Yandex Dzen.

Mitä hyödyntää ja miten hakkerit käyttävät sitä

Terveisiä. Kuka on hakkereita ja mitä he ovat jo keskustelleet. Emme toista, lisäksi se katetaan avoimesti verkossa ja elokuvateatterissa. Hakkerimenetelmät ja hakkeri-hyökkäystyypit ovat kuitenkin lukuisia, jotta et luo artikkelista "Vinigrette", korostamme yksi, joka on suosittu mustalla hakkereilla ja vuonna 2020. En yritä "säästää intrigue", kuvailemme: "hyödyntää".

Johdanto tuttavuudelle ymmärrämme, että hyödyntävät ovat osa tietokonekoodia (tai koottuja ohjelmia eikä vain ...), joka käyttää "uhrin haavoittuvuutta" ja sitten tavoitteet ovat haarautuneet: pääsy; "Hanging" -palvelin; Häiriöitä. Jos lukija törmäsi sanat "Dos Atak", sitten tietää, että 85%, hakkerit käyttivät "hyödyntää". Itse asiassa nimi, jos kääntäminen englannista, tarkoittaa: "jotain." Tai hyödyntää, joten sanan "hyödynne" juuret ".

Nämä ohjelmat (vaadimme ohjelmien hyödyntämistä, Vaikka se ei ole totta ) on jaettu kohteisiin: Windows, Linux ja muut toimijat; Muita ohjelmia ja niin edelleen. Jne.

Luulen, että lukijat haluavat yrittää ymmärtää, miten tämä maaginen ohjelma pystyy osallistumaan, ripustamaan ja tarjoamaan pääsyn "Mestari" "Strange" -palvelimella. Selvitä ensin, miksi sopimusta kutsutaan ohjelmaksi, ei totta. Tosiasia on, että sitä hyödynnetään paitsi koottuun tiedostoon, mutta myös tekstiin (jopa muistiinpano, jossa kuvaus "järjestelmään" on jo hyödynnettävä). Ymmärrän lukemisen helpoin väärinkäsitys, mutta jos avaat kannettavan tietokoneen ja tekstin muodossa kirjoittamaan "nauttia" palvelimelle, se on myös hyödynnettävä. Mutta mitä ainakin pidät, monipuolistaa artikkelia, ainakin kirjoitat sanan: Ohjelma. Lisäksi tällaiset hyödyntävät "kaikki" kielen ohjelman muodossa. Hakkerit, nämä ovat entisiä ohjelmoijia, jotka aiemmin etsivät virheitä ohjelmissa Siksi tällaiset ihmiset ovat helposti omistavat C / C ++, Perl- ja TD-kielet. Tällaisten ohjelmien tehtävä vähennetään puskurin ylivuoto, SQL-tietueet ", Linden" -pyynnöt sivustolle ja niin edelleen.

Mitä hyödyntää ja miten hakkerit käyttävät sitä

Sattuu käyttämään ohjelmien järjestystä, jos tehtävä on "monimutkainen".

Etsi ja lataa valmiita hyökkäyksiä avoimessa internetissä ei ole laillinen. Ja tietenkin tekijä ei suosittele etsimään tällaisia ​​ohjelmia DarkNetissa.

Joten nyt, kun ymmärrys päähän talletettuista hyödynneistä, siirry "virtuaaliseen käytäntöön". Oletetaan tilanne: Voronezhin kaupungissa mies elää, joka säännöllisesti lentää Moskovaan ja siellä "meidän" naimisissa oleva nainen. Petoutunut puoliso, joka ei kykene kiinni rakastajalle, päätetään kosto, mutta etänä. Tehdä tämä, miehesi tarvitaan pääsy tietokoneeseen "Clounding". Älkäämme saa mennä yksityiskohtiin, mutta me ilmoitamme tosiasia: se tuli tunnettu siitä, miten selain käyttää "Cunning Riva". Onneksi kehittynyt aviomies, tässä selaimessa on "haavoittuvuus". Se pysyy vain pakottamaan rakastaja "Run Code", joka ilman käyttäjän tuntemusta, lataa haittaohjelmia "sivulle". Sitten aviomies kirjoittaa kirjeen vaimonsa puolesta ja lähettää rakastajan postitse. Tulos on ymmärrettävä (avautuu kirjain ja koodi on jo "tapauksessa").

