támadás weblap segítségével

Security-all

Sziasztok!

Érdekelne, hogy egy e-mailben kapott linkre kattintás után betöltődő oldal segítségével, szerintetek mit lehet elérni az áldozat gépén, ha az oldal teljesen betöltődött, de a célpont utána nem kattint sehova, nem tölt le és nem telepít fel semmit.

Minden károkozás érdekelne. Ilyesmire gondoltam: pl. reverse shell nyitása.

( guszti | 2021. 04. 30., p – 17:41 )

Szerkesztve: 2021. 04. 30., p – 17:43

"Rosszúl tartod" :-).

Email-ben nem kattintunk semmilyen linkre! Kimásoljuk a linket és amit csak el lehet követni, sandboxban, mindenféle blokkoló böngésző bővítménnyel karöltve nyitjuk meg. Továbbá az ismert helyekről érkező értesítőket (jellemzően rezsi számlák, ecetera, ). Sem az értesítő mail-ből loginolunk, hanem direkt friss kereséssel becsattogunk a szolgáltatónk oldalára. Tudatában kell lenni annak, hogy milyen valós szolgáltatókkal van legális kapcsolatunk, minden mást kifejezett gyanakvással kell kezelni.

Szerintem.

IOMMU, vt-d, vagyis sys-usb nelkul is nagysagrendekkel biztonsagosabb mint barmelyik masik oprendszer. Pl. az ontopic link a levelbol eseten, Open in disposable VM, es maris nem erdekel semmi zero day a bongeszoben. Amig a XEN nem lukas, addig minden masnal jobb. Utana csak annyira biztonsagos, mint minden mas. :-)

ez hülyeség. az email biztonságos

nekem pl írt a volt nigériai király fia, hogy az örökségét nem tudja felvenni, de ha segítek, akkor megosztozik velem. most épp ott vagyunk, hogy küldtem neki pénzt, és az ügyvédje majd mondja, mi a folytatás

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Üdv
Bocs az erős OFF-ért
 

Van egy kolléganőnk őt is hülyítette a "fekete herceg" cseten, skype-on meg email-ben ... Aztán a hercegnek küldött pénzt, aztán még küldött. Aztán a szerencsételn herceget idefelé elrabolták a kalózok, oda is küldött (kb: ~4MFt mind kölcsönből! ). Amikor kitudódott eme kedves történet és szembesült vele, hogy őt minimum átvágták. Elmesélte már mindenkinek, hogy milyen gonosz az internet. Azóta néhány pofátlanabb kolléga, ha meglátja lekezdi énekelni a "Szandokán, Szandokán ..." kezdetű négysikerű film főcímdalát, de nem érti.
 

( kecske | 2021. 04. 30., p – 19:05 )

Szerkesztve: 2021. 04. 30., p – 19:09

egy e-mailben kapott linkre kattintás után betöltődő oldal segítségével

Feltetelezve, hogy a linken akar a tamado sajat webszervere is lehet / valami modositott (feltort) oldal, igy igazabol barmit, jobb esetben csak *coint banyaszik. Legrosszabb esetben kitor a bongeszo sandboxabol es felrak valamit a gepre. Nyilvan ez attol fugg, hogy ki a celpont es aki csinalja az mennyi energiat fektet bele (pl. celzott-e tamadas, stb.). Reszletesebben:

pl. reverse shell nyitása.

Ilyet csak ugy a sandboxing es az elerheto JS fuggvenyek limitacioja miatt nem tudsz csinalni egy normalis bongeszonel a legtobb esetben, max valami JS shell szerut kaphat vissza, amivel sokat nem er. Ennel tobbhoz mindenkeppen user interactionra vagy exploitra van szukseg. Tehat kb. valahogy igy vannak az eselyek, picit tulegyszerusitve:

  • Altalanos eset: random coint banyaszik a gepeden, megprobal ravenni, hogy lepj be a bankodnak kinezo oldalon, telepittetni akar veled valamit. Nagy szamok torvenye miatt elobb-utobb ugy is beszop valaki egy jo kis ransomwaret, mert elinditja a banking_update_lol333433zjkrlsrsere_erjkdsikee.exe-t.
  • Kemenyebb eset: valami bongeszo exploittal kiszed egy par hasznalhato adatot rolad, de az OS-ig nem jut el, ra tud nezni mondjuk egy masik tab adataira, stb.
  • Kemeny eset: kijut a bongeszobol, felrak valami malwaret a gepedre es tadaaam; valoszinuleg egy ransomwaret szoptal be.
  • Nagyon kemeny eset (NSA/CIA/FSB/Unit 8200): atmegy mindenen, mint fing a gatyan. Megkapod az UEFI/BIOS malwaret, ami OS ujratelepitest is kibirja es mindig az eppen futo OS-hez tartozo payloadot rakja fel, amivel neznek teged es azt csinalnak a gepeddel, amit akarnak. Ne aggodj, a telefonod, amint felmegy ugyan arra a halozatra, az is megkapja az "updatet".

Igazabol az a baj es azert kell kerulni a random linkek megnyitasat, mert a "kemeny" es a "nagyon kemeny eset" kozott bar tenyleg oriasi a kulonbseg, de a "kemeny eset" surubben fordul elo, mint az ember gondolna es, persze, csak egyszer kell megszivni. Arrol nem is beszelve, hogy hiaba vagy elovigyazatos, a lista masodik pontjatol mar nem rajtad mulik, hogy ellopnak-e valami fontosat, hanem a szerencsen.

( wladek1 | 2021. 05. 01., szo – 11:03 )

Túlterheléses támadást. 

Error: nmcli terminated by signal Félbeszakítás (2)

( nagy_peter v | 2021. 05. 03., h – 15:00 )

Ismerve a korábbi támadásokat, nagyjából ugyanazt lehet elérni a gépen, mint ha hagynád, hogy az illető leüljön 5 percre a géped elé, amikor be vagy jelentkezve rá. 

Korábban találkoztam olyan 0-day hibával, amit magam is kipróbáltam, hogy egy weblapot meglátogatva minden interakció nélkül elindította a gépen a calc.exe-t, rendszergazdai jogkörrel. Még akkor is, ha a böngésző csak felhasználói jogkörben futott. (ez már vagy 10 éve volt, XP alatt, és IE kellett hozzá, de mai böngészőkröl is olvasok hasonlókat, csak nem próbálgatom őket)

Nagy Péter

( Nyosigomboc v | 2021. 05. 03., h – 18:50 )

Attol fugg igazabol, hogy mennyire lyukas az OS meg a bongeszo. Volt par eve olyan iPhone, amit kenyelmesen lehetett rootolni, csak meg kellett latogatni vele egy megadott weboldalt, az meg megoldotta az erre keszitett exploittal. Volt brickelos exploit is.

A strange game. The only winning move is not to play. How about a nice game of chess?