книги хакеры / журнал хакер / 178_Optimized

Взлом

АРХИТЕКТУРА

За отведенное историей время система «1С:Предприятие 8.х» стала полностью клиент-серверной. Даже если ты будешь работать с базой данных, находящейся на локальном диске, программа будет эмулировать вызовы и ответы сервера.

Удаленная же система, соответственно настроенная, позволяет работать даже из веб-браузера. При этом основная часть кода выполняется на сервере.

Это открывает новые горизонты как для разработчиков

ипользователей, так и для ][-экспертов. С помощью одних

итех же команд возможно выполнять код на стороне клиента

ина стороне сервера. Если имя пользователя и содержимое каталогов личного компьютера тебе, возможно, знакомо, наверняка то, что хранится на сервере, тебе гораздо интереснее. При удачном раскладе скрипты и команды системы можно выполнить на стороне сервере, а при доступе к конфигурации информационной базы инициировать их запуск при работе

1С франчайзи

сбазой у пользователей. По сути, мы имеем полный аналог веб-приложения. При его запуске необходимо проводить весь комплекс мер по настройке безопасности: ограничивать права учетной записи, под которой работает сервер, права доступа к каталогам, разграничивать права пользователей. Я уверен, что большинство читателей в курсе всех этих аспектов настройки. Однако менталитет администраторов 1С коренным образом отличается от менталитета администраторов веб-серверов. Зачастую ради того, чтобы все заработало, приложению присваивают максимальные привилегии, пользователи работают в базе

сполным доступом ко всем функциям. «Это, конечно, на пару дней, не больше...» — думаю, многие сейчас улыбнулись.

Как известно, безопасность учетной системы складывается из многих составляющих. Корректная установка, корректное разграничение прав пользователей при работе, аудит попыток проникновения, аудит попыток некорректных с точки зрения учета действий. В основном юзеры с успехом пользуются правами, которые не должны были получить по логике учетной системы.

ПЕРЕЛОМНЫЙ МОМЕНТ

С ростом компьютерной грамотности появляются эксплуатации уязвимостей типа изменений в конфигурации базы данных.

Продвинутые пользователи списывают на счет подставных контрагентов погрешности округления, разности в курсах валют. Эта тема также достойна отдельной статьи. Поэтому мы рассмотрим, не вдаваясь в теорию программирования на языке 1С, некоторые функции и команды, способные создать аналог веб-шелла. Многие продавцы 1С предоставляют доступ к демобазам через интернет, так что на сладкое мы побродим по серверу небольшого, но гордого украинского франчайзи.

Предвижу справедливое замечание: взломаешь сайт, например правительства Зимбабве, — получишь почет и уважение мирового сообщества. А полезешь в 1С — получишь на орехи от сисадмина и от службы безопасности родной фирмы.

&НаСервере

Процедура псПолучитьКаталогВременныхФайлов()

Результат = КаталогВременныхФайлов();

КонецПроцедуры

&НаКлиенте

Взлом

Если ДиалогВыбораФайла.Выбрать() Тогда

КаталогЗагружаемогоФайла =

ДиалогВыбораФайла.Каталог;

ПолныйПутьКЗагружаемомуФайлу =

ДиалогВыбораФайла.ПолноеИмяФайла;

ФайлНаДиске = Новый

Файл(ДиалогВыбораФайла.ПолноеИмяФайла);

АдресВоВременномХранилище = ""; ПоместитьФайл(АдресВоВременномХранилище, ДиалогВыбораФайла.ПолноеИмяФайла, , Ложь, УникальныйИдентификатор);

псЗагрузитьФайл(АдресВоВременномХранилище,

ФайлНаДиске.Имя);

КонецЕсли;

КонецПроцедуры

Как думаешь, что это? В точку! Мы взяли файл с локального компьютера и загрузили его на сервер. Meterpreter без Metasploit :). Не буду перечислять все полезные функции. Пример прилагается к статье, а место журнала драгоценно.

А если вдруг нужны дополнительные возможности — тоже не проблема:

Воспользуемся приглашением посмотреть демоверсию

WshNetwork = Новый COMОбъект("WScript.Network");

Результат = "\\"+WshNetwork.UserDomain+

"\"+WshNetwork.UserName;

Имы уже узнаем имя пользователя и домен, используя WScript.

Витоге мы получаем обработку с нужным нам функционалом. Проверяем ее на локальном компьютере.

YAMMI!

