Bu yılki cephanelik pistinde gösterilen yardımlar ve teknikler
Bu hafta Londra Excel Center’da düzenlenen bu yılki Black Hat Europe konferansında güvenlik araştırmacılarının, kalem testçilerinin ve böcek ödül avcılarının çalışmasına olanak sağlayan araçlar gösterildi.
Yıllık güvenlik konferansı, dünyanın dört bir yanından bilgisayar korsanlarının araştırma ve diğer bilgileri paylaşmak için bir araya geldiğini gördü.
Konferansın düzenli özelliklerinden biri, katılımcıların çeşitli bilgisayar korsanlığı araçlarının canlı demolarına tanık olabileceği cephanelik yolu.
Düğüm Güvenlik Kalkanı
Aracı oluşturan Domsdog Security’den Lavakumar Kuppan, bu yıl sergilenen araçlardan biri olan Node Security Shield’ın “NodeJS uygulamaları için sıfır gün koruması sağladığını” söyledi. günlük yudum.
“Geliştiriciler ve güvenlik mühendisleri tarafından kullanılmak üzere tasarlanmış bir savunma aracıdır” dediler.
“WA gibi mevcut savunma sistemleri [web application firewall], RASP veya herhangi bir tedarik zinciri saldırı koruma sistemi benzer bir yaklaşım benimser. Bilinen kötü kalıpları ararlar. Bu yaklaşım, iyi bilinen saldırıları engellemek için iyidir, ancak sıfır günlere karşı etkisizdir.
“Node Security Shield tam tersi bir yaklaşım benimsiyor. Uygulama sahipleri genellikle uygulamalarının beklenen davranışını bilir ve tanımlayabilir. Düğüm Güvenlik Kalkanı, yalnızca tanımlanmış iyi davranışa izin verilmesini ve herhangi bir sapmanın engellenmesini veya bir uyarıyı tetiklemesini sağlar.”
Node Security Shield, uygulama sahibinin uygulamasının beklenen davranışını tanımladığı basit bir JavaScript nesnesi olan İçerik Güvenliği Politikasından ilham alan bir “Kaynak Erişim Politikası”nı destekler.
Bilgisayar korsanlığı araçları hakkında en son haberleri okuyun
“Bu, sıfırıncı gün saldırılarını engellememizi veya istismarı hafifletmemizi sağlıyor. Ayrıca bu yaklaşım, gelen her talebi sürekli artan saldırı modelleri listesiyle karşılaştırmak zorunda olan diğer sistemlere kıyasla son derece hızlıdır.
“WAF ve RASP (çalışma zamanı uygulaması kendi kendini koruması) gibi sistemlerde, bu ürünlerin neyi engelleyeceği ve neye izin vereceği belli olmadığı için yasal işlevselliğin etkilenme riski vardır. Uygulama sahipleri, bu aracın neye izin verip neyi engelleyeceği konusunda çok net bir anlayışa sahip olduklarından, bu yaklaşımla bu risk önemli ölçüde daha az.”
Araç, popüler bir Java günlük kaydı çerçevesi olan Log4j’deki sıfır gün güvenlik açığı olan ve rastgele kod yürütülmesine yol açabilen Log4Shell güvenlik açığından esinlenmiştir. Log4j’ye dayanan birçok uygulama, sorun nedeniyle savunmasız hale geldi.
“Bir uygulamanın, geliştiricinin asla amaçlamadığı bir sunucuya rastgele ağ bağlantısı kurabilmesi, bizi çok rahatsız etti.
“Yani [we] uygulama sahiplerinin, uygulamalarının kiminle konuşabileceğini tanımlayabileceği ve uygulayabileceği bir sistem oluşturmak için yola çıktı ve böylece Log4Shell gibi sıfır gün istismarını engelledi.”
Araç, Domdog Security’de kendi NodeJS uygulamalarını korumak için dahili bir proje olarak geliştirildi, ancak ekip “şu anda onu deneyen en az iki şirketin daha farkında olduklarını” söyledi.
Kuppan şunları ekledi: “Bir sonraki sürümde dosya sistemi erişimini kontrol etme özelliğini eklemeyi düşünüyoruz. Kullanıcı geri bildirimlerinin çoğu, uygulamanın yeniden başlatılmasını gerektirmeden Kaynak Erişim Politikasını dinamik olarak güncelleme yeteneğinin istendiğine işaret etti. Dolayısıyla yol haritasında da bu var.”
