NFsec Logo

Mały przewodnik historyczny po pierwszych hiszpańskich hackerach

05/05/2022 w Hackultura Możliwość komentowania Mały przewodnik historyczny po pierwszych hiszpańskich hackerach została wyłączona

H

iszpańska scena lat 90-tych zaczyna się od przesłania: „Cześć, jestem Mave. To, co wam powiem, jest niezwykle ważne. TWOJA PRZYSZŁOŚĆ JEST W ****NIEBEZPIECZEŃSTWIE**** DUŻYM ****NIEBEZPIECZEŃSTWIE****. Dziś rano, 31 stycznia 1996 roku, o 09:00 rano w moim domu pojawiła się policja sądowa, a dokładniej brygada do walki z przestępczością komputerową i **ZAARESZTOWAŁA** mnie. Tak zaczynała się wiadomość, którą Mave wysłał do swoich kolegów z Konspiradores Hacker Klub (KhK), gdy dostąpił „zaszczytu” zostania pierwszym hackerem aresztowanym w Hiszpanii. Oskarżono go o penetrację systemów należących do Uniwersytet Karola III w Madrycie i użycie skradzionej karty w Compuserve, co w tamtych czasach było standardem wśród hackerów. Został złapany z powodu pomyłki: wszedł na kanał czatu pod nadzorem policji, zakładając konto pod swoim prawdziwym nazwiskiem.
[ czytaj całość… ]

who is who bez whois

23/04/2022 w Techblog Możliwość komentowania who is who bez whois została wyłączona

D

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]

Truflowy wieprzek na klucze – TruffleHog v3

13/04/2022 w Pen Test Możliwość komentowania Truflowy wieprzek na klucze – TruffleHog v3 została wyłączona

P

ierwszy raz z truflową świnką ryjącą za poszukiwaniem kluczy mogliśmy spotkać się w Oh Shit, Git?!. Najnowsza, trzecia wersja została zupełnie przepisana w języku Go. Dodano do niej obsługę ponad 600 typów kluczy zwiększając tym samym zdolność tego narzędzia do polowania na wycieki danych uwierzytelniających. W dodatku detektory te obsługują aktywną weryfikację z odpowiednimi interfejsami API. Ujawnione dane uwierzytelniające, w tym pary tajnych kluczy, stanowią poważny problem cyberbezpieczeństwa. Klucze mogą być nadużywane do włamywania się do sieci korporacyjnych, często bardziej potajemnie i przez dłuższy czas niż wykorzystywanie luk w popularnym oprogramowaniu.
[ czytaj całość… ]

Geo IP

10/04/2022 w Debug Możliwość komentowania Geo IP została wyłączona

C

zy ten plik to malware? Zależy jakiego silnika antywirusowego się spytasz. Podobnie jest w temacie znajdowania lokalizacji adresu IP, ponieważ powiązanie rzeczywistej lokalizacji z adresem IP jest prawie niemożliwe do pewnego poziomu dokładności (np. ulicy, miasta). Wiele osób od razu podniesie głos sprzeciwu odnosząc się do dostawców usług oferujących geolokalizację adresów IP. Tak, istnieją bazy zawierające informacje o lokalizacji geograficznej adresu IP. Niektóre nawet twierdzą, że mają bardzo dokładne informacje, ale czy są one wiarygodne? Rzućmy okiem na adres: 188.130.189.153. W tym celu skorzystamy z serwisów zawartych na stronie: resolve.rs, ponieważ uwzględnia ona bardzo dużo dostawców typu IP2GEO, z którymi możemy sprawdzić wspomniany adres IP. Przechodząc przez poszczególne serwisy i zadając im zapytanie o ten sam adres widzimy wiele różnic w wynikach. W momencie pisania tego wpisu wyniki były, co najmniej mylące nawet na poziomie kraju.
[ czytaj całość… ]

Scraping adresów URL

24/03/2022 w CmdLineFu Możliwość komentowania Scraping adresów URL została wyłączona

curl -s https://nfsec.pl | grep -Eo "(http|https)://[a-zA-Z0-9./?=_%:-]*" | sort -u

Więcej informacji: SpiderFoot

Analiza pliku Word Office od APT Gamaredon

18/03/2022 w Bezpieczeństwo Możliwość komentowania Analiza pliku Word Office od APT Gamaredon została wyłączona

W

czwartek, 24 lutego 2022 roku Rosja dokonała aktu nieuzasadnionej napaści na Ukrainę. Jeszcze zanim rozpoczęła się gorąca faza zbrojnego konfliktu uruchomione zostały działania cybernetyczne. W artykule tym chciałbym zaprezentować dość sprytną technikę użytą przez APT Gamaredon, którego podstawowym celem jest Ukraina. Większość kroków wykonanych w tej analizie została już omówiona wcześniej w serii: O statycznej analizie plików Microsoft Office słów kilka albo i więcej (cz. I, II, III) – dlatego nie będą one tutaj przedmiotem głębszych rozważań. Analizowany dokument można ściągnąć z bazaru szkodliwego oprogramowania. Zbiera on znalezione próbki malware, ransomware i inne *ware wzbogacając je o dodatkowe informacje i udostępnia je społeczności analityków za darmo.
[ czytaj całość… ]

