γυναίκα αρνήθηκε κάθε ενοχή.
Το Xenomorph Android στοχεύει αμερικανικές τράπεζες και crypto wallets
Ερευνητές ασφαλείας ανακάλυψαν μια νέα εκστρατεία που διανέμει μια νέα έκδοση του κακόβουλου λογισμικού Xenomorph σε χρήστες Android στις Ηνωμένες Πολιτείες, τον Καναδά, την Ισπανία, την Ιταλία, την Πορτογαλία και το Βέλγιο.
Οι αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric παρακολουθούν τη δραστηριότητα του Xenomorph από τον Φεβρουάριο του 2022 και σημειώνουν ότι η νέα εκστρατεία ξεκίνησε στα μέσα Αυγούστου.
Η τελευταία έκδοση του Xenomorph στοχεύει χρήστες πορτοφολιών κρυπτονομισμάτων και διάφορα χρηματοπιστωτικά ιδρύματα των ΗΠΑ.
Ιστορικό του Xenomorph
Το Xenomorph εμφανίστηκε για πρώτη φορά στη φύση στις αρχές του 2022, λειτουργώντας ως τραπεζικό trojan που στόχευε 56 ευρωπαϊκές τράπεζες μέσω του screen overlay phishing. Διανεμήθηκε μέσω του Google Play, όπου μέτρησε πάνω από 50.000 εγκαταστάσεις.
Οι δημιουργοί του, η “Hadoken Security”, συνέχισαν την ανάπτυξή του και τον Ιούνιο του 2022 κυκλοφόρησαν μια ξαναγραμμένη έκδοση που έκανε το κακόβουλο λογισμικό αρθρωτό και πιο ευέλικτο.
Μέχρι τότε, το Xenomorph βρισκόταν στην πρώτη δεκάδα των πιο διαδεδομένων τραπεζικών trojans της Zimperium, οπότε είχε ήδη αποκτήσει το καθεστώς “μεγάλης απειλής”.
Τον Αύγουστο του 2022, το ThreatFabric ανέφερε ότι το Xenomorph διανέμεται μέσω ενός νέου dropper με την ονομασία “BugDrop”, ο οποίος παρακάμπτει τα χαρακτηριστικά ασφαλείας του Android 13.
Τον Δεκέμβριο του 2022, οι ίδιοι αναλυτές ανέφεραν για μια νέα πλατφόρμα διανομής κακόβουλου λογισμικού με την ονομασία “Zombinder”, η οποία ενσωμάτωσε την απειλή στο αρχείο APK νόμιμων εφαρμογών Android.
Πιο πρόσφατα, τον Μάρτιο του 2023, η Hadoken κυκλοφόρησε την τρίτη μεγάλη έκδοση του Xenomorph, η οποία διαθέτει ένα σύστημα αυτόματης μεταφοράς (ATS) για αυτόνομες συναλλαγές στη συσκευή, παράκαμψη MFA, κλοπή cookies και τη δυνατότητα να στοχεύει πάνω από 400 τράπεζες.
Νέα καμπάνια
Στην τελευταία εκστρατεία, οι διαχειριστές του κακόβουλου λογισμικού επέλεξαν να χρησιμοποιήσουν σελίδες phishing, παρασύροντας τους επισκέπτες να ενημερώσουν το πρόγραμμα περιήγησης Chrome και εξαπατώντας τους να κατεβάσουν το κακόβουλο APK.
Το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιεί επικαλύψεις για την κλοπή πληροφοριών. Ωστόσο, έχει πλέον επεκτείνει το πεδίο στόχευσής του και περιλαμβάνει χρηματοπιστωτικά ιδρύματα από τις Ηνωμένες Πολιτείες και πολλαπλές εφαρμογές κρυπτονομισμάτων.
Η ThreatFabric εξηγεί ότι κάθε δείγμα Xenomorph είναι φορτωμένο με περίπου εκατό επικαλύψεις που στοχεύουν διαφορετικά σύνολα τραπεζών και εφαρμογών κρυπτογράφησης, ανάλογα με τη στοχευόμενη δημογραφική ομάδα.
