- Exploit -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Seznam  Kategorie  Podkategorie 0  1  2  3  4  5 

Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks

15.7.2015 Exploit

Na Wikileaks.org jsou kompletní e-maily z úniku po hacku Hacking Teamu. Zásadním problémem pro Česko je, že prozrazují příliš mnoho o aktivitách Policie.
Pokud si chcete prostudovat komunikaci mezi Hacking Teamem a společností Bull, včetně řady zábavných požadavků na vytvoření exploitů (namátkou žádost o exploity na stránky Komerční banky, Seznam.cz, Otomoto.cz, Parlamentních listů, atd.), stačí jít na search.wikileaks.org/advanced, zaškrtnout pouze „Hacking Team“ v omezení hledání, a pak už jenom zkoušet a zkoušet. Případně hledat přímo pomocí wikileaks.org/hackingteam/emails/.

Pozor, je to hodně dlouhé čtení, které vám vystačí na hodně dlouhou dobu. Dozvíte se v něm řadu věcí, včetně toho, že české „vysoké školy“ vyvíjejí exploity a byl zájem je zahrnout do řešení od HT. Desítky e-mailů probírají cenu, dodací podmínky, školení „zákazníka“ v tom, jak konkrétně hackovat, jak do stránek vsouvat útočné kódy nebo jak uživateli zablokovat přehrávání YouTube, aby si stáhl falešný Flash.

The attachment contains TXT file with the infecting URL.

Don't put this link on public websites or social networks (Facebook, Twitter), it is unsafe for you and it could be triggered by automatic bots. For delivering it, to a real target, we suggest you to create an html e-mail with an hyperlink to this URL, because otherwise it might look malicious: in the attachment you will also find a sample html code you can use to insert the link and mask it in a html email. For sending html mail via web-mail (eg: gmail) please refer to the message previously posted.

If html sending is not possible (eg: via Skype chat), we suggest to use tinyurl (tinyurl.com) to mask the real URL. The exploit will be available only for a limited period of time.

Požadavky na exploity, tedy na vytvoření specifického řešení, které v uniklých mailech najdete, se týkají vytváření útočného kódu pro specifické weby, prohlížeče, ale také pro Microsoft Word či Power Point.

Bez zacházení do detailů je dost zřejmé, že pokud si tuto komunikaci mezi Policií ČR a „servisním“ portálem Hacking Teamu přečtou například obhájci lidí, kterých se „hackování“ a sledování týkalo, budou mít informace, které mohou celý výsledek vyšetřování ohrozit. Mimo požadavků najdete v e-mailech i odpovědi, včetně připravených exploitů, informací o tom, jak je nasadit a čeho se vyvarovat.

Je hodně zvláštní, že komunikace obsahující velmi citlivé a konkrétní informace týkající se kriminálního vyšetřování probíhala v nezabezpečené podobě. Celé to navíc vyvolává řadu dalších otázek. K umístění některých exploitů musela mít policie spolupracující subjekt – řekněme, že pokud by chtěla umístit exploit přímo na webové stránky nějakého média, bylo by to bez spolupráce dost nepravděpodobné. Byť samozřejmě můžete uvažovat nad tím, že by mohlo dojít nejprve k hacknutí média, a až poté k umístění exploitu.

Je tu samozřejmě také varianta, že policie má přístup přímo k internetové komunikaci (ale nemá přístup ke koncovému zařízení sledované a vyšetřované osoby) a někde „cestou“ dokáže podvrhovat obsah. Což je ale nakonec stejně alarmující věc, jako ta předchozí.

Je také milé vidět, jak aktivní jsou české univerzity či vysoké školy, když jde o otázku hackingu. Ale tady se opět nabízí otázka, jak asi bude těm, kteří chtěli obchodovat s Hacking Teamem, když si uvědomí, že jejich práce mohla dobře sloužit represivním režimům ke stíhání disidentů, potlačování občanských svobod a řadě dalších věcí, které jsou s naším pojetím světa dost neslučitelné.

Bude zajímavé sledovat, kolik z řešených případů, které se objevují rozpoznatelné v e-mailech uniklých z Hacking Teamu, bude tímto únikem zmařeno. A zda za toto fatální selhání bude někdo zodpovědný.