Brudny potok – CVE-2022-0847

08/03/2022 w Bezpieczeństwo Możliwość komentowania Brudny potok – CVE-2022-0847 została wyłączona

P

odatność o nazwie Dirty Pipe została znaleziona w jądrze Linuksa od wersji 5.8, a dokładniej od commit’u f6dd975583bd ("pipe: merge anon_pipe_buf*_ops"). W funkcjach copy_page_to_iter_page i push_pipe element "flags" nowej struktury bufora potoku nie był odpowiednio inicjalizowany, przez co mógł zawierać nieaktualne wartości. Luka ta umożliwia nieuprzywilejowanemu użytkownikowi na zapis stron w pamięci podręcznej, a tym samym dowolnych danych do dowolnych plików, nawet jeśli są one w trybie O_RDONLY – tylko do odczytu, immutable (chattr +i) – posiadają atrybut, niepozwalający nawet administratorowi ich modyfikować lub są zamontowane na systemie plików do tylko do odczytu – MS_RDONLY. Dotyczy to także procesów SUID, które są uruchamiane z prawami administratora. Max Kellermann, który jest autorem luki wspomina, że jest ona podobna do CVE-2016-5195Dirty Cow„, ale łatwiej ją wykorzystać. Ze względu na odpowiedzialne ujawnienie podatności została ona załatana już w wersjach jądra: 5.16.11, 5.15.25 oraz 5.10.102.
[ czytaj całość… ]

Przypadek phishingu oferujący wizy dla obywateli Ukrainy

28/02/2022 w Ataki Internetowe Możliwość komentowania Przypadek phishingu oferujący wizy dla obywateli Ukrainy została wyłączona

D

zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:

https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Szybki rzut oka na ten link nawet płynnie korzystającego z internetu użytkownika może go przekonać, że prowadzi on do portalu logowania serwisu evisa.mfa.gov.ua. Ale tak niestety nie jest. Kliknięcie linku w przeglądarce zaprowadzi nas do domeny: https://nfsec.pl. Dlaczego? Spójrzmy jak wygląda format adresu URL (zgodnie z definicją w RFC 1808, sekcja 2.1):

<schemat>://<nazwa_użytkownika>:<hasło>@<host>:<port>

Jest to dość dobrze znana technika w phishingu, w której domena jest zakodowana szesnastkowo. Jeśli rozłożymy ten format na czynniki pierwsze to otrzymamy:

  • https:// – protokół / schemat
  • evisa.mfa.gov.ua – nazwa użytkownika
  • login – hasło
  • nfsec.pl – docelowa strona internetowa (zakodowana szesnastkowo – to na nią zostaniemy przekierowani)

Dowód koncepcji: https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Najeżdżając kursorem na powyższy link możemy zaobserwować prawdziwy adres URL wyświetlany w lewym dolnym rogu. Zawsze należy pamiętać o tej czynności przed kliknięciem w link.

Więcej informacji: What does netloc mean?, Phishing attempts on Ukraine,

Python i atak na łańcuch dostaw

06/02/2022 w Bezpieczeństwo Możliwość komentowania Python i atak na łańcuch dostaw została wyłączona

N

a początku warto poruszyć temat Python2. Jeśli nadal jest on używany w naszym środowisku (nie)produkcyjnym, należy zdać sobie sprawę, że ataki na łańcuch dostaw z wykorzystaniem tej wersji obejmują już więcej niż tylko podatny interpreter, ale także pakiety innych firm w PyPI (ang. Python Package Index). Dlatego jeśli wykorzystujemy jeszcze drugą wersję w: procesie kompilacji; posiadamy narzędzia i usługi automatyzacji testów; skrypty wbudowane w strukturę CI/CD (ang. Continuous Integration / Continuous Delivery); interfejsy wiersza poleceń lub infrastrukturę wdrożeniową – musimy pogodzić się z świadomością, że jest to tykająca bomba z rosnącą liczbą luk.
[ czytaj całość… ]

O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz. III

26/01/2022 w Bezpieczeństwo Możliwość komentowania O statycznej analizie plików Microsoft Office słów kilka albo i więcej cz. III została wyłączona

T

ej części artykułu nie było w planach, ale pewna ewolucja Quakbota oraz pewne narzędzie, które „odkryłem” skłoniło mnie do napisania kolejnej części, która dodatkowo uzupełnia informacje z poprzednich. Atakujący zawsze próbują utrudnić życie obrońcom, a jeśli się da to również ich zmylić. Z tego prostego faktu wynika pewna zmiana w kolejnej odsłonie Quakbota. Pliki z arkuszami Excel są przesyłane w formie .xlsb. Co przynosi taka zmiana? Z punktu użytkownika nie za dużo, ale z punktu widzenia przechowywania informacji już całkiem sporo. XLSB jest zapisany w formacie binarnym, co powoduje, że narzędzia przedstawione w części drugiej artykułu nie działają (nie obsługują tego formatu pliku), albo działają w „upośledzony” sposób.
[ czytaj całość… ]