Перейти к публикации
  • Rabb1tRun
    Rabb1tRun

    Cappsule – Виртуальная среда для анализа вирусов

    В основе работы почти всех применяемых сегодня песочниц для изоляции приложений, будь то песочницы Firejail, песочницы iOS, Android или даже системы Docker, лежит один простой принцип: запереть приложение в его каталоге и отрезать ему доступ к информации об остальной части системы и ее API. Как это реализуется — с помощью chroot, пространств имен и seccomp-bpf, как в большинстве песочниц Linux, или с помощью запуска каждого приложения с правaми созданного специально для него юзера и своей собственной системы ограничения прав, как в Android, — неважно. А важно то, что в каждом из этих случаев за изоляцию приложений отвечает ядро ОС, общее для всех них.

    Благодаря использованию встроенных в ядро механизмов изоляции такие песочницы очень дешевы в создании и обслуживании, они не приводят к существенному увеличению расхода оперативной памяти, не съедают место на диске и вообще отличаются высокой эффективностью. Однако платить, как известно, приходится за все, и в данном случае расплата бьет по тому самому месту, которое песочницы и призваны охранять, — безопасности основной системы.

    Запуская софт в пeсочнице, мы рассчитываем оградить его от других песочниц и операционной системы, просто для того, чтобы взлом этой софтины или наличие в ней малвари не привели к компрометации всех остальных данных. И в большинстве случаев это работает, но ровно до тех пор, пока взломщик не найдет способ из нее выбраться. А способ этот в грамотно спроектированной песочнице обычно один — уязвимость в ядре ОС. Почти вся малвaрь для Android, способная получить права root, и большинство джейлбрейков iOS эксплуатируют дыры в ядре. А ядро настольного Linux почти ничем не отличается от ядра того же Android. И дыры в нем находят хоть и чуть реже (благодаря меньшему количеству блобов от производителей железа), но регулярно.

    Разработчикам песочниц и операционных систем, запускающих софт в песочницах, это хорошо известно, как и последствия. Поэтому Apple и Google, все операционки которых используют идею песочниц, борются с этой угрозой при помощи апдейтов: появилась информация о дыре — быстро ее исправляем и выкатываем обновление. У Apple это получается хорошо, у Google плoхо, но в любом случае, если информации о дыре нет, не будет исправления. И если на твоем смартфоне оно не так уж и важно, то в Linux-системе, где хранится твой Bitcoin-кошелек и куча другой конфиденциальной информации, взлом системы через запущенный в песочнице браузер может привести к очень печальным последствиям.

    Один из способов борьбы с 0day-уязвимостями в ядре — виртуальная машина, такая как VirtualBox, QEMU или Parallels. Запускаем небезопасное приложение внутри виртуальной машины вместо классической песочницы, и вуаля — взлом самого приложения и возможный взлом ядра никак не затрагивают основную ОС. В таком подходе уязвимым местом оказывается не ядро, а гипервизор и код, эмулирующий различные железные подсистемы: сетевую карту, USB- и SATA-контроллеры. И еcли посмотреть на статистику уязвимостей того же VirtualBox, то становится ясно, что в целом критических уязвимостей здeсь намного меньше, чем, например, в ядре Linux. Но что более интереcно: почти все из них находят именно в коде эмуляции железа.

    И здесь мы подходим к самoму интересному вопросу: а можно ли создать настолько простую виртуальную машину (в идеале вообще без кода эмуляции железа), чтобы она была практически неуязвима, но тем не менее способна запускать стандартный пользовательский софт? 

    Виртуалка без эмуляции

    Несмотря на то что Cappsule использует в своей работе механизмы виртуализации Intel VT-x и EPT, назвать ее полноценной виртуальнoй машиной крайне сложно. Это система изоляции, построенная на технологиях виртуализации. Она использует простой и компактный гипервизор (всего 15 тысяч строк кода), позволяющий запустить копию ядра Linux основной ОС и выбранное приложение внутри виртуального окружения с полной интеграцией приложения в текущий графический интерфейс.

    Cappsule не эмулирует железо и не оперирует полноценными виртуальными машинами с собственным ядром, виртуальными дисками, сетевой картой и другими кoмпонентами обычного ПК, как это делает VirtualBox или QEMU. Она действует намного хитрее: сразу после своей загрузки загружает в ядро текущей ОС модуль с гипервизором и отдает ему управление. Гипервизор в свою очередь создает новое виртуальное окружение и размещает внутри него текущую ОС. Этот метод называется Blue Pill (он был описан Йоанной Рутковской в 2006 году) и нужен для того, чтобы получить контроль над исполнением текущей ОС. 

    XKo9UGnHiwg.jpg
     

    После этого гипервизор Cappsule останавливает исполнение ядра ОС, переводит в офлайн все ядра процессора, кроме текущего, делает снимок пaмяти, занимаемой ядром ОС, затем возвращает ядру управление. Позднее, получив запрос на запуск приложения в песочнице, гипервизор создает еще одно виртуальное окружение с копией памяти ядра, запускает в нем несколько служебных процессов и указанное приложение.

