728 x 90

Mamuty żyją wśród nas, czyli najciekawsze wystąpienia z Oh My Hack 2021

Mamuty żyją wśród nas, czyli najciekawsze wystąpienia z Oh My Hack 2021

Tak, mamuty naprawdę żyją. W każdym razie na Białorusi, skąd migrują m.in. do Polski. Możliwe wręcz, że masz mamuta w rodzinie! Chcesz wiedzieć więcej? Zapraszamy do lektury! Tylko u nas, bo był zakaz nagrywania!

Pełna agenda konferencji znajduje się tutaj.

Tak naprawdę nie zamierzamy opisywać wszystkich prezentacji – to zostawimy Adamowi. Poniżej skupimy się przede wszystkim na tych kilku prezentacjach, które naszym zdaniem wnoszą jakąś wartość dla osób zajmujących się ofensywnym bezpieczeństwem IT – w tym 2 z nich były Live Only, czyli jeśli ktoś chciał je mieć, musiał je sobie nagrać samodzielnie.

Więc co z tymi mamutami?

Zdecydowanie najciekawsza z całej konferencji była prezentacja Agaty Ślusarek, omawiająca proces „skrobania mamutów”, o którego istnieniu – przyznajemy – w ogóle nie mieliśmy pojęcia. Prezentacja Agaty była niestety jedną z tych Live Only – więc o ile oczywiście ją sobie nagraliśmy, to udostępnić jej nie możemy (podobnie jak transkryptu).

No dobra, ale o co chodzi z tymi mamutami? Otóż tytułowe mamuty to ofiary scamu „na kupującego”, a więc np. sprzedawcy na portalach typu OLX, do których zgłaszają się oszuści (zwani workerami, czyli robotnikami) z ofertą „zakupu”.

Na czym polega oszustwo? Otóż taki „kupujący” nie płaci za pośrednictwem serwisu, ale przesyła sprzedawcy specjalny link do pośrednika, który rzekomo umożliwia odebranie pieniędzy z dokonanej przez kupującego wpłaty. Pośrednik ten jest jednak fałszywy – prawdziwe są jedynie dane karty kredytowej, które sprzedawca w dobrej wierze wpisuje na tej stronie, aby odebrać pieniądze właśnie na tą kartę.

Ale jak to? Przecież istnieją zabezpieczenia typu 3D Secure, które wymuszają dodatkową autoryzację? Ano istnieją – dlatego też na tym „transakcja” się nie kończy. Po drugiej stronie tego pośrednika siedzi worker, który momentalnie dokonuje zakupu na możliwie podobną kwotę – tyle że tym razem w prawdziwym sklepie. Prawdziwy jest też adres – tyle że należy on do paczkomatu, na którym trop się urywa.

Następnie worker otrzymuje ze sklepu dane do płatności i inicjuje tą płatność z karty sprzedającego – czyli tej, na którą sprzedający miał dostać pieniądze. A wówczas sprzedający dostaje na telefon powiadomienie z kwotą – i jeśli zatwierdzi transakcję nie czytając dokładnie jej opisu, a sugerując się tylko jej kwotą i tym, że właśnie miał taką kwotę dostać – wówczas nieświadomie zautoryzuje płatność przez oszusta.

Tego typu schemat nie jest niczym nowym – natomiast w przypadku powstałego w lutym 2020 na Białorusi Winky Teamu, organizacja całego procederu stoi na niespotykanym dotychczas poziomie – od podziału ról, przez budowę skryptów do obsługi „klienta” dużo lepszej jakości, niż w niejednym legalnym call center, kulturę współpracy z szeregowymi workerami, materiały szkoleniowe, czy warunki finansowe – aż po takie pozornie nieistotne szczegóły jak dopracowana szata graficzna.

Jeśli zaciekawił Was ten proceder, więcej dowiecie się z tego artykułu (niestety po białorusku). Oto kilka najciekawszych cytatów:

Zgodnie z warunkami „mamutowej ławki” każdy „pracownik” mógł odebrać 65-70% skradzionych środków (podobno jest to powszechny „margines”). Kwoty, od których naliczono „bonus”, mogą być zupełnie inne: gdzieś jest to 80 rubli, a innym razem – ponad 1000 (tyle udało ci się ukraść na raz). Tylko na przykład 12 października naliczyliśmy około 80 wpłat, łączna kwota sprzeniewierzonych pieniędzy – ponad 21 tysięcy rubli. Nie wiemy, jak długo były „zarabiane”. Prawdopodobnie na „dzień roboczy”.

