Zpět na seznam článků     Číst komentáře (15)     Verze pro tisk

Shatter Attack

Autor: ask@t   
18.4.2007

V tomto clanku se dozite neco o utoku typu shatter attack na windows. Jak funguje, jak ho provest a zaklady mechanismu zprav winu.


Co potrebujete:debugger ollydebug
zakladni znalost programovani ve windows API
(pokud neumite, nevadi staci jen znalost nejakeho jazyka jez ma podobnou syntax jako c++)
hlavu
a kompilator(pro line tu mam i binarky ale u tech nevite co v nich opravdu je :->)
proces explorer(dale jen PE)
download
a kerio personal firewall verze 2.15
download

Co to je?

Na svete je spousta zakernych mallwarovych programu/skriptu. Hodne z nich se snazi zakryt svou cinnost a ziskat prava roota aby tuto cinnost mohly provadet. V tomto clanku popisu jak vyuzit zpusob mechanismu zprav pro vnoreni naseho zakerneho kodu treba do programu kerio personal firewall a taky bych chtel poukazat na zavaznou zranitelnost programu pod windows a zpusobu chovani windows jako takovych.
(pokud programujete pod windows API tak tyto 2 odstavce klidne preskocte a prejdete na nadpis exploitujeme kerio)

Mechanismus zprav

Pro ty, kteri nevi co je to mechanismus zprav windows kratke vysvetleni: Jadro windows reaguje nepretrzite na zpravy. Zprava muze byt posun mysi, stisk klavesy, ci ji muze poslat program.Windows pote zpravu zpracuji a provedou akci - posun kurzoru, zmena sys.data, preskoceni do jineho okna..... Tento mechanismus vznikl davno pred tim, nez se dostala pocitacova bezpecnost do lidskeho povedomi.
Tento system ma 2 slabiny,
:neni mozne urcit odesilatele zpravy-->vsechny zpravy maji stejnou prioritu
:se zpravami byvaji predavany ukazatele na f-ce.

Rozebrani pouzitych f-ci

K poslani zpravy slouzi f-ce sendmessage()
1.parametr je handle okna, ktery je adresatem (handle = :"nazev" okna aplikace POZOR HANDLE OKNA SE NEROVNA NADPIS OKNA)
2.parametr - druh zpravy-viz tabulka
handle okna
K zjisteni handlu okna pouzivame f-ce findwindow()(dale jen fw) a findwindowex()(dale jen fwex)
1.parametr f-ce fw = nazev tridy okna(v nasem priklade je to "notepad")
2.parametr f-ce fw nas nezajima

f-ce fwex je schopna najit potomky hlavniho okna(notepad)
1.parametr = tzv. top-level okno(notepad)
2.parametr = nezajima nas = null
3. parametr = hledame podokno s nazvem "edit"
4.parametr = null

Notepadovy priklad odeslani zpravy
ZDe odeslu zpravu wm_paste(totez co CTRL + V) do notepadu.
kod

Jestli chcete kompilovat tak predtim zmazte komentare co presahuji radku
Kdyztak tu mam binarky
Tak ted ulozte neco do schranky otevrete notepad a spustte nas program. Heureka obsah schranky se zkopiroval.

Exploitujeme Kerio

Ted si ukazeme neco praktictejsiho. Programy jez obsahuji ovladaci okno edit(nebo richedit) jsou nachylne k utoku pomoci odeslani zpravy EM_SETWORDBREAKPROC, pomoci teto zpravy muzeme zmenit f-ci pro zalamovani textu v techto oknech.
K tomu abysme spustili vlastni shellode musime ho nejdriv programu zpristupnit a pote najit v pameti abysme vedeli jakou adresu pomoci f-ce setwordbreakproc volat.
(Mozna si vzpomenete na clanky na tema cracking ktere buh vi proc odsad zmizely)
Shell code programu zpristupnime tak ze ho ulozime do ovladaciho prvku edit.
(Pomoci f-ce WM_SETTEXT a aby se nam tam ten kod vesel tak pro jistotu predtim odeslem zpravu EM_SETLIMITTEXT a kdyby byl nas prvek edit jen pro cteni tak to zrusime zpravou EM_SETREADONLY)
Tak a mame zaruceno ze shellcode se ocitne v pameti ted ho jen najit. Nejdriv si shellcode vytvorime v metasploit framework.
(Psat shellcode mne fakt nebavi tak si ho vygeneruji. Na adrese http://metasploit.com:55555/PAYLOADS?FILTER=win32) Zajimave zni nadpis Windows Executable Download and Execute.(Zkuste si ale treba neco jineho)Do pole data mam dat url takze treba
http://www.soom.cz/data/optical.exe.
Tak a mam shellcode.)
Ted potrabujem zneuzitelny program s co nejvyssimi pravy.Kerio personal firewall verze 2.1.5 je vyborny. (Nevim jak jsou na tom novejsi verze, ale asi lip) A ted primo k zneuziti. Nejdrive v PE najdem okno s prvkem edit.
screen
Pote spustime debugger a pripichnem ho k procesu okna(file-->attach) Okna s kerio firewallem jsou tam asi 3 proto jsme predem zjistili cislo procesu s PE.(v ollym je to v hexadeci v PE je v desitkove takze pomoci kalkulacky prevest)
screen
Ted nam zbyva jen zjistit na jake adrese se vnoreny shellcode vyskytuje. Udelame pracovni verzi exploitu a na jeho zacatek dame retezec co v pohode najdem
(treba nomine, pokud nebyli sunbeltaci nabozensky zalozeni tak to tam dvakrat nebude) Na konec exploitu pridam poslani zpravy WM_LBUTTONDBLCLK ktera vyvola f-ci zalamovani taxtu, coz je ta f-ce kterou jsme upravili a tak se spusti nas shellcode

binarky
Ted spustime program a pokud vse vyjde napise:
"Napis adresu shellcode z debuggeru(ex. 0x0014E360):"
Nyni musime bajit shellcode v pameti.V ollydebug(ktery je stale pripojen k oknu s prvky edit) si vyjedem memory map A adresu prvniho znaku zadame do programu souhrn S timto si pote muzete se systemem delat co chcete staci jen prohazovat shellcody.

Zaverem

Nebot je tato chyba v mechanismu windows jeji opraveni bude potrebovat pravdepodobne velke zmeny v samotnem jadru takze to bude urcite jeste dlouho fungovat.
Nicmene program muzeme udelat rezistentni tim, ze budeme striktne oddelovat cast jez pracuje s uzivatelem a cast ktera ma prava system. Uplny exploit ktery by nepotreboval nasi asistenci pres PE a olly tu radeji zverejnovat nebudu protoze kazdy kdo umi si ho bud sam napise ci najde.(Opravdu na internetu je, staci jen hledat(treba casopis hakin9 ktery mi k tomuto clanku poslouzil)) A kdo neumi tak alespon odted vi, jak to funguje a muze si s tim vyhrat.

Zdroje:Hakin9 Cislo 3/2006-Clanek Shatter Attack
Autor:Krzystof Wilkos
http://www.rootsecure.net/content/downloads/pdf/shatter_attack_redux.pdf

Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.92/25

1  2  3  4  5    
(známkování jako ve škole)