S3 Ep100: Browser-in-the-Browser – نحوه تشخیص حمله [صوتی + متن]

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

دوغ.  Deadbolt - برگشت!

وصله های فراوان!

و مناطق زمانی… بله، مناطق زمانی.

همه اینها، و بیشتر، در پادکست امنیتی برهنه.

[مودم موزیکال]

همه به پادکست خوش آمدید.

من داگ آموت هستم.

مثل همیشه پل داکلین با من است.

پل، یک اپیزود 100 بسیار مبارک برای شما دوست من!

---

اردک.  وای داگ!

می دانید، زمانی که ساختار دایرکتوری خود را برای سری 3 شروع کردم، جسورانه از آن استفاده کردم -001 برای قسمت اول

---

دوغ.  من نکردم. [می خندد]

---

اردک.  نه -1 or -01.

---

دوغ.  هوشمندانه…

---

اردک.  ایمان زیادی داشتم!

و وقتی فایل امروز را ذخیره می کنم، از آن خوشحال خواهم شد.

---

دوغ.  بله، و من از آن می ترسم زیرا به بالای صفحه ظاهر می شود.

خب بعدا باید باهاش ​​کنار بیام…

---

اردک.  [می خندد] می توانید نام همه چیزهای دیگر را تغییر دهید.

---

دوغ.  میدونم میدونم.

[غر زدن] بی‌صبرانه منتظر آن نیستم... چهارشنبه من می‌رود.

به هر حال، اجازه دهید نمایش را با کمی تاریخچه فناوری شروع کنیم.

این هفته، در 12 سپتامبر 1959، لونا 2، همچنین به عنوان شناخته شده دومین موشک کیهانی شوروی، اولین فضاپیمایی بود که به سطح ماه رسید و اولین جسم ساخت بشر بود که با جرم آسمانی دیگری تماس گرفت.

خیلی باحال

---

اردک.  اون اسم بلند چی بود؟

"دومین موشک کیهانی شوروی"?

---

دوغ.  بله.

---

اردک.  لونا دو خیلی بهتره.

---

دوغ.  بله ، خیلی بهتر!

---

اردک.  ظاهراً، همانطور که می‌توانید تصور کنید، با توجه به اینکه دوران مسابقه فضایی بود، نگرانی‌هایی وجود داشت که «از کجا بدانیم که آنها واقعاً این کار را انجام داده‌اند؟ آنها فقط می توانند بگویند که روی ماه فرود آمده اند، و شاید در حال ساختن آن هستند.

ظاهراً آنها پروتکلی ابداع کردند که امکان مشاهده مستقل را فراهم می کرد.

آنها زمان رسیدن به ماه را پیش‌بینی کردند تا به ماه برخورد کند، و زمان دقیقی را که انتظار داشتند برای یک ستاره‌شناس در بریتانیا ارسال کردند.

و به طور مستقل مشاهده کرد تا ببیند آیا آنچه می‌گویند در آن زمان *می‌شود* اتفاق می‌افتد.

بنابراین آنها حتی به این فکر کردند که "چگونه چنین چیزی را تأیید می کنید؟"

---

دوغ.  خوب، در مورد مسائل پیچیده، ما وصله هایی از مایکروسافت و اپل داریم.

بنابراین چه چیزی در این دور اخیر قابل توجه است؟

---

اردک.  ما مطمئناً این کار را انجام می‌دهیم - سه‌شنبه این هفته، دومین سه‌شنبه ماه است.

دو آسیب پذیری در Patch Tuesday وجود دارد که برای من قابل توجه بود.

یکی قابل توجه است زیرا ظاهراً در طبیعت است - به عبارت دیگر، روز صفر بود.

و اگرچه اجرای کد از راه دور نیست، اما کمی نگران کننده است، زیرا یک آسیب پذیری لاگ فایل [سرفه عذرخواهی] است، داگ!

کاملاً اینطور نیست بد به عنوان Log4J، جایی که شما نه تنها می توانید Logger را مجبور به رفتار نادرست کنید، بلکه می توانید آن را نیز به آن سوق دهید کد دلخواه را اجرا کنید برای شما.

اما به نظر می رسد که اگر نوعی داده نادرست را به درایور سیستم فایل گزارش مشترک ویندوز، CLFS ارسال کنید، می توانید سیستم را فریب دهید تا شما را به امتیازات سیستم ارتقا دهد.

همیشه بد است اگر به عنوان یک کاربر مهمان وارد شده باشید و بتوانید خود را به یک sysadmin تبدیل کنید…

---

دوغ.  [می خندد] بله!

---

اردک.  این است که CVE-2022-37969.

