Proměnili jsme prohlížeč v zombie a zapojili počítač do malého botnetu

  • Minule jsme na dálku ovládali Android
  • Tentokrát se podíváme na balík aplikací BeEF
  • Pokusí se ovládnout PC skrze webový prohlížeč

Minulý týden jsme si vyzkoušeli, jak může fungovat primitivní trojský kůň pro Android, který umožní útočníkovi na dálku stáhnout z telefonu soukromá data. Dnes se podíváme, jak by mohl podobný scénář útoku probíhat na klasickém desktopu načtením zákeřného javascriptového kódu v prohlížeči.

Zatímco pro útok na Android jsme použili balík nástrojů Metasploit na distribuci Kali Linux, tentokrát použijeme BeEFBrowser Exploitation Framework.

Opět připomenu, že oba nástroje stejně jako distribuce Kali nemají sloužit k porušování zákonů, ale naopak k testování zabezpečení sítě a počítačů, což nelze ověřit žádným jiným způsobem než simulovaným útokem. Drobnou úpravou se však může ze simulace stát elektronická zbraň, jejíž použití je ke všemu velmi snadné.

Připomeňte si předchozí tematické články o síťovém hackingu a bezpečnosti:

Browser Exploitation System

Abychom dokázali stáhnout data z Androidu, jednoduše jsme jedním příkazem vyrobili aplikaci s hromadou práv, která se po instalaci spojila s konzolí na našem počítači, a my mohli telefon na dálku ovládat.

BeEF ve svém základu funguje podobně, jen namísto mobilní aplikace jako bránu do systému použije webový prohlížeč. Na našem počítači s Kali tedy spustí jednoduchý webový server, který bude sloužit k ovládání obětí – zombies, ale především na něm bude umístěný javascriptový soubor hook.js, který pak můžeme pomocí značky <script> vložit do nějaké skutečné stránky, která bude sloužit jako vábnička.

Klepněte pro větší obrázek
Spuštění BeEF z nabídky Kali. Jakmile bude vše připraveno, v terminálu se vypíše adresa webového rozhraní a také adresa skriptu, který můžeme umístit do libovolné stránky.

Odkaz na stránku následně rozneseme po internetu, a každý, kdo web navštíví, nám okamžitě naskočí jako potenciální oběť. Ještě pikantnější by samozřejmě bylo, kdybychom tento kód umístili třeba do doplňku pro Chrome, anebo do nějakého pochybného reklamního systému, jehož bannery se zobrazují ještě na pochybnějších stránkách. Ostatně podobná praxe se již dávno děje.

Samotný soubor hook.js obsahuje jak kompletní knihovnu jQuery, tak především vrátka pro vyzkoušení hromady známých útoků na konkrétní prohlížeče, zranitelnosti Flash Playeru, Java appletů, dále chyby v nejrůznějších programech aj.

Klepněte pro větší obrázek Klepněte pro větší obrázek
BeEF nabízí několik hotových testovacích webů (vlevo). Jakmile jej na nějakém počítači navštívím, zobrazím se ve webové ovládací konzoli (vpravo). BeEF jsme testovali jen v podnikové síti.

Windows XP opravdu nepoužívejte

Suma sumárum, pokud by nám jako oběť naskočil třeba surfař ve starší verzi Internet Exploreru a ke všemu třeba na Windows XP, bylo by to to samé, jako by nám přímo zašeptal své heslo do systému. Pokud patříte k těm, kteří nedají dopustit na Windows XP a jejich počítač je připojený k internetu, nejspíše máte velké štěstí, že ještě nejste součástí některého z botnetů (anebo jste a jen o tom nevíte).

BeEF nicméně pamatuje i na chyby u vyspělejší konkurence a nabízí také útoky určené pro Chrome, Firefox a další prohlížeče. Jelikož se jedná o nástroj určený k testování známých zranitelností (databáze CVE) a průniků do systému skrze webový prohlížeč, dostatečně ochráněný bude vlastně jen ten surfař, který používá aktualizovaný prohlížeč a operační systém.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Základní informace o prohlížeči oběti a hromada nástrojů, které mohu jako útočník použít. V tomto případě mohu například vytvořit neviditelný IFRAME s libovolnou adresou. Ta může směřovat třeba na nějaký další malware pro konkrétní verzi prohlížeče, pokud základní nabídka nástrojů nestačí.

