NFsec Logo

TLSH – Trend Micro Locality Sensitive Hash dla malware i phishingu

08/01/2024 w Bezpieczeństwo Możliwość komentowania TLSH – Trend Micro Locality Sensitive Hash dla malware i phishingu została wyłączona

S

króty kryptograficzne, takie jak MD5 i SHA[1/2] są wykorzystywane w wielu zastosowaniach związanych z eksploracją danych i bezpieczeństwem – służąc jako identyfikatory plików wykonywalnych i dokumentów tekstowych. Jednak ich rolą jest oznaczanie unikalności, nie podobieństw – jeśli zostanie zmieniony pojedynczy bajt pliku, wówczas skróty kryptograficzne dają zupełnie inne wartości. Ich działanie jest bardzo przydatne przy wyodrębnianiu, znakowaniu i dzieleniu się wskaźnikami skompromitowania (ang. IoCsindicators of compromise) dla konkretnych próbek szkodliwego oprogramowania (ang. malware). Jednak w celu identyfikacji zagrożeń pochodzących z tych samych “rodzin” i aktorów (o podobnej binarnej strukturze plików, identyfikacja wariantów wiadomości spamowych / phishingowych) pojawiła się przestrzeń dla skrótów kryptograficznych, które identyfikują podobieństwo plików na podstawie ich wartości skrótu. Społeczność zajmująca się bezpieczeństwem zaproponowała dla tego problemu skróty podobieństwa (ang. similarity digests) takie jak np. sdhash oraz ssdeep.
[ czytaj całość… ]

AADInternals – identyfikacja domen za pomocą usługi Azure AD

03/01/2024 w Pen Test Możliwość komentowania AADInternals – identyfikacja domen za pomocą usługi Azure AD została wyłączona

R

ozwój gotowych usług umożliwia wielu firmom przeniesienie całości lub części swojej infrastruktury, która była wcześniej ukryta w dedykowanym centrum danych do środowisk chmurowych. Oznacza to, że część informacji o usługach danej firmy można obecnie odkryć poprzez rekonesans w sposób, który w przeszłości nie zawsze był taki łatwy lub możliwy np. poprzez używanie widoków dla wewnętrznych i zewnętrznych stref DNS w celu ukrycia wewnętrznych domen firmowych. Istnieje wiele technik, które mogą przedstawić nam jakie domeny należą do konkretnej firmy np. rWHOIS, DNS, TLS itd., jednak wraz z pojawieniem się środowisk chmurowych dane te można pozyskać w dodatkowy sposób. Na dzień dzisiejszy firma Microsoft nadal dominuje w świecie IT dla przedsiębiorstw, a korzeniem każdej, większej firmy jest “drzewo” Active Directory, które służy do zarządzania grupami, użytkownikami, politykami i domenami w środowisku IT. Teraz, gdy coraz więcej wewnętrznych usług Active Directory zaczęło być przenoszonych na platformę chmurową Azure firmy Microsoft, badacze bezpieczeństwa mogą wykorzystywać te usługi do odkrywania domen przypisanych do konkretnej organizacji z bardzo wysokim poziomem pewności, co do informacji zwrotnej i bez polegania na (czasami) niespójnych danych z serwisów zewnętrznych. Nestori Syynimaa w tym celu stworzył moduł AADInternals PowerShell do przeprowadzania prac administracyjnych na usłudze Azure AD oraz Office 365. Jeśli nie potrafimy posługiwać się interpreterem poleceń PowerShell nie musimy się martwić, ponieważ twórca AADInternals udostępnił również internetowe narzędzie “OSINT“, aby rekonesans domen był znacznie łatwiejszy i bardziej dostępny dla większego grona użytkowników. Umożliwia ono uzyskanie ogólnodostępnych informacji na temat określonego najemcy (ang. tenant) usługi za pomocą interfejsów API Azure. Szczegóły są zwracane tylko dla pierwszych 20 domen. Jeśli trafimy na więcej pozycji niestety musimy użyć modułu PowerShell, aby uzyskać pełne informacje. Dla przykładu działania możemy odpytać się o takie domeny jak: ebay.com, bbc.co.uk lub olx.com.