Kuuluisat ohjelmat ovat: "Angler" (monimutkainen sarja (RAM)); "Neutrino" (Venäjän Brainchild Java, maksaa 34 tuhatta dollaria); "Blackhole Kit" (lyö selaimet Chrome, "Oslik", "Firefox" ).

Kommentti ("negatiivinen \ positiivinen"). Tilaa. Kuten. Hyvästi.

Hei, Habrovsk. Odotettaessa kurssin alkua "Järjestelmänvalvoja Linux. Ammatillinen » Asiantuntija - Alexander Kolesnikov valmisteli mielenkiintoisen artikkelin, jota meillä on mielellämme kanssasi. Kutsu myös tulevia opiskelijoita ja kaikkia niitä, jotka haluavat käydä avoimessa oppitunnissa aiheesta "Menetelmät ja kyky purkaa bash-kuoren skriptit."

Linux-käyttöjärjestelmä on osoittautunut maailman kaikki avoimen lähdekoodin teho - Hänen tänään, meillä on mahdollisuus tarkastella työjärjestelmän lähdekoodia ja sen perusteella, että se koota oma järjestelmä tiettyjen tavoitteiden ratkaisemiseksi. Avoimuuden ansiosta Linux oli tullut maailman turvallisin käyttöjärjestelmä, koska avoimen lähdekoodin avulla voidaan kehittää ja parantaa suojausosajärjestelmiä hyökkäyksistä käyttöjärjestelmässä ja parantaa itse käyttöjärjestelmää. Tällä hetkellä on olemassa suuri määrä yhteisön suojelua, joka on luotu: Tänään ei ole enää niin helppoa yliarvioida puskurin ylivuoton haavoittuvuuksia saadakseen kohotetut oikeudet yhtä 20 vuotta sitten. Nykyään voit kuitenkin löytää hyödyntää julkisesti, mikä jopa ytimen uusimmissa versioissa voi lisätä käyttäjän oikeuksia. Harkitse tässä artikkelissa, kuten se toimii ja miksi se osoittautuu. Menemme hyödyntämisen pääkomponentteihin ja harkitsemme, miten jotkut heistä toimivat.

Kaikki toimitetut tiedot kerättiin yksinomaan tiedoksi.

Tyypit hyödyntävät

Valitse yleinen termi, jonka merkitsemme, mikä on Käyttää hyväkseen - Algoritmi, joka rikkoo käyttöjärjestelmän normaalia toimintaa, nimittäin pääsyn erottamisen mekanismeja. Esittelemme myös konseptin Haavoittuvuudet - Tämä on ohjelmiston epätäydellisyys, jota hyödyntää algoritmia. Ilman haavoittuvuutta hyödyntämisen olemassaolo on mahdotonta.

Esittelemme hyödyntämisen luokittelua. Liiketoimintajärjestelmän alaryhmien hyödyntämisen perusperustuminen alkaa arkkitehtuurin tasolla. Nykyään käyttöjärjestelmät sisältävät vähintään 2 tasoa etuoikeuksia, joita käytetään heidän työstään. Alla on kuva, joka osoittaa selvästi etuoikeuksien erottamisen. Kuva Täältä .

Kuva osoittaa hyvin selvästi, että ytimen (ytimen tila) on läsnä käyttöjärjestelmässä, se on yleensä etuoikeutettu tila, tässä on täällä, että me kutsumme käyttöjärjestelmää. Ja toinen taso on mukautettu (käyttäjätila): säännölliset sovellukset ja palvelut, joita käytämme joka päivä, käynnistetään täällä.

Se kehitti historiallisesti, että kullekin edellä mainitulle tasolle voidaan havaita haavoittuvuudet, joista hyödynnetään, mutta jokaisen tason hyödyntäminen on rajoituksia.

Käyttäjän tasolla kaikki sovellukseen vaikuttavat hyödyntävät ovat täsmälleen niitä etuoikeuksia, joita käyttäjä, joka käynnisti haavoittuvan sovelluksen. Siksi tämäntyyppisen hyödyntämisen avulla voit saada täyden ohjauksen käyttöjärjestelmässä vain, jos järjestelmänvalvoja käynnistää sovelluksen. Toisin kuin käyttäjätaso, ytimen taso Jos se sisältää haavoittuvan koodin, se voi välittömästi mahdollistaa käyttöjärjestelmän enimmäisoikeuksilla. Alla keskitytään näiden hyödyntämisestä.