Πιο πρόσφατη έκδοση
Παρόλο που τα νέα δείγματα του Xenomorph δεν διαφέρουν σημαντικά από τις προηγούμενες παραλλαγές, διαθέτουν ορισμένα νέα χαρακτηριστικά που υποδεικνύουν ότι οι δημιουργοί του συνεχίζουν να βελτιώνουν και να βελτιώνουν το κακόβουλο λογισμικό.
Πρώτον, ένα νέο χαρακτηριστικό “μίμησης” μπορεί να ενεργοποιηθεί με μια αντίστοιχη εντολή, δίνοντας στο κακόβουλο λογισμικό τη δυνατότητα να ενεργεί ως άλλη εφαρμογή.
Επιπλέον, το mimic διαθέτει μια ενσωματωμένη δραστηριότητα με το όνομα IDLEActivity, η οποία λειτουργεί ως WebView για την εμφάνιση νόμιμου περιεχομένου ιστού από το πλαίσιο μιας αξιόπιστης διεργασίας.
Αυτό το σύστημα αντικαθιστά την ανάγκη απόκρυψης εικονιδίων από τον εκκινητή εφαρμογών μετά την εγκατάσταση, η οποία επισημαίνεται ως ύποπτη συμπεριφορά από τα περισσότερα εργαλεία ασφαλείας για κινητά τηλέφωνα.
Ένα άλλο νέο χαρακτηριστικό είναι το “ClickOnPoint”, το οποίο επιτρέπει στους χειριστές του Xenomorph να προσομοιώνουν πατήματα σε συγκεκριμένες συντεταγμένες της οθόνης.
Αυτό επιτρέπει στους χειριστές να περνούν από τις οθόνες επιβεβαίωσης ή να εκτελούν άλλες απλές ενέργειες χωρίς να χρησιμοποιούν την πλήρη μονάδα ATS, η οποία μπορεί να προκαλέσει προειδοποιήσεις ασφαλείας.
Τέλος, υπάρχει ένα νέο σύστημα “antisleep” που εμποδίζει τη συσκευή να απενεργοποιήσει την οθόνη της μέσω μιας ενεργής ειδοποίησης.
Αυτό είναι χρήσιμο για την παράταση της εμπλοκής και την αποφυγή διακοπών που απαιτούν την αποκατάσταση των επικοινωνιών διοίκησης και ελέγχου.
Άλλα ευρήματα
Εκμεταλλευόμενοι τα αδύναμα μέτρα ασφαλείας του χειριστή του κακόβουλου λογισμικού, οι αναλυτές του ThreatFabric είχαν πρόσβαση στην υποδομή φιλοξενίας του ωφέλιμου φορτίου.
Εκεί, ανακάλυψαν πρόσθετα κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων των παραλλαγών κακόβουλου λογισμικού Android Medusa και Cabassous, των Windows information stealers RisePro και LummaC2 και του φορτωτή κακόβουλου λογισμικού Private Loader.
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τις προτροπές στα κινητά για ενημέρωση των προγραμμάτων περιήγησής τους, καθώς αυτές είναι πιθανό να αποτελούν μέρος εκστρατειών διανομής κακόβουλου λογισμικού.
Η διανομή του Xenomorph μαζί με ισχυρό κακόβουλο λογισμικό των Windows υποδηλώνει συνεργασία μεταξύ φορέων απειλών ή την πιθανότητα το trojan Android να πωλείται ως Malware-as-a-Service (MaaS).
Σίγουρα όσοι έχουν βρει ένα τρωτό σημείο σε μία ιστοσελίδα και το έχουν εκμεταλλευτεί, θα απορούν και που βρίσκεται το Panel, δηλαδή η σελίδα «σύνδεσης» του Admin έτσι ώστε να βάλουν τα στοιχεία και να πάρουν πρόσβαση.