و دیگری که به نظرم جالب بود…

...خوشبختانه در طبیعت نیست، اما این موردی است که شما واقعاً باید آن را اصلاح کنید، زیرا شرط می بندم این همان چیزی است که مجرمان سایبری روی مهندسی معکوس تمرکز خواهند کرد:

"آسیب پذیری اجرای کد از راه دور TCP/IP ویندوز", CVE-2022-34718.

اگر یادت باشه کد قرمزو SQL اسلمرو آن کرم‌های شیطان گذشته، که در یک بسته شبکه وارد شدند و راه خود را به سیستم مسدود کردند….

این حتی یک سطح پایین تر از آن است.

ظاهراً اشکال در مدیریت بسته‌های IPv6 خاص است.

بنابراین هر چیزی که IPv6 در حال گوش دادن است، که تقریباً هر رایانه ویندوزی است، می تواند در معرض خطر باشد.

همانطور که گفتم، آن یکی در طبیعت نیست، بنابراین کلاهبرداران هنوز آن را پیدا نکرده اند، اما من شک ندارم که آنها پچ را می گیرند و سعی می کنند بفهمند که آیا می توانند یک اکسپلویت را از آن مهندسی معکوس کنند یا خیر. برای گرفتن افرادی که هنوز پچ نکرده اند.

زیرا اگر چیزی بگوید: "اوه! اگر کسی کرمی بنویسد که از این استفاده می‌کرد چه؟

---

دوغ.  OK را بزنید.

و سپس به اپل…

---

اردک.  اخیراً دو داستان در مورد وصله‌های اپل نوشته‌ایم، جایی که به‌طور ناگهانی، وصله‌هایی برای آیفون‌ها و آی‌پدها و مک‌ها در برابر آن وجود داشت. دو روز صفر در طبیعت.

یکی از آن‌ها یک اشکال مرورگر یا یک اشکال مربوط به مرور بود، به طوری که می‌توانید وارد یک وب‌سایت بی‌گناه شوید و بدافزار روی رایانه‌تان فرود آید، به‌علاوه یکی دیگر که به شما کنترل در سطح هسته را می‌داد…

... که، همانطور که در پادکست گذشته گفتم، برای من بوی جاسوس افزار می دهد - چیزی که یک فروشنده نرم افزارهای جاسوسی یا یک "دزدگیر سایبری نظارتی" واقعاً جدی به آن علاقه مند است.

سپس یک به روز رسانی دوم وجود داشت، در کمال تعجب، برای iOS 12، که همه ما فکر می کردیم مدت هاست رها شده است.

در آنجا، یکی از آن باگ‌ها (مرورگر مربوط به آن بود که به کلاهبرداران اجازه نفوذ می‌داد) یک پچ دریافت کرد.

و سپس، درست زمانی که منتظر iOS 16 بودم، همه این ایمیل‌ها ناگهان در صندوق ورودی من فرود آمدند – درست پس از اینکه چک کردم: «آیا iOS 16 هنوز منتشر شده است؟ آیا می توانم آن را به روز کنم؟»

آنجا نبود، اما بعد همه این ایمیل‌ها را دریافت کردم که می‌گفتند: «ما به‌تازگی iOS 15، macOS Monterey، Big Sur، و iPadOS 15 را به‌روزرسانی کردیم…

... و معلوم شد که یک دسته کامل از به روز رسانی ها، به علاوه یک هسته کاملاً جدید zero-day این بار نیز وجود دارد.

و نکته جالب این است که، پس از دریافت اعلان‌ها، فکر کردم، "خب، اجازه دهید دوباره بررسی کنم..."

(بنابراین شما می توانید به یاد داشته باشید، این است تنظیمات > سوالات عمومی > به روز رسانی نرم افزار در iPhone یا iPad خود.)

ببینید، یک به‌روزرسانی برای iOS 15 به من پیشنهاد شده بود، که قبلاً داشتم، *یا* می‌توانستم تمام راه را به iOS 16 برسانم.

و iOS 16 نیز این اصلاح روز صفر را در خود داشت (حتی اگر iOS 16 از نظر تئوری هنوز منتشر نشده بود)، بنابراین حدس می‌زنم این باگ در نسخه بتا نیز وجود داشته باشد.

در بولتن اپل برای iOS 16 رسماً به عنوان روز صفر ذکر نشده است، اما نمی‌توانیم بگوییم که آیا این به این دلیل است که اکسپلویتی که اپل دید کاملاً در iOS 16 به درستی کار نمی‌کند یا اینکه به عنوان صفر در نظر گرفته نمی‌شود. روز، زیرا iOS 16 به تازگی منتشر شده است.

