reklama

Proměnili jsme prohlížeč v zombie a zapojili počítač do malého botnetu

  • Minule jsme na dálku ovládali Android
  • Tentokrát se podíváme na balík aplikací BeEF
  • Pokusí se ovládnout PC skrze webový prohlížeč

Minulý týden jsme si vyzkoušeli, jak může fungovat primitivní trojský kůň pro Android, který umožní útočníkovi na dálku stáhnout z telefonu soukromá data. Dnes se podíváme, jak by mohl podobný scénář útoku probíhat na klasickém desktopu načtením zákeřného javascriptového kódu v prohlížeči.

Zatímco pro útok na Android jsme použili balík nástrojů Metasploit na distribuci Kali Linux, tentokrát použijeme BeEFBrowser Exploitation Framework.

Opět připomenu, že oba nástroje stejně jako distribuce Kali nemají sloužit k porušování zákonů, ale naopak k testování zabezpečení sítě a počítačů, což nelze ověřit žádným jiným způsobem než simulovaným útokem. Drobnou úpravou se však může ze simulace stát elektronická zbraň, jejíž použití je ke všemu velmi snadné.

Připomeňte si předchozí tematické články o síťovém hackingu a bezpečnosti:

Browser Exploitation System

Abychom dokázali stáhnout data z Androidu, jednoduše jsme jedním příkazem vyrobili aplikaci s hromadou práv, která se po instalaci spojila s konzolí na našem počítači, a my mohli telefon na dálku ovládat.

BeEF ve svém základu funguje podobně, jen namísto mobilní aplikace jako bránu do systému použije webový prohlížeč. Na našem počítači s Kali tedy spustí jednoduchý webový server, který bude sloužit k ovládání obětí – zombies, ale především na něm bude umístěný javascriptový soubor hook.js, který pak můžeme pomocí značky <script> vložit do nějaké skutečné stránky, která bude sloužit jako vábnička.

Klepněte pro větší obrázek
Spuštění BeEF z nabídky Kali. Jakmile bude vše připraveno, v terminálu se vypíše adresa webového rozhraní a také adresa skriptu, který můžeme umístit do libovolné stránky.

Odkaz na stránku následně rozneseme po internetu, a každý, kdo web navštíví, nám okamžitě naskočí jako potenciální oběť. Ještě pikantnější by samozřejmě bylo, kdybychom tento kód umístili třeba do doplňku pro Chrome, anebo do nějakého pochybného reklamního systému, jehož bannery se zobrazují ještě na pochybnějších stránkách. Ostatně podobná praxe se již dávno děje.

Samotný soubor hook.js obsahuje jak kompletní knihovnu jQuery, tak především vrátka pro vyzkoušení hromady známých útoků na konkrétní prohlížeče, zranitelnosti Flash Playeru, Java appletů, dále chyby v nejrůznějších programech aj.

Klepněte pro větší obrázek Klepněte pro větší obrázek
BeEF nabízí několik hotových testovacích webů (vlevo). Jakmile jej na nějakém počítači navštívím, zobrazím se ve webové ovládací konzoli (vpravo). BeEF jsme testovali jen v podnikové síti.

Windows XP opravdu nepoužívejte

Suma sumárum, pokud by nám jako oběť naskočil třeba surfař ve starší verzi Internet Exploreru a ke všemu třeba na Windows XP, bylo by to to samé, jako by nám přímo zašeptal své heslo do systému. Pokud patříte k těm, kteří nedají dopustit na Windows XP a jejich počítač je připojený k internetu, nejspíše máte velké štěstí, že ještě nejste součástí některého z botnetů (anebo jste a jen o tom nevíte).

BeEF nicméně pamatuje i na chyby u vyspělejší konkurence a nabízí také útoky určené pro Chrome, Firefox a další prohlížeče. Jelikož se jedná o nástroj určený k testování známých zranitelností (databáze CVE) a průniků do systému skrze webový prohlížeč, dostatečně ochráněný bude vlastně jen ten surfař, který používá aktualizovaný prohlížeč a operační systém.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Základní informace o prohlížeči oběti a hromada nástrojů, které mohu jako útočník použít. V tomto případě mohu například vytvořit neviditelný IFRAME s libovolnou adresou. Ta může směřovat třeba na nějaký další malware pro konkrétní verzi prohlížeče, pokud základní nabídka nástrojů nestačí.