Exploit Kit Roundup - začátkem června 2015

4.6.2015 Exploit
Úvod 

Security Operation Center (SOC) analytici zkoumat záznamy o podezřelé činnosti v síti. Je však možné, že tito analytici nesmí narazit exploit kit (EK), doprava, která často. Web Gateway organizace může zastavit velké množství špatných provozu předtím, než se zobrazí plný infekce řetězec. Vyšetřování jiných typů podezřelé aktivity bude pravděpodobně trvat až většinu analytika pracovního dne.

Někteří z nás mají to štěstí, aby přezkoumala EK provoz na rutinní bázi. Co tím na mysli, chci sdílet příklady nejčastější využití souprav Všiml jsem si zatím v tomto roce.

V pořádku, EK dopravní jsem viděl nejčastěji v roce 2015 bylo:

Rybář
Slavnost
Nukleární
Neutrino
Rozsah
Takeláž
Toto není úplný seznam. Ostatní využívají soupravy jsou venku, ale ty jsou nejčastější, které jsem viděl v letošním roce. Nemám žádné tvrdé čísla, a poslední čtyři (Nuclear, neutrino, velikosti, a Rig), jsou více o kvalifikovaný odhad na žebříčku. EK scéna může vyvíjet docela rychle. Seznam bude pravděpodobně změní během několika měsíců, a moje pozorování jsou jen názor jednoho člověka.

Rybář EK

Rybář je nejčastější exploit kit jsem se běžet napříč. Je to také nejpokročilejší. Rybář se mění vzory adres URL se často, a tyto změny se v poslední době stalo na blízko-denní bázi. Rybář začal používat "fileless" infekce techniky v roce 2014 [ 1 ], a to teď posílá jeho užitečné zatížení v poměrně sofistikované šifrované způsobem (což znamená, že nepoužívá přímou vpřed ASCII řetězec XOR užitečné zatížení, když je poslal přes HTTP). V posledních měsících jsem měl tvrdý čas získávání užitečné zatížení z rybář EK. V příkladu tohoto deníku, jsem nebyl schopen získat nebo dešifrovat užitečné zatížení.

Dříve, viděl jsem rybář odeslání nějakou formu ransomware jako TeslaCrypt / Alpha Crypt variant [ 2 ] nebo CrytoWall 3.0 [ 3 ]. V posledních několika dnech, jsem hlavně viděl Bedep a souvisejících náklad zaslané Rybář.

Příkladem Angler EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Rybář EK provozu a po infekci činnosti ve středu 06.3.2015 .

Fiesta EK

Fiesta je pravděpodobně příští nejobvyklejší činem kit jsem přeběhnout, většina z nich souvisí s hercem BizCN který jsem popsal v předchozím deníku [ 4 ]. Ostatní herci samozřejmě použít tento exploit kit. Jako rybář EK, Fiesta také používá při odesílání malware náklad sofistikovanější typ šifrování. Naštěstí můžu obvykle chytit kopii užitečného zatížení z infikovaného hostitele v mé laboratoři nebo dešifrovat užitečného zatížení v případě potřeby.

Příklad 1 Fiesta EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.
Příklad 2 Fiesta EK provozu na 06.3.2015: c lic K sem pro th e pcap souboru.

Nahoře: Fiesta EK provoz ve středu 06.3.2015.

Velikost EK

Velikost EK často vysílá několik náklad, někdy i 6 nebo více. Je to velmi hlučný exploit kit. Budu často vidět CryptoWall 3.0 jako jednu z uživatelských dat. V příkladu tohoto deníku, Velikost poslal pouze jednu užitečného zatížení, a to bylo CryptoWall 3.0. Já jsem obvykle vidět Rozsah EK zaslat malware náklad nezašifrované, alespoň při použití IE 8 jako webový prohlížeč v zranitelné hostiteli. Nevidím Magnitude dnes stejně jako jsem to udělal minulý rok.

Příkladem velikosti EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: velikost EK provozu a po infekci činnosti ve středu 06.03.2015.

