Οι χάκερς έχουν παρατηρηθεί να προσπαθούν να παραβιάσουν περιβάλλοντα cloud μέσω των Microsoft SQL Servers που είναι ευάλωτοι σε SQL injection.
Οι ερευνητές ασφαλείας της Microsoft αναφέρουν ότι αυτή η τεχνική πλευρικής κίνησης έχει παρατηρηθεί στο παρελθόν σε επιθέσεις σε άλλες υπηρεσίες όπως VMs και Kubernetes clusters.
Ωστόσο, είναι η πρώτη φορά που βλέπουν SQL Servers να αξιοποιούνται για αυτόν τον σκοπό.
Αλυσιδωτή επίθεση
Οι επιθέσεις που παρατήρησε η Microsoft ξεκινούν με την εκμετάλλευση μιας ευπάθειας έγχυσης SQL σε μια εφαρμογή στο περιβάλλον του στόχου.
Αυτό επιτρέπει στους φορείς απειλής να αποκτήσουν πρόσβαση στην παρουσία του SQL Server που φιλοξενείται στην εικονική μηχανή Azure με αυξημένα δικαιώματα για την εκτέλεση εντολών SQL και την εξαγωγή πολύτιμων δεδομένων.
Αυτά περιλαμβάνουν δεδομένα σχετικά με βάσεις δεδομένων, ονόματα πινάκων, σχήματα, εκδόσεις βάσεων δεδομένων, ρυθμίσεις δικτύου και δικαιώματα ανάγνωσης/εγγραφής/διαγραφής.
Εάν η παραβιασμένη εφαρμογή έχει αυξημένα δικαιώματα, οι επιτιθέμενοι μπορούν να ενεργοποιήσουν την εντολή ‘xp_cmdshell’ για την εκτέλεση εντολών του λειτουργικού συστήματος (OS) μέσω SQL, δίνοντάς τους ένα κέλυφος στον κεντρικό υπολογιστή.
Οι εντολές που εκτελούνται από τους επιτιθέμενους σε αυτό το στάδιο περιλαμβάνουν τις εξής:
Ανάγνωση καταλόγων, απαρίθμηση διεργασιών και έλεγχος κοινοτήτων δικτύου.
Λήψη κωδικοποιημένων και συμπιεσμένων εκτελέσιμων αρχείων και σεναρίων PowerShell.
Ρυθμίστε μια προγραμματισμένη εργασία για την εκκίνηση ενός backdoor script.
Ανάκτηση των διαπιστευτηρίων χρήστη με απόρριψη των κλειδιών μητρώου SAM και SECURITY.
Διασπάστε δεδομένα χρησιμοποιώντας μια μοναδική μέθοδο που περιλαμβάνει τη δωρεάν υπηρεσία “webhook.site”, η οποία διευκολύνει την επιθεώρηση και την αποσφαλμάτωση αιτημάτων HTTP και μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Η χρήση μιας νόμιμης υπηρεσίας για την εκροή δεδομένων καθιστά τη δραστηριότητα λιγότερο πιθανό να φανεί ύποπτη ή να προκαλέσει προβλήματα στα προϊόντα ασφαλείας, επιτρέποντας στους επιτιθέμενους να κλέψουν διακριτικά δεδομένα από τον κεντρικό υπολογιστή.
Στη συνέχεια, οι επιτιθέμενοι επιχείρησαν να εκμεταλλευτούν την ταυτότητα cloud της παρουσίας του SQL Server για να αποκτήσουν πρόσβαση στο IMDS (Instant Metadata Service) και να αποκτήσουν το κλειδί πρόσβασης στην ταυτότητα cloud.
Στο Azure, στους πόρους συχνά εκχωρούνται διαχειριζόμενες ταυτότητες για τον έλεγχο ταυτότητας με άλλους πόρους και υπηρεσίες cloud. Εάν οι επιτιθέμενοι κατέχουν αυτό το κλειδί, μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε οποιονδήποτε πόρο cloud, στον οποίο η ταυτότητα έχει δικαιώματα.
Η Microsoft αναφέρει ότι οι επιτιθέμενοι δεν κατάφεραν να αξιοποιήσουν επιτυχώς αυτή την τεχνική λόγω σφαλμάτων, αλλά η προσέγγιση παραμένει έγκυρη και αποτελεί τρομερή απειλή για τους οργανισμούς.
Τέλος, οι φορείς της απειλής διέγραψαν όλα τα σενάρια που κατέβασαν και έσβησαν τις προσωρινές τροποποιήσεις της βάσης δεδομένων για να σβήσουν τα ίχνη της επίθεσης.
Συμβουλές Προστασίας
Η Microsoft προτείνει τη χρήση του Defender for Cloud και του Defender for Endpoint για να εντοπίσετε τις ενέσεις SQL και την ύποπτη δραστηριότητα SQLCMD, που χρησιμοποιήθηκαν και οι δύο στην επίθεση που παρατηρήθηκε.