---

دوغ.  بله، می خواستم بگویم: هنوز کسی آن را ندارد. [خنده]

---

اردک.  این خبر بزرگ اپل بود.

و نکته مهم این است که وقتی به سمت تلفن خود می روید و می گویید "اوه، iOS 16 در دسترس است" ... اگر هنوز به iOS 16 علاقه مند نیستید، هنوز باید مطمئن شوید که iOS 15 را دارید. به روز رسانی، به دلیل هسته صفر روز.

روزهای صفر هسته همیشه یک مشکل هستند زیرا به این معنی است که کسی در آنجا می داند که چگونه تنظیمات امنیتی بسیار مورد تحسین آیفون شما را دور بزند.

این اشکال برای macOS Monterey و macOS Big Sur نیز اعمال می‌شود – این نسخه قبلی، macOS 11 است.

در واقع، بیگ سور در واقع دارای *دو* باگ صفر روزه هسته ای در طبیعت است.

هیچ خبری در مورد iOS 12 نیست، چیزی که من انتظار داشتم، و تا کنون هیچ خبری برای macOS Catalina نیست.

کاتالینا macOS 10 است، نسخه قبلی، و یک بار دیگر، ما نمی دانیم که آیا این به روز رسانی بعداً ارائه می شود یا اینکه آیا از لبه های جهان خارج شده است و به هر حال به روز رسانی نمی شود.

متأسفانه، اپل نمی گوید، بنابراین ما نمی دانیم.

اکنون، اکثر کاربران اپل به‌روزرسانی‌های خودکار را روشن می‌کنند، اما، همانطور که همیشه می‌گوییم، بروید و بررسی کنید (مک دارید یا آیفون یا آیپد)، زیرا بدترین چیز این است که فرض کنید خودکار شما به روز رسانی ها کار کردند و شما را ایمن نگه داشتند…

... زمانی که در واقع، مشکلی پیش آمد.

---

دوغ.  باشه خیلی خوب.

اکنون، چیزی که من مشتاقانه منتظر آن بوده ام، این است: "مناطق زمانی چه ارتباطی با امنیت فناوری اطلاعات دارند؟"

---

اردک.  خوب، خیلی زیاد، معلوم است، داگ.

---

دوغ.  [با خنده] بله قربان!

---

اردک.  مناطق زمانی در مفهوم بسیار ساده هستند.

آنها برای اداره زندگی ما بسیار راحت هستند به طوری که ساعت های ما تقریباً با آنچه در آسمان اتفاق می افتد مطابقت دارند - بنابراین شب تاریک و در روز روشن است. (بیایید صرفه جویی در نور روز را نادیده بگیریم، و فقط فرض کنیم که ما فقط مناطق زمانی یک ساعته در سراسر جهان داریم تا همه چیز واقعا ساده باشد.)

مشکل زمانی پیش می‌آید که شما واقعاً گزارش‌های سیستم را در سازمانی نگه می‌دارید که برخی از سرورهای شما، برخی از کاربران شما، برخی از بخش‌های شبکه و برخی از مشتریان شما در سایر نقاط جهان هستند.

وقتی در فایل گزارش می نویسید، آیا زمان را با فاکتور منطقه زمانی می نویسید؟

هنگامی که گزارش خود را می نویسید، داگ، آیا 5 ساعت (یا 4 ساعت در حال حاضر) را که نیاز دارید کم می کنید زیرا در بوستون هستید، در حالی که من یک ساعت اضافه می کنم زیرا به وقت لندن هستم، اما تابستان است. ?

آیا آن را در گزارش بنویسم تا وقتی گزارش را دوباره می خوانم برای *من* معنا پیدا کند؟

یا آیا زمانی معمولی تر و بدون ابهام را با استفاده از منطقه زمانی یکسان برای *همه* می نویسم، بنابراین وقتی گزارش هایی را که از رایانه های مختلف، کاربران مختلف، و نقاط مختلف جهان در شبکه من آمده مقایسه می کنم، در واقع می توانم رویدادها را ردیف کنم؟

بسیار مهم است که رویدادها را در یک راستا قرار دهید، داگ، به خصوص اگر در حال انجام پاسخ به تهدید در یک حمله سایبری هستید.

شما واقعاً باید بدانید که چه چیزی اول شد.

و اگر بگویید، "اوه، تا ساعت 3 بعدازظهر اتفاق نیفتاد"، اگر در سیدنی باشم، به من کمک نمی کند، زیرا ساعت 3 بعدازظهر من دیروز در مقایسه با ساعت 3 بعد از ظهر شما اتفاق افتاد.

