Yandex Dzen.

Apa yang dieksploitasi dan bagaimana penggodam menggunakannya

Salam. Siapa penggodam dan apa yang telah mereka bincangkan. Kami tidak akan mengulangi, selain itu, ia secara terbuka diliputi dalam rangkaian dan di pawagam. Kaedah penggodam dan jenis serangan penggodam banyak, oleh itu, untuk tidak membuat dari artikel "Vinaigrette", kami menyerlahkan satu, yang popular dengan Black Hackers dan pada tahun 2020. Saya tidak akan cuba untuk "menyelamatkan tipu muslihat", kita akan menerangkan: "Eksploitasi".

Untuk pengenalan pengenalan, kami faham bahawa eksploitasi adalah sebahagian daripada kod komputer (atau program yang disusun dan bukan sahaja ...), yang menggunakan "kelemahan mangsa" dan kemudian matlamat bercabang untuk: mendapatkan akses; "menggantung" pelayan; Gangguan. Sekiranya pembaca menemui perkataan "dos atak", maka tahu bahawa 85%, penggodam menggunakan "eksploitasi". Sebenarnya, nama itu, jika diterjemahkan dari bahasa Inggeris, akan bermakna: "menggunakan sesuatu." Atau mengeksploitasi, oleh itu akar perkataan "mengeksploitasi".

Program-program ini (kami akan memanggil eksploitasi oleh program, Walaupun ia tidak benar ) dibahagikan kepada destinasi: untuk Windows, Linux dan Operaters lain; Untuk program lain dan sebagainya. Dan lain-lain.

Saya fikir pembaca ingin memahami bagaimana program sihir ini, mampu melibatkan diri, menggantung dan memberikan akses "Master" pada pelayan "pelik". Mari kita pertama kali memikirkannya mengapa perjanjian itu dipanggil program itu, tidak benar. Faktanya adalah bahawa ia dieksploitasi bukan sahaja fail yang disusun, tetapi juga teks (walaupun notepad dengan perihalan bagaimana untuk menggodam "sistem" sudah mengeksploitasi). Saya faham salah faham yang paling mudah mengenai bacaan itu, tetapi ia adalah: Jika anda membuka buku nota dan di sana dalam bentuk teks untuk menulis bagaimana untuk "menikmati" mana-mana pelayan, ia juga akan menjadi eksploitasi. Tetapi apa yang sekurang-kurangnya akan suka, mempelbagaikan artikel, mari sekurang-kurangnya kadang-kadang menulis perkataan: program. Selain itu, eksploitasi sedemikian akan dijumpai dalam bentuk program mengenai bahasa "mana-mana". Hacker, ini adalah bekas pengaturcara yang pada masa lalu sedang mencari kesilapan dalam program Oleh itu, orang-orang seperti itu dengan mudah memiliki bahasa C / C ++, Perl dan TD. Tugas program sedemikian dikurangkan kepada limpahan penampan, rekod SQL, permintaan "Linden" untuk tapak dan sebagainya.

Apa yang dieksploitasi dan bagaimana penggodam menggunakannya

Ia berlaku untuk menggunakan urutan program, sekiranya tugasnya menjadi "rumit".

Cari dan muat turun eksploitasi siap sedia di internet terbuka tidak sah. Dan tentu saja, penulis tidak mengesyorkan mencari program tersebut di DarkNet.

Jadi, sekarang apabila pemahaman tentang eksploitasi yang didepositkan di kepala, pergi ke "amalan maya". Katakan keadaan: Di kota Voronezh, seorang lelaki hidup yang kerap terbang ke Moscow dan ada "kami" seorang wanita yang sudah berkahwin. Pasangan yang ditipu, tidak dapat menangkap kekasih, diputuskan balas dendam, tetapi jauh. Untuk melakukan ini, suami anda diperlukan akses kepada komputer "pengimbang". Mari kita tidak masuk ke dalam butiran, tetapi kita menyatakan fakta: ia menjadi terkenal bagaimana penyemak imbas menggunakan "saingan licik". Nasib baik untuk suami yang maju, dalam penyemak imbas ini terdapat "kelemahan". Ia tetap hanya untuk memaksa kekasih "Run Code", yang tanpa pengetahuan pengguna, memuatkan malware "di sisi". Kemudian suami menulis surat, bagi pihak isterinya dan menghantar kekasih melalui pos. Hasilnya difahami (membuka huruf, dan kod itu sudah "dalam kes").

