Pull to refresh
203
0
Alexey Sintsov @d00kie

User

Send message
Я бы все же ловил DNS туннель не статической сигнатурой, а статистическим анализом логов (аномалии запросов/резолвов).

Но если говорить про эту конкретную реализацию и простую сигнатуру, то можно палить, например, так (для доменного имени):

^t\.(\w+\.)+(\d+)\.(\d+)\.(\w)\.

и еще так
^7812\.reg0\.\d+\.(\w+)\.
Те IDS/TDS (включая NextGen) что я тестил не ловили вообще никак. Но сделать сигнатуру под формат запроса и резолва довольно просто.

Однако, должен сказать, что был у одной из них и детект однажды. Одна IDS словила момент работы шеллкода, когда тот дампил тело metsrv.dll через DNSKEY туннель. Но ИДС словила не сам ДНС канал, а заголовок дллки metsrv в общем сетевом трафике (ей все равно где ловить, просто есть сигнатура самой дллки), а DNSKEY шлет пейлод большими кусками за один присест. Та же ИДС, но уже с шеллкодом IPv6 (AAAA) не поймала тот же бинарь, ибо AAAA более фрагментирован (по формату данных спрятанных в IP).
Линукс тут не причем… проверить сканом портов и проверкой бюллютеней от вендора.
* «конечная точка» — такое есть только в таких «прямых» переводах от западных маркетинговых брошюр. А вот «конечное устройство», «рабочие станции», или даже «автоматизированное рабочее место» — более понятны нашему уху (в данном случае моему, не буду говорить за всех).

* «lateral movement» — лучше или раскрывать, использовать аналоги по смыслу в зависимости от контекста. Например на картинке (Фактор 1. Эволюция атак) это выглядит совсем непонятно.

* «suspecting the attack» — английский более лаконичный язык. Имеется ввиду «подозревать, что происходит/происходила атака».

А «подозревать атаку» — плохо читается… потому что я не знаю в чем эту атаку конкретно подозревают 8)

* про 58 секунд — ну вот читая оригинал, я это понимаю, а в русском это не так очевидно стало, то есть пришлось прочитать дважды. Хотя бы потому что «образцы угроз» и «malware hashes» — это не явный перевод, ну и вообще «образец угрозы» — так не очень звучит. Конечно можно сказать что threat ~ malware, но одинаковая malware с разным хэшом это все та же одна угроза? или это две разные угрозы? Ну тут просто вопросы интерпретации, и понятно, что все равно читатель догадается, но это просто не совсем удобно и корректно.
Про перевод, очень режет глаз, почти до крови:

* «пейзаж» угроз
«ландшафт угроз», говорят у нас…

* конечная точка
На русском нет дословного перевода, говоря о EndPoint — «конечное устройство .[пользователя]», может было бы более читабельно, а так «рабочая станция»…

* боковые перемещения внутри сети
Я догадался, про что это, но звучит грязно.

* подозревать атаку
а? А есть английский текст оригинала?

* охоте за угрозами
Theat Hunting лучше не переводить так дословно…

* 99% образцов угроз «живут» не более 58 секунд!
Это перевод, ВНИМАНИЕ: 99% of malware hashes are
seen for only 58 seconds or less
Мда…

Ладно, смотрите сами…
Кроме неверного перевода, еще и логические неточности:
Этап 4. Заражение

exploitaion != infection. На этом шаге происходит эксплуатация уязвимости — ее тригера, что дает атакующему, допустим, уже выполнять код и перейти к следующему шагу — Installation (тут хоть перевод более менее норм). Вот как раз Этап 5. По сути и есть «заражение» — когда вредонос поселился. Сам факт эксплуатации еще не несет заражения (только часть, что шеллкод/ROP, но по сути это «сервисный» код атакующего, для последующего заражения, как раз)

Этап 3. Доставка
При чем там SQLi? Ведь SQLi это как-раз эксплуатация, а заначит шаг 4…. «Доставкой» при этом будет GET/POST запрос c телом эксплойта — SQLi (ну если на примере типового ВЕБ).
Ребята, я понимаю маркетинг и бла-бла-бла, но даже если так — переводить надо «более лучше». Тут даж глумиться над ML и прочим не хочется, ибо «конечные точки» и прочий перевод не дает сосредоточится на теме 8)
Да, с хуками в ядре ТЕПЕРЬ больше проблем, особенно в вин10 8))
ring0 хуки лучше в этом плане.

