SafeGroup
Kosz systemowy jako narzędzie ataku - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Inne (https://safegroup.pl/forum-15.html)
+--- Wątek: Kosz systemowy jako narzędzie ataku (/thread-12178.html)



Kosz systemowy jako narzędzie ataku - ichito - 29.07.2020

Prostota pewnych rozwiązań budzi podziw i sam jestem raczej zwolennikiem stosowania w bezpieczeństwie zasady, że im mniej tym lepiej...tu jednak mamy do czynienia z genialnym dla mnie wykorzystaniem systemowego mechanizmu jakim jest kosz, którego ikonkę każdy ma na pulpicie swojego komputera Smile

Cytat:Li i Dong to koledzy z technikum elektrycznego w Chengdu, ukończyli także tę samą uczelnię. Bardzo pracowici koledzy, bo według amerykańskich organów ścigania od 2009 włamali się co najmniej do dziesiątek firm w USA, Australii, Belgii, Niemczech, Japonii, Holandii, Korei Południowej, Hiszpanii, Szwecji i Wielkiej Brytanii. U ofiar szukali sekretów handlowych, kodów źródłowych, planów, projektów i wszystkiego, co można ukraść i sprzedać. Czasem szantażowali ofiary, grożąc ujawnieniem wykradzionych danych.

Ofiary wybierali, kierując się publicznie dostępnymi informacjami o tym, jakie firmy mogły posiadać interesujące ich dane. Czasem atakowali te podmioty bezpośrednio, czasem poprzez ich dostawców. Jak przeprowadzali swoje ataki?

A narzędzia i dane schowamy w koszu
W pierwszym etapie wykorzystywali znane już, choć niedawno ujawnione podatności lub błędy konfiguracyjne w aplikacjach WWW. Na serwer wgrywali webshella (najczęściej China Chopper), którego „ukrywali” na przykład pod takim adresem

domena.com/builds/fragments/p.jsp

Następnie wgrywali kolejne narzędzia, umożliwiające im kradzież poświadczeń oraz przejęcie zdalnej kontroli nad komputerami w sieci ofiary. W kolejnym kroku lokalizowali interesujące dane, zbierali je w jednym folderze, kompresowali za pomocą RAR-a z użyciem hasła, w pliku wynikowym zamieniali rozszerzenie na JPG i pobierali go z sieci ofiary.
Do ukrywania plików na komputerze ofiary używali rzadko spotykanej, a bardzo prostej sztuczki. Swój katalog roboczy, w którym trzymali narzędzia oraz wykradane i kompresowane dane tworzyli w systemowym koszu – czyli miejscu, gdzie rzadko można trafić przez przypadek. Dzięki temu łatwiej było im uniknąć sytuacji, w której tworzone pliki wzbudzały zainteresowanie użytkownika.

Gigabajty, setki gigabajtów
Wykradane dane trafiały na serwery w Chinach, gdzie oskarżeni sprzedawali je zainteresowanym podmiotom lub przekazywali służbom specjalnym (o tym wątku w paragrafie poniżej). Ilość wykradanych danych robi wrażenie. Akt oskarżenia wymienia 25 ofiar i podaje rozmiary strat w gigabajtach – wartości wahają się od 1 GB do 1,2 TB na ofiarę.
Całość artykułu poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]