Κάποιοι όπως και εγώ, κάνουμε δοκιμές στο url της ιστοσελίδας όπως « /admin, /admin/login.php, /wp-admin, /wp-login κ.τ.λ. » έλα όμως που κάποιες φορές αυτό δεν λειτουργεί και είμαστε σε σκέψεις τύπου… -Τι γίνεται ρε δεν έχει panel; -Το έχουν κρυμμένο; Η απάντηση είναι πως μπορεί όντως να μην το έχουν εμφανές αυτό το Panel λοιπόν και να βρίσκεται κάπου αλλού. Σε αυτήν την ανάρτηση όμως θα μάθουμε πως να το βρίσκουμε σε περίπτωση που το Website το έχει εμφανές το Panel του.
Γι’ αυτό θα σας «πλασάρω» ένα προγραμματάκι που λειτουργώ στο Linux μου και είναι κατεβασμένο από το Github (Κάποιοι από εσάς το γνωρίζετε).
Πάμε να δούμε από που μπορούμε να το κατεβάσουμε λοιπόν.
Το προγραμματάκι λέγεται Breacher.
Αφού πάμε σε αυτό το Link: ” https://github.com/s0md3v/Breacher ” πατάμε εκεί που λέει Code πάνω δεξιά και αντιγράφουμε το Link που έχει μέσα.
Θα σας το βάλω εδώ να μην το ψάχνετε:
https://github.com/s0md3v/Breacher.git
Αφού λοιπόν το κάνετε αντιγραφή, πάμε μετά στο terminal μας και γράφουμε τον εξής κώδικα
Όταν λοιπόν κατεβεί το προγραμματάκι μας το οποίο έχει φτιαχτεί με γλώσσα Python, θα πρέπει να το τρέξουμε. (ΠΡΟΣΟΧΗ! Πρέπει να χρησιμοποιείτε την Python 3 για να λειτουργίσει. Υπάρχουν αναλυτικά βιντεάκια στο YouTube για το πως να την κατεβάσετε).
Μην βιάζεστε τόσο όμως. Για να τρέξουμε το προγραμματάκι πρέπει να μπούμε και στον φάκελο που βρίσκεται. Σωστά; Σωστά.
Πάμε λοιπόν και γράφουμε τον παρακάτω κώδικα (Θα σας έχω και εικόνα γιατί το υποσχέθηκα στο προηγούμενό μου post)
cd Breacher/
Μπήκαμε στον φάκελο που είναι το πρόγραμμα! Τώρα θα πρέπει να τρέξουμε το πρόγραμμα βάζοντας και την ιστοσελίδα που θέλουμε να μάθουμε το Panel. Εγώ θα χρησιμοποιήσω το eviakosmos.
Δείτε παρακάτω πως
python3 breacher.py -u http://www.eviakosmos.gr/
Με το “ -u ” του δίνουμε εντολή και του λέμε θέλω να ψάξεις γι αυτήν την ιστοσελίδα “ -u = στόχος ”
Τώρα πατάμε Enter, και αρχίζει από κάτω και τρέχει ένα σωρό Links από μια wordlist. Δηλαδή; Όλα τα πιθανά. Όπως όταν θέλουμε να σπάσουμε hash από κωδικούς και τρέχουμε μία wordlist. Αυτή η μέθοδος ονομάζεται Brute Force.
Αφού τρέχει, μπορεί κάποια στιγμή να βρεί αυτό που θέλουμε. Πως θα το καταλάβουμε; Αντί για ” [ – ] ” θα έχει ” [ + ] ”
Οι ShadowSyndicate χάκερ συνδέονται με πολλαπλές επιθέσεις ransomware
Οι ερευνητές ασφαλείας εντόπισαν υποδομές που ανήκουν σε έναν απειλητικό παράγοντα που τώρα εντοπίζεται ως ShadowSyndicate, ο οποίος πιθανότατα χρησιμοποίησε επτά διαφορετικές οικογένειες ransomware σε επιθέσεις κατά το περασμένο έτος.
Οι αναλυτές της Group-IB που συνεργάζονται με την Bridewell και τον ανεξάρτητο ερευνητή Michael Koczwara αποδίδουν με διάφορους βαθμούς εμπιστοσύνης τη χρήση από το ShadowSyndicate των ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus και Play σε πολλαπλές παραβιάσεις που παρατηρήθηκαν από τον Ιούλιο του 2022.
