Bem, como votado por vcs, crie um novo canal, a primeira postagem sera feita aqui e pra seguir o conteudo do post eh soh entrar no canal, assim caso o topico seja do seu interesse, ficara melhor de ler e interagir
a primeira postagem sera sobre execuçao simbolica e adicionarei alguns detalhes sobre o que jah foi dito (testes de resoluçao baseados em satiasfibilidade)

dps vou postar um topico no qual irei me adentrar no mundo dos chips de monitoramento externo (intel ATM) e suas exploraçoes pela NSA, assim como uma documentaçao de como remover o firmware deste chip das nossas placas usando linux


https://news.1rj.ru/str/MoreRubyOfSec

#github #poc #news #linux-flaw

Prova de Conceito Falsa publicada no Github possui payload escondido e expõe pesquisadores de Cybersec que executaram o noscript de compilação

Recentemente saiu a luz uma vulnerabilidade no linux (CVE-2023-35829) na qual versões do kernel antes da 6.3.2 possuíam uma falha na alocação de memoria dinâmica nos drivers /staging/media/rkvdec/rkvdec.c

Acontece que uma conta no github (ChriSanders22) publicou um suposto PoC no qual em uma parte especifica do code (dentro de uns dos makefiles) continha um downloader com um backdoor persistente escondido
este adicionava sua chave SSH como autorizadas (.ssh/authorized_keys) e dava acesso remoto ao criador do malware
isto vem de uma onda de prova de conceito falsa ou com codigo arbitrario direcionado a pesquisadores publicados no github

fonte : https://thehackernews.com/2023/07/blog-post.html

Detalhes: dentro do makefile (arquivo que gera a compilação do suposto PoC) havia um code que carregava um processo do tipo kworker (tipos de processos criados pelo kernel) e pra se manter persistente dentro do sistema se adicionava no file $HOME/.bashrc (dentro do caminho $HOME/.local/kworker) --> (pra quem não conhece, o bashrc se executa sempre que o usuário loga, nele podemos adicionar variáveis globais e links simbólicos a alguma pasta)
assim este suposto processo carregava e autorizava a chave SSH pra permitir acesso remoto ao agente mal-intencionado

Pra uma analise mais profunda veja: https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

NÃO BAIXEM REPOSITÓRIOS DO GITHUB SEM VERIFICAR O CONTEÚDO E NÃO EXECUTEM ARQUIVOS NÃO CONFIÁVEIS FORA DE SANDBOX's

Vigilância do FBI causa medo e une um congresso totalmente dividido

a coleta massiva de dados sem permissão efetuada pelo FBI causou uma revolta generalizada do congresso em um escrutínio inter partidário
a morte da privacidade esta tornando inimigos politicos em parceiros pelo medo que isto tende a causar por possíveis interferências arbitrarias (tendência que esta se tornando mundial diga-se de passagem diga-se de passagem)

assunto que veio a tona principalmente pq em março o diretor do FBI (Christopher Wray) afirmou com tranquilidade que o FBI contornou a necessidade de mandados judiciais obtendo uma dados de americanos a qualquer momento (coisa obtida pela decisão da suprema corte a Carpenter v. United States)

leia mais: https://www.wired.com/story/fbi-spy-fears-us-congress/


-

desde as descobertas de Snowden e outros whistleblowers sabemos que órgãos operativos e internos dos estados unidos (NSA, subdivisões como a TAO, como a SSO (que estabelece relações com empresas multinacionais a fim de obter dados dos usuários) e outros)
as operações de coleta em massa de países aliados e internos não são uma grande novidade, porém o problema que causa uma grande preocupação eh a habilidade do FBI de estabelecer estes vínculos de dados pra executar prisões arbitrarias sem mandado judicial, agr não eh apenas uma questão de coleta de dados, eh uma validação de um tipo de poder estrutural de efetuar prisões ou executar operações com base em informações privadas (diferente da coleta de dados, isto da o poder de não apenas analisar os indivíduos se não operar juridicamente e diretamente)