Neutrino EK

V roce 2014, to exploit kit zmizelo asi šest měsíců a pak se vrátil do hodně jiné formě [ 5 ]. Dopravní vzory zůstaly relativně beze změny, protože se objevil v pozdní 2014. Neutrino EK používá sofistikovanější styl šifrování při odesílání malware užitečné zatížení (ne pouze přímočarý XOR pomocí ASCII řetězce).

Současné URL vzory neutrino je připomínat lidem Sweet Orange EK; Nicméně, Sladké Orange Zdá se, že zmizel ze scény již v únoru 2015. Nenašel jsem žádnou sladkého pomeranče po únoru, ale viděl jsem spoustu Neutrino od té doby. Pokud vidíte nedávný provoz si myslíte, že je sladká Orange, dvakrát zkontrolovat. Je to pravděpodobně Neutrino EK.

Neutrino byla poměrně konzistentní v posledních několika měsících. Neviděl jsem hodně, ale nikdy to pryč.

Příkladem Neutrino EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Neutrino EK provoz ve středu 06.3.2015.

Jaderná EK

V loňském roce, to exploit kit zdál mnohem častější, než je tomu dnes. Provoz Windigo stále používá jaderné EK [ 6 ], ale v posledních týdnech, jsem málokdy viděl jaderné mimo to. Jaderná EK zatemňuje jeho užitečné zatížení o XOR-ing s ASCII řetězcem.

Příkladem jaderné EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Jaderná EK provozu a po infekci činnosti spojené s provozem Windigo ve středu 06.3.2015.

Rig EK

Když Rig se poprvé objevil v roce 2014, to vypadalo pozoruhodně podobný do nekonečna EK [ 7 ] (který byl poprvé identifikován jako Goon EK). Rig EK prý půjčil hodně z nekonečna. I když jsem neviděl Nekonečno v tomto roce, jsem rozhodně běžet napříč vybavit každý jednou za čas.

V dubnu 2015 Rig EK změnila šifrování, kterou používá k odeslání malware užitečné zatížení. Nyní, to používá stejnou metodu jako jaderné EK, plést jeho užitečné zatížení o XOR-ing s ASCII řetězcem [ 8 ].

Příkladem Rig EK dopravy na 06.03.2015: klikněte zde pro soubor pcap.

Nahoře: Rig EK provoz ve středu 06.03.2015.

Závěrečná slova

Jak již bylo zmíněno, je to jen názor jednoho člověka do současného stavu využití výstroje. Není to komplexní, a tam jsou jiné exploit kity Nemám viditelnost. Zde je seznam pcap souborů z předchozích odstavcích:

http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Angler-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Fiesta-EK-traffic-example-01.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Fiesta-EK-traffic-example-02.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Magnitude-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Neutrino-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Nuclear-EK-traffic-Operation-Windigo.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Rig-EK-traffic.pcap
Také jsem, kde jsem mohl shromážděny využije a malware náklad. ZIP soubor s této kolekce je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/06/03/2015-06-03-malware-samples.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] http://malware.dontneedcoffee.com/2014/08/angler-ek-now-capable-of-fileless.html
[2] https://isc.sans.edu/diary/Angler+exploit+kit+pushes+new+variant+of+ransomware/19681
[3] https://isc.sans.edu/diary/Angler+exploit+kit+pushing+CryptoWall+30/19737
[4] https://isc.sans.edu/diary/Actor+using+Fiesta+exploit+kit/19631
[5] https://isc.sans.edu/diary/Exploit+Kit+Evolution+Neutrino/19283
[6] http://www.rackspace.com/blog/in-2015-operation-windigo-is-still-going-strong/
[7] http://www.kahusecurity.com/2014/rig-exploit-pack/
[8] http://malware-traffic-analysis.net/2015/05/06/index2.html

Yet Another WHMCS SQL Injection Exploit

5.11.2013 Exploit | Hacking

Update: Patch byl propuštěn minulou noc. Viz http://blog.whmcs.com/?t=80223

WHMCS, populární fakturace / support / zákaznický systém, stále trpí kritických problémů SQL injekce. Dnes, ještě další zranitelnosti, včetně zneužití byl propuštěn.