Για τον μετριασμό της απειλής, η Microsoft συνιστά την εφαρμογή της αρχής των λιγότερων προνομίων κατά τη χορήγηση δικαιωμάτων χρήστη, η οποία πάντα προσθέτει τριβή στις προσπάθειες πλευρικής μετακίνησης.
Ο Αμερικανός Γερουσιαστής Ρον Ουάιντεν Προειδοποιεί: Κυβερνήσεις Παρακολουθούν Χρήστες Κινητών μέσω Ειδοποιήσεων Push
Αγνωστες κυβερνήσεις παρακολουθούν τους χρήστες smartphone μέσω των ειδοποιήσεων push των εφαρμογών τους, προειδοποίησε ένας αμερικανός γερουσιαστής την Τετάρτη.
Σε ένα γράμμα προς το Υπουργείο Δικαιοσύνης, ο γερουσιαστής Ρον Ουάιντεν είπε ότι ξένοι αξιωματούχοι ζητούν δεδομένα από την Google της Alphabet (GOOGL.O) και την Apple (AAPL.O). Αν και οι λεπτομέρειες ήταν πενιχρές, το γράμμα παρουσιάζει άλλο έναν τρόπο με τον οποίο οι κυβερνήσεις μπορούν να παρακολουθούν τα smartphones.
Οι εφαρμογές όλων των ειδών εξαρτώνται από τις ειδοποιήσεις push για να ενημερώνουν τους χρήστες smartphone για εισερχόμενα μηνύματα, τελευταία νέα και άλλες ενημερώσεις. Αυτά είναι τα ακουστικά “ding” που λαμβάνουν οι χρήστες όταν λαμβάνουν ένα email ή γενικά μια ειδοποίηση. Αυτό που οι χρήστες συχνά δεν συνειδητοποιούν είναι ότι σχεδόν όλες οι τέτοιου είδους ειδοποιήσεις ταξιδεύουν μέσω των διακομιστών της Google και της Apple.
Αυτό δίνει στις δύο εταιρείες μοναδική κατανόηση της κίνησης που προέρχεται από αυτές τις εφαρμογές προς τους χρήστες τους, και επομένως τις βάζει σε μια μοναδική θέση για να διευκολύνουν την κυβερνητική παρακολούθηση, είπε ο Ουάιντεν.
Ζήτησε από το Υπουργείο Δικαιοσύνης να “ανακαλέσει ή να τροποποιήσει οποιεσδήποτε πολιτικές” που εμποδίζουν τις δημόσιες συζητήσεις για την κατασκοπεία μέσω ειδοποιήσεων push.
Σε ανακοίνωσή της, η Apple είπε ότι το γράμμα του Ουάιντεν τους έδωσε τη δυνατότητα να μοιραστούν περισσότερες λεπτομέρειες με το κοινό σχετικά με τον τρόπο που οι κυβερνήσεις παρακολουθούν τις ειδοποιήσεις push.
Η Google είπε ότι θα να ενημερώνει τους χρήστες σχετικά με αυτές τις ειδοποιήσεις.
Το Υπουργείο Δικαιοσύνης δεν ανταποκρίθηκε σε μηνύματα που ζητούσαν σχόλια σχετικά με την παρακολούθηση των ειδοποιήσεων push ή εάν εμπόδισε την Apple ή την Google από το να μιλήσουν γι’ αυτό.
Το γράμμα του Ουάιντεν ανέφερε ένα “υπόδειγμα” ως πηγή πληροφοριών σχετικά με την παρακολούθηση. Το προσωπικό του δεν διευκρίνισε το υπόδειγμα, αλλά μια πηγή γνώριμη με το θέμα επιβεβαίωσε ότι και ξένα και αμερικανικά κρατικά όργανα ζητούν από την Apple και την Google μεταδεδομένα που σχετίζονται με τις ειδοποιήσεις push για, παραδείγματος χάριν, βοηθήσουν στο να συσχετιστούν ανώνυμοι χρήστες εφαρμογών μηνυμάτων με συγκεκριμένους λογαριασμούς Apple ή Google.
Οι περισσότεροι χρήστες δεν δίνουν πολλή σκέψη στις ειδοποιήσεις push, αλλά έχουν προσελκύσει ενίοτε την προσοχή των τεχνολόγων λόγω της δυσκολίας χρήσης τους χωρίς να στέλνουν δεδομένα στη Google ή την Apple.
Προτού από τον προγραμματιστή της Γαλλίας Νταβίντ Λιμπό, είπε ότι οι χρήστες και οι προγραμματιστές συχνά δεν γνωρίζουν πώς οι εφαρμογές τους εκπέμπουν δεδομένα στους αμερικανικούς τεχνολογικούς γίγαντες μέσω των ειδοποιήσεων push, αποκαλώντας τις “ένα εφιαλτικό πρόβλημα απορρήτου”.
