NFsec Logo

Jak pollinate wycieka dane o serwerach do Canonical

25/09/2022 (2 dni temu) w Bezpieczeństwo Możliwość komentowania Jak pollinate wycieka dane o serwerach do Canonical została wyłączona

K

olejnym pakietem (obok base-files), który wysyła informacje o naszym serwerze do firmy Ubuntu jest pollinate. Jest to klient, który łączy się z conajmniej jednym serwerem Pollen (entropia-jako-usułga) za pośrednictwem zaszyfrowanego (HTTPS) lub nie (HTTP) protokołu i pobiera losowe ziarno. Jest to szczególnie przydatne przy pierwszym uruchomieniu obrazów w chmurze i na maszynach wirtualnych, aby zainicjować systemowy generator liczb losowych. Może być również używany na fizycznych maszynach, aby uzupełniać nastawienie pseudogeneratora liczb losowych. Sprawdźmy, co jest wysyłane do serwerów entropy.ubuntu.com, które są wpisane w standardowej konfiguracji tego programu:

sudo su - pollinate -s /bin/bash
pollinate --print-user-agent

[ czytaj całość… ]

Minimalizacja QNAME

22/09/2022 (5 dni temu) w Administracja, Bezpieczeństwo Możliwość komentowania Minimalizacja QNAME została wyłączona

M

inimalizacja QNAME (RFC 7816), czyli Query Name zmienia zapytania DNS pochodzące z resolwera rekurencyjnego, aby w każdym zapytaniu zawierał tylko tyle szczegółów, ile jest to wymagane dla tego kroku w procesie rozwiązywania danej domeny. Internet Engineering Task Force opisuje to jako technikę, „w której resolwer DNS nie wysyła już pełnej oryginalnej nazwy QNAME do nadrzędnego serwera nazw”. Powiedzmy, że chcemy odwiedzić stronę: stardust.nfsec.pl. W celu określenia adresu IP, z którym chce się połączyć przeglądarka, system wysyła zapytania do resolwera dostawcy usług internetowych (ISP) lub innego ustawionego przez konfigurację systemu. Prosi on o pełną nazwę – stardust.nfsec.pl – w tym przypadku. ISP (lub inny serwer DNS przydzielony przez zarządce sieci, z której korzystasz) zapyta root DNS, a następnie domenę najwyższego poziomu (.pl), a następnie domenę drugorzędną (nfsec.pl) o pełną nazwę domeny. W rzeczywistości wszystko, czego się dowiadujesz od głównego serwera DNS to odpowiedź na pytanie „kto odpowiada za .pl?”, a jedyne, o co pytasz serwer .pl, to „kto odpowiada za .nfsec.pl?”. Żadne z tych żądań nie musi zawierać informacji o pełnej nazwie strony internetowej, którą chcesz odwiedzić, aby odpowiedzieć na wcześniejsze pytania, ale niestety oba te serwery taką informacje otrzymują. Tak zawsze działał DNS, ale obecnie nie ma ku temu praktycznego powodu.
[ czytaj całość… ]

Adresy z Gravatar

05/09/2022 (4 tygodnie temu) w Techblog Możliwość komentowania Adresy z Gravatar została wyłączona

S

erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego oprogramowania do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. Jeśli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.
[ czytaj całość… ]

Bellingcat – agencja wywiadowcza dla ludzi od Eliota Higginsa

26/08/2022 w Hackultura Możliwość komentowania Bellingcat – agencja wywiadowcza dla ludzi od Eliota Higginsa została wyłączona

B

ellingcat – ujawniamy prawdę w czasach postprawdy jest polskim przekładem publikacji zwartej: We Are Bellingcat: An Intelligence Agency for The People, w której Eliot Higgins opowiada nam swoją historię i historię powstania zespołu dziennikarstwa obywatelskiego. Higgins swoją przygodę zaczął od przeznaczania wycinków prywatnego czasu na prowadzenie własnych śledztw internetowych. Później pojawił się własny blog i pierwsze, szersze analizy. Coraz bardziej wnikając w śledztwa online opierające się na białym wywiadzie Eliot zdecydował się na porzucenie pracy i zajęcie się tym tematem na pełen etat. Powoli profesjonalizując swój warsztat przechodził do coraz bardziej większych spraw współpracując z przypadkowymi ludźmi, którzy byli specjalistami w swoich dziedzinach.

Kreml stosuje strategię dezinformacji oparta na czterech podstawowych metodach: umniejszaniu, wypaczaniu, rozpraszaniu i zastraszaniu.