Selitys

Kuvittele pieniä tilastoja Debianin, SUSE, Ubuntu, ARCH Linuxin kaari-jakauman nimellisyyden haavoittuvuuksien paljastamisesta.

Tiedot Täältä . Kuva ei näytä olevan täydellinen, mutta se osoittaa, että on olemassa paljon haavoittuvuuksia, ja jopa tänään on, mitä valita hyödyntää hyödyntää. Yritetään kuvata, mitä hyödyntää.

Kaikki käyttöjärjestelmän tason hyödyntäminen koostuu nykyään osista, jotka on toteutettava koodissaan:

  1. Valmistelutoimet:

    1) Siirry tarvittava muistin näyttö

    2) OS: n tarvittavien esineiden luominen

    3) ohittaa OS-suojausmekanismit haavoittuvuudesta

  2. Soita haavoittuvaksi osaksi.

  3. Suorittaa hyötykuorman:

    1) Avaa käyttöoikeus

    2) muuttaa käyttöjärjestelmän kokoonpanoa

    3) Järjestelmän tuotos

Kun suoritat kaikki edellä mainitut kohteet, voit kirjoittaa toimivan hyödyntämisen. Ota useita hyökkäyksiä viime vuosina ja yritä selvittää, onko olemassa joitain sääntöjä tai lainoja, joita käytetään pääsyn erottamiseen Linux-käyttöjärjestelmässä. Tutkimuksen kohteina otetaan hyödyntävät, jotka käyttävät seuraavia haavoittuvuuksia CVE-tunnisteiden kanssa:

CVE-2020-8835

CVE-2020-27194.

Katastrofi hyödyntää

CVE-2020-8835 рAsppaa Linux-käyttöjärjestelmän ytimen versiosta 5.5.0. Haavoittuvuus on teknologian toteutuksessa EBPF. . Tekniikka on suunniteltu varmistamaan, että käyttäjä voi luoda mukautettuja käsittelijöitä suodattaa verkkoliikennettä. Suodatuksen pääkomponenttina käytetään virtuaalikoneen, jolla on omia komentojaan. Virtuaalikoneen suorittama koodi, joka asuu ytimen: Tässä koodissa oleva virhe tuo hyökkääjä työskentelemään muistin kanssa suurimpien etuoikeuksien avulla. Kuvatun haavoittuvuuden tapauksessa ongelma oli, että toiminnan käsittelytoiminta 32 bittiä ei käsitelty oikein ja virtuaalinen kone voisi kirjoittaa ja lukea tietoja ydinvoimamaisessa.

Koska hyökkäyksen tekijä käyttää tätä haavoittuvuutta ja mitä hyötykuormaa suoritetaan, harkitse pidemmälle.

Valmisteluvaihe

Tästä vaiheesta koodin seuraava osa on vastuussa.

Rivi 394 - Objektin luominen muistiin, joka tallentaa tietoja komennoista EBPF. . Rivi 400 latautuu muistikortiin, joka suoritetaan virtuaalisessa koneessa ja rikkoo olosuhteita 32 bittisten komentojen käsittelyyn. Muistinvalmistus on ohi, seuraavat rivit luovat pistokkeen kohteen, jota kutsutaan ladattuina komennuksille BPF. . Tämän jälkeen haavoittuvuuden kamari alkaa.

Soita haavoittuvaksi koodiksi

Haavoittuvan koodin kutsuminen tai pikemminkin virtuaalikoneen komentojen tekeminen suoritetaan linjasta 423 - 441. Tämän koodin päätehtävänä on saada muistiinpanon perusosoite, tässä tapauksessa se on kasa (kasa) prosessi. Heti kun nämä komennot suoritetaan, hyödyntäminen pystyy havaitsemaan käyttöjärjestelmän käyttämät tiedot pääsyn erottamiseksi. Linux-käyttöjärjestelmässä nämä tiedot tallennetaan rakenteeseen Tehtävä. .