Więcej informacji: Just looking: Azure Active Directory reconnaissance as an outsider

SMTP Smuggling Attack

28/12/2023 w Ataki Internetowe Możliwość komentowania SMTP Smuggling Attack została wyłączona

B

adacze z SEC Consult, a dokładniej Timo Longin – znany ze swoich ataków na protokół DNS opisał informację o nowej technice ataku o nazwie SMTP Smuggling, która może umożliwiać wysyłanie fałszywych wiadomości e-mail z pominięciem mechanizmów uwierzytelniania. Technika ta wykorzystuje protokół SMTP (ang, Simple Mail Transfer Protocol), w którym atakujący może wykorzystać różnice w sposobie, w jaki wychodzące i przychodzące serwery SMTP interpretują sekwencję wskazującą koniec danych w wiadomości e-mail. Co ciekawe bardzo podobną technikę o nazwie MX Injection opisał Vicente Aquilera Diaz w 2006 roku. Mimo, że jest to znany, długotrwały i dobrze udokumentowany problem, kilka powszechnie używanych serwisów i serwerów świadczących usługi e-mail okazało się podatnych na przeprowadzenie tego ataku.
[ czytaj całość… ]

Złe ELFy kradną dane z fabryki zabawek św. Mikołaja

17/12/2023 w Bezpieczeństwo, Debug, Pen Test Możliwość komentowania Złe ELFy kradną dane z fabryki zabawek św. Mikołaja została wyłączona

O

nie! Z powodu dużej ilości pracy przed świętami ktoś zapomniał na serwerze WWW zaktualizować wtyczkę do wykonywania kopii zapasowej w używanym przez św. Mikołaja CMS WordPress. Dzięki temu złośliwe ELFy przedostały się do wewnętrznej sieci i w ramach Lateral Movement “przeskoczyły” do maszyny w fabryce św. Mikołaja odpowiedzialnej za kompilację kodu programów używanych w zabawkach. Jest na niej pełno sekretnych rozwiązań, schematów i innych wrażliwych danych, które można ukraść. Niestety oprócz kompilatorów (gcc) i debuggerów (gdb) maszyna nie posiada żadnych narzędzi (wget, curl itd.), które można wykorzystać do eksfiltracji danych lub ściągnięcia ładunków ze złego C2. Złe ELFy mają dostęp tylko do zwykłego konta dobrego ELFa o imieniu reversek, a dzięki prostemu skanerowi portów w czystej powłoce bash zorientowały już się, że maszyna ma dostęp do internetu tylko na portach HTTP (80) i HTTPS (443). Czy uda im się wykraść zaawansowane patenty i zamienić je w tańsze podróbki ?
[ czytaj całość… ]

AGGR3SS0R Toolbox

30/11/2023 w Techblog Możliwość komentowania AGGR3SS0R Toolbox została wyłączona

Aktualizacja w każdy: Poniedziałek

DNS info:
SSL info:
URL info:
Domain info:
IP info:
Host info:
Proxy info:
Phishing info:
Malware info:
Malware samples:
Threat Intelligence:
OSINT:
Support Tools:
User leak:

Ostatnia aktualizacja: 02.04.2025 20:05

Czysta funkcja bash do pobierania i uruchamiania ładunków

28/11/2023 w Pen Test Możliwość komentowania Czysta funkcja bash do pobierania i uruchamiania ładunków została wyłączona

