Kit

Masovno krpanje propusta

Intro – propusti softwarea

Sve češće imamo priliku čuti u IT vijestima, različite slučajeve propusta softwarea. Osim Windows/Linux propusta operativnih sustava koji se rješavaju updatom automatski, imamo i programe koji također mogu dovesti do ugrožavanja sigurnosti korisnika. Najčešći spominjan trojac je Adobe Flash, Adobe Reader i Oracle Java. U poslovnim okruženjima, problem ažuriranja softwarea je taj što korisnici sami nemogu ažurirati programe jer nemaju prava za instalaciju. Dakle jedan administrator bi trebao sjesti za sva računala u tvrtci u kojoj radi i unijesti svoj password i ažurirati programe. Kako je ovo pomalo naporan i glup posao, postoje različiti alati da bi ovo bezbolnije odradili. Osim različitih skripti, administratori u Enterprise okruženjima koriste i alate trećih proizvođača kako bi zakrpili programe.

Priprema instalacije – Kaspersky konzola

Kasperky konzola dolazi besplatno uz paket anti-virusa Kaspersky za 5 ili više korisnika. Pokušajmo masovno ažurirati Flash za sve naše korisnike. Najprije downloadajmo offline instalaciju Flasha s:

https://www.adobe.com/products/flashplayer/distribution3.html

Imamo dvije verzije, jednu za Internet Explorer, drugu za ostale browsere. Skinite obje.

U konzoli odemo na Remote Installation-> Installation packages.

KSC1

S desne strane sad imamo opciju Create installation package. Iskreirajmo jednu instalaciju. Izaberimo exe van Kasperky instalacija.

KSC2

Na idućemu koraku izaberimo ime našeg paketa za instalaciju.

KSC3

Zatim, izaberimo exe koji smo downloadali na u prvome koraku.

KSC4

Zadnji korak prije instalacije je definiranje switcha (ako je potrebno), za instalaciju. Ovdje ja koristim switch -install koji označava tihu instalaciju. Flash bi se trebao ažurirati a da korisnik ništa ne primjeti, niti vidi ikakav prozor.

KSC5

Uspješno smo kreirali svoj paket. Sve iste korake možemo ponoviti za instalaciju Flasha za ostale browsere.

Instalacija – Kaspersky konzola

Nakon što smo završili s paketom, on se pojavi u listi naših paketa. Idemo desni klik na njeg i instalirajmo ga.

KSC6

Izaberimo grupu računala (prvi izbor) ili računalo po imenu ili IP adresi (drugi izbor). Mi izabiramo prvu opciju.

KSC7

Izaberimo grupu računala (ili sva računala).

KSC8

Izaberimo način instaliranja (defultne postavke rade najbolje).

KSC9

I zadnji korak, unesimo ime administratora koji ima ovlasti nad računalima u našoj mreži.

KSC10

Nakon ovog koraka instalacija započinje i na sva računala u mreži se ažurira Flash.

Imamo i prikaz odrađenih instalacija na 99 računala. 94 uspješne instalacije i 5 instalacija na čekanju, jer računala u trenutku instalacije nisu bila dostupna.

KSC11

 

Ponovimo iste korake za paket Flasha za ostale browsere.

Seciranje – Nuclear Exploit Kit

Intro – Exploit Kits

Prije nego odemo u dubinu paketa naše žrtve iz primjera, trebali bi se bolje upoznati s Exploit Kitovima, tj. posebno izrađenim softverom koji koristi propuste u vašim programima kako bi dobili administratorske ovlasti nad računalom. Naši operativni sustavi (koji također imaju svoje propuste), imaju različite instalirane programe s kojima se odvijaju naši svakodnevni zadaci. Npr. pregledavamo pdf file s našim pdf čitačem ili se djeca igraju igara u flashu na Internetu, ili koristimo Javu za Internet bankarstvo.

Ova tri česta primjera svakodnevnog korištanja ovih programa su i najčešći programi na kojima svako nekoliko vremena se pronađe novi propust. Ovi propusti se krpaju redovno. Međutim, često se događa da žrtve i nisu toliko sklone ažuriranju softvera. A u nekim slučajevima, zakrpu za propust još i nije izdao vlasnik softvera. Ovi propusti (Exploits) se trguju na raznim “crnim tržištima” kako bi napadači pod svaku cijenu probali doći do vašeg računala.

Današnji Exploit Kitovi su jako automatizirani i lako dostupni. Danas se najviše koriste besplatni alati kao Metasploit koji u sebi sadrže dobar dio propusta koji se mogu koristiti.

Ostali exploit kitovi se najčešće prodaju na “crnim” tržištima, u zadnje vrijeme je dosta aktualan Angler Exploit kit, no mi ćemo pogledati kako radi njegov stariji brat, Nucelar Exploit Kit.

 

Slijetanje – Nuclear Exploit Kit

Glavni cilj napadača je dovesti žrtvu na posebnu dizajniranu stranicu na kojoj obitava na Exploit Kit. Dolazak na stanicu može biti izvršen na razne načine. Recimo,napadač vam može poslati mail u kojemu se predstavlja kao treće lice i mail sadrži link koji vodi na naš exploit kit. Također, moguće je korisnika linkati na vašu stranicu da je uopće ne posjećuje direktno u browseru, tj. da mu nije vidljivo. Takvi slučajevi (drive-by) su u zadnje vrijeme dosta česti, i najčešće su reklame uzrok usmjeravanja na druge maliciozne linkove.

Pogledajmo napad u stvarnome vremenu. Paket dostupan na analizu ovdje.

landing1

Kao što vidimo, korisnik je ne svojom voljom, pregledavajući legalnu stranicu, “preletio” i na ovaj dugi maliciozni link koji sadrži legalna stranica:

http://a3by4fh3bd5pnmit1agyu7f.***dlfincorporated.us***/index.php?l=cWJ1Y214Ynk9dndocyZ0aW1lPTE1MDcxMDEyMTczODIyNDk2Mzk3JnNyYz03NiZzdXJsPWZpbGVzdG9yZTMyMS5jb20mc3BvcnQ9ODAma2V5PUY0RUVCQjIzJnN1cmk9L2Rvd25sb2FkLnBocCUzZmlkPTExOTNiMzgz

U paketu možemo videti da se radi o čistoj HTML stranici s dodatkom – malenom malicioznom aplikacijom. U ovome slučaju, preko rupe u Flashu, napadač podiže svoje ovalsti na administratorsku razinu i downloada malu aplikaciju na naše računalo.

landing2

Ubrizgavanje -Nuclear Exploit Kit

Nakon što se aplikacija preuzme na naše računalo, najčešće u privremene dokumente, aplikacija često nije niti vidljiva niti našemu Anti-virusu, niti nama. Često aplikacija nije niti maliciozna. On služi smo za jednu stvar. Preuzimanje zloćudne aplikacije (payload) koja će nam zadati glavobolje.

Kako naš anti-virus ne reagira na skidanje zloćudne aplikacije. Skinuta aplikacija radi download malwarea na sigurno enkirptiranome portu s trećeg servera i naš anti-virus nemože skenirati taj promet. Pogledajmo unzipan promet s nekog francuskog servera prema našoj žrtvi.

payload

Nakon ovog, nema spasa žrtvi. Započinje enkripcija svih fileova korisnika, Word, Excel, slike, glazba. Sve dobiva neprobojnu enkripciju za koju napadač traži novac (ransomware).