Vzhledem k tomu, že neexistuje žádná oprava k dispozici na tomto místě budu zdrží propojení všech Exploit detailů, ale je to dost triviální najít odpovídající blogu, který obsahuje skript, který zneužít tuto chybu zabezpečení. WHMCS uznal problému [1]

Hlavní příčinou tohoto problému, stejně jako předchozí problémy se softwarem, se zdá být nedostatek v chápání řádné kontroly, aby se zabránilo SQL injection. Dobrý ověřování vstupu je jen začátek, ale připravené příkazy jsou nutností. Místo toho, WHMCS vývojáři používají poměrně složité (a buggy), funkce uniknout uživatelský vstup a montujeme dynamických SQL dotazů.

Chyba je ve funkci, používané v celé Whmcs, je tak exploit není omezen na konkrétní URL.

[1] http://blog.whmcs.com/?t=80206

Exploit koktejl (Struts, Java, Windows) jít po 3-měsíc staré zranitelnosti
5.11.2013 Exploit | Zranitelnosti

Když ISC čtenář Yin hlášeny dneska, že jeden z jejich servery byly hacknutý přes Apache Struts provádění příkazů dálkového zranitelnosti (CVE-2013-2251), zpočátku to bylo označeno jako "business as usual". Řekl zranitelnost, po tom všem, je znám od července, a my jsme byli svědky pokusů Exploit od začátku srpna (deník zde ). Tak to bylo docela překvapení vidět unpatched internet exponované serveru podkopána. Vzhledem k tomu, nekontrolovatelný skenování, bylo to víc překvapující, že to přežil bez úhony až do současnosti.

V důsledku úspěšného útoku, zločinci změnit základní index.jsp na ohrožený server, který zahrnuje fragment, jako je následující:

Související stránky jsou stále ještě žijí, což je důvod, proč je výše uvedený obraz a není klikací URL. Pokud stále trvají na tom, jít hledat, buďte opatrní a neobviňujte nás! Opuštění webový server a Struts zranitelnosti aspekt věci, pojďme se nyní podívat na to, co číhá na tom Namu-v místě:

Jo, je tu APPLET tag. Zneužití Java opět, zdá se. Oracle Java je skutečný dar, který udržuje na to, aby ...!

daniel @ foo3: ~ / malware $ ls-al Init.jar
-rw-r - r - 1 daniel uživatelů 49019 24.října 16:04 Init.jar
daniel @ foo3: ~ / malware $ md5sum Init.jar
714ef7f35f2bac61c4bace8706f88b98 Init. skřípat

daniel @ foo3: ~ / malware $ unzip Init.jar
Archiv: Init.jar
nafukování: META-INF/MANIFEST.MF
nafukování: Print.class
nafukování: Init $ MyColorModel.class
nafukování: Init $ MyColorSpace.class
nafukování: Init.class

Přítomnost "MyColorModel" a "MyColorSpace" souborů v archivu JAR naznačuje, že by to mohlo být exploit pro CVE-2013-2465, 2D/AWT chyba, která ovlivňuje všechny Javy až 1.7_21. Při bližším zkoumání, je to potvrzeno, Init.class skutečně využívá CVE-2013-2465 a pak zavolá Print.class, což se zdá, vytvořte soubor s názvem "mspaints.exe":

Obsah souboru je čerpána z proměnné "data" nebo "data1", v závislosti na verzi operačního systému setkal. Obě tyto proměnné jsou definovány v "Print.class":

Sekvence 7777 ... jsou docela vzácné, v reálném světě EXE. Příslušné série nul (00), by bylo mnohem běžnější. A podívejte se, jak se soubor začíná "3A2D" .. pokud je to opravdu EXE, pak tyto první dva bajty by musel být "MZ" (5A4D). Takže .. tato "data" Pole je asi jen XORed s 0x77? Zkusme:

daniel @ foo3: ~ / malware $ echo "3A2D" | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "
MZ

Busted! :)

Krmení celé dva "data" pole pomocí stejné operace Perl změní hexadecimální sadu do binárních souborů, to vše při XOR-ing každý byte s 0x77: daniel @ foo3: ~ / malware $ cat data.hex | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "> data.exe daniel @ foo3: ~ / malware $ file data.exe data.exe: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit daniel @ foo3: ~ / malware $ md5sum data.exe cd2dd181257375c840f13988c8c7b6d5 data.exe

Hledání této MD5 hashi na VirusTotal https://www.virustotal.com/ # hledání nám dává výsledek s poněkud ponuré 3/47 objasněnosti. Ale aspoň někdo už nahrál dřív.

