SÉRIE.: SHELL SCRIPT NOSSO DE CADA DIA (Parte 01)

Ter habilidades em trabalhar com shell script permite aproveitar ao máximo as funcionalidades do Linux e consequentemente evoluir nos estudos em Pentest.

Nesse primeiro post, de uma série longa, vou mostrar as funcionalidades práticas do shell script em tarefas rotineiras. Pode parecer coisas simples, porém, combinadas com atividades específicas, pode ajudar e muito.

Abaixo um exemplo de script que recebe palavras ou números e imprime a quantidade de caracteres. Atente para a utilização dos recursos na criação do script e tente implementar em outras situações ou até mesmo melhorar acrescentando navas funcionalidades.

1 #!/bin/bash
2
3 if [ "$1" == "" ]
4 then
5 echo "Passe o argumento $0 palavra(s)"
6 else
7 echo -n "$*" | sed 's/ //g' | wc -m
8 fi

Na linha 3 é colocado uma condição: se não for passado nenhum argumento, será exibida uma mensagem informando como o script deve ser executado.

Saltando para a linha 7, o comando echo precisa estar com o atributo -n para evitar fazer uma quebra de linha (\n) ao final do argumento passado pelo usuário. O que isso interfere? Caso você não coloque apenas o comando echo, a contagem final mostrará um byte a mais. 

O comando sed vai suprimir os espaços em branco pois o usuário pode passar mais de um argumento e a variável $* garante que o echo imprima todos. Tipo "palavra palavra" passadas pelo programa. 

Ao final, todas as informações serão canalizadas para o comando wc -m que vai fazer a contagem.

Gaste um pouco mais de tempo aprendendo a trabalhar com o sed pois é uma "mão na roda" para realizar filtros em arquivos de texto na obtenção de informações. Em breve vou mostrar exemplos mais avançados.

Bons estudos!

MULTIPLAS FALHAS ENCONTRADAS NA VERSÃO 9.0.1.1049 DO FOXIT

Foram descobertas multiplas vulnerabilidades em um dos mais populares leitores de arquivos PDF: Foxit. Essas vulnerabilidades permitem ao atacante a execução de códigos arbitrários remotamente podendo ter acesso a informações sensíveis de seus utilizadores. A versão afetada do aplicativo é a 9.0.1.1049.

A descoberta foi feita pelos pesquisadores em segurança da informação Cisco Talos, Threat Response, Trend Micro’s Zero Day Initiative Foxit PDF Reader. Abaixo um resumo das CVEs:

CVE-2017-14458 – Vulnerabilidade use-after-free que reside no mecanismo JavaScript do Foxit PDF Reader, os invasores podem acionar essa vulnerabilidade com um documento PDF especialmente criado.

CVE-2017-17557 – VulnerabilidadeHeap Buffer Overflow a qual permite a execução remota de código que pode causar falha no aplicativo.

CVE-2018-3842 – Vulnerabilidade de ponteiro não inicializado no mecanismo de Javascript do Foxit PDF Reader que pode resultar na execução remota de código.

CVE-2018-3843 – Vulnerabilidade TYPE Confusion a maneira como o leitor da Foxit manipula os arquivos com extensões associadas.

CVE-2018-3850 – the use-after-free vulnerability that resulting in sensitive memory disclosure or, potentially, arbitrary code execution.

CVE-2018-3853 – Um documento PDF especialmente criado pode acionar um objeto liberado anteriormente na memória para ser reutilizado, resultando na execução arbitrária de códigos.

A equipe da Foxit lançou a versão 9.1 com a correção das falhas. Se cocê possui a versão afetada pelas falhas, é altamente recomendável a atulização deste software.

CONHEÇA O WINDOWS DEFENDER BROWSER PROTECTION PARA O CHROME

A Microsoft lançou a extensão Windows Defender Browser Protection para o navegador Google Chrome permitindo que os seus utilizadores possam estar mais seguros contra ataques de malware ou phishing.

O objetivo é trazer proteção em tempo real prevenindo ameaças on line como links de phishing recebidos por e-mail bem como websites que induzem usuários a fazer o download e instalar aplicações maliciosas.


O Windows Defender Browser Protection trabalha de maneira simples: ele checa os sites visitados fazendo uma comparação com uma lista de URLs maliciosas, para garantir que você esteja seguro durante a navegação pela internet usando o Chrome.

Assim, sempre que alguém clicar em um link suspeito recebido por e-mail ou acaba navegando para um site especificamente projetado para enganar as vítimas afim de coletar informações pessoais, financeiras, ou baixar um malware camuflado em uma aplicação, a extensão vai mostrar uma tela de alerta vermelha avisando que a página da web que você está prestes a visitar é conhecida por ser prejudicial, dando a você a opção de sair com segurança da página.

A lista de sites nocivos é atualizada constantemente pela equipe de segurança da Microsoft, dessa forma, o Windows Defender Browser Protection pode manter os usuários seguros sites de malware recentemente descobertos e de phishing socialmente projetados.

A nova extensão Windows Defender Browser Protection está disponível em Chrome WEB Store.

5 EXTENSÕES DO GOOGLE CHROME QUE PODEM TE HACKEAR

Na última terça-feira. cinco extensões maliciosas, usadas no Chrome, foram removidas da loja de aplicativos do Google. A finalidade dessas extesões era de bloquear janelas de anúncio que tanto atrapalham a nageção em alguns sites.

