Exploit ?

[muzyk75]

Cześć Picasso, czy jest jakiś sposób aby zidentyfikować w systemie działający exploit ( wykorzystujący najprawdopodobnie procesy systemowe ). Umożliwia dostęp do systemu, przeglądanie folderów, pobieranie plików zapisanych w komputerze. Kaspersky Internet Security 2014 i Malwarebytes Premium niczego nie identyfikują, mimo to z komputera wyciekają kolejne pliki. Tylko ja mam do niego fizyczny dostęp. Zdalny dostęp jest wyłączony.

 

W TCPViev były widoczne obce nazwy komputerów, w Menadżerze zadań w grafikach połączeń były widoczne pakiety danych przychodzących / wychodzących. Dysk twardy wariuje.

 

W przypadku używania VPN następują wycieki. Połączenie jest tunelowane - jednak zdalnie można wszystko widzieć.

 

 Jest coś jeszcze do maszyny możne  wlogować się osoba nieuprawniona nawet gdy wyłączę Wi Fi. Możliwość tą atakujący traci przy wyłączeniu karty sieciowej.

 

Logi, zakladam że nic szczgólnego w nich nie zobaczysz ( przynajmniej Mnie się nie udało ):

 

 

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

[picasso]

mimo to z komputera wyciekają kolejne pliki (...) W przypadku używania VPN następują wycieki. Połączenie jest tunelowane - jednak zdalnie można wszystko widzieć. (...) Jest coś jeszcze do maszyny możne wlogować się osoba nieuprawniona nawet gdy wyłączę Wi Fi. Możliwość tą atakujący traci przy wyłączeniu karty sieciowej.

Jakie pliki i w jaki sposób zdiagnozowano wycieki, "zdalny podgląd" i nieautoryzowane logowanie (na podstawie jakich danych innych niż TCPView)? Swoją drogą to nie wiem jak wyglądał ten spis z TCPView.

 

 

Widzę, że jest tu w grze OpenVPN, który ze względu na integrację OpenSSL może mieć podatność na lukę "Heartbleed": KLIK. Wprawdzie masz wersję OpenVPN 2.3.4-I001 (powinna uwzględniać łatę), ale upewnij się na podstawie Wiki jaka wersja biblioteki jest używana: KLIK.

 

What about Windows clients?

 

All official OpenVPN Windows client installers are shipped with OpenSSL. However, only installer versions 2.3-rc2-I001 through 2.3.2-I003 ship a vulnerable version. Installer version 2.3.2-I004 fixes this vulnerability by bundling OpenSSL 1.0.1g. The fixed version can be downloaded from here.

 

If you want to verify whether the version of OpenSSL in your OpenVPN installation is vulnerable, go to C:\Program Files\OpenVPN\bin using Windows Explorer, right-click on libeay32.dll, click properties and check what Details -> Product Version says.

EDIT: Sprawdź lokalizację C:\Program Files\SecurityKISS Tunnel\OpenVPN\bin:

 

==================== Loaded Modules (whitelisted) =============
 

2014-04-28 23:34 - 2012-10-07 14:59 - 05941933 _____ () C:\Program Files\SecurityKISS Tunnel\SecurityKISSTunnel.exe

2014-04-28 23:34 - 2009-12-12 02:47 - 00578048 _____ () C:\Program Files\SecurityKISS Tunnel\OpenVPN\bin\openvpn.exe

2014-04-28 23:34 - 2009-12-12 02:48 - 01206784 _____ () C:\Program Files\SecurityKISS Tunnel\OpenVPN\bin\libeay32.dll

2014-04-28 23:34 - 2009-12-12 02:48 - 00232448 _____ () C:\Program Files\SecurityKISS Tunnel\OpenVPN\bin\libssl32.dll

2014-04-28 23:34 - 2009-12-12 02:48 - 00086528 _____ () C:\Program Files\SecurityKISS Tunnel\OpenVPN\bin\libpkcs11-helper-1.dll

 

 

.

[muzyk75]

OpenVPN wykluczam ( zainstlowana najnowsza wersja ). Po deinstalacji ( testowo ) obu VPNów nic się nie zmieniło.

 

W TCPView  widoczne były obce nazwy komputerów ( zakładka Local Address - protocol TCP ) - pojawiały się i od razu zwiększała się aktywność dysku twardego.