Pokud patříte k uživatelům Windows, balíky nástrojů jako Metasploit, BeEF a další by vás měly přesvědčit, že opravdu stojí za to přejít na Desítky přinejmenším z bezpečnostních důvodů, protože se momentálně jedná o nejlépe zabezpečený systém z celé řady, který drtivé většině těchto útoků zatím odolává. Těží jednoduše z toho, že známé chyby jeho předchůdců jsou v něm již opravené.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Další nástroj, který využívá konkrétní zranitelnosti z roku 2014, a mapa sítě mezi útočníkem a obětí. BeEF je skutečně precizní ovládací systém.

Sociální hacking

Pasivní útoky pomocí známých zranitelností jsou nicméně pouze jednou z mnoha schopností BeEF. Tou druhou jsou nástroje pro jednoduché sociální útoky, kdy se nesnažíme zmást software, ale samotného člověka před klávesnicí.

V lednu jsme psali třeba o zajímavém phishingovém útoku, který zneužívá některých návrhových chyb v trezoru na hesla LastPass. BeEF tuto zranitelnost umí testovat také, čili se nejprve pokusí zjistit, jestli je v prohlížeči oběti nainstalovaný LastPass. A pokud ano, můžeme vzdáleně vyvolat jeho fiktivní přihlašovací dialog. Leckterý surfař se pak snadno nachytá, hodnoty automaticky vyplní a nám se zobrazí v ovládací konzoli…

Klepněte pro větší obrázek Klepněte pro větší obrázek
Nejprve se mohu pokusit zjistit, jestli oběť používá LastPass, a pokud ano, vyvolám falešný přihlašovací dialog, který hodnoty pošle do mé konzole

Podobným způsobem můžeme vyvolávat všemožné další fiktivní dotazy, které budou simulovat dialogy konkrétních prohlížečů – ideálně pak proužky, které se zobrazují při horním okraji a samy o sobě jsou také napsané v HTML, čili jejich simulace je o to jednodušší. Nachytat se pak není zase až tak složité, protože tady nejde o žádné otevírání příloh v primitivních phishingových e-mailech typu drahoušek zákazník.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Sociálnímu hackingu mohou pomocí všemožné falešné systémové lišty a dialogy, které lze na stránce zobrazit pro vyšší důvěryhodnost

Je libo DoS?

A nakonec se BeEF hodí ještě k jedné nepříjemné záležitost. Jeden z jeho modulů se jmenuje DOSer a chytří už tuší, že slouží k tvorbě útoků Denial of Service. Pokud útočník pomocí BeEF zachytí větší množství zombies, může jim automatizovaně rozeslat příkaz, ať zahltí vybraný cíl HTTP požadavky POST, GET aj. Pokud bude prodleva mezi dotazy výchozích 10 milisekund a my nachytáme třeba 100 obětí, dělá to  teoreticky 10 000 HTTP dotazů za sekundu a běžný malý (nebo špatně nakonfigurovaný) web na klasickém hostingu nebude mít zpravidla prostředky k tomu, aby se s podobnou vlnou jen tak vyrovnal.

Klepněte pro větší obrázek
Oběti lze použít k DoS

Největším rizikem BeEF je ale nakonec něco jiného – jeho naprostá jednoduchost. Po spuštění serveru prostě navštívíte lokální adresu http://127.0.0.1:3000/ui/panel a po přihlášení s výchozím loginem a heslem beef objevíte poměrně rozsáhlé a opravdu propracované webové rozhraní, aniž byste museli cokoliv psát do terminálu. A už jen toto základní prostředí vám umožní získat o připojených počítačích alespoň hromadu zajímavých informací, které byste jinak zjišťovali leda sofistikovaným MITM útokem a kompletním odposlechem, o kterém jsme už také psali.

Jak už jsem ale zmínil výše, na nejnovějších Windows s čerstvým prohlížečem si BeEF spíše vyláme zuby. Jeho útoky jsou často v systému již vyřešené, Flash Player i Java applety se pomalu stávají minulostí – o ActiveX nemluvě, a tak jsou nebezpečné spíše jeho schopnosti pro sociální hacking a obecně sběr informací o oběti – tedy například všechny údaje z formulářů, cookies a další údaje ze stránek, na kterých v pozadí běží onen zákeřný skript hook.js.

Témata článku: Prohlížeče, Hacking, Kali, Hook, Zombies, Trezory

27 komentářů

Nejnovější komentáře

  • El Vigo 21. 4. 2016 1:15:04
    HENTAI PORNO ?
  • Milan Král 20. 4. 2016 20:01:11
    💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩 "může jim automatizovaně...
  • Karel Dvořák 20. 4. 2016 18:07:20
    Jak vidím, tak na Živě jsou tak nadšení z hackingu, že by si zasloužili,...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 51

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 111

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?