Apple corrige falha de segurança critica (zero-day) que afeta o motor de renderização (WebKit) do safari que podia permitir execução de codigo remoto (CVE-2023-37450)

através do mais novo projeto de resposta rápida em segurança (RSR) a Apple conseguiu corrigir uma vulnerabilidade que foi reportada por um pesquisador anônimo que possivelmente teria sido explorada silenciosamente
Requisições ao Safari com tipos de dados especiais dentro de paginas web podiam explorar esta vulnerabilidade dada a natureza do seu WebKit e podia executar código remoto

a Apple nao revelou mtos detalhes sobre esta vulnerabilidade (como sempre) mas se sabe que a implementação desta correção trouxe instabilidade e diversos problemas ao abrir paginas web bastante conhecidas
Ate agr nao existem registros públicos ou em fóruns sobre provas de conceito ou detalhes desta vulnerabilidade mas eh interessante conhecer este sistema de respostas rápidas que jah vem implementados por padrão nos produtos apple e permite instalar atualizações de segurança de forma automática, tendo seu principal foco orientado a vulnerabilidades que podem ser consideradas ameaças criticas. Sem necessidade de haver uma reinicialização do sistema ou grande interações do usuário

fontes: TheHackerNews
Socradar.io


Detalhe: esta vulnerabilidade foi corrigida na gama de versões mais recentes, podendo existir ainda em versões anteriores que não fazem parte deste projeto 🏴‍☠️

Tecnologia de transmissão cifrada de radio (TETRA:Terrestrial Trunked Radio) usada por organizações militares e privadas, pelo ministério de segurança da Holanda, outros países europeus e pelo exercito brasileiro, além de organizações pelo mundo inteiros possuem uma serie de vulnerabilidades criticas (spoiler, seu algoritmo era privativo e ainda estas organizações de risco critico usavam sem um escrutínio analítico)

a tecnologia TETRA eh um desses algoritmos mundialmente implementados e que acreditava-se seguro, mas esqueceram de um detalhe, seu nucleo de cifrado era privativo

Não vou aprofundar mto sobre esta tecnologia em si, há mto conteúdo por ai, mas eh preciso saber que TETRA eh um sistema de radio com protocolo cifrado móvel bidirecional (ou seja, comunicação simétrica)
Estes sistemas de comunicação possuem varias propriedades que facilitam a comunicação em diversos ambientes e estruturas, possui uma escalabilidades bastante ampla, permitindo integrar vários terminais e ter uma implementação de áreas de risco e de difícil acesso, sendo usado por empresas de mineração, siderurgia, óleo & gás, por aeroportos, e sendo especificamente desenvolvido pra segurança publica

Acho que já fico claro o quanto a segurança deste protocolo eh critica a nível de infraestrutura internacional, no brasil foi implementado pelo exercito a longa escala, pelo governo estadual do rio de janeiro, além de estar incluso em operações do ministério de segurança brasileiro (seja embebado em seus dispositivos de radio ou em implementação direta)

vulnerabilidades descobertas e estudadas pela Midnight Blue e classificadas pelo nome TETRA:burst

Acontece que este protocolo possui vulnerabilidades que podem ser facilmente exploradas pra modificar mensagens mesmo fora do escopo de transmissão, pra exfiltrar os pacotes enviados pelos terminais
o nucleo do algoritmo de criptografia destes pacotes é privativo, chamados TETRA Authentication Algorithm (TAA1) (há varias propriedades interessantes neste sistema) mas uma questão bastante relevante é que este modelo de politicas é uma violação do principio em criptografia de Kerckhoffs (apenas a chave deve ser sigilosa, o sistema não)
esta serie de vulnerabilidades foram descobertas em 2022, já que os pesquisadores quiseram dar um tempo as organizações e provedores de implementarem patchs, porém algumas desta vulnerabilidades não podem ser devidamente corrigidas e muitos deste provedores nem sequer chegaram a responder os pesquisadores (como é o caso da Motorola que prove os dispositivos do exercito brasileiro implementando TETRA)