Με βάση τα ευρήματά τους, οι ερευνητές πιστεύουν ότι ο δράστης της απειλής θα μπορούσε να είναι ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), αν και τα στοιχεία δείχνουν ότι το ShadowSyndicate είναι συνεργάτης σε πολλαπλές επιχειρήσεις ransomware.
Οι ερευνητές βασίζουν τα συμπεράσματά τους σε ένα ξεχωριστό δακτυλικό αποτύπωμα SSH που ανακάλυψαν σε 85 διακομιστές IP, οι περισσότεροι από τους οποίους χαρακτηρίζονται ως μηχανές εντολών και ελέγχου Cobalt Strike.
Οι αναλυτές είδαν για πρώτη φορά το fingerprint στις 16 Ιουλίου 2022 και εξακολουθούσε να χρησιμοποιείται τον Αύγουστο του 2023.
ShadowSyndicate arsenal
Η ομάδα ερευνητών βασίστηκε σε διάφορα εργαλεία για την έρευνά της, τα οποία περιλάμβαναν μηχανές εντοπισμού όπως οι Shodan και Censys, μαζί με διάφορες τεχνικές OSINT. Αυτό τους επέτρεψε να ανακαλύψουν ένα εκτεταμένο αποτύπωμα δραστηριότητας του ShadowSyndicate.
Εξετάζοντας τους διακομιστές ShadowSyndicate που εντοπίστηκαν με βάση το αποτύπωμα SSH, οι ερευνητές “έπεσαν πάνω σε οκτώ διαφορετικά υδατογραφήματα [κλειδιά άδειας χρήσης] της Cobalt Strike”.
Οι οκτώ διακομιστές Cobalt Strike επικοινωνούσαν με τα ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop και BlackCat/ALPHV που αναπτύχθηκαν σε διάφορα δίκτυα θυμάτων.
Οι ερευνητές ανακάλυψαν επίσης διαμορφώσεις του Cobalt Strike που αναπτύχθηκαν σε δύο διακομιστές, αλλά μόνο ο ένας από αυτούς σε ένα μηχάνημα που διέθετε το αποτύπωμα SSH του ShadowSyndicate.
Σε ορισμένες επιθέσεις, το ShadowSyndicate χρησιμοποίησε το εργαλείο διείσδυσης Sliver, το οποίο θεωρούνταν προηγουμένως ως πιθανός αντικαταστάτης του Cobalt Strike.
Άλλα εργαλεία που παρατηρήθηκαν σε επιθέσεις του ShadowSyndicate περιλαμβάνουν τον φορτωτή κακόβουλου λογισμικού IcedID, τον φορτωτή MaaS Matanbuchus και το ωφέλιμο φορτίο Meterpreter Metasploit.
Ανάλυση server
Οι αναλυτές εξέτασαν την υπόθεση ότι και οι 85 διακομιστές με το ίδιο δακτυλικό αποτύπωμα κλειδιού SSH που συνδέονται με το ShadowSyndicate συνδέονται με έναν ενιαίο πάροχο φιλοξενίας, αλλά βρήκαν 18 διαφορετικούς ιδιοκτήτες, 22 διαφορετικά ονόματα δικτύου και 13 διαφορετικές τοποθεσίες.
Η ανάλυση των παραμέτρων του Cobalt Strike C2, όπως η ημερομηνία ανίχνευσης, τα υδατογραφήματα ή οι ρυθμίσεις του χρόνου αναστολής λειτουργίας, βοήθησε στην παραγωγή αποδεικτικών στοιχείων υψηλής αξιοπιστίας που συνδέουν το ShadowSyndicate με τα ransomware Quantum, Nokoyawa και ALPHV/BlackCat.
Συγκεκριμένα, οι αναλυτές συνέδεσαν τους διακομιστές με μια επίθεση Quantum από τον Σεπτέμβριο του 2022, τρεις επιθέσεις Nokoyawa από το τέταρτο τρίμηνο του 2022 και τον Απρίλιο του 2023 και μια επίθεση ALPHV από τον Φεβρουάριο του 2023.