JavaScript şaşırtması
Ayrıca gösteride sunum yapan Or Katz, JavaScript kodunun gizlenmiş olduğunu tespit edebilmek için tasarlanmış bir aracı gösteren ve yapı tabanlı imzalar kullanarak şaşırtmayı tespit eden Or Katz’dı.
JavaScript kodunu tarayıcı tarafından işlenmeden önce algılar, “gizleme aracı her seferinde aynı kötü amaçlı JavaScript’in farklı varyasyonlarını oluşturacağından bu daha zordur. [it is] karıştırılıyor”, dedi Katz günlük yudum sunumundan önce JavaScript Gizlemesi – Her Şey Paketleyiciler Hakkında.
“Bu statik kod algılama yaklaşımını kullanmak, [meant it has] sayfanın işlenmesini gerektiren tekniklere kıyasla daha iyi performans.
Araç ayrıca, JavaScript kodundan toplanan ve daha fazla algılama ve sınıflandırma yeteneği sağlayan bir dizi özellik sunar.
Katz şunları ekledi: “Kötü niyetli ve iyi huylu kodun sınıflandırılmasını sağlayacak makine öğrenimi modüllerinin eğitimi için toplama özelliklerini kullanarak, şaşırtma araçlarına ilişkin daha fazla kapsam için daha fazla yetenek ekleme konusunda gelecekteki düşüncelerimiz var.”
Çağır-DNSteal
Yaratıcısı Joel Gamez, Invoke-DNSteal adlı üçüncü bir aracın, kullanıcıların gizli bir iletişim kanalı olarak DNS protokolünü kullanarak dosya aktarımları gerçekleştirmesine izin verdiğini söyledi. günlük yudum.
Gamez, öncelikle kalem testçileri için tasarlanmış olmasına rağmen, böcek ödül avcılarının onu “güvenliği ihlal edilmiş bir bilgisayardan bilgi sızdırmak için çok kısıtlı ortamlarda” da kullanabileceğini belirtti.
“Diğer DNS veri hırsızlığı araçlarından farklı olarak, Invoke-DNSteal iki ana özellik ile öne çıkıyor:
Birincisi, herhangi bir türde kitaplık kullanmaması ve çalışması için üçüncü taraflara bağlı olmamasıdır.
“Sunucu tarafı için, yalnızca Python ve yuvaları kullanır, bu nedenle Python’u çalıştırabilen herhangi bir cihaz (sınırlı da olsa) sunucuyu çalıştırabilir.
“Kurban (veya isterseniz müşteri) tarafında, yerel PowerShell sorguları DNS yoluyla bilgi göndermek için kullanılacak, böylece birçok anti-virüs ve EDR çözümü atlanacak.”
Gamez, diğer araçların aksine, Invoke-DNSteal’in DNS etki alanına değil çözümleyiciye odaklandığını söylüyor.
“Tüm DNS hırsızlığı araçlarının bilgi göndermek için bir etki alanına ihtiyacı vardır. Bunu yapmak için, herhangi bir DNS çözümleyici kullanarak bu isteği çözmeleri gerekecektir.
“Invoke-DNSteal söz konusu olduğunda, saldırgan tarafından kontrol edilen ve mevcut olmasa bile herhangi bir etki alanını çözecek bir çözümleyici (veya bunların bir listesi) kullanmaya odaklanıyoruz.
“Bu şekilde, var olmayan rasgele alanlara bilgi göndermek mümkün oluyor ve böylece piyasadaki çoğu DNS sahteciliği önleme çözümünün önüne geçilmiş oluyor.”
Kullanıcılar ayrıca yüklerin boyutunu ve gönderme süresini de kontrol edebiliyor ve bu da korumalardan kurtulmalarına yardımcı oluyor.
Gamez, “Bu aracı oluşturmaya karar verdim çünkü bu sorunu çözen veya bu baypasları gerçekleştirmek için mevcut olmayan rastgele etki alanlarını kullanan bu tekniği kullanan herhangi bir araç bulamadım” dedi.
“Sonraki sürümlerde bir sıralama kontrolü ekleyeceğiz (UDP’nin [User Datagram Protocol] varsayılan olarak mevcut değildir), varsayılan olarak yük şifreleme, Linux için bir istemci ve diğer birçok şeyin yanı sıra yük sıkıştırmada bazı iyileştirmeler.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Black Hat Europe 2022: Savunulabilir bir internet mümkün, ancak yalnızca sektörel makyajla