Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
Existem alguns protocolos esquecidos em nossas redes e sistemas. São difíceis de trabalhar pela falta de conscientização sobre eles e talvez sejam uma pedra fundamental para a construção dos serviços que são prestados.
Em alguns casos, confiamos que estamos seguros ou também pensamos que o foco dos atacantes estará sempre nas conhecidas jóias da coroa, mas nunca paramos nesse momento de decisão para determinar se devem ser incluídas ou não por sua criticidade dentro dessas categorias. Talvez passem despercebidos porque confiamos que estão seguros, mas confiança não é o mesmo que consciência.
Conhecer todos os serviços com os quais nossas equipes lidam é uma tarefa árdua, mas em algum momento devemos começar a explorá-la com mais profundidade.
Por que o tempo é tão importante?
Imagine isso: Eles precisam pegar um ônibus em um horário específico; eles caminham até o ponto de ônibus e esperam por ele. Eles olham para o relógio e veem que hora é, mas o ônibus ainda não chegou. Nesse momento é a vez de procurar outra fonte de horário, como o telefone, para ter uma segunda opinião sobre o horário, nesse momento descobre-se que o horário está incorreto. Se você tem um compromisso importante, você não chegará a tempo.
Agora, quando se fala em sistemas e/ou aplicativos que requerem o funcionamento de outros aplicativos, é necessário um ajuste de tempo correto.
Sem o timing correto processos automáticos e processos que ocorrem em tempo não funcionarão corretamente. Existem muitas entidades, geralmente entidades financeiras, que trabalham com tarefas em tempo real, pois quando se trata de dinheiro as coisas ficam um pouco mais complexas do que o normal; Por exemplo: Se você trabalha para um banco, existem processos que devem ser executados a uma determinada hora ao final do dia porque as entidades comunicam frequentemente com outras entidades bancárias em todo o mundo para atualizar determinados tipos de informação. Se a execução automática não for feita a tempo, você poderá criar problemas legais com outros bancos e perder a confiança. Em um banco, confiança é a coisa mais importante que você precisa.
Lembrando um pouco dos princípios de segurança, um invasor geralmente visa os quatro pilares que constroem nossa necessidade de nos sentirmos mais seguros: CONFIDENCIALIDADE, DISPONIBILIDADE, INTEGRIDADE e RASTREABILIDADE. Nele destacamos pontos importantes onde o tempo é o protagonista, pois temos vários aspectos que interessam aos atacantes e não às pessoas que têm como objetivo proteger os recursos de uma empresa. O foco comum dos analistas costuma residir na preocupação em manter a CONFIDENCIALIDADE, então os profissionais listam suas Jóias da Coroa favoritas, focando naquela propriedade específica, deixando de lado questões importantes que podem nos prejudicar no curto prazo.
Na ausência de atenção à RASTREABILIDADE e à DISPONIBILIDADE por parte dos responsáveis pela segurança, podem ocorrer certas ideias para tentar atrapalhar as operações de forma a gerar obstáculos aos processos de uma empresa de sucesso. É por isso que ao atacar o sincronismo os principais benefícios podem ser obtidos no nível de ataque, tanto para cobrir seus rastros como para realizar uma manobra de distração dentro das instalações potencialmente afetadas.
O protocolo que se encarrega disso nos sistemas de uma empresa é o protocolo NTP (Network Time Protocol), é utilizado para realizar uma sincronização dos relógios emos diferentes dispositivos interligados no escopo de configuração deste serviço. Funciona com UDP via porta 123 e é amplamente utilizado em redes no mundo todo, tanto internas quanto públicas. A sua importância reside, como já referimos nos parágrafos anteriores, no fato de a falta de sincronização temporal, durante muito tempo num sistema, afetar a consistência e integridade da informação, o que tem graves repercussões em áreas como finanças, produtivo, legal e um longo etc.
Moonlist : Retorna uma lista dos últimos 600 dispositivos que se comunicaram com o servidor. Uma pequena requisição é feita ao servidor e uma resposta é recebida qque pode atingir um tamanho 200 vezes maior que a consulta realizada.
Readvar: Comando que ao ser executado retorna variáveis, com seu conteúdo, causando uma resposta superior à consulta realizada. Nesse caso, 30 vezes maior que a consulta original.
Os invasores fazem essas solicitações em grande número, forjando o endereço de origem para fingir ser o servidor que desejam desativar, resultando na situação em que o computador vítima, sem solicitar, recebe respostas NTP com amplificação de 30 vezes e/ou 200 vezes dependendo da função utilizada, causando um flood de respostas NTP. Afetando assim a disponibilidade de serviços que requerem conectividade através dele.Um utilitário muito importante para fazer isso é a biblioteca Scapy do Python para lidar com pacotes. Porém, antes de programá-lo, é sempre conveniente fazer uma busca no Google para encontrar soluções já trabalhadas por algum tipo de pesquisador, como no exemplo a seguir;
Agora, se quisermos executar a mesma tarefa com envenenamento de DNS , basta indicarmos através do nosso DNS malicioso que o servidor NTP é um servidor manipulado pelo invasor, onde fornecerá um horário incorreto para sincronização de horário.
Como nos defendemos?Sun Tzu - A Arte da Guerra