NFsec Logo

Wykrywanie zatrutych plików binarnych w Linuksie

09/01/2022 (2 tygodnie temu) w Bezpieczeństwo 1 komentarz.

Z

atruwanie plików binarnych w Linuksie jest procesem, w którym atakujący podmienia często używane (dystrybucyjnie pre-instalowane) programy i narzędzia swoimi wersjami, które spełniają te same funkcje, ale dodatkowo wykonują złośliwe akcje. Może to być zastąpienie pliku nowym, zaprojektowanym tak, aby zachowywał się jak stare polecenie lub zmanipulowanie istniejącego (np. dopisanie na końcu instrukcji), aby bezpośrednio uruchamiało złośliwy kod. Próbkę tego procesu mogliśmy zobaczyć w ściągawce z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa. Dzisiaj ją nieco rozwiniemy.
[ czytaj całość… ]

macOS Monterey – You shut down your computer because of a problem

02/01/2022 (3 tygodnie temu) w Debug Możliwość komentowania macOS Monterey – You shut down your computer because of a problem została wyłączona

Po aktualizacji do systemu macOS Monterey (12.1) za każdym uruchomieniem komputera pojawia się komunikat: Komputer został wyłączony z powodu problemu. Naprawa polega na usunięciu plików z raportami diagnostycznymi: sudo su -; rm -dRfv /Library/Logs/DiagnosticReports/*.*.

Więcej informacji: You shut down your computer because of a problem upon every single boot

Remote Code Injection w Log4j CVE-2021-44228

11/12/2021 w Bezpieczeństwo 1 komentarz.

Podsumowanie:

Wersje Log4j wcześniejsze niż 2.15.0 są narażone na lukę umożliwiającą zdalne wykonanie kodu głównie za pośrednictwem parsera LDAP JNDI. Zgodnie z przewodnikiem bezpieczeństwa tego projektu z fundacji Apache wersje Log4j <= 2.14.1 posiadają funkcje JNDI używane w konfiguracji, komunikatach logów i parametrach nie są chronione przed punktami końcowymi, które atakujący może wstrzyknąć i np. za pomocą protokołu LDAP (lub innego) pobrać i wykonać dowolny kod z zdalnego zasobu. Serwer z podatną wersją Log4j, do którego atakujący może wysyłać kontrolowane przez siebie komunikaty logów np. frazy wyszukiwania lub wartości nagłówków HTTP może wykonać dowolny kod pobrany z zewnętrznych serwerów LDAP. Wystarczy logować dane wejściowe lub meta dane użytkownika:
[ czytaj całość… ]

O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz. II

30/11/2021 w Bezpieczeństwo Możliwość komentowania O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz. II została wyłączona

W

tej części będziemy kontynuować statyczną analizę przykładowego dokumentu, ale postaramy się zajrzeć trochę głębiej i znaleźć jakie akcje ma za zadanie przeprowadzić makro zawarte w dokumencie. Wspomożemy się tutaj świetnym zestawem narzędzi autorstwa Didiera Stevensa, tutaj warto, a nawet trzeba wspomnieć o narzędziach innego autora – Philippe Lagadeca, które znacząco ułatwiają analizę dokumentów MS Office. Obydwa zestawy narzędzi często nachodzą na siebie funkcjonalnością i często są używane wymiennie (często, aby zweryfikować rezultaty). Nie będę wchodził w szczegóły, kto jest autorem dokładnie, którego (to pozostawiam jako zadanie domowe dla Czytelnika). Dodatkowo zaznaczę, że nawet zaprezentowane narzędzia to tylko specyficzny wycinek (np. analiza obiektów OLE) wszystkich zasobów opublikowanych przez tych badaczy.
[ czytaj całość… ]

Living Off Trusted Sites – Żyjąc Z Zaufanych Stron

23/11/2021 w Bezpieczeństwo Możliwość komentowania Living Off Trusted Sites – Żyjąc Z Zaufanych Stron została wyłączona

P

rojekt LOTS jest zestawieniem serwisów, które mogą posłużyć w zupełnie innym celu niż zostały stworzone. Obok takich projektów, jak: Living Off The Land Binaries (Żyjąc Z Wbudowanych Binarek) oraz GTFOBins pokazuje, jak można użyć „popularnych” i o „dobrej reputacji” serwisów do przeprowadzenia wybranych ataków przez cyberprzestępców. Mogą one zostać użyte do przeprowadzenia phishingu, hostowania C&C, eksfiltracji danych oraz pobierania własnych, szkodliwych narzędzi z poziomu sieci wewnętrznej w celu uniknięcia wykrycia swojej obecności.