Наберем в поиске «франчайзи 1с демо» и получим десятки предложений онлайн-демонстрации. Сразу предупрежу, в результате исследования ни один франчайзи не пострадал. Тем более что было принято решение оставить в покое отечественного производителя. Зайдем к братьям-славянам. И подключимся к их базе.

Как видно, с помощью нашей несложной обработки можно не только посмотреть, что и как хранится на сервере сопредельного государства, но и отправить админам короткое послание. Файл успешно перекочевал на сервер. Через 30 секунд файл оказывается в выбранном каталоге. Выгрузить/загрузить/ запустить, оказывается, можно все, что угодно. Главное — вовремя взять себя в руки.

ЗАКЛЮЧЕНИЕ

У каждой истории должен быть хеппи-энд. Администраторы сервера получили письмо со скриншотами и достаточно оперативно устранили проблему. Я получил возможность написать эту статью. Тебя ждут впереди увлекательные исследования. Если тема покажется интересной, то наш любимый журнал пополнится новыми продолжениями этой истории.

Пиши, и, возможно, мы вместе пощупаем за мошну саму фирму «1С». С учетом действующего законодательства РФ, безусловно. Вместо домашнего задания — отрывок из списка сайтов, предоставляющих демодоступ к конфигурации «1С:Предприятие».

ВМЕСТЕ С НАМИ

Взлом

7 утилит для взлома и анализа безопасности

Автор: Paul Stone URL: bit.ly/1brzic4

Система: Windows / Linux / OS X

КЛИКАЙ СЮДА

Clickjacking tool — это HTML-based утилита, которая помогает реализовать различные clickjacking-техники, задав алгоритм действия для пользователя.

Экран поделен на три рабочие области: левая часть сверху — кнопки управления, слева снизу — лог событий и самая большая, правая часть демонстрирует текущую работу. Очень удобно. Из кнопок управления мы имеем:

•Load URL — подтягивает URL во фрейме с заданным адресом, можно указать размер фрейма и другие опции;

•Click — обычный клик. Задаешь координаты элемента, по которому надо кликнуть;

•Enter Text — ввод текста. Использует Java-апплет для ввода текста в нужное поле;

•Drag — используется, если нужно выбрать какой-нибудь текст на странице, а также в ситуациях, где есть выпадающие меню;

•Extract — вытаскивает ссылку, изображение со страницы.

Инструмент впервые был представлен на Black Hat Europe 2010. Подробнее o clickjacking-техниках ты можешь узнать из презентации (bit.ly/dmog9Q) автора Next Generation Clickjacking: New attacks against framed web pages.

БАГИ ПРЯМО ИЗ СКАНА

Любая атака начинается с рекогносцировки на местности: определение хостов, используемые ОС, открытые порты, запущенные на них сервисы. Со всем этим прекрасно справляется культовый сканер Nmap. Далее проверяем, какие версии программного обеспечения используются. И тут начинается гугление, яндексование, бингование и прочее. В общем, муторная и скучная работа, не интересная ни одному пентестеру. Куда эффективнее было бы это все вынести на первую стадию — рекогносцировку…

Прошу любить и жаловать — плагин для Nmap под названием Vulscan, который трансформирует Nmap в сканер уязвимостей. Принцип работы данного плагина крутится вокруг опции Nmap –sV, которая отвечает за определение версии сервиса. Узнав используемую версию, он лезет в свои популярные offline базы уязвимостей и смотрит, какие уязвимости присутствуют в данной версии. На данный момент используются базы:

•scip.ch/en/?vuldb;

•cve.mitre.org;

•osvdb.org (outdated, 02/03/2011);

•securityfocus.com/bid;

•secunia.com/advisories/historic;

•securitytracker.com.

Данные базы представлены в виде CSVфайлов. Для обновления базы данных уязвимостей необходимо скачать новую версию (scip. ch/vuldb/scipvuldb.csv). Для запуска плагина необходимо скопировать его в директорию Nmap\ scripts\vulscan\* и запустить Nmap с дополнительным параметром --script=vulscan.

Также хочется сказать о наличии интерактивного режима, который позволяет переопределять результаты детектора версий для каждого порта.

КОРПОРАТИВНЫЙ ШПИОНАЖ

Знакомьтесь, LinkedIn Klepto — инструмент для проведения шпионских кампаний по социальной инженерии в одной из самых популярных социальных сетей LinkedIn (эта сеть предназначена для поиска и установления деловых контактов. В настоящее время в ней зарегистрировано свыше 225 миллионов пользователей).