Program-program yang terkenal adalah: "Angler" (set kompleks (kerja-kerja dalam RAM)); "Neutrino" (Brainchild Rusia di Jawa, kos 34 ribu ringgit); "Blackhole Kit" (mengalahkan penyemak imbas Chrome, "Oslik", "Firefox" ).

Komen ("negatif \ positif"). Melanggan. Seperti. Selamat tinggal.

Hai, Habrovsk. Dengan menjangkakan permulaan kursus "Pentadbir Linux. Profesional » Pakar kami - Alexander Kolesnikov menyediakan artikel yang menarik, yang kami akan dengan senang hati berkongsi dengan anda. Juga jemput pelajar masa depan dan semua yang ingin melawat pelajaran terbuka mengenai topik ini "Kaedah dan keupayaan untuk debug skrip Shell Bash."

Sistem pengendalian Linux telah membuktikan kepada dunia semua kuasa projek sumber terbuka - terima kasih kepada beliau hari ini, kita mempunyai peluang untuk melihat kod sumber OS kerja dan berdasarkannya untuk mengumpulkan sistem anda sendiri untuk menyelesaikan objektif tertentu. Oleh kerana keterbukaannya, Linux menjadi sistem operasi yang paling selamat di dunia, kerana kod sumber terbuka membolehkan untuk membangun dan meningkatkan subsistem perlindungan dari serangan ke atas OS dan memperbaiki sistem operasi itu sendiri. Sesungguhnya, pada masa ini terdapat sejumlah besar perlindungan komuniti yang dibuat: Hari ini tidak lagi begitu mudah untuk melampaui kelemahan jenis limpahan penampan untuk mendapatkan keistimewaan tinggi seperti 20 tahun yang lalu. Walau bagaimanapun, hari ini anda boleh mencari eksploitasi dalam domain awam, yang walaupun pada versi terkini kernel boleh meningkatkan keistimewaan pengguna. Pertimbangkan dalam artikel ini, kerana ia berfungsi dan mengapa ternyata. Kami akan melalui komponen utama eksploitasi dan mempertimbangkan bagaimana sebahagian daripada mereka bekerja.

Semua maklumat yang diberikan dikumpulkan secara eksklusif untuk tujuan maklumat.

Jenis eksploitasi

Pilih istilah umum bahawa kami akan menunjukkan apa yang ada Mengeksploitasi - Algoritma yang melanggar fungsi normal sistem operasi, iaitu mekanisme pemisahan akses. Kami juga akan memperkenalkan konsep ini Kerentanan - Ini adalah ketidaksempurnaan perisian yang boleh digunakan oleh algoritma eksploit. Tanpa kelemahan, kewujudan eksploitasi adalah mustahil.

Kami memperkenalkan klasifikasi eksploitasi. Pemisahan asas eksploitasi kepada subkumpulan untuk mana-mana sistem operasi bermula pada tahap seni bina. Hari ini, sistem operasi termasuk sekurang-kurangnya 2 tahap keistimewaan yang digunakan untuk kerja mereka. Berikut adalah gambar yang jelas menunjukkan pemisahan keistimewaan. Gambar diambil Dari sini .

Gambar dengan jelas menunjukkan bahawa kernel (ruang kernel) hadir dalam sistem pengendalian, biasanya mod yang paling istimewa, di sini yang kita panggil sistem operasi. Dan tahap kedua adalah adat (ruang pengguna): aplikasi dan perkhidmatan biasa yang kami gunakan setiap hari dilancarkan di sini.

Ia secara sejarah membangunkan bahawa bagi setiap peringkat di atas, kelemahan boleh didapati di mana eksploitasi boleh diwujudkan, tetapi eksploitasi untuk setiap peringkat mempunyai batasannya.