C

zy do pobrania pliku z internetu za pomocą protokołu http jest potrzebne inne narzędzie (np. curl) niż powłoka bash? Czy możemy napisać taką funkcję, która przyjmie adres nie związany z typowym ciągiem URL, aby nie budzić różnych systemów? Spróbujmy odpowiedzieć na te pytania. Zacznijmy od przekazania argumentu, który określi z jakiego adresu plik ma być pobrany. Naszym ciągiem tekstowym będzie: “stardust.nfsec.pl+80+payload.sh“, czyli separatorem zmiennych będzie znak “+”. W powłoce bash istnieje specjalna zmienna o nazwie Internal Field Separator (IFS), za pomocą której możemy zdefiniować separator dla polecenia read. Polecenie to może przypisać kilka zmiennych na raz, jeśli przekażemy mu dane wejściowe za pomocą metody Here Strings (podobnej do Here Documents). Czyli nasza pierwsza linia będzie miała postać:
[ czytaj całość… ]

Niektóre paczki z Ubuntu nie mają wszystkich łatek bezpieczeństwa

15/11/2023 w Bezpieczeństwo Możliwość komentowania Niektóre paczki z Ubuntu nie mają wszystkich łatek bezpieczeństwa została wyłączona

I

taka jest brzydka prawda. W serwisie IntelTechniques został opublikowany tekst ostrzegający swoich czytelników i użytkowników systemu Ubuntu przed subskrybowaniem usługi Ubuntu Pro. Powierzchowne użytkowanie tego systemu doprowadziło redakcję do fałszywego przekonania, że standardowe oprogramowanie zainstalowane przy użyciu polecenia apt jest “aktualne” i “bezpieczne” pomimo wyświetlania ostrzeżeń dotyczących o dostępnych pakietach aktualizujących ich bezpieczeństwo. Cytat z ich publikacji:

[Wyszczególnione pakiety Ubuntu] “w dostępnej wersji” to dokładnie ten sam produkt, co aktualnie zainstalowane oprogramowanie. Ta aktualizacja nic nie wnosi.

Do całej dyskusji, która rozwinęła się w serwisie HackerNews odniósł się jeden z programistów o imieniu Alex tłumacząc, że to stwierdzenie odzwierciedla szersze nieporozumienie dotyczące aktualnego zarządzania pakietami w systemie Ubuntu. W skrócie można powiedzieć, że problem pojawia się, gdy włączymy repozytorium universe w dystrybucji typu LTS (Long Term Support – typ specjalnych wydań systemu Ubuntu o przedłużonym okresie wsparcia), co może narazić nas na problemy związane z bezpieczeństwem chyba, że jesteśmy zainteresowani subskrypcją usługi “Pro”.
[ czytaj całość… ]

Hashcat dla konkursu Sekuraka Academy 2024

09/11/2023 w Bezpieczeństwo Możliwość komentowania Hashcat dla konkursu Sekuraka Academy 2024 została wyłączona

S

ekurak opublikował kolejny konkurs dotyczący łamania haseł. Tym razem było 10 to pozycji, a nie 12. Konkurs wystartował 31 października 2023 o 11:37, a informacja o nim dotarła do mnie o 12:15. O 12:34 miałem już dwa hasła. Pierwszym krokiem było szybkie stworzenie “dedykowanego” słownika. Zaznaczyłem cały tekst na stronie konkursu i wkleiłem go do CyberChef. Zamiana spacji (“\s”) na znaki nowych linii (“\n”) szybko zwróciła słownik, który mógł zostać użyty do pierwszej próby. Czyste uruchomienie łamania słownikiem nie zwróciło żadnych wyników, ale dodanie modyfikatorów zwróciło pierwszy wynik:

hashcat -a0 -m100 to_crack.txt sekurak_dic.txt -r OneRuleToRuleThemStill.rule
db13ca089eb4860896567399a30558f2c1fc69e7:sekurak.academy

Kolejnym krokiem był tryb: słownik + słownik, aby połączyć w pary frazy z każdego słownika, co zwróciło drugi hasz:

hashcat -a1 -m100 to_crack.txt sekurak_dic.txt sekurak_dic.txt 
9ca2065c0db9c96e7c2610bc3646991b590620f8:sekurak2024