Выбор LinkedIn очевиден — это единственная соцсеть, где очень много информации как об организациях, так и о ее работниках. Из размещенных резюме порой можно выцепить много интересных сведений: текущие задачи компании, направление развития, клиенты компании и так далее.

Для работы с инструментом надо создать поддельный аккаунт и связаться с торговыми представителями конкурентов. Далее Klepto будет мониторить деятельность и новые связи конкурентов. Также она будет пытаться выявлять новых потенциальных клиентов с использованием специального инструмента анализа данных. На основании этой информации становится возможным уводить клиентов у конкурентов.

Особенности шпионского тулкита:

•автоматическое создание email и поддельного аккаунта;

•повышение интереса к вашему профилю;

•автоматическая рассылка приглашения;

•мониторинг деятельности выбранных профилей.

Программа для управления имеет удобный веб-интерфейс и полностью написана на Ruby. Инструмент впервые был официально представлен на конференциях RSA 2013 и Black Hat 2013 Arsenal.

P. S. Добавьте меня в друзья :).

ОТЛАДЧИК В БРАУЗЕРЕ

В последнее время в мире reverse engineering активно разрабатываются визуализация исследуемых данных, отображение процесса выполнения программы — в общем, все, что связано с удобством восприятия при исследовании программы.

Зачастую для RE используется отладчик, и то, как он отображает процесс работы программы, очень важно. Сейчас ситуация такова, что отладчиков много, все они отличаются и настроить UI не всегда представляется возможным.

SchemDBG представляет собой интерфейс между отладчиком, который является фронтендом, и бэкендом, который фокусируется на отладке файлов без доступа к исходному коду. SchemDBG ставит своей целью отображать/предоставлять как можно больше информации в любой точке отлаживаемой программы:

•Memory view;

•Register view;

•Stack view;

•Code view;

•Expression View.

На текущий момент в качестве фронтенда поддерживаются GDB-сервер и Pin. Каждый из них для 32- и 64-битных бинарных файлов, запущенных на машине с Ubuntu в качестве хостовой машины. К сожалению, тестирование Pin, запущенного на Windows, не проводилось, но сам модуль Pin там работает, так что, в принципе, должно быть все в порядке.

Отладчики управляются с помощью обертки, написанной на Ruby, а веб-фронтенд написан на CoffeeScript. Фронтенд корректно работает под Chromium (поддержка других браузеров не планируется).

ШПИОНЫ И РАЗВЕДЧИКИ

Шпионские трояны и правительственная

малварь нашего времени

Владимир Трегубенко tregubenko_v_v@tut.by

С детства мы слышали, что хорошие — это разведчики, они работают на наших.

А плохие — это шпионы, это чужие — те парни в черных очках, в застегнутых

на все пуговицы макинтошах и с пачкой долларов в кармане. Наступил двадцать первый век, и теперь вовсе не прорезиненные плащи называют макинтошами, хотя шпионы в них все равно заводятся… Встречай сегодня на арене: шпионское ПО от «доброй» и «злой» (как посмотреть, а?) сторон силы.

РАЗВЕДЧИКИ: МАЛВАРЬ ДЛЯ НУЖД ПРАВИТЕЛЬСТВА

Летом 2012 года сотрудники антивирусной лаборатории Касперского обнаружили вредонос, получивший название Morcut. Его применили к группе независимых журналистов из Марокко, освещавших события в ходе «арабской весны», — их компьютеры заражали целенаправленно через сервис электронной почты.

В классификации других антивирусных компаний вредонос имеет наименование Crisis (Symantec) и DaVinci (Dr.Web). В ходе проведенного компанией Dr.Web расследования было установлено, что Morcut является компонентом системы удаленного контроля DaVinci, которую разрабатывает и продает компания Hacking Team.

DaVinci

Система DaVinci позиционируется разработчиком как СОРМ (система технических средств для обеспечения функций оперативно-разыск- ных мероприятий) для использования правительственными структурами и правоохранительными органами. Кроме компании Hacking Team, подобные СОРМ разрабатывает ряд других компаний. Как правило, это комплекс программ, состоя-

щий из управляющего сервера и клиента-агента. Агент незаметно для пользователя устанавливается на компьютер и имеет следующие функции:

•поиск и формирование списка файлов, удовлетворяющих заданным критериям;

•отправка произвольных файлов, в том числе электронных документов, на удаленный сервер;

•перехват паролей от сервисов электронной почты и социальных сетей;

•сбор данных о посещаемых ресурсах сети Интернет;

•перехват потока данных систем электронной голосовой связи (Skype);

•перехват данных систем мгновенного обмена сообщениями (ICQ);

•сбор информации о контактах с мобильных телефонов, подключаемых к компьютеру;

•запись аудио- и видеоинформации (при наличии подключенных веб-камеры и микрофона).

