Comments 39
Побайтно набрали файл, посчитали контрольную сумму, она совпала! Чудо, не иначе...
Обожаю безопасников, замечательные ребята. Вот они догадались, что файл можно просто перепечатать, скоро догадаются, что из любого файла можно сформировать qr-код и его пикнуть, один пик, почти 3к информации. А еще файл можно в динамики пропищать, есть такая штука, модем называется, погуглите. А еще любой файл можно одной лампочкой Num Lock на клавиатуре промигать, или точкой в тексте на экране....
Для полной безопасности у пользователя надо отобрать монитор, мышку, клавиатуру и отключить звук!
Не совсем понимаю, как вы предлагаете решать задачу копирования файла на удаленный ресурс через QR-коды. Предлагаете на целевом ресурсе установить сканер QR-кодов, что как бы технически сложнее для нарушителя? А как камеру оттуда навести на штрихкод? С динамиками тоже все понятно, способов передать информацию бывает много. Вопрос в том, какие из них нарушитель может наиболее просто и скрытно применить в наиболее типовых условиях и инфраструктурах. А последнее предложение прям улыбнуло, спасибо)
Проще на PowerShell набрать скрипт, который бы из входного файла забирал цифры в столбик, а на выходе записывал бы соответствующие им коды:
Get-Content input.txt | ForEach-Object { [byte][int]$_ } | Set-Content output.bin -Encoding Byte
Это функционал xxd: взять бинарь и сохранить столбиками hex-цифр, потом взять эти столбики - и упаковать обратно в бинарь.
Впрочем, если повершелл - то это винда, а как там - не знаю, врать не буду.
если есть возможность создавать и запускать скрипты - можно делать очень разное.
В статье на скринах винда :) Если бы была задача в Linux, то там и легче всё можно сделать. Тем более обычно антивирусы и EDR там не особо ставят
Вы абсолютно правы, в Linux это делается ещё проще, например вот так:echo -n -e '\x66\x6f\x6f' > test.txt
Но суть статьи не в том, каким именно способом удаленный злоумышленник запишет hex-символы в полубайты на целевом корпоративном ресурсе, а в том, что:
а) это принципиально возможно, если на целевом ресурсе должным образом не выполняются меры по ОПС (ограничение программной среды, выше просили расшифровать этот ИБшный термин);
б) для этого нарушителю понадобится программная (или программно-аппаратная, если он имеет дело с LiveUSB-токенами) автоматизация, которая сейчас очень даже доступна (нейронки, BadUSB-устройства), и безопасники должны это учитывать при моделировании угроз;
в) сетевые СрЗИ не отловят файл на анализ, т.к. он передается не стандартным способом, а набором текста в рамках терминальной сессии. Вероятно, даже всплеска сетевого трафика не будет, а значит не будет интерпретировано сетевыми СрЗИ, как сетевая аномалия.
Наоборот, перевести в Base64, если есть доступ к PowerShell на уделённой систиеме для конвертации.
$BinFile_Path = <Path of your Binary File>
$Base64_Code = [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("$BinFile_Path"));
То, что вы тут изложили как открытие, придумала Лоис Буджолд в "Ученике воина", когда два молодых и задорных мичмана обвели супердорогую и защищенную систему Барраярской безопасности именно таким образом - терминал к терминалу и никаких проводов или подключений к сети, чисто визуально и мануально. Написано еще в 90-х.
Давайте так. Теорема: если пользователь имеет канал передачи данных с хоста A на хост Б, и хост Б представляет собой "достаточно сложную систему", то ПРИНЦИПИАЛЬНО НЕВОЗМОЖНО ограничить содержание информации передаваемой с А на Б, а можно только ограничить ширину канала (количество информации в единицу времени). Доказательство: определение, является ли некоторая последовательность бит информации эквивалентом другой с учетом возможных преобразований внутри "Б" (скорее всего, полной по-Тьюрингу системы) - эквивалентно задаче остановки. То есть, за конечное время она не решается.
Что касается съема информации по побочному каналу - ну извините, вы человеку на дислплей вывели экран защищенной системы. То есть перевели ее в электромагнитные волны видимого диапазона. Снять эту информацию и записать в файл за пределами защищенного контура - это вопрос желания, а не возможностей!
То есть, за конечное время она не решается.
Если требуемой для вывода информации в единицу времени генерируется больше, чем пропускная способность канала - то, это достаточно очевидно. Но задача не в том, чтобы собрать постоянно генерируемый объём данных из удаленной системы, метод этого и не преследует, что описано в выводах.
вы человеку на дислплей вывели экран защищенной системы. То есть перевели ее в электромагнитные волны видимого диапазона. Снять эту информацию и записать в файл за пределами защищенного контура - это вопрос желания, а не возможностей!