Η Group-IB και τα προαναφερθέντα συνεργαζόμενα μέρη βρήκαν πρόσθετα στοιχεία που συνδέουν το ShadowSyndicate με λιγότερη εμπιστοσύνη με τις επιχειρήσεις κακόβουλου λογισμικού Ryuk, Conti, Trickbot, Royal, Clop και Play.
Ειδικά για το Clop, η έκθεση της Group-IB αναφέρει ότι τουλάχιστον 12 διευθύνσεις IP που προηγουμένως συνδέονταν με τους διαβόητους χειριστές ransomware μεταφέρθηκαν στο ShadowSyndicate από τον Αύγουστο του 2022 και τώρα χρησιμοποιούνται για το Cobalt Strike.
Παρά τα πολλά ευρήματα που υποδηλώνουν μια πιθανή σύνδεση, μια άμεση σύνδεση υψηλής εμπιστοσύνης μεταξύ του ShadowSyndicate και του Clop παραμένει ασύλληπτη.
Οι εμπειρογνώμονες πληροφοριών της Group-IB καταλήγουν στο συμπέρασμα ότι η ShadowSyndicate είναι πιθανότατα μια θυγατρική εταιρεία που συνεργάζεται με διάφορες επιχειρήσεις ransomware-as-a-service (RaaS). Ωστόσο, απαιτούνται πρόσθετα στοιχεία για να υποστηριχθεί αυτή η θεωρία.
Παρ’ όλα αυτά, το έργο αυτό είναι ζωτικής σημασίας για τον εντοπισμό και την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, με αυτό το πνεύμα, η εταιρεία κυβερνοκατασκοπείας καλεί εξωτερικούς ερευνητές να συνεργαστούν ανοιχτά μαζί της και να βοηθήσουν στην αποκάλυψη των υπόλοιπων ασαφών τμημάτων.
Για λεπτομέρειες που θα μπορούσαν να βοηθήσουν τους αμυντικούς να εντοπίσουν και να αποδώσουν τη δραστηριότητα του ShadowSyndicate, η Group-IB δημοσίευσε σήμερα μια έκθεση με τεχνικά δεδομένα από την έρευνά της.
Σοκ για την Okta: Χάκερς Κλέβουν Δεδομένα Όλων των Χρηστών Συστήματος Υποστήριξης
Η Okta (OKTA.O) ανακοίνωσε την Τρίτη ότι χάκερς έκλεψαν πληροφορίες όλων των χρηστών του συστήματος υποστήριξης πελατών της σε μια παραβίαση του δικτύου πριν από δύο μήνες.
Η εταιρεία με έδρα το Σαν Φρανσίσκο ενημέρωσε τους πελάτες ότι κατέληξε ότι οι χάκερς απέκτησαν πρόσβαση σε δεδομένα, συμπεριλαμβανομένων ονομάτων και διευθύνσεων email, όλων των πελατών που χρησιμοποιούν το σύστημα υποστήριξης πελατών της.
Οι μετοχές της Okta κατέρρευσαν τον Οκτώβριο, αφού η εταιρεία δήλωσε ότι η παραβίαση επέτρεψε σε ορισμένους χάκερς να δουν αρχεία που είχαν ανεβάσει κάποιοι πελάτες.
“Παρόλο που δεν έχουμε άμεση γνώση ή αποδείξεις ότι αυτές οι πληροφορίες χρησιμοποιούνται ενεργά, ενημερώσαμε όλους τους πελάτες μας ότι βρίσκονται σε αυξημένο κίνδυνο ασφαλείας για επιθέσεις Phishing και social engineering”, ανέφερε η Okta.
Ασφάλεια DNS: Πώς να μειώσετε τον κίνδυνο μιας επίθεσης DNS
Το Domain Name System ή αλλιώς DNS είναι ένα από τα θεμελιώδη στοιχεία ολόκληρου του διαδικτύου- ωστόσο, αν δεν ειδικεύεστε στη δικτύωση, πιθανόν να μην αντιλαμβάνεστε πόσο σημαντικό είναι.