detalhes: WIRED
detalhes das vulnerabilidades e PoC


@rubyofsec

Grupo APT 29 (ligado ao serviço de inteligência estrangeira da Rússia) enviou versões do malware Duke através de PDF's que diziam ser "Convites da Embaixada Alemã" pra ministros e negociantes de países membros da OTAN

supostos convites com "o dia da união alemã" ou "Adeus embaixador da Alemanha" continham JavaScript embebido que direcionava um ataque através de html smuggling [2] (basicamente redirecionava a uma suposta pagina html) que carregava uma versão do já conhecido Duke, efetuando duas fases, uma de reconhecimento e um de infecção.
Redirecionando pra um domínio supostamente legitimo (bahamas.gov.bs), que já foi usado em outras ocasiões pelo mesmo grupo

Neste ataque é invocado um arquivo html que ao ser carregado no motor de arquivos e tarefas basseadas em html (.hta) interno do windows (Microsoft Application Host), amplamente utilizado pra carregar tarefas maliciosas dentro de utilitarios do sistema operacional (LOLBins[3])


baixando assim um arquivo zip (Invitation_Farewall_DE_EMB) do endereço controlado pelo APT (sgrh.org.pk) contendo tres arquivos, pra depois serem carregados na pasta C:\Windows\Task utilizando DLL sideloading

arquivos contidos no zip malicoso:

AppVIsvSubsystems64.dll
carregado dentro de um componente que faz parte da biblioteca do Office

Mso.dll
uma variante direta do já conhecido Duke

Msoev.exe
um componente legitimo do Windows que faz parte do Office que neste caso se encarrega de inicializar a variante do Duke

pra conhecer como este malware burlava a Import Address Table (utilizando API hashing) e se comunicava veja Eclecticiq[1] (proveedor de serviço de proteção contra ameaças persistentes, a maior parte do post foi retirada e adaptada do reporte feito pela sua equipe)

algo interessante a denotar é que pra se comunicar com seus operadores este malware utilizava a feramenta open-source Zullip, uma ferramenta de
comunicação direta e colaboração legitima que utiliza os serviços web da Amazon, pelo qual se aproveitando disto, o trafego de C2C do malware
pareceria confiavel

fontes:
[1]
eclecticiq (German Embassy Lure: Likely Part of Campaign Against NATO Aligned Ministries of Foreign Affairs)

[2]
Cyfirma (HTML smuggling: A Stealthier Approach to Deliver Malware)

[3]
Sidechannel (LOLBins: como ferramentas nativas são utilizadas para tornar ameaças mais furtivas)

@rubyofsec

Comportamento do payload contido dentro dos pdf's (APT29 Duke Variant)

vulnerabilidade presente no GNOME Files 43.4 (nautilus) permite escalaçao local de privilégios ao preservar bit identificador setuid

esta vulnerabilidade existe porque o nautilus extrai os arquivos preservando seu setuid (ou seja, em vez de executar o binario com as permissões do usuário que lançou, eh executado com as permissões do usuario que o criou, ou neste caso, extraiu o arquivo).
Uma vez que um usuário 'A' com permissões elevadas extraia um arquivo 'F' (tendo seus atributos modificados com o bit setuid), um usuario malicioso poderá executar 'F' com os atributos do usuario 'A', violando assim varias propriedades de segurança do sistema

Fonte:
0day.today (George Guninski)


@rubyofsec (0x177)

Estudo Sobre pos-exploiting Implementando memfd() para executar binarios (elf) sem escrever nem ler em disco e desenvolvimento de shellcoding em linux

Bem recentemente estive trabalhando neste post que consiste de algumas partes. Mas basicamente, desenvolvo a ideia de usar a syscall memfd() pra criar espaços de memoria como descritores executaveis dentro da memoria local do processo, como resultado, podemos executar binários seja pra escalaçao de privilégios ou conexão remota, sem ler nem escrever no disco, apenas mapeando a parte especificado alocada e escrevendo em memoria
O unico efeito que isto teria durante analise forense seria um link simbolico dentro do /proc (que eh um dos diretorios que servem como pseudo-filesystem pra o kernel) ou seja, nao eh montado em disco e pode ser ofuscado utilizando fork() pra espalhar o descritor de processo

o post consiste em quatro partes, a primeira como apresentação da função desta syscall e implementação em um pequeno code