По данным издания Wall Street Journal, ряд европейских компаний поставляли СОРМ на базе СПО с таким функционалом в страны Ближнего Востока, правительства которых использовали их для борьбы с оппозиционно настроенными слоями населения.

Шпионы и разведчики

Неправительственная организация Privacy International (Великобритания), занимающаяся выявлением фактов нарушения прав человека, проводит постоянный мониторинг международного рынка СОРМ и ведет перечень компаний — разработчиков решений в этой сфере. Перечень составляется на основе анализа компаний — участников специализированной конференции ISS World (Intelligence Support Systems — системы обеспечения сбора информации). На этом мероприятии, которое проводится регулярно несколько раз в год, встречаются потенциальные покупатели и разработчики СОРМ.

Вот некоторые из компаний, разрабатывающих вредоносы под видом СОРМ.

FinFisher (finfisher.com), подразделение Gamma International (Великобритания)

По некоторым данным, после отставки Хосни Мубарака после событий 2011 года в Египте были найдены документы (см. рис. 3, 4), указывающие на то, что компания FinFisher предоставляла услуги по слежению за гражданами Египта при помощи комплекса FinSpy. Факт продажи пятимесячной лицензии режиму Мубарака в Египет за 287 тысяч евро компания упорно отрицает. FinSpy способен перехватывать телефонные звонки Skype, красть пароли и записывать аудиовидеоинформацию. На компьютеры пользователей FinSpy устанавливается так: через электронную почту отправляется сообщение со ссылкой на вредоносный сайт. Когда пользователь откроет ссылку, ему предложат обновить программное обеспечение. На самом деле вместо обновления будет установлен зловред. Способ распространения FinSpy через электронную почту был отмечен летом 2012 года в отношении продемократических активистов Бахрейна.

Hacking Team (hackingteam.it), Италия

Разработчик системы удаленного контроля DaVinci, которую позиционируют как средство слежения, предназначенное для использования правительствами и правоохранительными органами различных государств. Функционал DaVinci аналогичен FinSpy — это перехват Skype, электронных писем, паролей, данных средств мгновенных сообщений (ICQ), а также запись аудиовидеоинформации. Клиентская часть DaVinci способна функционировать как в среде операционных систем семейства Windows (версии XP, Vista, Seven), так и в среде операционных систем семейства Mac OS (версии Snow Leopard, Lion). Цена системы DaVinci предположительно со-

Старые термины типа «вирус», «червь» и «троян» уже не в полной мере соответствуют реалиям. Особенно прискорбно, что журналистам интернетизданий глубоко фиолетово, чем вирус отличается от трояна, и человеку, мало-мальски разбирающемуся в теме, режут слух такие словосочетания, как «вирус stuxnet», «вирус kido» или «вирус carberp». В очередной раз вспомним основные понятия:

•вирус — имеет функцию самораспространения, заражает исполняемые файлы;

•троян — не имеет функции самораспространения;

•червь — имеет функцию самораспространения, в классическом понимании — через

использование уязвимостей сервисов ОС, доступных по сети (червь Морриса), чуть позже — через мыло и флешки;

•руткит — использует функции сокрытия признаков своего присутствия в системе.

На практике многие образцы вредоносов сочетают в себе несколько таких характеристик. В наше время малварь впору классифицировать по каким-то иным критериям. Попытаемся разобраться.

Прежде всего, любая малварь нашего времени в первую очередь является коммерческим проектом. Разница только в исходных финансах и конечных целях. Условно можно выделить следующие группы:

•lameware — новомодный термин, означающий малварь, написанную новичками или дилетантами в этом деле (в обиходе — ламерами). Часто пользуются Delphi. Разработка, как правило, не требует никаких финансовых вложений, правда, и доход в относительном выражении мал. Основной фактор, побуждающий к написанию lameware, — потешить свое ЧСВ;

•коммерческая малварь — вредоносы с «мировым» именем, ведущие свою историю на протяжении нескольких лет;

•APT — шпионские программы, распространение и функционал которых характеризуется точечной направленностью на конкретные цели — компании, организации.

Malware