بنابراین ، من نوشت یک مقاله در Naked Security در مورد برخی از راه هایی که می توانید با این مشکل مقابله کنید وقتی داده ها را ثبت می کنید

توصیه شخصی من این است که از یک قالب زمان بندی ساده به نام استفاده کنید RFC 3339، جایی که یک سال چهار رقمی، خط تیره [نویسه خط تیره، ASCII 0x2D]، ماه دو رقمی، خط تیره، روز دو رقمی و غیره را قرار می دهید، به طوری که مُهرهای زمانی شما در واقع بر اساس حروف الفبا به خوبی مرتب می شوند.

و اینکه تمام مناطق زمانی خود را به عنوان یک منطقه tme که به آن معروف است ضبط کنید Z (zed یا zee)، کوتاه شده برای وقت زولو.

این یعنی اساساً UTC یا زمان هماهنگ جهانی.

این تقریباً اما نه کاملاً به وقت گرینویچ است، و این زمانی است که تقریباً ساعت هر رایانه یا تلفن این روزها به صورت داخلی تنظیم شده است.

زمانی که در حال نوشتن در گزارش هستید، سعی نکنید مناطق زمانی را جبران کنید، زیرا در این صورت زمانی که کسی می‌خواهد گزارش شما را با لاگ دیگران ردیف کند، باید جبران کند - و لغزش‌های زیادی در فنجان و لب وجود دارد. داگ

نگه داشتن آن ساده است.

از یک قالب متنی معمولی و ساده استفاده کنید که دقیقاً تاریخ و زمان را دقیقاً تا دوم مشخص می‌کند – یا این روزها، اگر بخواهید، مهرهای زمانی حتی می‌توانند این روزها به نانوثانیه کاهش یابند.

و از شر مناطق زمانی از سیاهههای مربوط خلاص شوید. صرفه جویی در روز را از سیاهههای مربوط خود خلاص کنید. و فقط همه چیز را ضبط کنید، به نظر من، در زمان هماهنگ جهانی…

... به طور گیج کننده ای UTC مخفف شده است، زیرا نام آن به زبان انگلیسی است اما مخفف آن به زبان فرانسوی است – چیزی شبیه کنایه.

---

دوغ.  بله.

---

اردک.  
من وسوسه می شوم که بگویم، "نه این که دوباره احساس شدیدی نسبت به آن داشته باشم"، همانطور که معمولاً انجام می دهم، با خنده…

... اما واقعا مهم است که همه چیز را به ترتیب درست انجام دهید، به خصوص زمانی که در تلاش برای ردیابی مجرمان سایبری هستید.

---

دوغ.  بسیار خوب، این خوب است - توصیه عالی.

و اگر به موضوع مجرمان سایبری بپردازیم، در مورد حملات Manipulator-in-the-Middle شنیده اید. شما درباره حملات Manipulator-in-the-Browser شنیده اید…

..اکنون برای حملات Browser-in-the-Browser آماده شوید.

---

اردک.  بله، این اصطلاح جدیدی است که ما شاهد آن هستیم.

من می خواستم این را بنویسم زیرا محققان یک شرکت اطلاعاتی تهدید به نام Group-IB اخیراً مقاله ای در این مورد نوشتند و رسانه ها شروع به صحبت در مورد "هی، حملات مرورگر در مرورگر، خیلی بترس" یا هر چیز دیگری شروع کردند. …

شما در حال فکر کردن هستید، "خب، من تعجب می کنم که چند نفر واقعاً می دانند که منظور از حمله مرورگر در مرورگر چیست؟"

و نکته آزاردهنده در مورد این حملات، داگ، این است که از نظر فناوری، آنها به طرز وحشتناکی ساده هستند.

این یک ایده بسیار ساده است.

---

دوغ.  آنها تقریباً هنری هستند.

---

اردک.  بله!

واقعا علم و فناوری نیست، هنر و طراحی است، اینطور نیست؟

اساساً، اگر تا به حال برنامه‌نویسی جاوا اسکریپت (برای خوب یا بد) انجام داده باشید، می‌دانید که یکی از چیزهایی که در مورد مواردی که در یک صفحه وب می‌چسبید این است که به آن صفحه وب محدود می‌شود.

بنابراین، اگر یک پنجره کاملاً جدید ظاهر می‌کنید، انتظار دارید که یک زمینه مرورگر کاملاً جدید دریافت کند.

و اگر صفحه خود را از یک سایت کاملاً جدید، مثلاً یک سایت فیشینگ، بارگیری کند، به تمام متغیرهای جاوا اسکریپت، زمینه، کوکی ها و همه چیزهایی که پنجره اصلی داشت دسترسی نخواهد داشت.