Pokud patříte k uživatelům Windows, balíky nástrojů jako Metasploit, BeEF a další by vás měly přesvědčit, že opravdu stojí za to přejít na Desítky přinejmenším z bezpečnostních důvodů, protože se momentálně jedná o nejlépe zabezpečený systém z celé řady, který drtivé většině těchto útoků zatím odolává. Těží jednoduše z toho, že známé chyby jeho předchůdců jsou v něm již opravené.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Další nástroj, který využívá konkrétní zranitelnosti z roku 2014, a mapa sítě mezi útočníkem a obětí. BeEF je skutečně precizní ovládací systém.

Sociální hacking

Pasivní útoky pomocí známých zranitelností jsou nicméně pouze jednou z mnoha schopností BeEF. Tou druhou jsou nástroje pro jednoduché sociální útoky, kdy se nesnažíme zmást software, ale samotného člověka před klávesnicí.

V lednu jsme psali třeba o zajímavém phishingovém útoku, který zneužívá některých návrhových chyb v trezoru na hesla LastPass. BeEF tuto zranitelnost umí testovat také, čili se nejprve pokusí zjistit, jestli je v prohlížeči oběti nainstalovaný LastPass. A pokud ano, můžeme vzdáleně vyvolat jeho fiktivní přihlašovací dialog. Leckterý surfař se pak snadno nachytá, hodnoty automaticky vyplní a nám se zobrazí v ovládací konzoli…

Klepněte pro větší obrázek Klepněte pro větší obrázek
Nejprve se mohu pokusit zjistit, jestli oběť používá LastPass, a pokud ano, vyvolám falešný přihlašovací dialog, který hodnoty pošle do mé konzole

Podobným způsobem můžeme vyvolávat všemožné další fiktivní dotazy, které budou simulovat dialogy konkrétních prohlížečů – ideálně pak proužky, které se zobrazují při horním okraji a samy o sobě jsou také napsané v HTML, čili jejich simulace je o to jednodušší. Nachytat se pak není zase až tak složité, protože tady nejde o žádné otevírání příloh v primitivních phishingových e-mailech typu drahoušek zákazník.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Sociálnímu hackingu mohou pomocí všemožné falešné systémové lišty a dialogy, které lze na stránce zobrazit pro vyšší důvěryhodnost

Je libo DoS?

A nakonec se BeEF hodí ještě k jedné nepříjemné záležitost. Jeden z jeho modulů se jmenuje DOSer a chytří už tuší, že slouží k tvorbě útoků Denial of Service. Pokud útočník pomocí BeEF zachytí větší množství zombies, může jim automatizovaně rozeslat příkaz, ať zahltí vybraný cíl HTTP požadavky POST, GET aj. Pokud bude prodleva mezi dotazy výchozích 10 milisekund a my nachytáme třeba 100 obětí, dělá to  teoreticky 10 000 HTTP dotazů za sekundu a běžný malý (nebo špatně nakonfigurovaný) web na klasickém hostingu nebude mít zpravidla prostředky k tomu, aby se s podobnou vlnou jen tak vyrovnal.

Klepněte pro větší obrázek
Oběti lze použít k DoS

Největším rizikem BeEF je ale nakonec něco jiného – jeho naprostá jednoduchost. Po spuštění serveru prostě navštívíte lokální adresu http://127.0.0.1:3000/ui/panel a po přihlášení s výchozím loginem a heslem beef objevíte poměrně rozsáhlé a opravdu propracované webové rozhraní, aniž byste museli cokoliv psát do terminálu. A už jen toto základní prostředí vám umožní získat o připojených počítačích alespoň hromadu zajímavých informací, které byste jinak zjišťovali leda sofistikovaným MITM útokem a kompletním odposlechem, o kterém jsme už také psali.

Jak už jsem ale zmínil výše, na nejnovějších Windows s čerstvým prohlížečem si BeEF spíše vyláme zuby. Jeho útoky jsou často v systému již vyřešené, Flash Player i Java applety se pomalu stávají minulostí – o ActiveX nemluvě, a tak jsou nebezpečné spíše jeho schopnosti pro sociální hacking a obecně sběr informací o oběti – tedy například všechny údaje z formulářů, cookies a další údaje ze stránek, na kterých v pozadí běží onen zákeřný skript hook.js.

Témata článku: Prohlížeče, Hacking, Kali, Hook, Zombies

27 komentářů

Nejnovější komentáře

  • El Vigo 21. 4. 2016 1:15:04
    HENTAI PORNO ?
  • Krakatoa 20. 4. 2016 20:01:11
    💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩💩 "může jim automatizovaně...
  • Karel Dvořák 20. 4. 2016 18:07:20
    Jak vidím, tak na Živě jsou tak nadšení z hackingu, že by si zasloužili,...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 99

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 140

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Jakub Čížek | 32


reklama