A segunda e a terceira consiste nas bases de shellcoding e layout de memoria pra execução atraves de stack (não envolvem diretamente o conteudo mas achei interessante escrever sobre já que vi pouco conteudo sobre na comunidade)

e a quarta parte consiste na aplicaçao e implementaçao de fato do que falei antes pra escrever um shellcode que inicia um processo atraves de um descritor criado pelo memfd_create() e lançado pelo fexecve(), sendo lançado com o nome de um suposto kworker e ofuscado com operaçoes byte-to-byte xor

espero que gostem, ainda to preparando as ultimas partes

https://github.com/0x177git/memfd_pos-exploiting/blob/main/memfd_notes.md

0x177 \\ RubyOfSec2.0

Bem, eh bastante empolgado que venho avisar que estarei na HackerOne Bug Bounty Village da HCH2 palestrando sobre técnicas furtivas de pos-exploiting em sistemas linux
(pra quem ta interessado em saber mais recomendo visitar meu perfil no github 0x177git)

só preciso resolver as questões de logistica para viajar até SP, porém espero que tudo de certo, depois da palestra todo o material apresentado será publicado no meu github

aproveitem para se conetar cmg no linkedin

https://www.linkedin.com/posts/alexys-sunil-026673283_h2hc-bugbounty-hacking-activity-7130996762890092544-gNCt

Pessoal, to meio parado porque to focando mais em alguns CTF's, porém tem conteúdo sendo preparado para vocês e dessa vez com a colaboração direta de um dos pesquisadores que desenvolveu o método de ataque (ataque em predição de desvios na familia AMD zen)
Mas ontem postei um CTF que fiz recentemente no segundo canal (RubyOfSec2.0), nele estudamos o fluxo de execução de um pequeno binario, encontramos a instrução que queríamos modificar para atingir o bloco de instruções que iria retornar a flag e fizemos um patch bem pequeno (literalmente de um byte) com um editor hexadecimal e obtivemos a flag
Foi um CTF bem simples e rapido, mas serve para entender e revisar a questão de opcodes e set instructions e como podemos implementar em múltiplos casos (literalmente linguagem de maquina), eu já falei sobre isso quando expliquei o processo de desenvolvimento de um shellcode (que foi parar ate no 0daytoday)

Como tem muita gente nova vindo por causa do evento (H2HC), deixo aqui um index com alguns dos meus projetos aqui e no github

Cuba: Censura como medida politica

Neste post junto com alguns devs cubanos usamos um dos projetos da TOR para fazer um bypass em massa em alguns firewalls da cuba, em uma época em que o acesso a internet lá era bem restrito

Equation Group

Nessa falamos sobre especificidades dos ataques feitos por este conhecido APT e sua relação com documentos sobre ferramentas publicadas pelo Snowden

Aegis: Sistema de Rastreamento

Neste falamos sobre o Aegis e as possíveis evidencias de que a maior parte dos ISPs da china trabalharem em conjunto (ou pelo menos deixar brecha proposital) em seus protocolos e sistemas afim de auxiliarem agencias de vigilância 

Estudo sobre reversing em PDFs

Nesta serie de posts falamos sobre vetores de ataques em arquivos pdfs e clientes, também estudamos a estrutura dos arquivos e as novas implementações que deixam flaws, visando entender todo o corpo que constitui o pdf, assim entendendo melhor os ataques e flaws (tmb disponivel no meu github)

Execução simbólica com ANGR

Nesta serie de posts falamos sobre essa tecnica desenvolvida originalmente para testes de software e que pode ser utilizada para reversing, uma tecnica bastante poderosa no qual podemos definir o input de um fluxo de execução pelo sua saída, o que nos permite automatizar e otimizar ataques de força bruta em binarios ou a descoberta do fluxo de execução de um binarios com múltiplas linhas de execução, podendo assim extender o escopo do exploiting, chegando ao desvio comparativo pelo resultado. Também resolvemos um CTF que demoraria horas em minutos usando esta tecnica (tmb disponivel no meu github)