بنابراین، اگر یک پنجره جداگانه باز کنید، اگر کلاهبردار باشید، به نوعی توانایی هک خود را محدود می کنید.

با این حال، اگر چیزی را در پنجره فعلی باز کنید، به میزان قابل توجهی محدود شده اید که چقدر هیجان انگیز و «شبیه سیستم» می توانید آن را ایجاد کنید، اینطور نیست؟

از آنجا که شما نمی توانید نوار آدرس را بازنویسی کنید ... این بر اساس طراحی است.

شما نمی‌توانید خارج از پنجره مرورگر چیزی بنویسید، بنابراین نمی‌توانید یواشکی پنجره‌ای را که شبیه کاغذ دیواری است، روی دسکتاپ قرار دهید، مثل اینکه همیشه در آنجا بوده است.

به عبارت دیگر، شما در داخل پنجره مرورگری که با آن شروع کرده اید، محصور شده اید.

بنابراین ایده حمله مرورگر در مرورگر این است که شما با یک وب سایت معمولی شروع کنید و سپس در داخل پنجره مرورگری که قبلاً دارید، یک صفحه وب ایجاد کنید که دقیقاً شبیه پنجره مرورگر سیستم عامل است. .

اساساً، شما یک *تصویر* از چیز واقعی را به کسی نشان می دهید و او را متقاعد می کنید که *واقعیت* است.

به همین سادگی است، داگ!

اما مشکل این است که با کمی کار دقیق، به خصوص اگر مهارت‌های CSS خوبی داشته باشید، می‌توانید *در واقع چیزی را که در یک پنجره مرورگر موجود است شبیه یک پنجره مرورگر خود کنید.

و با کمی جاوا اسکریپت، حتی می توانید آن را طوری بسازید که بتواند اندازه آن را تغییر دهد، و به طوری که بتواند روی صفحه حرکت کند، و می توانید آن را با HTML که از یک وب سایت شخص ثالث واکشی می کنید، پر کنید.

اکنون، ممکن است تعجب کنید... اگر کلاهبرداران به درستی متوجه شوند، چگونه می توانید بگویید؟

و خبر خوب این است که یک کار کاملا ساده وجود دارد که می توانید انجام دهید.

اگر چیزی شبیه پنجره سیستم عامل را مشاهده کردید و به هر نحوی به آن مشکوک هستید (در اصل به نظر می رسد که از پنجره مرورگر شما ظاهر می شود، زیرا باید در داخل آن باشد)…

... سعی کنید آن را از پنجره واقعی مرورگر خارج کنید، و اگر در داخل مرورگر "حبس" شده است، می دانید که این کار واقعی نیست!

نکته جالب در مورد گزارش محققان Group-IB این است که وقتی با این موضوع مواجه شدند، کلاهبرداران در واقع از آن علیه بازیکنان بازی های Steam استفاده می کردند.

و البته از شما می خواهد که وارد حساب Steam خود شوید…

... و اگر فریب صفحه اول را خوردید، حتی با تأیید احراز هویت دو مرحله ای Steam نیز پیگیری می کرد.

و ترفند این بود که اگر آن‌ها واقعاً *پنجره*های مجزا بودند، می‌توانستید آنها را به یک طرف پنجره اصلی مرورگر خود بکشید، اما اینطور نبود.

در این مورد، خوشبختانه آشپزها CSS خود را به خوبی انجام نداده بودند.

آثار هنری آنها نامرغوب بود.

اما، همانطور که من و شما بارها در پادکست، داگ، در مورد آن صحبت کرده‌ایم، گاهی اوقات کلاهبردارانی هستند که تلاش می‌کنند تا همه چیز را از نظر پیکسلی عالی جلوه دهند.

با CSS، شما به معنای واقعی کلمه می‌توانید تک تک پیکسل‌ها را قرار دهید، اینطور نیست؟

---

دوغ.  CSS جالب است.

این شیوه نامه های آبشاری... زبانی که برای استایل دادن به اسناد HTML استفاده می کنید، و یادگیری آن واقعا آسان است و تسلط بر آن حتی سخت تر است.

---

اردک.  [می خندد] مطمئناً شبیه IT به نظر می رسد.

---

دوغ.  [می خندد] بله، مثل خیلی چیزهاست!

اما این یکی از اولین چیزهایی است که با یادگیری HTML یاد می گیرید.

اگر به این فکر می کنید که "من می خواهم این صفحه وب را بهتر جلوه دهم"، CSS را یاد می گیرید.