Это только в том случае, если выводимая на экран информация - человекочитаема. Если же эта информация представляет ценность только в виде файла, но не является человекочитаемой, то так просто "в лоб" решить не получится. Как минимум, потребуется отобразить файл в "сыром" или хотя бы в символьном, но однозначно интерпретируемом для последующей обработки виде. Но, вообще говоря, в статье, рассматривается не тот сценарий, когда удаленный пользователь ставит себе задачу вывести файл из периметра, находясь за ним. Рассматриваются сценарии, когда описанным методом удаленный пользователь может затащить сторонний файл внутрь периметра, а также скрытно и автоматизировано вывести конфиденциальный файл наружу, находясь внутри периметра, и не попавшись при этом в DLP.
Забегая вперед, таким же способом может решаться и обратная задача, — скрытно извлечь произвольный файл с конфиденциальными данными из периметра предприятия.
Это в каком смысле таким же? Обратного клавиатурного канала нет, есть визуальный, то есть надо распознавать изображение в текст, технически это сложно назвать таким же способом.
hex-атака: как изящно обойти закрытый буфер обмена, потоковый AV и другие защитные механизмы удаленных рабочих мест
слово "изящно" вычеркните только
А если открыть файл на удалённом компьютере, сфоткать, и затем распознать - это к какому типу угроз относится?
Умных.
От умных всегда сплошные угрозы и беспокойство. Осталось добавить автоскролл штатными средствами, видеокамеру и распознавание текста с видео. Тогда можно будет гигабайты гонять, почти как стример
Стример в смысле устройство, хотя и второй смысл тоже подойдёт. StreamHacking это назовут наверное.
-Сегодня мы на стриме передадим полный образ базы данных ООО " супер секьюрити Лимитед" из их защищённого терминала
Почему-то многие воспринимают описанный метод именно в контексте вывода информации из периметра удаленным пользователем, который сам находится вне периметра. И так понятно, что такой вывод информации - это достаточно простая задача, хотя и со своими нюансами. Но только этот сценарий в статье вообще не рассматривается.
Вынужден цитировать свои же комментарии
в статье, рассматривается не тот сценарий, когда удаленный пользователь ставит себе задачу вывести файл из периметра, находясь за ним. Рассматриваются сценарии, когда описанным методом удаленный пользователь может затащить сторонний файл внутрь периметра, а также скрытно и автоматизировано вывести конфиденциальный файл наружу, находясь внутри периметра, и не попавшись при этом в DLP.
Но ведь первое апреля уже прошло? И анекдоту на эту тему, наверное, четверь века уже есть, а может и больше:
Сообщение в электронной почте: "Здравствуйте! Это эстонский вирус! Пожалуйста, разошлите меня всем адресатам из адресной книги и удалите содержимое папки Windows."
Если человек уже внутри системы, зашел со своим логином/паролем, то организация, как минимум, ему доверяет до того уровня, насколько у его логина хватает прав.
Если человек уже внутри системы, зашел со своим логином/паролем, то организация, как минимум, ему доверяет до того уровня, насколько у его логина хватает прав.
К сожалению, так бывает только в идеальном мире. На практике же, даже неочевидная и небольшая избыточность в правах, как мы видим, может создать канал для неконтролируемой передачи данных из/наружу.
Ага. Да вы опасный человек! Дай вам волю, так вы до ZMODEM додумаетесь!
Пока не устранен главный канал утечки конфиденциальной информации, глаза и мозг читающего эту информацию, все остальные каналы можно считать условно возможными.
Еще в далекие 90-е годы наблюдал как школьники с помощью такой атаки затаскивали софт на компьютер с отключенным дисководом. Сначала они подготовили и отладили программу на ассемблере (для меньшего веса), затем распечатали бинарник в hex, и в конце набрали во встроенном редакторе NortonCommander.
Похоже на фильм Побег из Шоушенка. Главный герой там несколько лет по песчинке выносил стену своей камеры, чтобы устроить побег.
Ещё в 0-е было такое: на одном сервере у меня был доступ в терминальную сессию, но доступ по ftp был закрыт. Были доступны утилиты tar, uuencode (UNIX-V). Сформировал архивчик, вывел его через uuencode на экран. В терминале записал сессию, получил "запрещённый" архив.
Очередной свидетель солонки :)
Такие вещи давно решаются, и не программно-аппаратным способом, а работой с людьми.
Что стоит самая навороченная система борьбы с утечками и притечками, если Главный Безопасник, который ее внедряет, тупо сделал бекап всех секретных баз, вынес его и продал заинтересованным лицам?
Или партнер, совладелец компании, которому, строго говоря, и отказать-то нельзя, это его собственность.
До анализа вводимых данных с клавиатуры, алярмов на вводимые данные, скорость ввода данных и прочее другое еще не дошли, .... ух, можно спать спокойно.
hex-атака: как изящно обойти закрытый буфер обмена, потоковый AV и другие защитные механизмы удаленных рабочих мест