A maioria dos outros posts e conteúdos aqui se referem a estudos de APTs e a estrutura dos seus ataques, são muitos e estão espalhados pelo canal, porém vcs podem achar varios no meu repositório no github

Não poderia terminar esse ano sem agradecer a todos vcs, por ler o que escrevo aqui, por compartilhar, por se interessar e aprender
E espero me aprimorar, explicar melhor e trazer material de qualidade

Próximo ano pretendo fazer um mini curso de assembly e arquitetura de de sistemas operacionais como tmb o processo de descobertas de vetores de exploração e desenvolvimento de exploit pra ARM, tdo completamente gratuito como sempre tem sido (se tdo der certo)
trazer mais de esta area tao rica e expansiva, levar para alem o horizonte de estudos nesta area de uma forma accessível (tanto economicamente como intelectualmente)
Espero crescer junto com vcs, que aprendamos juntos

Novas versões das ferramentas desenvolvidas e implementadas pela antiga equipe PRG são usadas para atacar portas SSH de servidores Linux e minerar criptomoedas (CoinMiner)

A equipe da AhnLab Security Emergency response Center (ASEC) realizou um analise sobre uma onda da ataques de força bruta em portas SSH onde as maquinas eram utilizadas como instancia para escanear outros servidores com portas 22 abertas, replicar ataques e minar criptomoedas, utilizando versões de malwares e scanners já existentes

Após obter a senha e o login, os atacantes realizam um scan de servidores com portas SSH abertas (22) por blocos de IP internos a procura de outros servidores vulneraveis e executavam um ataque brutteforce por diccionario usando uma ferramenta já conhecida e que foi implementada pela antiga equipe PRG (uma versão de 2018 se encontra disponivel aqui), após o scaneamento e ataques, os atacantes verificam os nucleos disponíveis na maquina (grep -c ^processor /proc/cpuinfo) em conjunto com outros comandos para obter informações do sistema

Após o processo de reconhecimento, eram instalados versões de malwares (ShellBot, Tsunami, Mirai, XMring) para minerar criptomoedas ou como zombies para ataques DDoS

Há muito que entender, existe um background bastante complexo por trás da recente vulnerabilidade (deveria chama-la assim??, acho que não) do xz/liblzma, que não apenas consiste em um simples ataque, em uma simples vulnerabilidade; eh contudo, reflexo do precário estado atual que muitos desenvolvedores de projetos open-source se encontram. Eh mas que tudo uma falha massiva na comunidade, em como enxergamos estes projetos

Sinceramente o ataque ta sendo amplamente explicado por diversos médios e não acho que neste momento haja informação que eu pessoalmente possa entregar nem trazer ou ao menos como apresenta-la com um visão do todo que possam agregar, estarei esperando analises mais profundas do reversing onde eu poderei talvez ser util ao explicar um pouco

(mas se vc não viu ainda, recomendo bastante procurar sobre a falha de xz e tmb fazer um downgrade ou upgrade seu pacote xz principalmente em ambiente debian e com uso de openssh)

Mas uma coisa precisa ser altamente divulgada, a origem deste ataque surge de um desenvolvedor cansado, sozinho, mantendo com todas suas forças um projeto que ele ama, que recorreu a única ajuda que encontrou e infelizmente era um agente mal-intencionado que explorou a precariedade do ecossistema atual de muitos projetos que se mantem por um ou dois desenvolvedores
Precisamos apoiar projetos open-source, precisamos fortalecer a união da comunidade como um todo, este eh so o começo de um modelo de ataque que sera cada vez mais presente em projetos open, este eh um aviso, e a maior vulnerabilidade aqui, o maior vetor de ataque foi um desenvolvedor isolado, foi a escassez de uma comunidade entrelaçada e unida
este sera o vetor que foi e sera explorado se as coisas continuarem desta forma


Pra entender melhor a situação deixo aqui um post do vlog Rob Mensching

https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/

(eu modifiquei algumas partes soh pra ser mais preciso na tradução)
as partes marcadas com — — se referem a conversar entre o desenvolvedor e o suposto usuario (ou melhor, consumidor)

Haverá muitas análises da vulnerabilidade xz/liblzma. No entanto, a maioria pulou o primeiro passo do ataque:

—
Mantenedor original se cansa, e apenas o atacante oferece para ajudar (para que o atacante herda a confiança construída pelo mantenedor original)
—


Surpreendentemente, alguém encontrou um arquivo com um tópico de e-mail que capturou o estado do mundo, assim como este passo 0 estava ocorrendo. Vamos ler as suas palavras.