بنابراین، با نگاهی به برخی از این نمونه‌های سند منبعی که از مقاله به آن پیوند داده‌اید، می‌توانید بگویید که انجام یک جعلی واقعاً خوب واقعاً سخت خواهد بود، مگر اینکه واقعاً در CSS مهارت داشته باشید.

اما اگر این کار را به درستی انجام دهید، فهمیدن اینکه این یک سند جعلی است، بسیار سخت خواهد بود…

... مگر اینکه همانطور که می گویید انجام دهید: سعی کنید آن را از یک پنجره بیرون بیاورید و در اطراف دسکتاپ خود حرکت دهید، مانند آن.

این به نکته دوم شما در اینجا منتهی می شود: پنجره های مشکوک را به دقت بررسی کنید.

بسیاری از آنها احتمالاً آزمایش چشم را نمی‌گذرانند، اما اگر موفق شوند، تشخیص آن واقعاً دشوار خواهد بود.

که ما را به سومین مورد می رساند…

"اگر شک دارید/آن را بیرون ندهید."

اگر کاملاً درست به نظر نمی رسد، و نمی توانید به طور قطع بگویید که چیزی عجیب در راه است، فقط قافیه را دنبال کنید!

---

اردک.  و ارزش آن را دارد که به وب‌سایت‌های ناشناخته، وب‌سایت‌هایی که قبلاً استفاده نکرده‌اید مشکوک باشید، که ناگهان می‌گویند، «بسیار خوب، ما از شما می‌خواهیم با حساب Google خود در پنجره Google یا فیس‌بوک در پنجره فیس‌بوک وارد شوید. ”

یا Steam در پنجره Steam.

---

دوغ.  بله.

من از استفاده از کلمه B در اینجا متنفرم، اما این در سادگی خود تقریباً درخشان است.

اما باز هم، ایجاد یک تطابق کامل پیکسلی با استفاده از CSS و مواردی از این قبیل، واقعاً سخت خواهد بود.

---

اردک.  فکر می‌کنم نکته مهمی که باید به خاطر بسپارید این است که، چون بخشی از شبیه‌سازی «کروم» [واژه‌های اصطلاحی برای اجزای رابط کاربری مرورگر] مرورگر است، نوار آدرس درست به نظر می‌رسد.

حتی ممکن است کامل به نظر برسد.

اما نکته اینجاست که این یک نوار آدرس نیست…

...این یک *تصویر* از یک نوار آدرس است.

---

دوغ.  دقیقا!

بسیار خوب، مراقب باشید، همه!

و، در مورد چیزهایی که آنطور که به نظر می‌رسند، صحبت می‌کنم، دارم در مورد باج‌افزار DEADBOLT و دستگاه‌های QNAP NAS می‌خوانم، و به نظرم می‌رسد که همین چند وقت پیش درباره این داستان دقیق صحبت کردیم.

---

اردک.  بله، داریم در این مورد نوشته شده است متأسفانه چندین بار در Naked Security تا کنون در سال جاری.

این یکی از مواردی است که در آن چیزی که یک بار برای کلاهبرداران کار کرده است، دو بار، سه بار، چهار بار، پنج بار کار کرده است.

و NAS، یا ذخیره سازی متصل به شبکه دستگاه‌ها، اگر دوست دارید، سرورهای جعبه سیاه هستند که می‌توانید بروید و بخرید – آنها معمولاً نوعی هسته لینوکس را اجرا می‌کنند.

ایده این است که به جای نیاز به خرید مجوز ویندوز یا یادگیری لینوکس، Samba را نصب کنید، آن را تنظیم کنید، یاد بگیرید که چگونه به اشتراک گذاری فایل را در شبکه خود انجام دهید…

... شما فقط این دستگاه را وصل می کنید و "Bingo" شروع به کار می کند.

این یک فایل سرور قابل دسترسی تحت وب است و متأسفانه، اگر آسیب‌پذیری در سرور فایل وجود داشته باشد و شما (به طور تصادفی یا طراحی) آن را از طریق اینترنت در دسترس قرار داده باشید، کلاهبرداران ممکن است بتوانند از آن آسیب‌پذیری سوء استفاده کنند، اگر آسیب‌پذیری در آن وجود داشته باشد. آن دستگاه NAS، از راه دور.

آنها ممکن است بتوانند تمام فایل‌های موجود در محل ذخیره‌سازی کلید شبکه شما، خواه شبکه خانگی یا شبکه کسب‌وکار کوچک را به هم بزنند، و اساساً بدون نگرانی از حمله به دستگاه‌های دیگر مانند لپ‌تاپ و تلفن‌های خود، شما را به باج بدهند. شبکه.