Jednak fabuła książki to nie tylko geneza powstania „ostrzegawczego dzwoneczka” pod postacią grupy internetowych detektywów. To także raportowe przedstawienie warsztatu jaki został użyty podczas analizy wojny domowej w Syrii, próby zabójstwa Nowiczokiem byłego rosyjskiego agenta GRU – Siergieja Skripala i jego córki, czy sprawa zestrzelenia malezyjskiego samolotu Malaysia Airline (MH17) nad Ukrainą. W książce nie odnajdziemy stricte szczegółów technicznych, ale to nie znaczy, że społeczność Bellingcat się nimi nie dzieli. Wręcz przeciwnie. Ponieważ ideą tego projektu jest nie tylko przeprowadzanie własnych śledztw i analiza różnych faktów z poziomu sieci społecznościowych („Odkrywać”, „Weryfikować”, „Nagłaśniać”). To przede wszystkim dzielenie się technikami i narzędziami, które można wykorzystać w OSINT. Prowadzenie warsztatów na uniwersytetach i uczestnictwo w seminariach organizacji pozarządowych.

Internetu nie da się naprawić, tak samo jak nie da się naprawić świata.

Ponieważ szerzyciele dezinformacji mają dzisiaj do dyspozycji potężne narzędzia niż kiedykolwiek wcześniej autor, książki kładzie też dość duży nacisk na to zagadnienie. W dobie możliwości wprowadzenia szerokiej publiczności w błąd lub graniu na odpowiednich uczuciach grup społecznych niezbędne jest zachowanie dużego dystansu do tego, co czytamy w internecie. Przy analizie publikacji musimy przeprowadzać weryfikację źródła, samego materiału oraz określić dla jakiego środowiska płynie korzyść z takiej publikacji. Ponadto prowadząc dziennikarstwo obywatelskie należy ustalać fakty poprzez obiektywne udokumentowanie kompletnych dowodów i przedstawianie ich w pełnym kontekście. Opisanie ich uczciwie, przejrzyście i bez uprzedzeń kulturowych, czy faworyzowania. W przeciwnym wypadku sami możemy stać się źródłem dezinformacji.

Bellingcat nigdy nie chciał chciał konkurować z wielkimi spółkami medialnymi. Od początku przyświecały nam dwa cele – odnajdywanie dowodów i rozwijanie naszej dziedziny.

Dzisiaj stajemy u progu łączenia tradycyjnych metod śledczych z nowymi technologiami, które okazują się kluczem do zrozumienia wielu działań przestępczych. Prawie wszędzie zostawiamy swoje cyfrowe ślady, jak odciski palców, a każdy z nas może być reporterem wyposażonym tylko w telefon. Dlatego jeśli nie znamy jeszcze dokonań grupy Bellingcat i interesuje nas tematyka białego wywiadu – nie tylko pod względem technicznym, a rzeczowych opisów i wciągających historii pionierskiego dziennikarstwa śledczego – zdecydowanie warto sięgnąć po tę publikację.

Więcej informacji: Bellingcat

Python – szybkie dopasowanie adresu IP do klasy CIDR

29/07/2022 w Hacks & Scripts Możliwość komentowania Python – szybkie dopasowanie adresu IP do klasy CIDR została wyłączona

python3 -m pip install cidr-trie
>>> from cidr_trie import PatriciaTrie

>>> ip_owner = PatriciaTrie()
>>> ip_owner.insert("10.0.0.0/8", "LAN-A")
>>> ip_owner.insert("172.16.0.0/12", "LAN-B")
>>> ip_owner.insert("192.168.0.0/16", "LAN-C")
>>> ip_owner.insert("192.168.1.0/24", "LAN-C-Office-Toronto")
>>> ip_owner.insert("104.16.0.0/12", "Internet-Cloudflare")
>>> ip_owner.insert("31.171.152.0/22", "Internet-HostileVPN")

>>> ip_owner.find_all("31.171.152.25")
[('31.171.152.0/22', 'Hostile VPN')]
>>> ip_owner.find_all("192.168.1.13")
[('192.168.0.0/16', 'LAN-C'), ('192.168.1.0/24', 'LAN-C-Office-Toronto')]
>>> ', '.join((v[1] for v in ip_owner.find_all("192.168.1.13")))
'LAN C, LAN-C-Office-Toronto'

Więcej informacji: Skompresowane drzewo trie, Store CIDR IP addresses (both v4 and v6) in a trie for easy lookup

pamspy – zrzucacz poświadczeń dla Linuksa

14/07/2022 w Bezpieczeństwo, Pen Test Możliwość komentowania pamspy – zrzucacz poświadczeń dla Linuksa została wyłączona