Wracając do pracy zostawiłem program hashcat w trybie brute-force, co po godzinie 16:00 wyświetlało już kolejne dwa złamane hasła:

hashcat -a3 -m100 to_crack.txt
cc713abadd413446b499a795a963e3358e6bea37:Ow0jw2
11611d749d0a4df9a91bdc6967a05a4a85df7ffb:anw22ii2

i perspektywę długiego łamania dłuższych haseł – dlatego przerwałem dalszą pracę programu. Przyszedł czas na “ślepą furię”, czyli słownik który tworzę od jakiegoś czasu wzbogacając go o różnego rodzaju polskie wycieki. Co ciekawe jego systematyczne uzupełnianie i nastawianie na polskie realia spowodowało wzrost złamanych haseł z serwisu pomarańcze.net z 105475 do 389598 pozycji (pokazując, że proste, stare hasła wciąż są powtarzane i używane w innych serwisach). Schemat działania był analogiczny do poprzedniego słownika: 0) czysty słownik #2 1) słownik #2 + zasady modyfikujące 2) słownik #2 + słownik #2 3) słownik #2 + słownik #2 + zasady modyfikujące 4) słownik #1 + słownik #2 (i odwrotnie) 5) słownik #1 + słownik #2 + mody (i odwrotnie). W ciągu godziny (z przerwami) zabawy kombinacje te wypluły:

d451fa69378f9a246cff1a0f3bf0979b1df643ee:grzechu1234
283d5cb401e9de6a2e56f97166a639479fb86aee:akademiasekuraka
3c37442f864f1921808a2440c7657311df38b919:bezpiecznykurak

Przy okazji pracy z słownikami – postanowiłem zaktualizować własny o nowe słowa dodane do literaków. Zauważyłem też, że jest wersja z odmianami słów zawierająca więcej wyrazów i zwrotów. Podobnie, jak w przypadku pierwszego słownika – ułożenie go wymagało kilku zabiegów – usunięcie kropek, przecinków; zamiana spacji na nowe linie itd. W ten sposób słowo et seq. zamieniło się w seq + rak, co złamało w trybie słownik #2 + słownik #2 kolejny hasz:

61e5851b40d661bd046bdd96577fc4e81b7ae625:seqrak

Przerwałem działanie programu hashcat i o 18:00 wysłałem pierwszą paczkę 8’miu haseł. Późnym wieczorem zrobiłem jeszcze przegląd dotychczas złamanych haseł i do “sekurakowego” słownika postanowiłem jeszcze dodać frazy, których nie było w tekście, ale były na obrazkach. Uznałem, że dobrymi kandydatami na hasło będą: WronBrodaty, on1Ry, SpaceOutlaw, ZygzakEtylowasyl, VPS, NAS, WireGuard i ich różne kombinacje. Gdy wznowiłem przerwane działanie programu hashcat podał on kolejny hasz:

e68e8854e4da8055832f1a00ced5ac8772611a64:bezpiecznakura

Powtórzenie kombinacji z nowymi hasłami nie wniosło nic do procesu. O 22:18 wysłałem drugą paczkę 9’ciu haseł. Przed snem puściłem jeszcze w ruch wszystkie, czyste słowniki z SecLists oraz wersje z modyfikatorami. Zero wyników sugerowało hasło bardziej złożone np. z trzech słów, jak to miało miejsce w poprzedniej edycji (ciezkatosprawa). Do tworzenia słownika potrzebnego do łamania tego typu haseł przystąpiłem dopiero wieczorem kolejnego dnia. Optymistycznie patrząc zadanie wydawało się dość proste: wystarczy z jednego słownika zrobić inny, który będzie miał połączone ze sobą każde słowo z tego samego słownika:

hashcat -a1 --stdout nfsec_pl.txt nfsec_pl.txt > double_nfsec_pl.txt

Po kilkudziesięciu minutach intensywnej pracy dysku i komunikacie o kończącym się miejscu zdałem sobie sprawę, że chyba przesadziłem z ilością słów, które chciałem wzajemnie połączyć. “Przecież one będą działać jak mnożnik wielkości pierwotnego pliku”. Przerwałem proces, jak nowy słownik posiadał już 385 GB. Usunąłem go i skupiłem się na stworzeniu trzeciego słownika zawierającego tylko zaimki i przyimki umieszczając słowo “to” na pierwszym miejscu. Połączyłem nowy słownik z moim mając nadzieje, że wiele słów w różnych odmianach z tymi częściami mowy stworzy jakieś logiczne frazy:

hashcat -a1 --stdout nfsec_pl.txt zaimki_przyimki.txt > double_nfsec_pl.txt

Łączenie trwało kilkanaście minut, a kilku gigabajtowy słownik spokojnie zmieścił się na dysku. Alternatywą dla tego takiego łączenia słowników może być generowanie w locie drugiego słowa, co oszczędza miejsce na dysku, ale wymaga wielokrotnego uruchamiania programu hashcat:

for i in `cat zaimki_przyimki.txt`; 
do echo hashcat -a1 -m100 to_crack.txt nfsec_pl.txt \
nfsec_pl.txt --rule-left \'\$"$i"\' | bash; done

Dodając jeszcze jedną pętlę i opcję -rule-right możemy nawet stworzyć potworka łamiącego hasło czterowyrazowe. Niemniej jednak dodanie tego samego słownika jako źródła trzeciego słowa rozpoczęło proces łamania:

hashcat -a1 -m100 to_crack.txt double_nfsec_pl.txt nfsec_pl.txt

37 minut później ukazał się ostatni hash:

61d54fe02ce6edcde2f5762f2677b3c83d876417:trudnotozgadnac

2 listopada o 00:20 wysłałem ostatnią paczkę 10’ciu haseł. 8 lis 2023 o 11:22 otrzymałem informację o wygranej. Oprócz frajdy konkurs był doskonałym pretekstem, aby dopracować własny słownik i uzupełnić w nim małą lukę, czyli odmianę polskich słów “z” i “bez” znaków diakrytycznych.

Zamieniamy vim w mechanizm persystencji

04/11/2023 w Pen Test Możliwość komentowania Zamieniamy vim w mechanizm persystencji została wyłączona

Z

amieniliśmy już edytor vim w rejestrator naciskanych klawiszy, teraz umieścimy w nim mechanizm persystencji. Plik konfiguracyjny .vimrc zawiera konfigurację dla tego edytora, a dzięki wtyczkom, modułom sprawdzania i kolorowania składni oferuje nieograniczone możliwości dostosowywania do użytkownika. Istnieją również sposoby wykonywania poleceń powłoki i dowolnych skryptów. Biorąc pod uwagę, że przy każdym uruchomieniu programu vim ładowany jest plik .vimrc, okazuje się, że jest to świetny sposób na regularne wykonywanie zadań, takich jak sprawdzanie, czy jest dodany odpowiedni klucz SSH do systemu. Staje się to jeszcze bardziej interesujące podczas, gdy edytor uruchamia administrator.
[ czytaj całość… ]

Uzupełnienie do Kukułczego Jaja i Infomafii

02/11/2023 w Hackultura Możliwość komentowania Uzupełnienie do Kukułczego Jaja i Infomafii została wyłączona

C

zyli jak pod koniec lat 80. kilku niemieckich hackerów zostało złapanych przez tajne służby. Pod koniec dawnej Republiki Federalnej Niemiec ukazała się historia grupy hackerów Karla Kocha (byli nimi członkowie o pseudonimach: Pengo, Pedro, Urmel, DOB i Hagbard), która penetrowała międzynarodowe sieci komputerowe i sprzedawała rosyjskim tajnym służbom (KGB) pirackie oprogramowanie. Jej działalność została podsumowana grubą teczką akt, która miała opisywać szczegółowo ich poczynania, a w nich amerykański system obrony przeciwrakietowej SDI (ang. Strategic Defense Initiative). Była to Strategiczna Inicjatywa Obronna prezydenta USA Ronalda Reagana z 1983 r., będąca ideą utworzenia obrony przeciwrakietowej przeciwko rosyjskiemu zagrożeniu.
[ czytaj całość… ]