Di peringkat pengguna, apa-apa eksploit yang memberi kesan kepada permohonan itu akan mempunyai keistimewaan yang digunakan oleh pengguna yang melancarkan aplikasi yang terdedah. Oleh itu, jenis eksploitasi ini membolehkan anda mendapatkan kawalan penuh ke atas OS hanya jika aplikasi dilancarkan oleh Pentadbir Sistem. Berbeza dengan tahap pengguna, tahap kernel. Sekiranya ia mengandungi kod yang terdedah, ia dapat dengan serta-merta membolehkan sistem operasi dengan keistimewaan maksimum. Di bawah ini akan memberi tumpuan kepada kajian eksploitasi ini.

Menerokai

Bayangkan statistik kecil mengenai pendedahan kerentanan bagi kernel pengedaran sistem operasi Linux Debian, Suse, Ubuntu, Linux dari 4 tahun yang lalu.

Data yang diambil Dari sini . Gambar tidak berpura-pura selesai, tetapi ia menunjukkan bahawa terdapat banyak kelemahan, dan bahkan hari ini ada dari apa yang harus dipilih untuk membina eksploitasi. Mari cuba untuk menerangkan apa yang dieksploitasi.

Mana-mana eksploit untuk mana-mana tahap sistem operasi hari ini terdiri daripada bahagian yang mesti dilaksanakan dalam kodnya:

  1. Operasi Persediaan:

    1) Navigasi paparan memori yang diperlukan

    2) Mewujudkan objek yang diperlukan dalam OS

    3) memintas mekanisme perlindungan OS untuk kelemahan

  2. Panggilan bahagian yang terdedah.

  3. Melakukan muatan:

    1) untuk membuka akses kepada OS

    2) Untuk menukar konfigurasi OS

    3) Untuk output sistem

Apabila melakukan semua item, yang ditunjukkan di atas, anda boleh menulis eksploitasi yang boleh dilaksanakan. Ambil beberapa eksploitasi tahun-tahun yang lalu dan cuba untuk mengetahui sama ada kemungkinan untuk mencari beberapa keteraturan atau pinjaman yang digunakan untuk melanggar pemisahan akses dalam sistem operasi Linux. Sebagai objek pengajian, kami mengambil eksploitasi yang menggunakan kelemahan berikut dengan pengecam CVE:

CVE-2020-8835.

CVE-2020-27194.

Bencana Exploit.

CVE-2020-8835. рAspasses Kernel Os Linux dari versi 5.5.0. Kerentanan adalah dalam pelaksanaan teknologi Ebpf. . Teknologi ini direka untuk memastikan pengguna boleh membuat pengendali khusus untuk menapis lalu lintas rangkaian. Sebagai komponen utama untuk penapisan, mesin maya dengan set arahannya sendiri digunakan. Kod yang dilakukan oleh kehidupan mesin maya dalam kernel: kesilapan dalam kod ini membawa penyerang untuk bekerja dengan ingatan dengan keistimewaan maksimum. Dalam kes kelemahan yang dijelaskan, masalahnya adalah bahawa operasi pemprosesan operasi 32 bit tidak diproses dengan betul, dan mesin maya boleh menulis dan membaca data dalam RAM Nuklear.

Oleh kerana pengarang eksploit menggunakan kelemahan ini dan apa muatan yang dilakukan, pertimbangkan lagi.

Peringkat persediaan

Untuk peringkat ini, bahagian seterusnya Kod ini bertanggungjawab.

Baris 394 - Mewujudkan objek dalam memori yang akan menyimpan data mengenai arahan untuk Ebpf. . Row 400 memuat ke dalam kod memori yang akan dilakukan di mesin maya dan akan melanggar syarat untuk memproses 32 bit arahan. Penyediaan memori berakhir, baris berikut akan membuat objek soket yang akan dipanggil arahan yang dimuat naik untuk bpf. . Selepas itu, ruang kerentanan akan bermula.

Panggilan kod terdedah

Memanggil kod terdedah, atau sebaliknya, bekerja dengan perintah mesin maya dijalankan dari baris 423 hingga 441. Tugas utama kod ini adalah untuk mendapatkan alamat asas struktur yang sedang memori, dalam hal ini ia adalah a Proses Heap (Heap). Sebaik sahaja perintah ini dilakukan, eksploitasi akan dapat mengesan data yang digunakan oleh sistem operasi untuk mengawal pemisahan akses. Dalam sistem pengendalian Linux, data ini disimpan dalam struktur Taskstruct. .