Dzięki „Kozakowi na wygnaniu” mogliśmy jednym okiem spojrzeć na „dokumentację” – o tym, jak dzieło jest zbudowane. Starają się brać pod uwagę wszystkie aspekty interakcji z ofiarami, wydają zalecenia: na przykład, że powinieneś wybrać najbardziej wrażliwe segmenty populacji, do których należą „mamy”, „użytkownicy powyżej 30 roku życia” i „nowi użytkownicy” (którzy nie do końca zdają sobie sprawę, jak to wszystko działa).

Wspominany jest także skrypt o nazwie Kufar, w wersjach 1.0 i 2.0.

Co tam, panie, w prokuraturze słychać?

Na konferencji Adama Haertle nie mogło oczywiście zabraknąć dr Agnieszki Gryszczyńskiej, która, co zabawne, mówiła m.in. o wysypie oszustw z użyciem fałszywych bramek płatniczych w dobie pandemii koronawirusa, prawdopodobnie nawet nie wiedząc, że w sporym stopniu zazębia się to z tym, o czym chwilę później miała mówić Agata. Najciekawszym tematem tej prezentacji była jednak różnica pomiędzy artykułami 286 i 287 Kodeksu karnego.

Teraz dla odmiany trochę Powershella

Aby nie przynudzać całym kontekstem – oto prosty skrypt w Powershellu (można go nawet przerobić na jednolinijkowiec do odpalania z poziomu Rubber Ducky), służący do zrzucania co sekundę zawartości schowka zalogowanego użytkownika do pliku. Proste i wygodne rozwiązanie do przechwytywania haseł kopiowanych z menedżera haseł do np. przeglądarki:
for (;;) {
$clip = Get-Clipboard -format text
$clip >> C:\Users\Public\fileOnlySave.tmp
Start-Sleep 1
}

Paula Januszkiewicz i jej CQTools

Pauli Januszkiewicz przedstawiać właściwie nie trzeba. Zdecydowanie natomiast warto będzie obejrzeć jej prezentację, gdy już wzorem prezentacji z edycji 2020, trafi ona do sieci.

Paula w przystępny sposób pokazuje, jak Mimikatzem w trybie naprawy systemu, podmienić w Windows „cached logon data”, ustawiając własne hasło – a następnie zalogować się tym hasłem po restarcie komputera.

Drugi temat tej prezentacji, to co można wyciągnąć z Active Directory, mając prawa administratora domeny – i kiedy da się po takim ataku „posprzątać”, a kiedy zostaje już tylko reinstalacja całego AD.

Bardzo ważnym elementem tej prezentacji były darmowe narzędzia CQTools, stworzone przez firmę Pauli, CQURE. Narzędzia te można pobrać ze strony https://resources.cqureacademy.com/tools/, podając login student i hasło CQUREAcademy#123! (w razie gdyby ktoś to hasło zmienił, w Internecie można łatwo znaleźć kopię tych narzędzi). Z tego PDF dowiesz się, co te narzędzia potrafią.

KAPE

Będąc już w temacie narzędzi analitycznych i forensicowych, musimy koniecznie wspomnieć o repozytorium https://github.com/EricZimmerman/KapeFiles. Wydaje nam się, że była o nim mowa w prezentacji Wojciecha Klickiego z Fundacji Panoptykon, aczkolwiek nie mamy stuprocentowej pewności.

Dużo ważniejsze jest jednak to, co jest w tym repozytorium – a są to pliki w formacie Yaml, opisujące w sposób deklaratywny, jakie dane warto na szybko wydobyć z systemu Windows, aby móc później przeprowadzić zdalną analizę śledczą takiego systemu. Każdy plik opisuje jeden temat, np. logi Windows Firewalla, profile konfiguracyjne programu AnyDesk, poczta i ustawienia programu Thunderbird, czy setki innych.

Wojciech Pilszak

Wojtek, znany Wam już z ubiegłorocznych artykułów o stylometrii (tego i tego), w tym roku m.in. wspomniał listę narzędzi OSINT-owych, jakich używa w firmie. Są to (w wymienionej kolejności): Buscador, OSINTUX, Autopsy, CSI Linux, Parrot OS, oraz nasz ulubiony Kali Linux.