Το botnet P2PInfect αυξάνεται με κρυφές παραλλαγές κακόβουλου λογισμικού
Το botnet P2PInfect worm διανύει μια περίοδο ιδιαίτερα αυξημένου όγκου δραστηριότητας που ξεκινά στα τέλη Αυγούστου και στη συνέχεια αυξάνεται και πάλι τον Σεπτέμβριο του 2023. Το P2PInfect καταγράφηκε για πρώτη φορά από τη Μονάδα 42 τον Ιούλιο του 2023 ως κακόβουλο λογισμικό peer-to-peer που παραβιάζει τις περιπτώσεις Redis χρησιμοποιώντας ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα σε εκτεθειμένα στο διαδίκτυο συστήματα Windows και Linux. Οι ερευνητές της Cado Security, οι οποίοι παρακολουθούν το botnet από τα τέλη Ιουλίου 2023, αναφέρουν σήμερα ότι βλέπουν παγκόσμια δραστηριότητα, με τις περισσότερες παραβιάσεις να επηρεάζουν συστήματα στην Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ, το Ηνωμένο Βασίλειο και την Ιαπωνία. Επιπλέον, η Cado αναφέρει ότι τα τελευταία δείγματα του P2PInfect διαθέτουν προσθήκες και βελτιώσεις που το καθιστούν πιο ικανό να εξαπλωθεί σε στόχους και αναδεικνύουν τη συνεχή ανάπτυξη του κακόβουλου λογισμικού.
Απότομη αύξηση της δραστηριότητας
Το Cado βλέπει δραστηριότητα του botnet του P2PInfect, γεγονός που υποδηλώνει ότι το κακόβουλο λογισμικό έχει εισέλθει σε μια νέα περίοδο σταθερότητας του κώδικα που του επιτρέπει να αυξήσει τη λειτουργία του. Οι ερευνητές αναφέρουν ότι παρατηρούν μια σταθερή αύξηση του αριθμού των αρχικών προσπαθειών πρόσβασης που πραγματοποιούνται από το P2PInfect στα honeypots τους, με αποτέλεσμα να φτάσουν τα 4.064 συμβάντα από έναν μόνο αισθητήρα στις 24 Αυγούστου 2023. Μέχρι τις 3 Σεπτεμβρίου 2023, τα συμβάντα αρχικής πρόσβασης είχαν τριπλασιαστεί, αλλά παρέμεναν σχετικά χαμηλά. Στη συνέχεια, την εβδομάδα μεταξύ της 12ης και της 19ης Σεπτεμβρίου 2023, σημειώθηκε μια έξαρση της δραστηριότητας του P2PInfect, με το Cado να καταγράφει 3.619 απόπειρες πρόσβασης μόνο κατά τη διάρκεια αυτής της περιόδου, δηλαδή μια αύξηση 600 φορές.
Νέα χαρακτηριστικά του P2PInfect
Παράλληλα με την αυξημένη δραστηριότητα, η Cado παρατήρησε νέα δείγματα που καθιστούν το P2PInfect μια πιο κρυφή και τρομερή απειλή. Πρώτον, οι δημιουργοί του κακόβουλου λογισμικού έχουν προσθέσει έναν μηχανισμό επιμονής με βάση το cron, ο οποίος αντικαθιστά την προηγούμενη μέθοδο ‘bash_logout’, ενεργοποιώντας το κύριο payload κάθε 30 λεπτά.
Επιπλέον, το P2Pinfect χρησιμοποιεί τώρα ένα (δευτερεύον) ωφέλιμο φορτίο bash για να επικοινωνεί με το κύριο ωφέλιμο φορτίο μέσω μιας τοπικής υποδοχής διακομιστή και αν η κύρια διεργασία σταματήσει ή διαγραφεί, ανακτά ένα αντίγραφο από έναν ομότιμο και το επανεκκινεί. Το κακόβουλο λογισμικό χρησιμοποιεί τώρα επίσης ένα κλειδί SSH για να αντικαταστήσει τυχόν SSH authorized_keys στο παραβιασμένο τελικό σημείο για να εμποδίσει τους νόμιμους χρήστες να συνδεθούν μέσω SSH.
Εάν το κακόβουλο λογισμικό έχει πρόσβαση root, θα πραγματοποιήσει αλλαγή κωδικού πρόσβασης για όλους τους άλλους χρήστες στο σύστημα χρησιμοποιώντας έναν αυτόματα δημιουργούμενο κωδικό πρόσβασης 10 χαρακτήρων για να τους αποκλείσει. Τέλος, το P2PInfect χρησιμοποιεί τώρα μια δομή διαμόρφωσης C για τον πελάτη του που ενημερώνεται δυναμικά στη μνήμη, ενώ προηγουμένως δεν είχε αρχείο διαμόρφωσης.