 

Pliki PDF z danymi lub z Exela. Można także wyciągnąć pliki usunięte poprzez kosz. Możliwość taka znika po usunięciu pliku poprzez Shift+Del.

Wygląda to tak jakby atakujący miał swobodny dostęp do wszystkich plików i folderów, mimo że na ekranie nie widzę żadnych otwieranych lub przeglądanych plików. Na początku widoczne były ruchy wskaźnikiem po ekranie ( odłączyłem mysz, wyłączyłem touchpad ) i włączająca się sama kamera ( zapalało sie światełko aktywności ) .

 

Najprawdopodobniej możliwy jest też dostęp do schowka ( hasła kopiuj / wklej )

 

Jakie pliki i w jaki sposób zdiagnozowano wycieki, "zdalny podgląd" i nieautoryzowane logowanie (na podstawie jakich danych innych niż TCPView)?

Informacje z "zewnątrz" - wiarygodne. Wybacz ale nie opiszę sposobu uzyskania.

 

Możliwe że za kilka lat Kaspersky lub inny lab ogłoszą znalezienie "nowego" exploita działającego od dłuższego czasu w systemach Windows.

 

Wykonałem jeszcze zrzut pamięci RAM programem DumpIt, jak wrzucę na hosting to podam linka.

[picasso]

Czy ten komputer jest częścią jakiegoś większego zespołu sieciowego / LAN? Jak jest skonfigurowany router (o ile jest do niego dostęp) w obszarze zabezpieczeń? Konkretnie chodzi mi o te ustawienia: KLIK.

 

 

 

.

[muzyk75]

 

Konkretnie chodzi mi o te ustawienia: KLIK.

Wszystko już dawno wykonane. Od siebie jeszcze mogę dorzucić, aby przy logoweniu  lub zmianie haseł odlączyć router od internetu i wyłączyć wi-fi.

 

 

Jak jest skonfigurowany router (o ile jest do niego dostęp) w obszarze zabezpieczeń?

WPA2 ( 61 znaków ) i ma zmienione hasło logowania ( 30 znaków ).  Dostęp z sieci wyłączony. Hasła zapisane w Keepass. Router zaktualizowany - Linksys X3000

 

 

Czy ten komputer jest częścią jakiegoś większego zespołu sieciowego / LAN?

Nie. Grupa robocza zmieniona na inną ze standardowej. Hasło do komputera ( 61 znaków ). Ustawione automatyczne logowanie fizyczne ( netplwiz ).

 

Zrzut pamięci RAM programem DumpIt: "priv" @mgrzeg jest biegły w odczytach.

[mgrzeg]

Na pierwszy rzut oka nie widzę niczego niepokojącego.

 

Uruchom process explorer z włączoną opcją weryfikacji sygnatur (Options -> Verify Image Signatures) i przejrzyj wszystkie procesy pod tym kątem (dodaj sobie zarówno w górnym jak i dolnym pane kolumnę 'Verified Signer' i posortuj po niej). Z resztek logu wynika, że są jakieś problemy z systemem kontroli integralności, ale tu zdaje się Picasso będzie bardziej pomocna (log security):

 

Funkcja sprawdzania integralności kodu wykryła, że skrót obrazu pliku jest nieprawidłowy. Plik mógł zostać uszkodzony z powodu nieautoryzowanej modyfikacji. Nieprawidłowy skrót może wskazywać potencjalny problem z urządzeniem dyskowym.

Nazwa pliku: \Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys

 

 

i log Operational dla Microsoft-Windows-CodeIntegrity

 

 

 

Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Windows\System32\RtkAPO.dll because the set of per-page image hashes could not be found on the system.

 

 

"Podejrzane" pliki wyszczególnione we wspomnianych logach wrzuciłem na VirusTotal, ale 'są czyste', więc albo fałszywe powiadomienia, albo jakiś problem z kontrolą integralności.

 

W aktywnych połączeniach widzę dwa zdalne adresy, ale nie wyglądają podejrzanie. Czy aktywność sieciowa + dysk mają miejsce cały czas? Skanowałeś dysk jakimś AV offline'owo?

 

m.

