Как большинство из вас знает, недавно была взломана организация, входящая в АНБ или очень близкая к нему. Эта связанная с АНБ группа, часто называемая Equation Group, скорее всего, ответственна за вредоносные программы Stuxnet и Flame, появившиеся несколько лет назад. Я полагаю, что эта группа — TAO (подразделение АНБ, занимающееся наступлением, известное как Tailored Access Operations) или очень близкий подрядчик АНБ (Booz Allen?). Среди награды, которую эти хакеры обнаружили, проникнув в системы Equation Group, было несколько эксплойтов нулевого дня. Кроме того, эта группа, известная как Shadow Brokers, предлагает другую информацию, найденную ими в Equation Group, за 1 миллион биткойнов, или около 500 миллионов долларов.
Директор Агентства национальной безопасности Майкл С. Роджерс выглядит раздраженным
Предыстория
Shadow Brokers , вероятно, является киберорганизацией, спонсируемой государством и, скорее всего, связанной с российским правительством. После взлома Equation Group они опубликовали множество украденных эксплойтов на GitHub и других ресурсах. Поначалу эксперты скептически относились к реальности этих эксплойтов, пока Cisco окончательно не подтвердила, что эксплойт EXTRABACON работает против их межсетевых экранов, и у них ещё нет патча. Позже другие производители, такие как Fortinet, также подтвердили эффективность этих эксплойтов против своих продуктов.
Некоторые предполагают, что русские демонстрируют свою хакерскую мощь перед президентскими выборами в США в ноябре, на которые они, похоже, намерены повлиять. Или, возможно, русские просто демонстрируют свою кибермощь, чтобы дать США понять, что, несмотря на превосходство США в кинетическом оружии, они всё ещё превосходят их в кибервойне. Как бы то ни было, это может быть «выстрелом в спину» американскому разведывательному сообществу и основным политическим партиям, подразумевающим, что они, русские, могут делать всё, что им заблагорассудится, в максимально защищённой среде. Они также дают понять, что у них есть новая информация, которая может нанести ущерб американскому разведывательному сообществу или американским политикам (та же группа, вероятно, взломала Национальный комитет Демократической партии).
За пределами геополитического контекста этот взлом служит ещё одним доказательством того, что АНБ хранит уязвимости нулевого дня, которые оно не раскрывает таким производителям, как Cisco, и тем самым снижает безопасность всех. Более того, если русские смогли взломать АНБ, то АНБ, возможно, переоценивает свои возможности и уровень защиты.
CISCO и EXTRABACON
Хотя многие скептически отнеслись к подлинности эксплойтов, выпущенных Shadow Brokers, примерно через день Cisco подтвердила подлинность эксплойтов, опубликовав следующее оповещение в своей консультационной службе Cisco.
По данным Cisco, эксплойт EXTRABACON позволяет злоумышленникам внутри сети, используя строку сообщества SNMP, удалённо выполнять код на своих межсетевых экранах. По сути, устройство, предназначенное для защиты нашей сети, оказывается скомпрометированным, что делает всю сеть небезопасной. Как и многие другие вредоносные программы для удалённого выполнения кода, EXTRABACON использует переполнение буфера в коде уязвимого устройства.
EXTRABACON позволяет злоумышленнику получить полный контроль над межсетевым экраном/устройством. Подробнее о SNMP и взломе строки сообщества SMNP можно узнать в моей статье здесь .
Для этого эксплойта требуется:
1. На устройстве должен быть включен SNMP.
2. Знание строки сообщества в любой версии SNMP (v1,v2,v3)
2. атака только с использованием пакетов IPv4
4. Доступ к системе, находящейся на интерфейсе брандмауэра.
Схема предоставлена Cisco Systems
Как получить свой ЭКСТРАБЕКОН
Эксплойт EXTRABACON — это скрипт Python, который можно загрузить здесь .
Я скачал его в свою систему Kali Linux, чтобы продемонстрировать, как он работает. После загрузки он создаёт каталог с именем 40258. Давайте перейдём в него и посмотрим его содержимое.