Ασαφείς στόχοι
Η Cado αναφέρει ότι οι παραλλαγές του P2PInfect που παρατήρησε πρόσφατα επιχείρησαν να αντλήσουν ένα ωφέλιμο φορτίο εξόρυξης, αλλά δεν είδαν πραγματική δραστηριότητα κρυπτοεξόρυξης σε συσκευές που έχουν παραβιαστεί. Ως εκ τούτου, δεν είναι σαφές εάν οι χειριστές κακόβουλου λογισμικού εξακολουθούν να πειραματίζονται με το τελικό βήμα της επίθεσης. Οι χειριστές του botnet μπορεί να βελτιώνουν το συστατικό του miner ή να αναζητούν αγοραστές συνδρομών στο P2PInfect, οπότε χρησιμοποιούν τον miner ως ομοίωμα για επίδειξη. Δεδομένου του μεγέθους του τρέχοντος botnet, της εξάπλωσης, των αυτο-ενημερωτικών χαρακτηριστικών και της γρήγορης επέκτασης αυτό το μήνα, το P2PInfect αποτελεί μια ουσιαστική απειλή που πρέπει να παρακολουθείτε.
Με αυτή την εντολή κάνετε εγκατάσταση το πρόγραμμα μέσω του GitHub.
Πάμε τώρα να μπούμε στον φάκελο που είναι το πρόγραμμα μας. Για να το κάνουμε αυτό πληκτρολογούμε “cd AdvPhishing/”
cd AdvPhishing/
Μπήκαμε στον φάκελο. Τώρα θα τρέξουμε μία άλλη εντολή η οποία θα δώσει δικαιώματα στο πρόγραμμα μας. Η εντολή αυτή είναι η παρακάτω
chmod 777 *
Από εδώ και στο εξής έμειναν μόνο άλλες δύο εντολές να τρέξουμε. Μπορείτε να τις δείτε παρακάτω.
./Linux-Setup.sh
./AdvPhishing.sh
Είμαστε σχεδόν έτοιμοι. Το μόνο που πρέπει να κάνουμε είναι να συνδεθούμε με το Ngrok. Το Ngrok θα μας βοηθήσει στο να κάνει την ιστοσελίδα που θα δημιουργηθεί, να μην φαίνεται μόνο στο δικό μας δίκτυο. Θα καταλάβετε παρακάτω.
Μετά την εντολή “./AdvPhishing.sh” Θα σας ζητηθεί να συνδεθείτε με το Ngrok. Αφου φτίαξετε λογαριασμό εκεί με μία απλή εγγραφή δωρεάν, στο Dashboard σας αν κάνετε λίγο σκρολ θα σας έχει μία εντολή. Κάπως έτσι
./ngrok authtoken "Το authtoken σας"
Αφού το κάνετε Copy Paste, θα σας εμφανίσει μία ολόκληρη λίστα από social media όπως Instagram, Facebook, TikTok, ακόμα και Paypal ή WordPress.
Στην προκειμένη περίπτωση θα επιλέξουμε το Instagram το οποίο είναι ο αριθμός “3”
Πατάμε Enter. Μετά μας εμφανίζει αν θέλουμε να κάνουμε Modify το URL, αλλά εγώ συγκεκριμένα πάτησα “No”
Να το Ngrok που είπαμε πρίν. Όταν λοιπόν στείλουμε το Link που θα μας δώσει στο θύμα και εκείνος το πατήσει, θα τον οδηγίσει κατευθείαν στο Instagram Login. Ας δούμε μία επίθεση στην δικιά μου συσκευή.
Δημιουργήθηκε λοιπόν ένας Κλόνος του Instagram Login. Πάμε να δούμε τι κάνουμε με αυτό; όταν το θύμα πληκτρολογήσει τα στοιχεία σύνδεσής του, αυτομάτως θα έρθουν σε εμάς αφού αυτός πατήσει το κουμπί “Log in”.
Πάμε να δούμε
Username: greekhacking.gr
Password: mata12345678
Πάμε στο πρόγραμμα μας τώρα να δούμε τα αποτελέσματα
Μας έχουν σταλθεί ακριβώς τα στοιχεία. Να προσθέσω ότι αν το όνομα ή ο κωδικός ήταν γραμμένος στα ελληνικά, θα το εμφάνιζε και πάλι. Ενώ στο Setoolkit δεν το εμφανίζει εκτός αν έχουν κάνει κάποια ενημέρωση και δεν το γνωρίζω.
Δεν φέρω καμία ευθύνη για το πως θα χρησιμοποιήσετε το εργαλείο που σας ανέφερα.