V další fázi analýzy je nyní na dva EXE soubory, data.exe a data1.exe. Tento úkol je - obecně - o dost složitější než jen reverzní inženýrství JavaScript nebo Java, protože statická analýza (jako my na applet), může být docela spolehlivě zmařeny na EXE a dynamické analýzy (= skutečně spuštěním souboru) může být plný překvapení "." Názorný příklad:

daniel @ foo3: ~ / malware $ strings data.exe | grep-i ladění
OutputDebugStringA
IsDebuggerPresent

Vypadá to, že náš EXE vyvolá Windows API metoda "IsDebuggerPresent" ověřit, zda debugger je právě spuštěn. Je pravděpodobné, že bude EXE chovat jinak, pokud je podezření, že někdo (jako malware analytik :) sleduje každý jeho pohyb. V tomto případě zde je nicméně docela snadno možné zjistit, co tyto dva EXE dělají: Jsou, jak to tak bývá, jednoduše "stahují", které načíst další fáze útoku kódu. K dispozici jsou čtyři stažené soubory a všechny pocházejí z www-sandulsori-CO-KR.

daniel @ foo3: ~ / malware $ ls-al *
-rw-r - r - 1 daniel uživatelů 55296 24.října 12:21 common.gif
-rw-r - r - 1 daniel uživatelů 71680 24 říjen 12: 21 common.png
-rw-r - r - 1 daniel uživatelé 21.října 7680 08:08 favicon1.ico
-rw-r - r - 1 daniel uživatelů 79872 17.října 09:44 favicon.ico
daniel @ foo3: ~ / malware $ md5sum *
e2004ec5fef378b2e41f6eef6931650b common.gif
3fed1004befb9834b699a88ccdce757e common.png
c85f70642ad402077c6447dc6ad6f7bb favicon1.ico
93a2dc2dcdb4bb17ae168cb60cff2e9b favicon.ico
daniel @ foo3: ~ / malware $ file *
common.gif: PE32 executable pro MS Windows (konzole) Intel 80386 32-bit
společné . png: PE32 + spustitelný soubor pro MS Windows (konzole) Mono / NET assembly
favicon1.ico: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit
favicon.ico: PE32 executable pro MS Windows (DLL) (GUI) Intel 80386 32-bit

Všimněte si, jak všechny čtyři soubory tvrdí, že obraz, i když jsou EXE. Dva soubory s názvem "obyčejný" obsahovat EPathObj Windows exploit (CVE-2013-3660), což má za následek oprávněními SYSTÉMU ve verzích systému Windows, které nemají opravu MS13-053 (červenec 2013). Analýza dvou favicon soubory stále probíhá. Zúčastněné domény (celkově) jsou: www-Namu-in-com, v současné době 110.45.165.42 pro etapu # 1 www-sandulsori-ko-kr, v současné době 111.92.188.21 pro etapu č. 2, a www-staticscount-com , v současné době 74.82.173.187 pro Command & Ccontrol (C & C). Tyto stránky a IP bloky nejsou nutně nepřátelské samo o sobě, mohou být také oběťmi dřívější hack / převzetí.

Ponaučení z příběhu je, že všechny výše uvedené je založena na využije zranitelnosti, které záplaty jsou k dispozici od roku asi tři měsíce. Pokud váš záplatování operačního systému a aplikace zaostává v této míře z důvodu nedostatku finančních prostředků nebo prioritní, budete muset dohnat co nejdříve. Jak je uvedeno výše, protivníci přinášejí využít koktejly, které poskytují oprávnění na úrovni systému na počítačích s Windows, které nemají potřebné záplaty a aktuální antivirové vzory nabízejí malou ochrany proti ní.