Το DNS είναι ουσιαστικά σαν ένας κατάλογος αριθμών που χρησιμοποιούν οι υπολογιστές για την επικοινωνία. Συγκεκριμένα, οι αριθμοί αυτοί είναι διευθύνσεις IP.
Αυτός ο κατάλογος αποθηκεύεται σε διακομιστές ονομάτων τομέα σε όλο τον κόσμο και ένας ιστότοπος μπορεί να έχει περισσότερες από μία διευθύνσεις IP.
Παρά τη σημασία του DNS, είναι κάτι που τείνει να παραβλέπεται όσον αφορά την ασφάλεια του δικτύου. Η ασφάλεια DNS τείνει να βρίσκεται χαμηλότερα στον πόλο του τοτέμ από τα τείχη προστασίας, τα proxy και την προστασία των τελικών σημείων, για παράδειγμα.
Όπως αναφέρθηκε, το DNS είναι το θεμέλιο του διαδικτύου και μπορεί να αποτελέσει στόχο για επιθέσεις στον κυβερνοχώρο. Με το DNS, μπορεί να επιτευχθεί οποιαδήποτε εφαρμογή που αποτελεί μέρος του δικτύου. Ταυτόχρονα, ενώ το DNS μπορεί να αποτελέσει στόχο, μπορεί επίσης να αποτελέσει πολύτιμη πηγή προστασίας, όταν αντιμετωπίζεται σωστά και διασφαλίζεται.
Ακολουθούν ορισμένα πράγματα που πρέπει να γνωρίζετε σχετικά με την εξασφάλιση του DNS σας.
Κατανόηση των τρωτών σημείων
Μερικά από τα πράγματα που θα κάνει ένας εγκληματίας του κυβερνοχώρου όταν επιτίθεται σε ένα DNS είναι να το κάνει να αναφερθούν διαφορετικές διευθύνσεις IP, πράγμα που του επιτρέπει να εξαπατά ανθρώπους, να ανακατευθύνει την κυκλοφορία ηλεκτρονικού ταχυδρομείου και διαδικτύου ή να εξαπολύει επιθέσεις ενίσχυσης DNS.
Όταν συμβαίνει αυτό, οι επισκέπτες του ιστότοπού σας δεν θα έχουν τρόπο να γνωρίζουν ότι ανακατευθύνονται κάπου αλλού ή ότι το email τους δεν αποστέλλεται στον διακομιστή που νόμιζαν ότι ήταν. Είναι δύσκολο να ανιχνεύσετε αυτού του είδους την επίθεση όταν έχει ήδη πραγματοποιηθεί, και γι’ αυτό η ασφάλεια DNS θα πρέπει να αποτελεί κορυφαίο τομέα εστίασης. Η πρόληψη είναι ο καλύτερος στόχος.
Τι αποκάλυψε η Παγκόσμια Έκθεση Απειλών DNS του 2018;
Το 2018, οι επιθέσεις DNS προκάλεσαν σοβαρά προβλήματα σε όλο τον κόσμο. Σύμφωνα με την Παγκόσμια Έκθεση Απειλών DNS 2018, το 77% των οργανισμών αντιμετώπισε επιθέσεις DNS κατά τους 12 μήνες πριν από την έκθεση.
Η έκθεση έδειξε επίσης ότι το 20% των παγκόσμιων οργανισμών έπεσε θύμα του DNS tunneling, το οποίο είναι αγαπημένο των χάκερ επειδή είναι τόσο δύσκολο να εντοπιστεί και συνήθως μπορεί να συνεχιστεί για μεγάλο χρονικό διάστημα πριν συμβεί αυτό.
Μερικά από τα μεγαλύτερα περιστατικά πέρυσι ήταν τα εξής:
Ένας 16χρονος διείσδυσε σε διακομιστές της Apple και απέκτησε πρόσβαση σε 90 gigabytes αρχείων. Το έκανε αυτό σε διάστημα 12 μηνών από το σπίτι του στη Μελβούρνη. Αυτό ήταν ένα εξαιρετικό παράδειγμα για το πόσο εύκολο είναι για τους χάκερ να περνούν μέσα από τα τείχη προστασίας και να μην εντοπίζονται, ακόμη και από τους μεγαλύτερους οργανισμούς.