Muatan

Beban berguna eksploitasi ini ialah selepas pelaksanaannya, anda boleh menjalankan proses dengan hak pengguna akar . Untuk ini, kod eksploit menghasilkan pengubahsuaian sistem operasi kernel sistem kernel - Kredit. Ini adalah struktur yang memasuki struktur Taskstruct. . Struktur kod sumber Kredit. Boleh ditemui di sini .

Tindakan pengubahsuaian bidang Cred struct. boleh dilihat pada baris 472,473,474. . Iaitu, tindakan ini menetapkan nilai Uid, gid, sgid Proses yang dibuat. Dari sudut pandangan, ia ditetapkan kepada nilai pengenal yang biasanya digunakan akar . Kaedah ini sangat mirip dengan yang digunakan untuk serangan ke atas sistem operasi Windows.

Anda boleh melindungi diri anda tanpa mengemas kini OS, jika anda membuat perubahan berikut kepada konfigurasi: Sudo Sysctl Kernel.Unpriviled_bpf_disabled = 1

CVE-2020-27194. - lagi kelemahan dalam Ebpf. . Terdapat versi versi 5.8. *. Pencipta teknologi ini bergurau bpf. - Ini adalah JavaScript untuk kernel. Malah, penghakiman ini tidak jauh dari kebenaran. Mesin maya benar-benar menjalankan manipulasi ke atas pasukan yang menggunakan teknologi JIT, yang sendiri membawa semua kelemahan pelayar biasa dalam kernel sistem operasi, iaitu sukar untuk mengkonfigurasi subsistem perlindungan untuk melindungi kod tersebut. Kerentanan yang sedang dipertimbangkan ialah dari Kod Mesin Maya, anda boleh mengubah suai mana-mana kawasan RAM. Mungkin ini disebabkan oleh fakta bahawa mesin maya tidak selamat bekerja dengan operasi panjang 64 bit. Kerentanan sepenuhnya yang sama yang dipertimbangkan di atas.

Mengeksploitasi, yang direka untuk menggunakan kelemahan yang diterangkan, melakukan operasi yang sama seperti Exploit Cve-2020-8835. Mengeksploitasi algoritma seterusnya:

  1. Muat turun Kod dengan Pemprosesan 64 Bit Operations

  2. Buat soket dan hantar data untuk memanggil arahan Ebpf.

    1. Cari dalam fikiran alamat struktur Taskstruct. Dengan melakukan arahan dalam mesin maya

  3. Mengubah nilai. Uid, gid, sgid dan melancarkan shell interaktif.

Penulis menulis kod sumber dengan cip baru dan ciri tambahan. Kami menawarkan pembaca untuk melihat kod itu sendiri. Tahap yang disenaraikan dari kerja eksploit di atas tidak akan keliru.

Perlindungan terhadap kerentanan ini tanpa menggunakan kemas kini adalah sama: Sudo Sysctl Kernel.Unpriviled_bpf_disabled = 1

Apakah hasilnya?

Berdasarkan dua eksploit, yang dipertimbangkan dalam artikel itu, ia boleh dianggap bahawa meningkatkan keistimewaan dalam OS Linux moden tidak lagi menjadi pengaturcaraan pengaturcaraan yang lebih gelap, tetapi proses templat yang sepenuhnya dikenakan yang merangkumi penggunaan semula fungsi dan objek dalam RAM. Pada masa yang sama, ia tidak perlu menulis kod yang bergantung kepada asas (shellcode) yang akan melakukan kebanyakan tindakan. Ia cukup untuk mengubah pengenal yang digunakan untuk memberikan keistimewaan untuk pengguna.

Ketahui lebih lanjut mengenai kursus ini "Pentadbir Linux. Profesional. "

Daftar untuk pelajaran terbuka "Kaedah dan keupayaan untuk debug skrip Shell Bash."

Baca lebih lanjut:

Apa yang dieksploitasi?