بنابراین، آن‌ها نیازی ندارند با بدافزارهایی که لپ‌تاپ شما را آلوده می‌کنند، دست و پنجه نرم کنند، و نیازی ندارند به شبکه شما نفوذ کنند و مانند جنایتکاران باج‌افزار سنتی در اطراف پرسه بزنند.

آنها اساساً همه پرونده‌های شما را درهم می‌زنند، و سپس - برای ارائه یادداشت باج - آنها فقط تغییر می‌کنند (نباید بخندم، داگ)... آنها فقط صفحه ورود به سیستم را در دستگاه NAS شما تغییر می‌دهند.

بنابراین، وقتی متوجه می‌شوید که همه فایل‌های شما به هم ریخته‌اند و فکر می‌کنید، «خنده‌دار است»، و با مرورگر وب خود وارد آن می‌شوید و به آنجا متصل می‌شوید، یک رمز عبور دریافت نمی‌کنید!

شما یک هشدار دریافت می کنید: "فایل های شما توسط DEADBOLT قفل شده اند. چی شد؟ تمام فایل‌های شما رمزگذاری شده‌اند.»

و سپس دستورالعمل نحوه پرداخت می آید.

---

دوغ.  و آنها همچنین با مهربانی پیشنهاد کرده‌اند که QNAP می‌تواند مبلغی بزرگ برای باز کردن قفل فایل‌ها برای همه قرار دهد.

---

اردک.  اسکرین شات هایی که در آن دارم آخرین مقاله در نشانی nadsecurity.sophos.com:

1. رمزگشایی های فردی با 0.03 بیت کوین، در ابتدا حدود 1200 دلار آمریکا زمانی که این چیز برای اولین بار گسترش یافت، اکنون حدود 600 دلار آمریکا است.

2. یک گزینه BTC 5.00، که در آن QNAP در مورد آسیب پذیری صحبت می کند تا آنها بتوانند آن را برطرف کنند، که واضح است که آنها نمی خواهند پرداخت کنند زیرا از قبل از آسیب پذیری مطلع هستند. (به همین دلیل است که یک وصله در این مورد خاص وجود دارد.)

3. همانطور که شما می گویید، یک گزینه BTC 50 وجود دارد (که در حال حاضر 1 میلیون دلار است؛ زمانی که اولین داستان منتشر شد، 2 میلیون دلار بود). ظاهراً اگر QNAP مبلغ 1,000,000 دلار را از طرف هر کسی که ممکن است آلوده شده باشد بپردازد، کلاهبرداران یک کلید رمزگشایی اصلی ارائه خواهند کرد، اگر اشکالی ندارد.

و اگر به جاوا اسکریپت آنها نگاه کنید، در واقع بررسی می کند که آیا رمز عبوری که در آن قرار داده اید با یکی از *دو* هش مطابقت دارد یا خیر.

یکی برای عفونت شما منحصر به فرد است - کلاهبرداران هر بار آن را سفارشی می کنند، بنابراین جاوا اسکریپت دارای هش است و رمز عبور را ارائه نمی دهد.

و یک هش دیگر وجود دارد که اگر بتوانید آن را کرک کنید، به نظر می رسد که رمز عبور اصلی را برای همه افراد در جهان بازیابی می کند…

... من فکر می کنم این فقط کلاهبرداران بود که بینی خود را به همه می زدند.

---

دوغ.  همچنین جالب است که باج 600 دلاری بیت کوین برای هر کاربر ... نمی خواهم بگویم "غیرقانونی" نیست، اما اگر به بخش نظرات این مقاله نگاه کنید، افراد زیادی هستند که نه تنها در مورد پرداخت این باج صحبت می کنند. فدیه…

...اما اجازه دهید به سؤال خواننده خود در اینجا بگذریم.

خواننده مایکل تجربه خود را از این حمله به اشتراک می گذارد، و او تنها نیست - افراد دیگری در این بخش نظرات هستند که موارد مشابهی را گزارش می کنند.

در میان چند کامنت، او می‌گوید (من می‌خواهم یک کامنت صریح از آن بیان کنم):

من این را پشت سر گذاشته‌ام و پس از پرداخت باج، خوب بیرون آمدم. پیدا کردن کد بازگشتی خاص با کلید رمزگشایی من سخت ترین قسمت بود. ارزشمندترین درس را گرفت.»

در کامنت بعدی‌اش، او تمام مراحلی را که باید انجام می‌داد تا عملاً دوباره کار کند انجام می‌دهد.

و او با:

«خجالت می‌کشم بگویم در IT کار می‌کنم، بیش از 20 سال است که توسط این باگ QNAP uPNP گزیده شده‌ام. خوشحالم که از آن عبور کردم.»