N

arzędzie pamspy jest programem, który został zainspirowany przez podobną pracę, ale stworzoną znacznie wcześniej (Brendon Tiszka poczynił to dzieło na swoich studiach): 3snake. W przeciwieństwie do swojego poprzednika nie korzysta już z mechanizmu odczytu pamięci wywołań systemowych sshd i sudo, które obsługują uwierzytelnianie oparte na hasłach, ale wykorzystuje technologię eBPF. Dzięki temu jest w stanie śledzić konkretną funkcję w przestrzeni użytkownika wewnątrz biblioteki PAM (ang. Pluggable Authentication Modules) używanej przez wiele krytycznych aplikacji (sudo, sshd, passwd, gnome, X11 itp.) do obsługi uwierzytelniania. Ponieważ pamspy opiera się na libpam przed uruchomieniem programu musimy podać ścieżkę, gdzie biblioteka ta jest zainstalowana na naszej dystrybucji. W tym celu należy wydać następujące polecenie:

ldconfig -p | egrep -o '\/.*libpam\.so.*'

Po uzyskaniu ścieżki możemy uruchomić program:

sudo ./pamspy -p /lib/x86_64-linux-gnu/libpam.so.0

Załaduje on program eBPF, aby podczepić się pod funkcję pam_get_authtok z libpam.so. Za każdym razem, gdy proces uwierzytelnienia spróbuje sprawdzić nowego użytkownika, wywoła on wspomnianą funkcję pam_get_authtok, a pamspy będzie na konsolę zrzucać zawartość krytycznych sekretów. Jeśli teraz w drugiej konsoli zalogujemy się do serwera i podniesiemy swoje uprawnienia program powinien odnotować ten fakt:

1500   | sshd            | agresor              | K0ci.0g0n
1528   | sudo            | agresor              | K0ci.0g0n
3815   | passwd          | agresor              | P5i3.U5zy

Jeśli chcemy przeprowadzić kompilację programu ze źródeł to wymaga on kilku pakietów (Ubuntu 22.04):

apt install git make clang-11 gcc libelf-dev pkg-config -y 
apt install linux-tools-common linux-tools-5.15.0-41-generic -y
git clone https://github.com/citronneur/pamspy --recursive
cd pamspy/src
make

Nie musimy kompilować programu od podstaw, ponieważ w repozytorium jest już także plik zbudowany jako statyczna binarka bez żadnych zależności.

Więcej informacji: pamspy

Jak GootLoader zamienia WordPress w zombie SEO

07/07/2022 w Ataki Internetowe, Bezpieczeństwo Możliwość komentowania Jak GootLoader zamienia WordPress w zombie SEO została wyłączona

G

ootloader, czyli usługa wstępnego dostępu do (firmowych) sieci dla cyberprzestępców ostatnio rozszerzyła swój zakres działalności o różne cele na całym świecie. Przypomnijmy: w 2014 roku po raz pierwszy został zauważony trojan bankowy o nazwie Gootkit. Od tego czasu ewoluował, aby stać się bardziej złodziejem poufnych informacji obsługiwanym przez grupę aktorów. Nazwa 'Gootkit’ jest często używana zamiennie – zarówno w odniesieniu do złośliwego oprogramowania, jak i do samej grupy. W marcu 2021 roku firma Sophos jako pierwsza zidentyfikowała szersze możliwości tego oprogramowania i nazwała go GootLoader. Ten oparty o Javascript framework pierwotnie przeznaczony do infekcji Gootkitem w coraz większym stopniu zaczął dostarczać szerszą gamę złośliwego oprogramowania (w tym ransomware). Wczesna aktywność kampanii platformy Gootloader została po raz pierwszy zauważona przez analityka zagrożeń z firmy Proofpoint pod koniec 2020 roku, a następnie zbadana i opisana przez ASEC, Malwarebytes i TrendMicro.
[ czytaj całość… ]

YARAify – centralny hub do skanowania i tropienia szkodliwych plików przy użyciu reguł YARA

30/06/2022 w Bezpieczeństwo Możliwość komentowania YARAify – centralny hub do skanowania i tropienia szkodliwych plików przy użyciu reguł YARA została wyłączona

