Ребята из FireEye на мероприятии CYBER DEFENCE SUMMIT 2019 сделали детальный обзор APT41.
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
SoK: Make JIT-Spray Great Again
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
⭕️ Если у вас Mikrotik с версией до 6.45.7, и открытым наружу tcp портом 8291 (Winbox), то как вам такое:
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
⚠️Обновляйте Google Chrome до 78.0.3904.87
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
🥇 Fileless Malware and Process Injection in Linux
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
1. Backgroundhttps://2019.hack.lu/archive/2019/Fileless-Malware-Infection-and-Linux-Process-Injection-in-Linux-OS.pdf
2. Post exploitation in Linux
○ Concept, Supporting tools
3. Process injection in Linux
○ Concept, Supporting tools
○ Fileless method,
4. Frameworks components to make all of these possible
○ Frameworks: concept, specifics, examples
○ Components: Shellcodes, Privilege Escalating & Payloads
5. A concept in defending our boxes
○ Forensics perspective
○ IR and resource management model
6. Appendix
🔶 Новые детали по CVE-2019-13720 в Google Chrome от GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
Подробные детали истории WizardOpium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
getmonero.org был взломан.
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Ребята из Project Zero описали CVE-2019-2215, используемую в качестве 0day уязвимости в удаленных установках шпиона Pegasus от NSO Group.
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
CVE-2019-19521 - обход подсистемы аутентификации в OpenBSD (ldapd/radiusd/smtpd как минимум).
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
без проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
/usr/libexec/auth/login_*
Например /usr/libexec/auth/login_passwd работает так: login_passwd [-s service] [-v wheel=yes|no] [-v lastchance=yes|no] user
[class]
И получается, что если передать на аутентификацию юзернейм -schallenge или -schallenge:passwd, то login_passwdбез проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Помните тот 0-day в Google Chrome, который использовался в кампании, которую обнаружили GReAT, которые прозвали все это WizardOpium?
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Багбаунтеры, смотрите. Есть в убунте ErrorTracker
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
crash_signature = report.crash_signature()
...
cql_crash_sig = crash_signature.replace("'", "''")
_session.execute(
SimpleStatement("INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '%s')"
% ('OOPS', hex_oopsid, cql_crash_sig)))
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '\''[SQLI]')
⚠️Обновляйте Firefox
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
⚠️Обновляйте Google Chrome до 80.0.3987.122
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
Занимательный сериал Spying on the Scammers!
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
In this paper, we introduce novel low-cost attacks against
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
Посмотрите, какой удобный сервис для парсинга фейсбука - а точнее для получения в удобном CSV виде комментариев, лайков от поста.
#osint #facebook
https://zxfacebook.com
#osint #facebook
https://zxfacebook.com