---

اردک.  وای، بله، این یک بیانیه است، اینطور نیست؟

تقریباً انگار می‌گوید: «من در برابر این کلاهبرداران از خودم حمایت می‌کردم، اما شرط را باختم و این برایم 600 دلار و کلی زمان تمام شد.»

آئارق!

---

دوغ.  منظور او از چیست "کد بازگشت خاص با کلید توضیحات او"?

---

اردک.  آه، بله، این بسیار جالب است... بسیار جذاب. (سعی می کنم اینجا نگویم شگفت انگیز-اسلش-درخشنده.) [خنده]

من نمی‌خواهم از کلمه C استفاده کنم و بگویم "باهوش" است، اما به نوعی اینطور است.

چگونه با این کلاهبرداران تماس می گیرید؟ آیا آنها به آدرس ایمیل نیاز دارند؟ آیا می توان آن را ردیابی کرد؟ آیا آنها به یک سایت دارک وب نیاز دارند؟

این کلاهبرداران این کار را نمی کنند.

زیرا، به یاد داشته باشید، یک دستگاه وجود دارد، و بدافزار زمانی که به آن دستگاه حمله می‌کند سفارشی و بسته‌بندی می‌شود تا یک آدرس بیت‌کوین منحصر به فرد در آن باشد.

و اساساً شما با پرداخت مقدار مشخص شده بیت کوین به کیف پول آنها با این کلاهبرداران ارتباط برقرار می کنید.

حدس می‌زنم به همین دلیل است که آنها مقدار را نسبتاً کم نگه داشته‌اند…

... من نمی خواهم پیشنهاد کنم که همه 600 دلار برای باج انداختن دارند، اما اینطور نیست که از قبل در حال مذاکره برای تصمیم گیری در مورد پرداخت 100,000 دلار یا 80,000 دلار یا 42,000 دلار باشید.

شما مبلغ را به آنها پرداخت می کنید ... بدون مذاکره، بدون چت، بدون ایمیل، بدون پیام فوری، بدون انجمن پشتیبانی.

شما فقط پول را به آدرس بیت کوین تعیین شده بفرستید، و بدیهی است که آنها لیستی از آدرس های بیت کوینی که تحت نظارت هستند، خواهند داشت.

وقتی پول می رسد، و آنها می بینند که رسیده است، می دانند که شما (و به تنهایی) پرداخت کرده اید، زیرا آن کد کیف پول منحصر به فرد است.

و سپس آن‌ها کاری را انجام می‌دهند که به طور موثر (من از بزرگترین قیمت‌های هوایی در جهان استفاده می‌کنم) "بازپرداخت" در بلاک چین، با استفاده از یک تراکنش بیت کوین به مقدار داگ، صفر دلار است.

و آن پاسخ، آن معامله، در واقع شامل یک نظر است. (یادت باشد هک Poly Networks? آن‌ها از کامنت‌های بلاک چین اتریوم استفاده می‌کردند تا بگویند: «عزیز، آقای کلاه سفید، آیا تمام پول را به ما پس نمی‌دهید؟»)

بنابراین شما به کلاهبرداران پول می‌دهید، بنابراین این پیام را می‌دهید که می‌خواهید با آن‌ها درگیر شوید، و آن‌ها 0 دلار به اضافه یک نظر 32 کاراکتری هگزا دسیمال به شما پس می‌دهند…

... که 16 بایت باینری خام است، که کلید رمزگشایی 128 بیتی است که شما نیاز دارید.

اینطوری باهاشون حرف میزنی

و، ظاهرا، آنها این را به یک T رسانده اند - همانطور که مایکل گفت، کلاهبرداری کار می کند.

و تنها مشکلی که مایکل داشت این بود که او به خرید بیت کوین یا کار با داده های بلاک چین و استخراج آن کد بازگشتی عادت نداشت، که اساساً نظر در "پرداخت" تراکنش است که او به ازای 0 دلار پس می گیرد.

بنابراین، آنها از فناوری به روش های بسیار نادرستی استفاده می کنند.

اساساً، آنها از بلاک چین هم به عنوان وسیله پرداخت و هم به عنوان ابزار ارتباطی استفاده می کنند.

---

دوغ.  بسیار خوب، داستان بسیار جالبی است.

ما مراقب آن خواهیم بود.

و بسیار متشکرم، مایکل، برای ارسال آن نظر.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی با ما تماس بگیرید: @NakedSecurity.

این برنامه امروز ماست - خیلی ممنون که گوش دادید.

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

---

هر دو.  ایمن بمان

[مودم موزیکال]