кали > cd 40258
кали > ls -l
Как видно выше, эксплойт содержит один исполняемый файл ( extrabacon_1.1.0.1.py) и четыре каталога. Перейдя в каталог версий , мы увидим, что этот эксплойт содержит шелл-код для каждого типа уязвимого межсетевого экрана Cisco ASA.
Наши друзья из Equation Group даже создали файл справки по этой уязвимости . Его можно увидеть, просто набрав:
Кали > ./extrabacon_1.1.0.1.py -h
Важно отметить, что этот эксплойт можно использовать в режиме info или exec .
Во-первых, необходимо использовать информационный режим для сбора необходимой эксплойту информации из брандмауэра, а затем использовать этот информационный файл в режиме exec .
Давайте используем EXTRABACON для сбора информации с целевого брандмауэра. Для этого нам понадобятся его IP-адрес и строка сообщества. В моём примере я использовал IP-адрес 192.168.1.101 и строку сообщества « hackers-arise ».
kali > ./extrabacon info -t 192.168.1.101 -c hackers-arise
Это вернёт файл, который нам нужен в режиме exec для EXTRABACON. Я назвал этот файл OTW. Конечно, у вас имя будет другим.
Теперь, чтобы выполнить наш шелл-код на цели, мы:
1. используйте опцию «exec»
2. Параметр -k , за которым следует файл, созданный в информационном режиме (OTW)
3. -t, за которым следует IP-адрес брандмауэра,
4. строка сообщества SNMP
5. и –mode pass-enable
Такой как;
kali > ./extrabacon_1.1.0.1.py exec -k OTW -t 192.168.1.101 -c hackers-arise –mode pass-enable
Если эксплойт успешен, он выполнит шелл-код на межсетевом экране Cisco ASA, предоставляя злоумышленнику полный контроль!
Правило фырканья для обнаружения ЭКСТРАБЕКОНА
В ответ на публикацию эксплойта EXTRABACON компанией Shadow Brokers компания Cisco (теперь владельцы Snort и SourceFire) выпустила сигнатуру для обнаружения эксплойта EXTRABACON.
Вы можете увидеть это ниже.
Давайте рассмотрим это правило и поймём, что оно делает. Я разбил правило на отдельные компоненты и пояснил каждый из них, чтобы вам было легче понять принцип работы этого правила Snort.
alert udp any any -> any 161 правило ищет UDP-трафик, поступающий с любого IP-адреса и любого порта на любой IP-адрес и порт 161 (порт SNMP) (сообщение: «ET EXPLOIT Equation Group ExtraBacon? Cisco ASA AAAADMINAUTH Disable»; при срабатывании правило отправит инженеру по безопасности следующее сообщение : «|bf a5 a5 a5 a5 b8 d8 a5 a5 a5 31 f8 bb a5|»; оно ищет это шестнадцатеричное содержимое в содержимом полезной нагрузки: «|ad 31 fb b9 a5 b5 a5 a5 31 f9 ba a2 a5 a5 a5 31 fa cd 80 eb 14 bf|»; и это шестнадцатеричное содержимое в полезной нагрузке расстояние: 2; в пределах: 22; начиная со второго байта и в пределах первых 22 байтов содержимое: «|31 c9 b1 04 fc f3 a4 e9 0c 00 00 00 5e eb ec e8 f8 ff ff ff 31 c0 40 c3|”; Затем он ищет это шестнадцатеричное содержимое в полезной нагрузке distance:4; within:24; начиная с четвертого байта и в пределах первых 24 байтов r eference:url, xorcatt.wordpress.com/2016/08/16/equationgroup-tool-leak-extrabacon-demo/ ; classtype:attempted-admin; sid:2023071; rev:1
и затем ссылается на эти источники.
Защиты
Пока Cisco не выпустит исправление этой уязвимости, у вас есть две лучшие меры защиты.