не спорю, но почему жребий пал выпал именно на Нортонн я описал. И потом, это не про Нортон, как вендор, а про чисто архитектуру «давайте ринг3 хуки делать». Это не только Нортон, и про NexGen я писал тут, хоть и на кривом английском и без имен: https://asintsov.blogspot.de/2017/02/how-i-have-tested-endpointprotection.html Тут вышло 2 из 5 страдали такой же проблемой как и Нортон. Значит проблема ТИПОВАЯ, о чем я собственно и решил написать, просто на примере Нортона, так как он случайно попался под руку. Ну и ссылку от Cylance я тож привел, там так же есть упоминания этой проблемы с конкретными именами: https://2016.zeronights.ru/wp-
content/uploads/2016/12/You%E2%80%99re-Off-the-Hook.pdf
И это вполне себе не только «лаба и стримы для задротов», вот как бы ребята реально по живому режут: https://www.fireeye.com/blog/threat-research/2016/06/angler_exploit_kite.html
Это и не про NexGen, хотя повторюсь, что точно так-же видел и обходил такие хуки в NetGen, но там NDA 8) Тут я просто наткнулся на своем лэптопе на триал Нортона и увидел, что он «тоже могёт!», и далее мы в режиме стрима прям на ходу это все ломали. ТО есть это не спецом «ресерч», а именно фан ради стрима.

про EMET — хороший продукт (бесплатный и от вендора ОС) и он использует МНОГО разных техник, но так или иначе EMET обходили довольно регулярно. Вот из последнего и про хуки: https://www.xorlab.com/blog/2016/10/27/emet-memprot-bypass/ (стратегия 'Обмануть логику «магической проверки»' )
Ну вот, есть проблема — я не ДОЛЖЕН. Я потратил свое время, и согласно моей моральной установки «не навреди пользователям/гражданским» считаю, что сделал минимально полезное дело. Я довел до «общественности» информацию о проблеме, думаю ребята из Нортон, если заинтересованны, то уже давно прочитали мой корявый английский блог, и сделали выводы. Но сам я не должен искать их секурити и пытаться их в чем-то убедить, особенно из-за такой мелочи как обход хука.

Но были вещи и посерьезней, когда я решил, что не буду связываться-искать чью-то секурити команду, а просто промолчу (например SQLi в госзакупках Питерских или SQLi в сайте министерства оборона одной республики), в других случая я выкидывал инфу в FullDisclosure, и тогда фуллдисклоз помогал конкретно быстрее зафиксить проблемы, чем если бы я уведомлял так, например проблемы в JIT Safari или конкретные JIT-Spray PoC в ActionScript, пока это было в теории и в привате — никто не хотел фиксить). Но были и вещи, когда я без всякой корысти говорил о багах в сервисах, через которые, например, ломали Apple/Sony — https://habrahabr.ru/post/188222/.
В целом же я поддерживаю #NoMoreFreeBugs для корпораций (https://threatpost.com/no-more-free-bugs-software-vendors-032309/72484/). Но все зависит от конкретного случая — кто разработчик, какой продукт, кто пользуется, какая политика. В ОпенСорс проектах я уже по другому буду себя вести.

Что касается вознаграждений, то я сам всегда даю вознаграждения, за секурити-баг репорты: https://defcon-russia.ru/history/15/Nokia_reward_recognition.pdf (слайд 18, например… из работ прошлого, многие тут на Хабре получали от нас подарки). Сейчас тож активно поддерживаю тех, кто спонсирует нас багами, даже если официальное программы нет. Но не стоит путать теплое и мягкое.