Αρκετές μεγάλες τράπεζες επηρεάστηκαν από επιθέσεις DNS. Για παράδειγμα, η RBS ήταν ένα από τα ονόματα με δραστηριότητες που επηρεάστηκαν σημαντικά από αυτές τις επιθέσεις.
Όταν ένας οργανισμός αντιμετωπίζει μια επίθεση DNS, μπορεί να του κοστίσει μαζικά. Για τις επιθέσεις του 2018 σε χρηματοπιστωτικούς οργανισμούς, το κόστος ήταν κατά μέσο όρο 924.390 δολάρια, εξαιρουμένων των δαπανών που σχετίζονται με τη ζημία στην εικόνα της μάρκας και την αφοσίωση των πελατών.
Πρόσφατα εμφανίστηκε κάτι που ονομάζεται Xbash, το οποίο είναι μια εξελιγμένη μορφή κακόβουλου λογισμικού. Οι επιθέσεις Xbash συμβαίνουν όταν υπάρχουν αδύναμοι κωδικοί πρόσβασης και μηχανήματα που δεν έχουν ενημερωθεί.
Συμβουλές για την ασφάλεια του δικτύου
Ακολουθούν ορισμένες συγκεκριμένες συμβουλές ασφαλείας και βέλτιστες πρακτικές για τη μείωση του κινδύνου επίθεσης.
Ψάξτε για παράξενες συμπεριφορές της κυκλοφορίας. Μπορείτε να χρησιμοποιήσετε τόσο ζωντανές όσο και γνωστές στο πλαίσιο αναλύσεις συναλλαγών DNS. Αυτό θα σας επιτρέψει να αρχίσετε να βλέπετε πού θα μπορούσαν να υπάρχουν απειλές με βάση ορισμένες συμπεριφορές.
Χρησιμοποιήστε τα δημόσια αρχεία DNS για να δείτε όλες τις ζώνες σας και να παρέχετε ελέγχους σε αυτές. Είναι πολύ εύκολο να ξεχάσετε πράγματα όπως υποτομείς που μπορεί να έχουν ξεπερασμένο λογισμικό.
Μην υποθέτετε ότι είστε προστατευμένοι από τους παρόχους cloud.
Σκεφτείτε μια ολιστική προσέγγιση για την ασφάλεια του δικτύου. Για παράδειγμα, προσθέστε πολλαπλά επίπεδα ασφάλειας στις συνολικές στρατηγικές και λύσεις σας.
Διατηρείτε πάντα ενημερωμένους τους διακομιστές DNS. Όσο λιγότερο ενημερωμένοι είναι οι διακομιστές σας, τόσο περισσότερα τρωτά σημεία υπάρχουν. Εάν παραμένετε ενημερωμένοι, ενισχύεστε από το ενδεχόμενο επιθέσεων.
Τα τείχη προστασίας DNS μπορούν επίσης να είναι χρήσιμα εργαλεία.
Αποτρέψτε μια επίθεση δηλητηρίασης DNS, η οποία είναι ένας από τους πιο κοινούς τύπους επιθέσεων DNS, απενεργοποιώντας την αναδρομή DNS.
Εάν είστε στόχος μιας επίθεσης DNS, μπορεί να καταστρέψει το δίκτυό σας και να παραλύσει την επιχείρησή σας λόγω του θεμελιώδους συστατικού του DNS. Ο αριθμός των αναφερόμενων επιθέσεων DNS σε επιχειρήσεις σχεδόν διπλασιάστηκε το 2018 σε ετήσια βάση και το κόστος των ζημιών που σχετίζονται με αυτές τις επιθέσεις είναι εξαιρετικά υψηλό.
Εάν είστε προληπτικοί στην αντιμετώπιση της ασφάλειας DNS, μπορείτε να προστατεύσετε ολόκληρη την επιχείρησή σας από κάτι από το οποίο θα ήταν εξαιρετικά δύσκολο να επανέλθετε.