Służby specjalne(j troski)

Akcentem humorystycznym było wystąpienie Kamila Gorynia, który wypunktował różne śmieszne wpadki służb – w tym ABW, którego zapowiadanej wizyty w redakcji się do dzisiaj nie doczekaliśmy…

Wschodząca gwiazda

Jeśli nie słyszeliście wcześniej nazwiska Mateusz Chrobok ani nie widzieliście jego filmów – witajcie w klubie, my też zobaczyliśmy je po raz pierwszy ze 2 tygodnie temu. Gość ma niesamowity potencjał. Od tego, co mówił na konferencji, ważniejsze jest jak mówił. To jest naszym zdaniem przyszłość, jeśli chodzi o sposób docierania z tematami ITSEC do masowego odbiorcy.

Jak mógł sterować polskim przemysłem, po raz kolejny…

Jeśli ciekawi Was tematyka systemów SCADA, pewnie widzieliście już poprzednie części tej prezentacji – i .

Dzisiaj, w trzeciej części, która również była prezentacją Live Only, Marcin opowiadał o systemie WebHMI, którego wersję ewaluacyjną mógł pobrać za darmo z Internetu (w postaci obrazu maszyny VirtualBox – dostępny jest też obraz systemu plików dla Raspberry Pi, z którym wg nas jest wygodniej pracować) i przeanalizować jej kod PHP w poszukiwaniu potencjalnych podatności.

A dlaczego prezentacja była Live Only? Otóż dlatego, że podatność taką znalazł i było to od razu 10/10. A pomimo zgłoszenia jeszcze w sierpniu, do dzisiaj nie ma jeszcze formalnie nadanego numeru CVE. Dlatego też Marcin próbował ukryć przed widzami, że chodzi o system WebHMI.

Dlaczego więc ujawniamy nazwę tego systemu?

Jesteśmy pod wrażeniem pracy Marcina. Jednak jego podejście wpisuje się w nurt nowotworu trawiącego branżę ITSEC, określanego jako „responsible disclosure” – czyli w istocie wyróżniania pewnych grup odbiorców ponad innych. Staramy się wyrównywać szanse owych „innych” tam, gdzie jesteśmy w stanie.

Zadanie domowe dla chętnych

Wy też mieliście w szkole zadania domowe podstawowe i dla chętnych? No to zabawmy się w takie zadanie:

  1. Czy obraz WebHMI nadal można ściągnąć z Internetu za darmo?
  2. Dobierz się do kodu (jest w katalogu /www rozpakowanego obrazu) i znajdź pełną wersję nazwy ciasteczka słabo weryfikowanego przez plik /files.php, którą Marcin próbował ukryć.
  3. Czy omawiany przez Marcina błąd został już poprawiony? (aktualizacja na podstawie odpowiedzi Marcina: „Producent wypuścił poprawkę 12.10.2021, ale nie został jeszcze nadany numer CVE. Obecnie większość instancji oprogramowania została już zaktualizowana.”)
  4. A czy dość luźne sprawdzanie $_SESSION["notrialcheck"] również poprawili? Czy nadal pozwala to nabywcom podstawowej wersji komercyjnej zrobić sobie lekki upgrade funkcjonalny za darmo?
  5. Czy potrafisz odnaleźć w Shodanie którąś z oczyszczalni z tą podatnością? Oczywiście po to, by czym prędzej powiadomić odpowiednie osoby, że powinny dokonać aktualizacji, na wypadek gdyby urządzenia z jakiegoś powodu nie zaktualizowały się automatycznie 🙂
  6. Mając roota na kontrolerze, co można przez taki panel zmienić i do jakich potencjalnych strat doprowadzić? Pamiętaj, że to pytanie jest czysto teoretyczne – patrz niżej 🙂

ps. Dla osób wybierających zadanie podstawowe, podpowiedź brzmi: X-WH-SESSION-ID.

I to tyle

Prezentacji było oczywiście dużo więcej, natomiast nie wyłapaliśmy na nich nic potencjalnie przydatnego dla Was. Oczywiście mogliśmy coś przegapić – ciężko się ogląda po 3 prezentacje jednocześnie, w tym niektóre Live Only prowadzone jednocześnie. Ale za takie ułożenie harmonogramu musicie już podziękować Adamowi. Tymczasem jeśli faktycznie przegapiliśmy coś ciekawego, dajcie nam znać – uzupełnimy.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.