W

yobraźmy sobie, że nasz system został zainfekowany przerobionym i trudnym do wykrycia implantem sieciowym. W swojej przeróbce został on uzbrojony w moduł inwigilacji oparty o eCapture. Jest to zwinne narzędzie napisane w języku Go, które również wykorzystuje technologię eBPF. Umożliwia ona uruchamianie programów zamkniętych w piaskownicy jądra systemu operacyjnego. Dzięki temu potrafi przechwycić zaszyfrowaną komunikację sieciową bez konieczności “podpinania” Urzędu Certyfikacji (ang. Certificate Authority), któremu należy zaufać. Zamiast tego wpina się w funkcje SSL_write / SSL_read współdzielonej biblioteki SSL, aby uzyskać kontekst tekstowy i wysłać tak uzyskane wiadomości do przestrzeni użytkownika za pomocą map eBPF.
[ czytaj całość… ]

B

adacze bezpieczeństwa odkryli wysoce inwazyjne, chińskie narzędzie inwigilacyjne wykorzystujące Berkeley Packet Filter (BPF). Złośliwe oprogramowanie, nazwane BPFDoor, może być obecne na “tysiącach” systemów Linux, a jego kontroler pozostał prawie całkowicie niezauważony przez producentów zabezpieczeń punktów końcowych, mimo że jest używany od co najmniej pięciu lat. Jest to już drugi rodzaj złośliwego oprogramowania wykorzystującego BPF w Linuksie do ukrytej inwigilacji, który został ujawniony w tym roku, po odkryciu przez Pangu Lab w lutym 2022 r. backdoora NSA o nazwie Bvp47. Wówczas badacz bezpieczeństwa Kevin Beaumont zasugerował, że BPF (lub rozszerzony BPF – eBPF) jest wykorzystywany przez innych aktorów stanowiących zagrożenie. Beaumont, który wcześniej pracował w firmie Microsoft, ostrzegał wtedy przed konsekwencjami niebezpieczeństwa związanym z wprowadzeniem eBPF na inne platformy poza Linuksem: “Naprawdę, naprawdę mam nadzieję, że Microsoft opracował model zagrożenia, co się stanie z bezpieczeństwem, gdy wprowadzi eBPF do podstawowego systemu operacyjnego” (firma Microsoft w marcu 2021 roku zapowiedziała projekt open source, aby umożliwić działanie eBPF w systemie Windows 10 / Server 2016 i nowszych).
[ czytaj całość… ]

H

iszpańska scena lat 90-tych zaczyna się od przesłania: “Cześć, jestem Mave. To, co wam powiem, jest niezwykle ważne. TWOJA PRZYSZŁOŚĆ JEST W ****NIEBEZPIECZEŃSTWIE**** DUŻYM ****NIEBEZPIECZEŃSTWIE****. Dziś rano, 31 stycznia 1996 roku, o 09:00 rano w moim domu pojawiła się policja sądowa, a dokładniej brygada do walki z przestępczością komputerową i **ZAARESZTOWAŁA** mnie. Tak zaczynała się wiadomość, którą Mave wysłał do swoich kolegów z Konspiradores Hacker Klub (KhK), gdy dostąpił “zaszczytu” zostania pierwszym hackerem aresztowanym w Hiszpanii. Oskarżono go o penetrację systemów należących do Uniwersytet Karola III w Madrycie i użycie skradzionej karty w Compuserve, co w tamtych czasach było standardem wśród hackerów. Został złapany z powodu pomyłki: wszedł na kanał czatu pod nadzorem policji, zakładając konto pod swoim prawdziwym nazwiskiem.
[ czytaj całość… ]

D

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]

P

ierwszy raz z truflową świnką ryjącą za poszukiwaniem kluczy mogliśmy spotkać się w Oh Shit, Git?!. Najnowsza, trzecia wersja została zupełnie przepisana w języku Go. Dodano do niej obsługę ponad 600 typów kluczy zwiększając tym samym zdolność tego narzędzia do polowania na wycieki danych uwierzytelniających. W dodatku detektory te obsługują aktywną weryfikację z odpowiednimi interfejsami API. Ujawnione dane uwierzytelniające, w tym pary tajnych kluczy, stanowią poważny problem cyberbezpieczeństwa. Klucze mogą być nadużywane do włamywania się do sieci korporacyjnych, często bardziej potajemnie i przez dłuższy czas niż wykorzystywanie luk w popularnym oprogramowaniu.
[ czytaj całość… ]