McAfee Labs Detekuje zero-day exploit cílení Microsoft Office
05.11.2013 Exploit | Zranitelnosti

Minulý čtvrtek ráno (31. října), naše Rozšířené Exploit Detection System (AED), které jsme zmínili v předchozí post , zjistil podezřelý vzorek cílení Microsoft Office. Po nějaké vyšetřování, jsme potvrdili to zero-day attack.
S ohledem na význam této události, jsme sdíleli naše zjištění okamžitě Microsoft Security Response Center a úzce s nimi v posledních pár dnech. Dnes, stejně jako Microsoft veřejně vydala informační zpravodaj zabezpečení se zmírňování a řešení, cítíme, že je čas podělit se některé detaily tohoto zero-day útoku.
Zde je doprava zachycena tímto útokem na plně aktualizovanou verzi sady Office 2007 se systémem Windows XP SP3.
traffic1
Jak můžeme vidět, po úspěšném vykořisťování exploit stáhne spustitelný soubor (uložen na C: \ Documents and Settings \ \ Local Settings <username> \ Temp \ winword.exe ) z kontrolovaného webového serveru .
Spustitelný soubor je vlastně RAR SFX obsahující další spustitelný soubor a falešný dokument aplikace Word. Jiný spustitelný soubor (klesl na C: \ Documents and Settings \ \ <username> Updates.exe ) je backdoor umožňuje útočníkovi převzít kontrolu nad počítačem oběti. Falešný dokument (klesl na C: \ Documents and Settings \ \ <username> Shanti.doc ) se odebere oběti hned po úspěchu vykořisťování, je to společný post-těžba trik, který se snaží zabránit obětem z vědoma tohoto útoku.
Zero-day exploit vzorek je organizována jako OpenXML formátu Word (. Docx). Pozorovali jsme mnoho objektů ActiveX obsažených v "ActiveX" adresáři po rozbalení. Souboru DOCX. To naznačuje, že exploit používá ovládací prvek ActiveX sprej haldy paměti.
activex_spray1
Je třeba poznamenat, že tato haldy postřik Office přes objekty ActiveX je nová těžba trik, který jsme neviděli předtím, dříve útočníci obvykle vybral Flash Player sprej paměti v sadě Office. Jsme přesvědčeni, že by se nový trik byl vyvinut pod pozadí, které Adobe představila click-to-play funkce v aplikaci Flash Player měsíci, který v podstatě zabil tu starou. To je další důkaz toho, že útočí na techniku ​​se vždy snaží vyvíjet, když ty staré už nefungují.
Jak se ukazuje, byly meta data ze souborů nastaven na 17 říjnu 2013, který může navrhnout čas vytvoření tohoto exploitu (i když může být falešný meta čas).
A to je místo, které EIP je řízen na stříkaného paměti 0 × 08080808.
eip_control_windbg_hidden21
Když už mluvíme o zranitelnosti prosazeny tímto útokem, když jsme spatřili útok provádí pomocí Office 2007 v systému Windows XP, je to vlastně chyba existuje ve TIFF zpracování komponenty dodávané se sadou Microsoft Office. Proto jsou nejen Office 2007 v systému Windows XP zranitelné vůči tomuto útoku, ale i další prostředí jsou touto chybou zabezpečení ohroženy. Navíc, naše pozdější výzkum ukázal tento exploit funguje i na Office 2007 provoz na Windows 7. Rádi bychom naznačují, že čtenáři se podívat na místo SRD blog , kde se podělili o přesné ovlivněným prostředím a výhled z pohledu dodavatele. Labs aktivně pracuje na získání každý kus podrobnosti o této zneužití, můžeme sdílet naše další zjištění v blízké budoucnosti.
Naše AED nadále sleduje pokročilých hrozeb, jako zero-day exploity a apts po celém světě, v rámci našich závazků k ochraně našich zákazníků z dnešních rychle se rozvíjejících útoků.
Pro zákazníky společnosti McAfee, jsme vydali NIP podpis " UDS-ShantiMalwareDetected "minulý pátek dodat ochranu v předstihu, náš HIPS produkt je schopen detekovat tento útok bez jakékoli aktualizace.
Díky Bing Sun, Chong Xu, Xiaoning Li (Intel Labs) a Lijun Cheng za jejich tvrdou práci na exploitu analýzy, stejně jako IPS detekcí. Guilherme Venere a Abhishek Karnik také přispěl z anti-virus straně.