Hyötykuorma

Tämän hyödyntämisen hyödyllinen kuormitus on se, että sen suorituksen jälkeen voit suorittaa prosessin käyttöoikeuksien kanssa juurtua . Tätä varten hyödyntämiskoodi tuottaa Linux-käyttöjärjestelmän ytimen kenttäkenttien muokkaamista - Cred. Tämä on rakenne, joka tulee rakenteeseen Tehtävä. . Lähdekoodirakenne Cred. Voidaan löytää tässä .

Kentän muutokset Struct Cred. voidaan nähdä riveillä 472,473,474. . Toisin sanoen tämä toiminta nollataan arvon UID, Gid, SGID Prosessi luotu. Näkymästä se on asetettu tunnistearvoille, jotka yleensä käyttävät juurtua . Menetelmä on hyvin samanlainen kuin se, jota käytetään Windows-käyttöjärjestelmän hyökkäyksissä.

Voit suojata itsesi päivittämättä käyttöjärjestelmää, jos teet seuraavat muutokset CONFIC: sudo sysctl kernel.unprivileged_bpf_disabled = 1

CVE-2020-27194. - jälleen haavoittuvuus EBPF. . Versiossa on versio 5.8. *. Tämän teknologian tekijät vitsailevat sitä BPF. - Tämä on ytimen JavaScript. Itse asiassa tämä tuomio ei ole kaukana totuudesta. Virtuaalikone todella johtaa manipulointia JIT-tekniikasta, joka itse kuljettaa kaikki tyypilliset selaimen haavoittuvuudet käyttöjärjestelmän ytimessä, eli suoja-osajärjestelmää on vaikea määrittää koodin suojaamiseksi. Tarkasteltavana oleva haavoittuvuus on se, että virtuaalikoneen koodista voit muokata mitä tahansa RAM-alueen. Ehkä tämä johtuu siitä, että virtuaalinen kone on vaarallinen työskentelee 64 bittisellä tavalla. Täysin samanlainen haavoittuvuus edellä pidimme edellä.

Exploit, joka on suunniteltu käyttämään kuvattuja haavoittuvuutta, suorittaa samat toiminnot kuin hyödyntää CVE-2020-8835. Exploit-algoritmi Seuraava:

  1. Lataa koodi käsittelee 64 bittinen toiminta

  2. Luo pistorasia ja lähetä tiedot soittaa komentoja EBPF.

    1. Muista mielessä rakenteen osoite Tehtävä. Suorittamalla komentoja virtuaalisessa koneessa

  3. Muokkaa arvoja UID, Gid, SGID ja käynnistää interaktiivisen kuoren.

Kirjoittaja kirjoitti lähdekoodin uusilla siruilla ja lisäominaisuuksilla. Tarjoamme lukijalle katsomaan koodia itse. Edellä mainittujen hyödynnetyn työn luettelossa olevat vaiheet eivät häviä.

Suojaa tätä haavoittuvuutta vastaan ​​ilman päivityksiä on sama: sudo sysctl kernel.unprivileged_bpf_disabled = 1

Mikä on lopputulos?

Kahden hyödyn perusteella, joita tarkasteltiin artikkelissa, voidaan olettaa, että nykyaikaisen Linux-käyttöjärjestelmän etuoikeudet eivät ole enää tummat ohjelmointitapahtumat, vaan täysin varautunut malliprosessi, joka sisältää RAM-muistin toimintojen ja esineiden uudelleenkäyttö. Samalla se ei ole edes tarpeen kirjoittaa perus-riippuvaista (Shellcode) koodia, joka suorittaa suurimman osan toimista. Riittää yksinkertaisesti muuttaa tunnisteita, joita käytetään käyttämään käyttäjille etuoikeuksia.

Lisätietoja kurssista "Järjestelmänvalvoja Linux. Ammattilainen. "

Rekisteröidy avoin oppitunti "Menetelmät ja kyky purkaa bash-kuoren skriptit."

Lue lisää:

Mitä hyödyntää?