Przykład: Analizując wpisy DNS określonej firmy atakujący zauważył, że aktywnie korzysta ona z ekosystemu usług firmy Microsoft (Office 365). Posiadając tą wiedzę tworzy on kampanię phishingu wymierzoną w tą firmę, a jako link do kliknięcia wykorzystuje usługę OneDrive: https://*.files.1drv.(com|ms). Ze względu na fakt, że pracownicy tej firmy zapewne bardzo często spotykają z tego typu linkami współdzieląc między sobą różnego rodzaju dokumenty i pliki to istnieje większe prawdopodobieństwo, że ktoś kliknie w ten link i pobierze złośliwe oprogramowanie.

Przy pozytywnej infekcji komputera narzędzia umożliwiające dalsze poruszanie się w głąb sieci firmowej w poszukiwaniu poufnych danych lub zasobów o wysokiej wartości (ang. lateral movement) mogą zostać ściągnięte poprzez stworzenie wiadomości e-mail; dodanie skompresowanego, binarnego załącznika, który będzie miał fałszywe rozszerzenie .txt); kliknięcie na załącznik w celu pobrania jego linku (link jest ważny przez 15 minut) i ściągnięcia narzędzia z mało podejrzanego adresu: attachment.outlook.live.net lub attachments.office.net.

Po zdobyciu interesujących artefaktów dane mogą zostać wyprowadzone z firmy poprzez stworzenie webaplikacji w domenie *.azurewebsites.net lub *.cloudapp.azure.com i za pomocą protokołu HTTPS przesyłane do niej POST-porcjami.

Więcej informacji: LOTS Project

Interceptor – pasywny fingerprinting botów, skanerów i innego szkodliwego oprogramowania

14/11/2021 w Bezpieczeństwo Możliwość komentowania Interceptor – pasywny fingerprinting botów, skanerów i innego szkodliwego oprogramowania została wyłączona

D

zisiaj stworzymy sobie małe wejście do szyny danych wzbogacającej o metadane adres IP klienta. Prototyp o nazwie Interceptor, który zademonstruje użyje JA3 do fingerprintingu botów, skanerów, szkodliwego oprogramowania oraz innych programów, które korzystają w komunikacji z protokołu HTTPS. Zacznijmy od JA3. Firma Salesforce otworzyła tę metodę fingerprintigu klientów TLS w 2017 roku. Podstawowa koncepcja pobierania „cyfrowych odcisków palców” od klientów TLS pochodzi z badań Lee Brotherstona (w 2015 roku wygłosił on prezentację na ten temat). Jak wiemy TLS i jego poprzednik SSL, są używane do szyfrowania komunikacji dla popularnych aplikacji, aby zapewnić bezpieczeństwo danych. Aby zainicjować sesję TLS klient wysyła pakiet: TLS Client Hello po potrójnym uścisku dłoni TCP. Pakiet ten i sposób, w jaki jest generowany, zależy od metod i innych pakietów / bibliotek oprogramowania użytych podczas budowania danej aplikacji klienckiej.
[ czytaj całość… ]

O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz.I

12/11/2021 w Bezpieczeństwo Możliwość komentowania O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz.I została wyłączona

Bardzo często jesteśmy zmuszeni szybko ocenić potencjalną szkodliwość pliku MS Office, aby zobaczyć czy dany plik należy dalej analizować, czy też możemy od razu stwierdzić, że zawiera on potencjalnie złośliwy kod. Często otrzymujemy różnego rodzaju wiadomości na nasze skrzynki e-mail i czasem nawet wiadomości od znanych nam osób wyglądają dziwnie lub zupełnie nie poruszają tematu naszych dotychczasowych konwersacji, a nie chcemy wysyłać plików od razu do sandboksów typu Virustotal. Tu przechodzimy do meritum tytułu. Statyczna analiza jest próbą określenia potencjalnych oznak złośliwego kodu bez uruchamiania tego pliku.
[ czytaj całość… ]