1. Сделайте строку сообщества SNMP длинной и сложной.
2. Отключите SNMP на уязвимом устройстве (SNMP-сервер не включен)
EXTRABACON ясно показывает нам, что существует ещё много эксплойтов нулевого дня, к которым следует относиться с осторожностью и беспокойством. Кроме того, он показывает, что эти эксплойты могут быть очень простыми в разработке и реализации.
Директор Агентства национальной безопасности Майкл С. Роджерс выглядит раздраженным
Предыстория
Shadow Brokers , вероятно, является киберорганизацией, спонсируемой государством и, скорее всего, связанной с российским правительством. После взлома Equation Group они опубликовали множество украденных эксплойтов на GitHub и других ресурсах. Поначалу эксперты скептически относились к реальности этих эксплойтов, пока Cisco окончательно не подтвердила, что эксплойт EXTRABACON работает против их межсетевых экранов, и у них ещё нет патча. Позже другие производители, такие как Fortinet, также подтвердили эффективность этих эксплойтов против своих продуктов.
Некоторые предполагают, что русские демонстрируют свою хакерскую мощь перед президентскими выборами в США в ноябре, на которые они, похоже, намерены повлиять. Или, возможно, русские просто демонстрируют свою кибермощь, чтобы дать США понять, что, несмотря на превосходство США в кинетическом оружии, они всё ещё превосходят их в кибервойне. Как бы то ни было, это может быть «выстрелом в спину» американскому разведывательному сообществу и основным политическим партиям, подразумевающим, что они, русские, могут делать всё, что им заблагорассудится, в максимально защищённой среде. Они также дают понять, что у них есть новая информация, которая может нанести ущерб американскому разведывательному сообществу или американским политикам (та же группа, вероятно, взломала Национальный комитет Демократической партии).
За пределами геополитического контекста этот взлом служит ещё одним доказательством того, что АНБ хранит уязвимости нулевого дня, которые оно не раскрывает таким производителям, как Cisco, и тем самым снижает безопасность всех. Более того, если русские смогли взломать АНБ, то АНБ, возможно, переоценивает свои возможности и уровень защиты.
CISCO и EXTRABACON
Хотя многие скептически отнеслись к подлинности эксплойтов, выпущенных Shadow Brokers, примерно через день Cisco подтвердила подлинность эксплойтов, опубликовав следующее оповещение в своей консультационной службе Cisco.
По данным Cisco, эксплойт EXTRABACON позволяет злоумышленникам внутри сети, используя строку сообщества SNMP, удалённо выполнять код на своих межсетевых экранах. По сути, устройство, предназначенное для защиты нашей сети, оказывается скомпрометированным, что делает всю сеть небезопасной. Как и многие другие вредоносные программы для удалённого выполнения кода, EXTRABACON использует переполнение буфера в коде уязвимого устройства.
EXTRABACON позволяет злоумышленнику получить полный контроль над межсетевым экраном/устройством. Подробнее о SNMP и взломе строки сообщества SMNP можно узнать в моей статье здесь .
Для этого эксплойта требуется:
1. На устройстве должен быть включен SNMP.
2. Знание строки сообщества в любой версии SNMP (v1,v2,v3)
2. атака только с использованием пакетов IPv4
4. Доступ к системе, находящейся на интерфейсе брандмауэра.
Схема предоставлена Cisco Systems
Как получить свой ЭКСТРАБЕКОН
Эксплойт EXTRABACON — это скрипт Python, который можно загрузить здесь .
Я скачал его в свою систему Kali Linux, чтобы продемонстрировать, как он работает. После загрузки он создаёт каталог с именем 40258. Давайте перейдём в него и посмотрим его содержимое.
кали > cd 40258
кали > ls -l
Как видно выше, эксплойт содержит один исполняемый файл ( extrabacon_1.1.0.1.py) и четыре каталога. Перейдя в каталог версий , мы увидим, что этот эксплойт содержит шелл-код для каждого типа уязвимого межсетевого экрана Cisco ASA.
