Деякий час тому один товариш # 40; будемо називати його Білл # 41; попросив мене про досить дивною прохання - зламати його систему. Всі імена і назви # 40; крім виробників # 41; також змінені.
Деякий час тому один товариш (будемо називати його Білл) попросив мене про досить дивною прохання - зламати його систему. Всі імена і назви (крім виробників) також змінені.
Зламувати великі корпорації не складає особливих труднощів. Незважаючи на інвестиції в безпеку, досить складно встежити за всіма інформаційними ресурсами, якими володіє компанія. Для цього потрібно залізна дисципліна, щоденні пентести і оперативне виправлення знайдених вразливостей.
Отримання доступу до комп'ютера окремої людини часто стає непростим завданням навіть незважаючи на те, що далеко не всі користувачі інформовані про елементарні правила інформаційної безпеки, і іноді необхідно знайти всього лише одну пролом. З іншого боку, можливостей для атаки на системи окремих користувачів набагато менше в порівнянні з великими корпораціями. Крім того, більшість користувачів довіряють свою безпеку хмарних сервісів, які добре захищені.
У моїй практиці часто бували випадки, коли відповіді на секретні питання поштових сервісів можна було легко знайти на сторінці в Facebook. Упевнений, що більшість користувачів не звертають на це ніякої уваги. При реєстрації вони заповнюють відповіді на контрольні питання і забувають про них. Однак в моєму випадку всі ці трюки були малоефективні, оскільки моїм опонентом був фахівець з безпеки, і, найголовніше, він чекав мого вторгнення.
Можливо, у вас в голові визрів інший і більш швидкий план, пов'язаний, наприклад, з отриманням доступу до системи за допомогою свіжого Java-експлойтів і методів цілеспрямованого фішингу. Однак цей варіант також не спрацював би, оскільки я добре знаю Білла. По-перше, він регулярно встановлює оновлення. По-друге, у нього не встановлена Java.
Визначити версію роутера не представлялося можливим. Однак, знаючи про те, що Білл - економний людина, я вирішив взяти модель WNDR3400v3.
Після вивчення деяких старих вразливостей купленого девайса я створив два модуля для Metasploit. У першому модулі експлуатувалася уразливість CSRF (Cross-Site Request Forgery, міжсайтовий підробка запиту) для мапування інтерфейсу UPnP, який дозволяв отримати доступ до роутера через telnet. Ймовірно, подібна уразливість, існує в багатьох інших пристроях. Важливо підкреслити, що:
Якщо ви можете підробити UPnP запити через CSRF, то зможете отримати доступ до всієї мережі.
Для того щоб підсунути Біллу мій експлоїт, я відправив йому електронне повідомлення з посиланням. У Cobalt Strike є утиліта для копіювання електронного повідомлення (разом з заголовками). Нам же досить змінити посилання. В якості приманки я вирішив відправити йому повідомлення про запрошення в Linkedin.
Перед тим як відсилати лист, потрібно було створити корисне навантаження. За замовчуванням telnet-порт доступний на роутерах Netgear, але сам сервіс не працює до тих пір, поки ви не підключіться до порту і не відправите спеціальний ключ розблокування. Для вирішення цього завдання, замість використання публічного експлоїта, я написав ще один модуль для Metasploit.
Білл клікнув на посилання. Як тільки я побачив зворотне з'єднання (callback), запустив другий модуль і підключився до роутера через telnet. Після отримання прав суперкористувача я тут же змінив настройки DNS, вказавши підконтрольний мені DNS-сервер.
Контроль над DNS сервером дозволяє виконувати різні MITM-атаки. Найбільше мені подобається фреймворк Evilgrade. дозволяє підсовувати свої власні файли при оновленні додатків. Evilgrade протягом багатьох років показував прекрасні результати (з невеликими модифікаціями). Через тиждень Білл вирішив оновити notepad ++, і я підсунув йому версію з Бекдор, що дало мені повний доступ до його машині за допомогою інтерпретатора команд через Meterpreter. Після цього я відправив Біллу кілька скріншотів і лог натиснутих клавіш.
За свої старання я був нагороджений шістьма пляшками пива).