G

rupa badaczy bezpieczeństwa z Abuse (projekt Instytutu Bezpieczeństwa i Inżynierii Cybernetycznej na Uniwersytecie Nauk Stosowanych w Bernie w Szwajcarii) oraz ThreatFox uruchomiła nowy hub do skanowania i polowania na złośliwe pliki. To defensywne narzędzie – nazwane YARAify zostało zaprojektowane do skanowania podejrzanych plików w oparciu o duże repozytorium reguł YARA. Według założyciela Romana Hüssy’ego, reguły YARA są potężne, ale trudne w utrzymaniu. Na przykład: reguły są rozproszone po różnych platformach, firmach i repozytoriach git prywatnych badaczy, i nie ma prostego sposobu na ich współdzielenie. Dlatego platforma umożliwia:

  • Integrację wszystkich publicznych i niepublicznych reguł YARA z Malpedii,
  • Łatwy sposób na rozpakowanie plików wykonywalnych PE (Portable Executable) za pomocą jednego kliknięcia,
  • Skanowanie wszystkich plików używając otwartych i komercyjnych sygnatur ClamAV,
  • Łatwy i uporządkowany sposób dzielenia się regułami YARA ze społecznością,
  • Konfigurowanie klasyfikacji TLP (ang. Traffic Light Protocol), aby umożliwić korzystanie z reguł YARA w celu wyszukiwania zagrożeń bez oglądania zawartości samych reguł,
  • Otrzymywać powiadomienia pocztą elektroniczną lub pushover w przypadku pasujących reguł YARA, sygnatur ClamAV, imphaszy i wielu innych,
  • Użycie API, które pozwala na wykorzystanie możliwości YARAify w sposób zautomatyzowany.

Więcej informacji: YARAify

Panchan – botnet p2p oraz robak SSH

18/06/2022 w Bezpieczeństwo Możliwość komentowania Panchan – botnet p2p oraz robak SSH została wyłączona

P

anchan to nowy malware odkryty przez zespół Akamai, który od marca 2022 uruchomił swoją aktywność. Został napisany w języku Go, aby wykorzystać wbudowane funkcje współbieżności (goroutines) do przyśpieszenia szybkości rozprzestrzeniania się i uruchamiania złośliwych modułów. Dostaje się on do systemów Linux poprzez atak typu brute force na usługę SSH. Lista użytkowników (np. „ubuntu”, „root”, „user”, „debian”, „pi”) i haseł jest wcześniej ustalona. Oprócz „podstawowego” ataku słownikowego na SSH (który jest powszechny w większości znanych robaków) – ta odmiana przechwytuje również klucze SSH w celu rozprzestrzeniania się po innych systemach w sieciach wewnętrznych i zewnętrznych (ang. lateral movement). Szuka on konfiguracji i kluczy SSH w katalogu domowym użytkownika ($HOME). Odczytuje klucz prywatny ze ścieżki $HOME/.ssh/id_rsa i używa go do próby uwierzytelniania na dowolnym adresie IP znalezionym w pliku $HOME/.ssh/known_hosts. Jest to dość nowatorska metoda zbierania danych uwierzytelniających, która nie występowała wcześniej w złośliwych programach łamiących hasła SSH.
[ czytaj całość… ]

Symbiote – kolejne szkodliwe oprogramowanie wykorzystujące BPF

14/06/2022 w Bezpieczeństwo Możliwość komentowania Symbiote – kolejne szkodliwe oprogramowanie wykorzystujące BPF została wyłączona

W

biologii symbiont to organizm żyjący w symbiozie z innym organizmem (np. bakterie w jelicie grubym u człowieka, bakterie; które trawią celulozę u przeżuwaczy). Symbioza może być obustronnie korzystna dla obu organizmów, ale czasami może być pasożytnicza, gdy jeden organizm zyskuje, a drugi jest uszkadzany. Kilka miesięcy temu zespoły bezpieczeństwa z firmy Intezer oraz BlackBerry odkryły nowe, dobrze maskujące się złośliwe oprogramowanie dla systemu Linux, które działa właśnie w taki pasożytniczy sposób. Tym, co odróżnia Symbiote od innych złośliwych programów dla systemu Linux, z którymi zazwyczaj można się spotkać, jest fakt, że musi zainfekować inne uruchomione procesy, aby wyrządzić szkody zainfekowanym maszynom. Nie jest to samodzielny plik wykonywalny uruchamiany w celu zainfekowania systemu, ale biblioteka obiektów współdzielonych (.so), która jest ładowana do wszystkich uruchomionych procesów przy użyciu LD_PRELOAD (T1574.006) i pasożytniczo infekuje maszynę. Po zainfekowaniu wszystkich uruchomionych procesów zapewnia aktorowi funkcjonalność rootkita, możliwość zbierania poświadczeń oraz zdalny dostęp.
[ czytaj całość… ]