[muzyk75]

 

 Czy aktywność sieciowa + dysk mają miejsce cały czas? Skanowałeś dysk jakimś AV offline'owo?

Nie, tylko podczas wlogowywania się osoby trzeciej. AV Kaspersky i nic. Dlatego zakładam że musi być wykorzystywany jakiś proces systemowy. Exploita nie da się zidentyfikować tak jak zwykłego wirusa, malware czy tym podobne dziadostwo.

 

Jak wygląda w logu karta sieciowa, czy jest coś dziwnego, coś co nie pasuje do całości.

 

Czy są jeszcze jakieś inne logi, zrzuty pamięci, systemu, które można poddać analizie ?

 

 

dodaj sobie zarówno w górnym jak i dolnym pane kolumnę 'Verified Signer' i posortuj po niej

Nie bardzo chwytam. Poza tym weryfikacja pozytywna. Brak czegokolwiek przy: System Idle Process, System, Interrupts, smss.exe, csrss.exe, wininit.exe, services.exe, WmiPrvSe.exe, unsecapp.exe, audiodg.exe, lsm.exe, csrss.exe, winlogon.exe, taskmgr.exe, conime.exe.

[KolegaDudysa]

Muzyk.

 

Czy są jeszcze jakieś inne logi, zrzuty pamięci, systemu, które można poddać analizie ?

SNORT / klik

 

Snort – sieciowy system wykrywania włamań, dostępny na wolnej licencji.

 

Snort posiada szeroki zakres mechanizmów detekcji ataków oraz umożliwia,

 w czasie rzeczywistym, dokonywanie analizy ruchu i rejestrowanie pakietów

 przechodzących przez sieci oparte na protokołach IP/TCP/UDP/ICMP.

Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać

 podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak

przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW,

 SMB, próby wykrywania systemu operacyjnego i wiele innych. SNORT może

działać jako niezależny sniffer, rejestrator pakietów lub system IDS.

Żaden z tych trybów nie ma przewagi nad pozostałymi. Wyjątkiem może

być tylko rejestrator pakietów, który potrafi zapisywać pakiety na

dysku w zorganizowanej strukturze katalogów. Jeżeli odpowiednio skonfigurujemy

 plik snort.conf, spowoduje to, że system będzie rejestrował tylko

pakiety dopasowane do reguł określonych w tym właśnie pliku.

 

Jest jeszcze takie narzędzie jak Redline

klik

klik

Finding Evil on my Wife’s Laptop

Wymaga Net F 4 Nawet tego cuda nie testowałem więc nie wiem jak się sprawuje.

 

W świecie piszą że po załataniu luki OpenSSl można być dalej zagrożonym, doradzają zmiany haseł i coś wspominają o certyfikatach. Artykuły niedawno napisane, gdzieś 3 tygodnie temu.

Heartbleed maliciously exploited to hack network with multifactor authentication

Detect Exploit openSSL Heartbleed vulnerability using Nmap and Metasploit on Kali Linux

‘Heartbleed’ Vulnerability Opens the Door to SSL Heartbeat Exploits

Attackers Exploit the Heartbleed OpenSSL Vulnerability to Circumvent Multi-factor Authentication on VPNs

 

Nmap for Windows / klik

 

Życzę powodzenia

[Bonifacy]

 

 

Exploita nie da się zidentyfikować tak jak zwykłego wirusa, malware czy tym podobne dziadostwo.

Nie wiem czy da czy nie da się zidentyfikować ale np. McAfee Stinger operuje nazwą "Exploit". Zobacz changelog do niego - http://www.softpedia.com/progChangelog/McAfee-AVERT-Stinger-Changelog-7356.html - ile Exploitów ma w bazie.
Skoro wykrywa znane Exploity to i inne antywirusy/skanery powinny mieć taką detekcję.

[KolegaDudysa]

I dodatkowo zabezpieczyć się EMET - Enhanced Mitigation Experience Toolkit

 

Zestaw narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET)

Enhanced Mitigation Experience Toolkit(EMET)

Announcing EMET 5.0 Technical Preview

 

Chociaż EMET został złamany, był ogłoszony konkurs i zabezpieczenia zostały złamane (dobra kasa dla zwycięzcy) MS$ ma wprowadzić zmiany w narzędziu w v5 i je ulepszyć.