Essas são as extensões maliciosas:

 - AdRemover for Google Chrome™ 
 - uBlock Plus 
 - [Fake] Adblock Pro 
 - HD for YouTube™ 
 - Webutation 

O mais interessante é que essas extensões imitam aplicações legítimas usadas com a mesma finalidade. Os créditos dessa descoberta é do pesquisador  Andrey Meshkov, co-fundador da Adguard. Ao fazer uma análise da extensão AdRemover, Meshkov descobriu que o código malicioso oculto dentro da versão modificada do jQuery, uma biblioteca JavaScript bem conhecida, envia informações sobre alguns sites visitados por um usuário em um servidor remoto. A extensão maliciosa recebe então comandos do servidor remoto, que são executados na extensão 'background page' e podem alterar o comportamento do seu navegador de qualquer forma.

Fica o alerta pessoal! 

O QUE SÃO OS ATAQUES DNS E COMO ELES FUNCIONAM?

Nos dias atuais, a internet tornou-se parte das atividades em nossa vida diária como movimentações bancárias, agendamentos de consultas médicas ou viagens entre tantas outras.

Desde que a internet teve ampliado seu uso em larga escala é de suma importância ter conceitos básicos de cyber segurança devido a várias formas possíveis de ataques, seja através de phinshing, XSS ou até mesmo de engenharia social em fóruns ou chats. Esses ataques tem dado muita dor de cabeça aos profissionais de TI que trabalham para mitigar tais ações.


Um ataque de DNS ocorre quando alguém consegue encontra um ponto franco para exploração de uma falha nesse serviço. O DNS permite fazer a resolução de um nome (ex. uol.com.br) para um enderço de IP. 

Nos últimos anos, foi observado um aumento repentino na utilização de ataques DNS. E esses ataques não são restritos a pequenos web sites. Sites como Reddit, Spotify, Twitter já estiveram indisponíveis por conta desse tipo de ataque.

Abaixo será explanado alguns tipos de ataques envolvendo este serviço:

Zero-day attack – Neste ataque é explorada uma falha ainda desconhecida pelos desenvolvedores de uma aplicação que gerencia o serviço de DNS ou por pesquisadores de segurança da informação. Toda vulnerabilidade conhecida é registra por meio de um CVE(Commom Vulnerabilities and Exposures). Algumas pessoas se utilizam desse tipo de ataque para ganhar dinheiro vendendo exploits. 

Fast Flux DNS – É uma técnica de DNS usada por botnets para ocultar sites de phishing e de entrega de malware por trás de uma rede em constante mudança de hosts comprometidos que atuam como proxies. A idéia básica por trás do Fast flux é ter vários endereços IP associados a um único nome de domínio totalmente qualificado, em que os endereços IP são trocados por frequência extremamente alta, por meio da alteração de registros DNS.


DNS Spoofing - Refere-se à ampla categoria de ataques que falsificam registros DNS. É uma categoria de ataques (um objetivo final do ataque, em vez de um mecanismo de ataque específico). Há muitas maneiras diferentes de fazer DNS Spoofing: comprometer um servidor DNS, montar um ataque de envenenamento de cache DNS (como o ataque Kaminsky contra um servidor vulnerável), montar um ataque man-in-the-middle (se você puder obter acesso a na rede), adivinhe um número de sequência (talvez fazendo muitas solicitações), seja uma estação de base falsa e fale sobre o servidor DNS a ser usado, e provavelmente muito mais.

DNS Cache Poisoning - É uma maneira de fazer spoofing de DNS. O envenenamento de cache DNS refere-se ao seguinte cenário: muitos usuários finais usam o mesmo cache DNS e um invasor consegue injetar uma entrada de DNS forjada nesse cache. Por exemplo, muitos provedores de serviços de Internet executam um servidor DNS de armazenamento em cache e farão com que seus clientes (os usuários finais) tentem primeiro o servidor do provedor. Se um invasor puder encontrar alguma maneira de fazer com que o servidor DNS de cache armazene em cache um registro incorreto. Ele conseguiu falsificar com sucesso os registros DNS e afetar todos os usuários finais que dependem desse cache.

DNS Amplification Attacks - Um ataque de DNS Amplification é uma forma popular de Negação de Serviço Distribuída (DDoS), na qual os atacantes usam servidores DNS abertos de acesso público para inundar um sistema de destino com tráfego de resposta do DNS. A técnica principal consiste em um invasor enviar uma solicitação de pesquisa de nome DNS para um servidor DNS aberto com o endereço de origem falsificado para ser o endereço do destino. Quando o servidor DNS envia a resposta do registro DNS, ele é enviado para o destino. Os atacantes normalmente enviam uma solicitação para o máximo de informações de zona possível para maximizar o efeito de amplificação. Na maioria dos ataques desse tipo, as consultas falsificadas enviadas pelo invasor são do tipo "ANY", que retorna todas as informações conhecidas sobre um DNS.

É muito importante o profissional de segurança da informação estar preparado para a mitigação desses ataques. Leia as boas práticas de funcionamento dos softwares que fazem a gerencia dos serviços de DNS em sua rede e mantenha sempre um Hardening tanto na aplicação como no servidor que hospeda o serviço.


Referências
-------------------------

https://searchsecurity.techtarget.com/definition/zero-day-vulnerability
https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/
https://usa.kaspersky.com/resource-center/definitions/dns
http://www.thewindowsclub.com/dns-cache-poisoning-spoofing
https://www.us-cert.gov/ncas/alerts/TA13-088A