Primeiro, começamos com um pedido razoável solicitado razoavelmente. A questão força o mantenedor a abordar seus “fracassos”. Eu uso “fracassos” nas citações aqui porque o

a. mantenedor não deve realmente nada aqui, então ele não falhou e
b. Eu sei exatamente como isso se sente. É terrível decepcionar sua “comunidade”.

—

XZ para Java ainda é mantido? Eu fiz uma pergunta aqui há uma semana e não ouvi de volta.” - https://www.mail-archive.com/xz-devel.tukaani.org/msg00562.html

—

O mantenedor reconhece que está “atrás” (em uma tradução melhor eu diria que 'esta procurando sobre') e está lutando para acompanhar. Isto é um grito de dor. É um grito de socorro. A ajuda não virá neste tópico.
—

“Sim, pelo menos por alguma definição, como se alguém relatar um bug, ele será corrigido. O desenvolvimento de novos recursos definitivamente não é muito ativo. :-(" - https://www.mail-archive.com/xz-devel.tukaani.org/msg00563.html

—

Oh! Aqui somos apresentados ao nosso atacante xz/liblzma, na mesma mensagem. Esta não é a ajuda que você esperava.

—

“Jia Tan me ajudou ... e ele pode ter um papel maior no futuro ... É claro que meus recursos são muito limitados ... então algo tem que mudar a longo prazo.” - https://www.mail-archive.com/xz-devel.tukaani.org/msg00563.html

—

Em vez disso, um consumidor inútil diz coisas inúteis. É exatamente aqui que esses tipos de tópicos de e-mail vão.

—

“O progresso não acontecerá até que haja um novo mantenedor. O atual mantenedor perdeu o interesse ou não se importa mais em manter. É triste ver para um repo como este.” - https://www.mail-archive.com/xz-devel.tukaani.org/msg00566.html

—

Além disso: Dado que a vulnerabilidade xz/liblzma parece um ataque proposital de “Jia Tan” deve “Jigar Kumar” ser considerado um cúmplice ao maximizar ativamente o mantenedor original para desistir? - Não tenho a certeza? Veremos este consumidor inútil “Jigar Kumar” novamente em breve.

Inevitavelmente, o mantenedor tenta se defender. Os mantenedores lidam com o estresse de cansaço de forma diferente. Eu costumo ficar com raiva, o que acaba se deparando com o sarcasmo. No entanto, esta reação é de partir o coração.

—

“Eu não perdi o interesse, mas minha capacidade de cuidar tem sido bastante limitada, principalmente devido a problemas de saúde mental de longo prazo, mas também devido a
algumas outras coisas.” – https://ww.mail-archive.com/xz-devel.tukaani.org/msg00567.html

—

...e então o mantenedor também lembra a todos como o software do mundo é construído agora.

—

“Também é bom ter em mente que este é um projeto de hobby não remunerado” - https://www.mail-archive.com/xz-devel.tukaani.org/msg00567.html

—

Uma semana depois, o consumidor inútil retorna. A porra de uma semana (o post original não usa essa palavra, porém achei adequada pra expressar este absurdo)

—

“Você ignora os muitos patches apodrecendo nesta lista de discussão. Agora você engasga seu repo. Por que esperar até 5.4.0 para mudar o mantenedor? Por que adiar o que seu repo precisa?” - https://www.mail-archive.com/xz-devel.tukaani.org/msg00568.html

—

Para que serve isto? Eu não posso te dizer o quão irritado isso me faz sentir por esse mantenedor.