Наши друзья из Equation Group даже создали файл справки по этой уязвимости . Его можно увидеть, просто набрав:
Кали > ./extrabacon_1.1.0.1.py -h
Важно отметить, что этот эксплойт можно использовать в режиме info или exec .
Во-первых, необходимо использовать информационный режим для сбора необходимой эксплойту информации из брандмауэра, а затем использовать этот информационный файл в режиме exec .
Давайте используем EXTRABACON для сбора информации с целевого брандмауэра. Для этого нам понадобятся его IP-адрес и строка сообщества. В моём примере я использовал IP-адрес 192.168.1.101 и строку сообщества « hackers-arise ».
kali > ./extrabacon info -t 192.168.1.101 -c hackers-arise
Это вернёт файл, который нам нужен в режиме exec для EXTRABACON. Я назвал этот файл OTW. Конечно, у вас имя будет другим.
Теперь, чтобы выполнить наш шелл-код на цели, мы:
1. используйте опцию «exec»
2. Параметр -k , за которым следует файл, созданный в информационном режиме (OTW)
3. -t, за которым следует IP-адрес брандмауэра,
4. строка сообщества SNMP
5. и –mode pass-enable
Такой как;
kali > ./extrabacon_1.1.0.1.py exec -k OTW -t 192.168.1.101 -c hackers-arise –mode pass-enable
Если эксплойт успешен, он выполнит шелл-код на межсетевом экране Cisco ASA, предоставляя злоумышленнику полный контроль!
Правило фырканья для обнаружения ЭКСТРАБЕКОНА
В ответ на публикацию эксплойта EXTRABACON компанией Shadow Brokers компания Cisco (теперь владельцы Snort и SourceFire) выпустила сигнатуру для обнаружения эксплойта EXTRABACON.
Вы можете увидеть это ниже.
Давайте рассмотрим это правило и поймём, что оно делает. Я разбил правило на отдельные компоненты и пояснил каждый из них, чтобы вам было легче понять принцип работы этого правила Snort.
alert udp any any -> any 161 правило ищет UDP-трафик, поступающий с любого IP-адреса и любого порта на любой IP-адрес и порт 161 (порт SNMP) (сообщение: «ET EXPLOIT Equation Group ExtraBacon? Cisco ASA AAAADMINAUTH Disable»; при срабатывании правило отправит инженеру по безопасности следующее сообщение : «|bf a5 a5 a5 a5 b8 d8 a5 a5 a5 31 f8 bb a5|»; оно ищет это шестнадцатеричное содержимое в содержимом полезной нагрузки: «|ad 31 fb b9 a5 b5 a5 a5 31 f9 ba a2 a5 a5 a5 31 fa cd 80 eb 14 bf|»; и это шестнадцатеричное содержимое в полезной нагрузке расстояние: 2; в пределах: 22; начиная со второго байта и в пределах первых 22 байтов содержимое: «|31 c9 b1 04 fc f3 a4 e9 0c 00 00 00 5e eb ec e8 f8 ff ff ff 31 c0 40 c3|”; Затем он ищет это шестнадцатеричное содержимое в полезной нагрузке distance:4; within:24; начиная с четвертого байта и в пределах первых 24 байтов r eference:url, xorcatt.wordpress.com/2016/08/16/equationgroup-tool-leak-extrabacon-demo/ ; classtype:attempted-admin; sid:2023071; rev:1
и затем ссылается на эти источники.Защиты
Пока Cisco не выпустит исправление этой уязвимости, у вас есть две лучшие меры защиты.
1. Сделайте строку сообщества SNMP длинной и сложной.
2. Отключите SNMP на уязвимом устройстве (SNMP-сервер не включен)
EXTRABACON ясно показывает нам, что существует ещё много эксплойтов нулевого дня, к которым следует относиться с осторожностью и беспокойством. Кроме того, он показывает, что эти эксплойты могут быть очень простыми в разработке и реализации.