Edytowane 13 Maja 2014 przez KolegaDudysa

[ichito]

@Muzyk

Spróbuj użyć CrowdInspect...pokazuje procesy, które maja aktywne połaczenie z siecią i określa ich reputację.

http://www.crowdstrike.com/community-tools/

[KolegaDudysa]

@Muzyk

Spróbuj użyć CrowdInspect...pokazuje procesy, które maja aktywne połaczenie z siecią i określa ich reputację.

http://www.crowdstrike.com/community-tools/

Dobre dobre, Process Explorer też niedawno wprowadził funkcję Check VirusTotal. Chociaż wydaje mi się że może nieco lepszy byłby AnVir Task Free dostępna wersja portable. Po uruchomieniu Widok -> Kolumny -> zaznaczyć PID

 

Następnie zaznaczyć process. Na dole w karcie po lewej - Properties znajduje się informacja "Ustanowione połączenia internetowe" następnie karta Połączenia i jeśli to svchost to powinno widnieć w połączeniach Generic Host process for Win32 Services (PID) na końcu tabeli plik czy DLL, który ustanawia połączenie, może to i lepsze bo można szybciej wykryć w procesie konkretny plik, ale to tylko moja subiektywna ocena.

 

[muzyk75]

Dzięki za odzew i propozycje detekcji.   Testowanie wszystkiego co polecacie zajmie mi kilka chwil.

 

KolegaDudysa - EMET gryzie się z Kaspersky KIS 2014. Wersja EMET 5 wyszła chyba na początku marca. Testowałem EMET 5 razem z firewallem Comodo ( system postaiony od 0 - zerowanie, format, instalacja, konfiguracja ). Comodo ma dużo lepsze możliwości jeżeli chodzi o konfigurowanie reguł firewalla, ale zaliczyłem chyba crash tej zapory, zniknęły wszystkie reguły i ściana ogniowa ustawiła się na przepuszczaj wszystko. Nie wiem czy był to jakiś błąd Comodo czy celowe działanie.

 

Oto reguły jakie ustawiłem:

 

 

Do crashu było wszystko ( chyba ) ok.

 

SNORT ma płatne reguły. Poszukałem też innych IDS-ów, jednak darmowych i na windę jest niewiele.

 

ichito, Bonifacy - potestuję i zobaczę co z tego wyjdzie.

[KolegaDudysa]

To może zamiast Snorta dość chwalony WireShark Sniffer? Lub WinDump linuxowy klon TcpDump? Ale analizy pakietów współczuję, mi by się nie chciało (znowu by trzeba było dużo czytać). Do testów hmm...to

 

Metasploit

 

Metasploit – otwarte narzędzie służące do testów penetracyjnych i łamania zabezpieczeń systemów teleinformatycznych. Metasploit zawiera bazę gotowych exploitów oraz udostępnia interfejs, dzięki któremu można przygotowywać własne, korzystając z gotowych komponentów.

 

AirCrack-ng

 

Aircrack-ng – narzędzie sieciowe służące do detekcji, przechwytywania pakietów i analizy sieci Wi-Fi. Umożliwia łamanie zabezpieczeń WEP, WPA/WPA2-PSK. Do prawidłowego działania aplikacji potrzebna jest karta sieciowa obsługująca tryb monitor (RFMON).

 

Ostatnio instalowałem AVG i tak nie aktywowałem zapory i po wykluczałem dość sporo (xp sp3 - nie u siebie) ten antywirus taktował system jak wirusa Było na co popatrzeć a na innym Xp-ku chodził jak młoda dupcia idąca szlakiem na imprezkę

 

EDIT:

Przypomniało mi się o Install Guard / Install Guard Gives you Complete Control Over Software Installation in Windows. Pisałem no nim już na forum. To może nie to samo co EMET, ale daje dodatkową ochronę

[ichito]

Install Guard zrobił wrażenie, kiedy pojawił się prawie 2 lata temu...był porównywany do AppGuarda nawet i do EMETa nie można go porównywać...to monitor uruchamiania plików wykonywalnych (czyli taki bardziej anty-exe) z możliwościami nakładania restrykcji na pewne zdefiniowane lub wybrane przez użytkownika obszary systemu. Nie jest rozwijane od tego czasu...szkoda, bo choć przysparzał nieco kłopotów jako wersja testowa, to zapowiadał się całkiem nieźle.