Tranco – łowca rankingu domen

05/11/2021 w Bezpieczeństwo Możliwość komentowania Tranco – łowca rankingu domen została wyłączona

B

adacze zajmujący się bezpieczeństwem sieciowym często korzystają z rankingów popularnych stron internetowych (np. ranking Alexa). O ile mogą one być dobrym źródłem do zdefiniowania listy obiektów do różnych badań o tyle nie zawsze mogą to być dobre źródła rankingów. Przeglądając ostatnio jeden z serwisów zajmujących się zagrożeniami natknąłem się na lepszą alternatywę, zwaną listą Tranco, która pozyskuje dane z wielu punktów (Alexa, Cisco Umbrella, Majestic oraz Quantcast Top Sites), aby uzyskać dokładniejszą reprezentację najpopularniejszych witryn internetowych. Lista ta powstała jako wynik publikacji naukowej, która przeanalizowała, jak łatwo jest manipulować internetowymi rankingami Alexa i jak można to wykorzystać do wpływania na badania, które z nich korzystają.
[ czytaj całość… ]

Elasticsearch 6.8.X – cannot compute used swap when total swap is 0 and free swap is 0

27/10/2021 w Debug Możliwość komentowania Elasticsearch 6.8.X – cannot compute used swap when total swap is 0 and free swap is 0 została wyłączona

P

o wykonaniu aktualizacji z Elasticsearch z 6.8.14 do 6.8.20 w pliku logu pojawia się ciągle powtarzająca się wiadomość: cannot compute used swap when total swap is 0 and free swap is 0. Dzieje się tak ze względu na tą zmianę. Jeśli na naszej maszynie wirtualnej / fizycznej wyłączony jest plik wymiany oraz włączony monitoring to, co 10 sekund będziemy mieli zapychane logi tym wpisem. W celu wyfiltrowania tego typu wiadomości, należy do pliku /etc/elasticsearch/log4j2.properties dołączyć następujące wpisy w sekcji appender.rolling:

appender.rolling.filter.regex.type = RegexFilter
appender.rolling.filter.regex.regex = cannot compute used swap.*
appender.rolling.filter.regex.onMatch = DENY
appender.rolling.filter.regex.onMismatch = NEUTRAL

Więcej informacji: Log4j RegexFilter

Weakpass

23/10/2021 w Pen Test Możliwość komentowania Weakpass została wyłączona

W

eakpass jest to serwis, z którego możemy pobrać wielki mix różnego rodzaju słowników haseł, które są bardzo przydatne, aby zapewnić szybkie trafienia podczas łamania skrótów kryptograficznych. Mamy do wyboru bardzo wiele rodzajów słowników: ze względu na rozmiar, rodzaj łamanych haseł itd. Na przykład ostatnio został wydany słownik weakpass_3a ulepszona wersja 2a – najbardziej kompletna kompilacja słowników, która zwiera ponad 9 miliardów przykładowych haseł o długości od 4 do 32 znaków. Inną pozycją wartą uwagi jest hashesorg.cyclone.hashkiller.combined, który jest połączeniem słowników z hashes.org, hashkiller.io oraz cyclone_hk. Na stronie znajdziemy również narzędzie, które generuje listę słów na podstawie zestawu słów wprowadzonych przez użytkownika. Na przykład podczas testów penetracyjnych musimy uzyskać dostęp do jakiejś usługi, urządzenia, konta lub sieci Wi-Fi, która jest chroniona hasłem. Niech to będzie sieć Wi-Fi EvilCorp. Czasami hasło jest kombinacją nazwy urządzenia / sieci / organizacji z pewną datą, znakiem specjalnym itp. Dlatego łatwiej jest przetestować niektóre kombinacje przez uruchomieniem bardziej złożonych i czasochłonnych obliczeń. Złamanie hasła Wi-Fi za pomocą dużego słownika może zająć kilka godzin i nie koniecznie musi się udać, nawet jeśli zawiera on świetną listę słów, ponieważ nie było w niej takiego jak EvilCorp2019.

Więcej informacji: Weakpass, Weakpass 3.0