Nebezpečný vBulletin exploit ve volné přírodě
10.10.2013 Exploit | Bezpečnost
vBulletin je populární proprietární CMS, který byl nedávno uvedl, že je náchylné k neurčitému útoku. vBulletin je v současné době umístěn čtvrtý v seznamu nainstalovaných stránek CMS na internetu. Proto je hrozba potenciál je obrovský. Ačkoli vBulletin neodhalil příčinu zranitelnosti nebo jeho vlivu, rozhodli jsme útočníka metod. Zjištěná chyba zabezpečení umožňuje útočníkovi zneužít vBulletin konfigurační mechanismus pro vytvoření sekundární účet správce. Jakmile útočník vytvoří účet, budou mít plnou kontrolu nad vykořisťované vBulletin aplikace a následně podpořil místo. Počáteční analýza I vBulletin neodhalil příčinu zranitelnosti nebo dopadu na zákazníky, oni poskytují řešení v blog . příspěvek motivující zákazníky odstranit / Install / jádro / nainstalovat vBulleting 4.xa 5.x, resp Navíc na fórech vBulletin vnitřních obětí uživatel sdílí jeho serveru Apache protokol, který poskytuje nějaký přehled o útočníka postupu:

Tento záznam znamená, že útočník neustále skenuje pomocí "get" požadavky, pro "/ install / upgrade.php" zranitelné zdroje. Po úspěšném nastavení indikováno "200" kódem odezvy, jak protichůdný k "404" kódem odezvy na neexistujících zdrojů se útočník vydává "POST" požadavek na stejný zdroj s útokem užitečného zatížení. Vzhledem k tomu, Apache logger neprotokoluje parametry POST požadavku, jsou podrobnosti o útoku dosud odhaleno. Jakmile jsme měli přístup k některé konkrétní technické detaily o zranitelnosti, jsme byli schopni efektivně skenovat hackerů fóra při hledání kód zneužití . Brzy poté, co jsme zjistili, PHP kód, který implementuje útok.

Dále jsme opatrně kód nainstalovali v naší laboratoři. Rozhraní jasně uvádí cíl útoku: vstřikování nový admin. Aby bylo možné tuto chybu zabezpečení zneužít a dodat nového správce uživatele, útočník musí poskytovat následující údaje:
Zranitelné vBulletin upgrade.php Přesná adresa URL
Zákaznické číslo.
Chcete-li získat tyto údaje, útočníci vytvořili další pomocné PHP skript. Skript skenuje stránky pro zranitelné cestě, přesně tak, jak je uvedeno výše ve sledovaném logu Apache, a výtažky ID zákazníka od zranitelného upgrade.php stránky, jak je to vložené do zdrojového kódu stránky. toho vyplývá, že útočník dnes ví, jak vBulletin je upgarde.php zranitelné URL a zákaznické číslo. Na základě těchto informací může být zahájen útok. Zde je příklad požadavku POST s útokem užitečného naložení (červené pole odpovídají informacím útočníka potřebné pro vstup v rozhraní PHP výše).

Výsledkem útoku bylo přesně to, co exploit balíček popsány. Nový uživatel admin vznikla ("eviladmin"), která je pod kontrolou útočníka. Na stránkách byly úspěšně ohrožena. Doporučení:

vBulletin radil svým zákazníkům odstranit / nainstalovat a / jádro / install adresáře ve verzích 4.x a 5.x, resp.
Pro vBulletin uživatelů, kteří nejsou schopni odstranit tyto adresáře - se doporučuje zablokovat přístup nebo přesměrovat požadavky, které zasáhly přes upgrade.php prostřednictvím buď WAF, nebo přes webový server konfigurace přístupu.

Barry Shteiman, ředitel bezpečnostní strategie v Imperva.