C

zy ten plik to malware? Zależy jakiego silnika antywirusowego się spytasz. Podobnie jest w temacie znajdowania lokalizacji adresu IP, ponieważ powiązanie rzeczywistej lokalizacji z adresem IP jest prawie niemożliwe do pewnego poziomu dokładności (np. ulicy, miasta). Wiele osób od razu podniesie głos sprzeciwu odnosząc się do dostawców usług oferujących geolokalizację adresów IP. Tak, istnieją bazy zawierające informacje o lokalizacji geograficznej adresu IP. Niektóre nawet twierdzą, że mają bardzo dokładne informacje, ale czy są one wiarygodne? Rzućmy okiem na adres: 188.130.189.153. W tym celu skorzystamy z serwisów zawartych na stronie: resolve.rs, ponieważ uwzględnia ona bardzo dużo dostawców typu IP2GEO, z którymi możemy sprawdzić wspomniany adres IP. Przechodząc przez poszczególne serwisy i zadając im zapytanie o ten sam adres widzimy wiele różnic w wynikach. W momencie pisania tego wpisu wyniki były, co najmniej mylące nawet na poziomie kraju.
[ czytaj całość… ]

curl -s https://nfsec.pl | grep -Eo "(http|https)://[a-zA-Z0-9./?=_%:-]*" | sort -u

Więcej informacji: SpiderFoot

W

czwartek, 24 lutego 2022 roku Rosja dokonała aktu nieuzasadnionej napaści na Ukrainę. Jeszcze zanim rozpoczęła się gorąca faza zbrojnego konfliktu uruchomione zostały działania cybernetyczne. W artykule tym chciałbym zaprezentować dość sprytną technikę użytą przez APT Gamaredon, którego podstawowym celem jest Ukraina. Większość kroków wykonanych w tej analizie została już omówiona wcześniej w serii: O statycznej analizie plików Microsoft Office słów kilka albo i więcej (cz. I, II, III) – dlatego nie będą one tutaj przedmiotem głębszych rozważań. Analizowany dokument można ściągnąć z bazaru szkodliwego oprogramowania. Zbiera on znalezione próbki malware, ransomware i inne *ware wzbogacając je o dodatkowe informacje i udostępnia je społeczności analityków za darmo.
[ czytaj całość… ]

P

odatność o nazwie Dirty Pipe została znaleziona w jądrze Linuksa od wersji 5.8, a dokładniej od commit’u f6dd975583bd ("pipe: merge anon_pipe_buf*_ops"). W funkcjach copy_page_to_iter_page i push_pipe element "flags" nowej struktury bufora potoku nie był odpowiednio inicjalizowany, przez co mógł zawierać nieaktualne wartości. Luka ta umożliwia nieuprzywilejowanemu użytkownikowi na zapis stron w pamięci podręcznej, a tym samym dowolnych danych do dowolnych plików, nawet jeśli są one w trybie O_RDONLY – tylko do odczytu, immutable (chattr +i) – posiadają atrybut, niepozwalający nawet administratorowi ich modyfikować lub są zamontowane na systemie plików do tylko do odczytu – MS_RDONLY. Dotyczy to także procesów SUID, które są uruchamiane z prawami administratora. Max Kellermann, który jest autorem luki wspomina, że jest ona podobna do CVE-2016-5195 “Dirty Cow“, ale łatwiej ją wykorzystać. Ze względu na odpowiedzialne ujawnienie podatności została ona załatana już w wersjach jądra: 5.16.11, 5.15.25 oraz 5.10.102.
[ czytaj całość… ]

D

zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:

https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Szybki rzut oka na ten link nawet płynnie korzystającego z internetu użytkownika może go przekonać, że prowadzi on do portalu logowania serwisu evisa.mfa.gov.ua. Ale tak niestety nie jest. Kliknięcie linku w przeglądarce zaprowadzi nas do domeny: https://nfsec.pl. Dlaczego? Spójrzmy jak wygląda format adresu URL (zgodnie z definicją w RFC 1808, sekcja 2.1):

<schemat>://<nazwa_użytkownika>:<hasło>@<host>:<port>

Jest to dość dobrze znana technika w phishingu, w której domena jest zakodowana szesnastkowo. Jeśli rozłożymy ten format na czynniki pierwsze to otrzymamy:

• https:// – protokół / schemat
• evisa.mfa.gov.ua – nazwa użytkownika
• login – hasło
• nfsec.pl – docelowa strona internetowa (zakodowana szesnastkowo – to na nią zostaniemy przekierowani)

Dowód koncepcji: https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Najeżdżając kursorem na powyższy link możemy zaobserwować prawdziwy adres URL wyświetlany w lewym dolnym rogu. Zawsze należy pamiętać o tej czynności przed kliknięciem w link.

Więcej informacji: What does netloc mean?, Phishing attempts on Ukraine,