Pada peringkat pembangunan dalam semua program dan rangkaian, mekanisme perlindungan terhadap penggodam dalam jenis kunci, memberi amaran pengawasan yang tidak dibenarkan, tertanam. Kerentanan adalah sama dengan tetingkap terbuka, untuk mendapatkan yang tidak akan menjadi sukar untuk penyerang. Dalam kes komputer atau rangkaian, penyerang boleh menubuhkan perisian berniat jahat dengan menggunakan kelemahan untuk mendapatkan kawalan atau menjangkiti sistem untuk tujuan bayaran mereka dengan akibat yang relevan. Mangkuk semua ini berlaku tanpa pengetahuan pengguna.

Menerokai
Bagaimanakah eksploitasi itu timbul?

Eksploitasi ini disebabkan oleh kesilapan dalam proses pembangunan perisian, sebagai akibat dari mana kelemahan berjaya digunakan dalam sistem perlindungan program, yang berjaya digunakan oleh penjenayah siber untuk mendapatkan akses tanpa had kepada program itu sendiri, dan meneruskannya ke seluruh komputer . Penjelasan diklasifikasikan mengikut jenis kelemahan, yang digunakan oleh penggodam: Hari Zero, DOS, Spoofing atau XXS. Sudah tentu, pemaju program tidak lama lagi akan melepaskan kemas kini keselamatan untuk menghapuskan kecacatan yang dijumpai, bagaimanapun, sehingga ke tahap ini, program ini masih terdedah kepada penceroboh.

Bagaimana untuk mengenali eksploitasi?

Oleh kerana eksploitasi menggunakan bar dalam mekanisme keselamatan program, pengguna biasa hampir tidak mempunyai peluang untuk menentukan kehadiran mereka. Itulah sebabnya sangat penting untuk mengekalkan program yang ditetapkan yang dikemas kini, terutamanya dalam masa yang tepat mengenai kemas kini keselamatan yang tepat pada masanya, yang dihasilkan oleh pemaju program. Sekiranya pemaju perisian melepaskan kemas kini keselamatan untuk menghapuskan kelemahan tertentu dalam perisiannya, tetapi pengguna tidak akan membuktikannya, maka, malangnya, program itu tidak akan menerima definisi virus yang paling terkini.

Bagaimana untuk menghapuskan eksploitasi?

Disebabkan hakikat bahawa eksploitasi adalah akibat dari kecacatan yang dilakukan, penghapusan mereka dimasukkan dalam tugas langsung pemaju, jadi penulis perlu menyediakan dan menghantar pembetulan ralat. Walau bagaimanapun, kewajipan untuk mengekalkan program yang dipasang dan dipasang tepat pada masanya memasang pakej kemas kini agar tidak memberi peluang peluang untuk menggunakan kerentanan, terletak sepenuhnya kepada pengguna. Salah satu cara yang mungkin tidak terlepas kemas kini terkini - menggunakan pengurus aplikasi yang akan memastikan bahawa semua program yang dipasang dikemas kini, atau - apa yang lebih baik - gunakan alat carian automatik dan memasang alat.

Bagaimana Menghentikan Percubaan oleh Hacker untuk Menggunakan Kerentanan Program Pihak Ketiga
  • Pastikan anda telah memasang kemas kini dan patch keselamatan terkini untuk semua program.
  • Untuk selamat dalam talian dan tetap up to date dengan acara, tetapkan semua kemas kini dengan segera selepas pembebasan mereka.
  • Pasang dan gunakan premium Anti-Virus, yang mampu mengemas kini secara automatik program yang dipasang.
Selamatkan diri dari eksploitasi

Bergantung pada akal sehat dan ikut peraturan asas kerja yang selamat di Internet. Hacker hanya boleh memanfaatkan kelemahan jika mereka berjaya mengakses PC anda. Jangan buka lampiran dalam mesej yang mencurigakan dan jangan muat turun fail dari sumber yang tidak diketahui. Sokongan program yang dipasang dikemas kini, dan juga kemas kini keselamatan tepat pada masanya. Sekiranya anda ingin memaksimumkan tugas ini, muat turun Avast Antivirus, yang bukan sahaja akan memberikan perlindungan yang boleh dipercayai terhadap semua jenis malware, tetapi juga akan membantu dengan pemasangan kemas kini yang paling terkini untuk program pihak ketiga.

Добавить комментарий