[KolegaDudysa]

No Miałem na myśli dodatkową ochronę na FREE, co mi do głowy przychodzi - coś podobnego, ale płatne to Arellia Application Control Solution (i jeszcze ma wymogi) Chyba że znacie jeszcze jakieś darmowe toolsy. To i może by się Muzykowi dla jego exploitów przydało

[Bonifacy]

Może jeszcze coś w ten deseń: Malwarebytes Anti-Exploit (formerly ExploitShield) - https://www.malwarebytes.org/antiexploit

 

[piotreek]

Ewentualnie to http://www.dobreprogramy.pl/SpyShelter,Program,Windows,28581.html

[muzyk75]

Piotreek - Spyshelter nie może być używany jako podstawowe narzędzie utrudniające osobom trzecim / szkodliwym programom ingerencję w system. Co prawda w jednej z wersji dorobił się firewalla, ale to jeszcze za mało. Nie lubi się z Kaspersky 2014, którego mam aktualnie zainstalowanego. Instalacja SS razem z EMETem to może być mała masakra dla systemu. Wszystko będzie blokowane. Dzięki za podpowiiedź.

 

Bonifacy - mam zainstalowany MBAM Premium ( dostałem licencję jako prezent ) i też nic.

 

KolegaDydusa - zabrałem się teraz za Metasploit wersja free. Muszę zobaczyć jak to się je. Sądzę że trochę czasu się z tym pomęczę, zanim wszystko ogarnę.

[KolegaDudysa]

Muzyk może zamiast Spyshelter KeyScrambler też jest popularny - szyfruje to co wklepujesz w przeglądarkach (wersja darmowa), płatna ma więcej opcji, konfigurowalny. I nie gryzł mi się z Nodem. Znam jeszcze, ale płatny Zemana AntiLogger (nie testowałem, ale ponoć niezły).

[piotreek]

Tak tutaj gdybamy jednak jak w sytemie jest rootkit to z poziomu złamanego systemu go nie dojrzymy. Może by sprawdzić logi OTL-a ale z poziomu płyty startowej z OTL-em?

Sprawdź jeszcze ustawienia routera czy czasem nie masz dziwnych DNS-ów :-) może ktoś sniffuje pakiety?

[muzyk75]

KolegaDudysa ( dlaczego nie kumpel ? ) Keyscrambler szyfruje uderzenia w klawiaturę. Mam i używam. Zemana AntiLogger - jest dużo słabszy od SpyShelter, używałem pełną wersję. Co jakiś czas dostępne są promocje pełnych rocznych licencji tego softu.

 

Piotreek - w routerze DNS ustawione są automatycznie. Sniffing - WPA2 , 61 znakowe hasło ? Zauważyłem że router ma otwarty port NetBios.

Jest też pierwszy pozytyw tego tematu, uaktywniłes się na forum.

[KolegaDudysa]

KolegaDudysa ( dlaczego nie kumpel ? )

 

Bo kumpel by czuł zbyt dużą bliskość co do mojej osoby i jak się domyślam chciałby pożyczać co pewien czas kase (niektórzy kumple swoich psiapsiołów pożyczali kobiety - słyszałem z opowieści) Dlatego kolega do porządnego pochlania mi w zupełności wystarczy

[piotreek]

@Muzyk :-) ano nie było mnie trochę. W takim razie obstawiam skan systemu ale z płyty z windowsem/linuksem aby wykluczyć rootkita który jeśli jest to go w tym systemie nie znajdziemy.

[muzyk75]

Kaspersky Rescue Disk ( Debian ) - rezultat: 0

 

Standardowe skany narzędziami przeznaczonymi do szukania różnego rodzaju niepożądanego oprogramowania już przerobiłem z ( chyba ) każdej strony.

 

Jest jeszcze Kali Linux i polska edycja Kali: KLAK . Tu potrzebna jest znajomość konsoli. Mogę odpalać go tylko z płyty. Na instalację na tym komputerze mam za mało RAM - potrzeba 4 GB.

 

Tu jest ciekawa strona na której są podane programy do zabezpieczenia swojej prywatności.