А так я вполне легален и жизнь у меня налажена, спасибо 8)
Взлом — довольно понятие, чисто юридически. У нас есть статья, про неправомерный доступ, и во всех моих публикациях ее сложно применить. Есть статья за создание вредоносов — тут, конечно, все сложно. Но я считаю, что основным моментом должен быть «состав преступления», и тут его нигде нет. То есть я никого не ломаю, а если где-то нахожу дыру, которая на мой взгляд критична и опасна для пользователей, то, обычно, сообщаю об этом вендору, и никогда не использую «для себя» с ущербом для других честных людей. Просто потому что не интересно и не мое.

Что касается поиска дыр или слабых мест в софте, как, например тут, то я не вижу смысл сообщать вендору (Симантеку), так как лень и на мой взгляд это не стоит усилий.

Про банки — все эти истории были в прошлом, когда банк сам «меня» нанимал, когда я работал в Digital Security. То есть все взломы заказаны самими банками ;) До этого же, я тож немножко совсем ломал СОФТ для банков, и абсолютно без задней мысли, и без попрошайничества «баунти» отдавал вендорам баги просто так: BSS, Inist, R-Style. BSS мне вот подраили iPhone в 2009 за это. Остальные звали на собеседование ;) Никто, никогда негативно не относился. Один раз в XXXX-XXX, тех-деректор затупил, так как я хотел diclosure (ПиАра для DSEC), но там все равно сложный случай был… но затуп был прикольный, так как тех. директор не понял фразы «выполнение произвольного кода при переполнении буфера». Ответила она примерно так «Как можно выполнить произвольный код в нашем софте, если там есть только код нашего приложения, а произвольный-то откуда возьмется?»

Таким образом, я, надеюсь, развеял Ваши сомнения, по поводу моего криминального прошлого и настоящего. Конечно, я не буду врать и говорить, что в детстве не шалил или не использовал какие то «взломы» ради фана, но и тогда никто, никогда не страдал ни финансово ни (почти) морально 8)
Так что Мир! Дружба! Май!
Ого. Это довольно сильное и эмоциональное замечание. Но можно узнать, за что и зачем?
Нет, не проверялось. Причин несколько: ЕМЕТ бесплатен, и мучать его не так мило. Вторая — его не поддерживают более, продукт RIP. Ну и третья — это Ad-Hoc стрим был, «заметил, проверил, победил» онлайн, а не целенаправленный ресерч против Симантека или АВ индустрии в целом.
Спасибо, сам доволен. Хотя конкретно этот эпизод, скорее «хобби».
Так у меня аккаунт на хабре, я взял и сам опубликовал, но банки тут не причем совсем. И вроде себя к «хакерам-взломщикам банковских систем» не отношу, хотя бывало сливал номера PAN через SQLi в прошлом и RCE мутили. А однажды даж через банальный XSS делал PoC для обхода токена подписи (MiTB атака, развод оператора)… с банками было много чего веселого (я уже молчу про море багов в ActiveX или там integer overflow в Inter-PRO), но давно уже не интерисуюсь этой темой, но баек много имею… ;)

На вопрос про хабр — видимо это интересно некоторой группе ИТ, в этом и причина… тут есть хаб ИБ, и такие темы время от времени тут публикуют, что бы другие могли почитать и получить (надеюсь) удовольствие или даж пользу.
Так и нынче «не паханное». Особенно если взглянуть на АСУ ТП системы, IoT или Аутомотив — там до сих пор, много где, нет NX/ASLR…
по поводу реверс инжиниринга КАН сети, я пилю опен сорс фреймворк который упрощает исследование и изучение и если кому интересно потестить или по-пилить вместе, было бы здорово… ну например методы детекта типа данных или стат. отклонения, по ссылке с слайдами уже есть конкретные примеры…

https://github.com/eik00d/CANToolz
https://www.blackhat.com/docs/eu-16/materials/eu-16-Sintsov-Pen-Testing-Vehicles-With-Cantoolz.pdf (демо и примеры реверс инжиниринга автоматического в конце слайдов)

Information

Rating
Does not participate
Location
Berlin, Berlin, Германия
Registered
Activity