Kehitysvaiheessa kaikissa ohjelmissa ja verkoissa suojan mekanismit hakkereita vastaan ​​lukkojen tyypissä, varoiton luvaton valvonta, on upotettu. Haavoittuvuus on samanlainen kuin avoin ikkuna, joka pääsee, mikä ei ole paljon vaikeaa hyökkääjälle. Tietokoneen tai verkon tapauksessa hyökkääjät voivat perustaa haittaohjelmia käyttämällä haavoittuvuutta hallitsemaan tai tartuttamaan järjestelmän palkkasovelluksistaan ​​asiaankuuluvilla seurauksilla. Kaikki tämä tapahtuu ilman käyttäjän tietämystä.

Selitys
Miten hyödynneisyys syntyy?

Ohjaukset johtuvat ohjelmistokehitysprosessin virheistä, minkä seurauksena haavoittuvuudet käytetään menestyksekkäästi ohjelmasuojausjärjestelmässä, jota Cybercriminals käyttää menestyksekkäästi rajoittamattoman pääsyn ohjelmaan ja sen kautta koko tietokoneeseen . Spultaatit luokitellaan haavoittuvuuden tyypin mukaan, jota hakkeri käyttää: nollapäivä, dos, huijaus tai xxs. Tietenkin ohjelman kehittäjät pian vapauttavat tietoturvapäivitykset poistettaessa löydettyjä vikoja, mutta tähän kohtaan asti ohjelma on edelleen alttiita tunkeilijoille.

Miten tunnistaa hyödyntää?

Koska hyödyntää ohjelman turvallisuusmekanismeissa tavallinen käyttäjä ei ole lähes mitään mahdollisuutta määrittää heidän läsnäoloaan. Siksi on erittäin tärkeää ylläpitää vakiintuneita ohjelmia, erityisesti ohjelmien kehittäjien valmistamien turvallisuuspäivitysten ajoissa. Siinä tapauksessa, että ohjelmistokehittäjä vapauttaa tietoturvapäivityksen poistaaksemme tietyn haavoittuvuuden ohjelmistossaan, mutta käyttäjä ei luo sitä, sitten valitettavasti ohjelma ei saa viimeisimmät virusmäärittelyjä.

Kuinka poistaa hyödynnettävä?

Koska hyödynnetään sitoutuneiden vikojen seurauksena, niiden poistaminen sisältyy kehittäjien suoriin tehtäviin, joten kirjoittajien on valmisteltava ja lähetettävä virheenkorjaus. Velvollisuus kuitenkin ylläpitää asennettuja ohjelmia päivitetty ja ajankohtainen asentaa päivityspaketit, jotta ei voi antaa mahdollisuuksia käyttää haavoittuvuuksia, on täysin käyttäjällä. Yksi mahdollisista tavoista ei menetä uusimpia päivityksiä - Käytä sovellushallinta, joka varmistaa, että kaikki asennetut ohjelmat päivitetään, tai - mikä on vielä parempi - käyttää automaattista hakua ja asentamista työkalua.

Kuinka lopettaa hakkereiden yritykset käyttää kolmannen osapuolen ohjelmien haavoittuvuuksia
  • Varmista, että olet asentanut uusimmat tietoturvapäivitykset ja laastarit kaikille ohjelmille.
  • On turvallinen verkossa ja pysyä ajan tasalla tapahtumien kanssa, aseta kaikki päivitykset välittömästi vapautumisen jälkeen.
  • Asenna ja käytä Premium Anti-Virusta, joka kykenee automaattisesti päivittämään asennetut ohjelmat.
Varmista itse hyödyntää

Luota tervettä järkeä ja noudata Internetin turvallisen työn perussääntöjä. Hakkerit voivat hyödyntää vain haavoittuvuutta, jos he onnistuvat käyttämään tietokoneesi. Älä avaa liitetiedostoja epäilyttävissä viesteissä ja älä lataa tiedostoja tuntemattomilta lähteiltä. Tuki asennettuihin ohjelmiin päivitetty ja myös oikea-aikaiset tietoturvapäivitykset. Jos haluat yksinkertaisesti yksinkertaistaa tätä tehtävää, lataa AVAST Antivirus, joka ei ainoastaan ​​anna luotettavaa suojaa kaikentyyppisillä haittaohjelmilla, mutta myös auttaa viimeisimpien päivitysten asennuksessa kolmansien osapuolten ohjelmien päivityksistä.

Добавить комментарий