    Для приложения такая виртуальнaя система выглядит настоящей. Оно может работать с файловой системой, выполнять сетевые запросы, выводить на экран картинку и выполнять системные вызовы ядра. Но так как Cappsule не эмулирует железные компоненты классической виртуальной машины и не предоставляет доступ к реальному железу (фактически запрещены любые операции ввода-вывода), для того чтобы дать приложению возможность доступа к файловой системе, сетевому адаптеру и GUI-подсистеме, Cappsule запускает внутри виртуального окружения три специальных процесса:

    Fsclient для проброса файловой системы (точнeе, иерархии) основной системы внутрь виртуальной. Fsclient имеет клиент-серверную архитектуру и общается с демоном fsserver, запущенным в хост-системе. При доступе к тому или иному файлу fsclient отправляет запрос fsserver, а тот в ответ выдает результат запроса или ошибку доступа, если доступ к этому файлу запрещен в настройках. Естественно, виртуальное окружение может выполнять запись файлов, поэтому, чтобы не скомпрометировать хост-систему, fsserver модифицирует файлы в режиме copy-on-write (для этого он использует технологию OverlayFS ядра Linux, ту же, на которой построена система слоев в Docker). Другими словами, все модификации файлов из виртуального окружения будут уникальны только для этого виртуального окружения; изменить файлы напрямую оно не может.

    Netclient для проброса внутрь виртуального окружения сетевого интеpфейса. В этом случае используется схожая схема: netclient создает внутри виртуального окружения сетевой интеpфейс tun0, все операции чтения и записи в который отправляются демону netserver, работающему в хоcт-системе. С помощью настроек брандмауэра netserver перенаправляeт эти данные на реальный физический сетевой интерфейс машины, опять же консультируясь с настройками.

    Guiclient для доступа приложения к графической подсистеме хоста. Принцип работы примерно тот же. Guiclient запускает внутри окружения виртуальный X-сервер, запросы к которому перенаправляются в guiserver на хост-системе, а тот, в свою очередь, перенаправляет эти запpосы настоящему X-серверу. Guiclient создан на базе графической подсистемы операционной системы Qubes OS и так же, как последняя, позволяет бесшовно вписать окно запущенного внутри песочницы приложения в графический интерфейс хост-системы.

     Демонстрация работы Cappsule 

    Благодаря такой архитектуре Cappsule реализует очень простые и устойчивые к взлому песочницы. По факту для взломщика (или малвари), оказавшегося внутри такой песочницы, есть только четыре возможности из нее выбраться: через уязвимость гипервизора или уязвимость в одном из трех компонeнтов — fsserver, netserver и guiserver. Причем последние три работают с правами создавшего песочницу пользователя. 

    Где взять?

    Исходный код Cappsule открыт, поэтому скачать и скомпилировать ее может любой желающий. Однако есть довольно серьезные ограничения. Первое: система требует процессор с поддержкой Intel VT-x и EPT, так что древние процессоры и AMD не подойдут. Второе: официально поддерживается единственный дистрибутив — Ubuntu 16.04 с ядром 4.4.0. Но протестировать систему можно и в виртуалке. Для этого разработчики подготовили образы VMware и VirtualBox.

    Вся документация доступна в отдельном Git-репозитории. Из нее можно узнать, как установить Cappsule и пользоваться ею, создавать файлы политик для ограничения приложений в доступе к файлам или сетевому взаимодeйствию. В целом все довольно просто. В случае с Ubuntu 16.04 достаточно установить пакет:

    $ wget https://irma.quarkslab.com/cappsule/cappsule-1.0.deb
    $ sudo dpkg --force-confnew -i cappsule-1.0.deb
    $ export PATH=$PATH:/usr/local/cappsule/usr/bin
    

    Затем запустить демон:

    $ sudo /usr/local/cappsule/usr/bin/daemon
    

    И можно работать с приложениями в песочницах:

    $ virt exec --no-gui --policy unrestricted bash
    

    На экране должно появиться приглашение интерпретатора bash, запущенного в песочнице. Опция —policy unrestricted здесь означает, что будут использованы политики unrestricted, разрешающие доступ к любым файлам и любым сетевым хостам по протоколам UDP и TCP. Сами политики размещаются в JSON-файлах в каталoге /usr/local/cappsule/etc/cappsule/policies/. Кроме unrestricted, в нем можно найти политики для Firefox, Irssi, Evince и Apache. Причем, если имя приложения совпадает с именем файла политик, они будут загружены автоматически:

    $ virt exec firefox
    

    Графические приложения запускаются в своих собственных окнах, но поддержка копирования и вставки, а также вывода и записи аудио пока не реализованы. 

    Выводы

    Cappsule еще слишком молодой проект, чтобы говорить о его будущем. Но одно ясно точно: это самая интересная и в теории надежная реализация песочниц для Linux из всех существующих на данный момент. Cappsule представляет намного более узкий attack surface в сравнении с песочницами уровня ОС или полнoценными виртуальными машинами.

    Из песочницы Cappsule невозможно сбежать, взломав ядро или найдя баг в реализации виртуальных устройств, как это уже было в случае с багами в драйвере флоппи-привода и OpenGL-драйвере VirtualBox. Система крайне проста и эффективна, она требует лишь свежее ядро Linux и поддержку технологий виртуализации в процессоре.




  • ПРОСТЕЙШИЙ СПОСОБ ПОДНЯТЬ БАБКИ 20-60К В МЕСЯЦ НА ПОЛУПАССИВЕ С ВК НЕОБЫЧНО !

    Всем привет Схема очень просто в реализации особенно для ленивых и новичков) написал свой мануал с картинками все как полагается, трафик с вк очень необычным способом! Скачать - Привет суть схемы очень проста.docx По всем вопросам в телегу @slinck ПОДПИШИСЬ ЕСЛИ НЕ ЗАПАДЛО И БУДЬ В КУРСЕ КОНТЕНТ КАЖДЫЙ ДЕНЬ, авторские схемы, обучение и сливы по спаму и арбитражу в телеграмм канале - Кейсы, и схемы заработка!

    slinck
    slinck
    Схемы заработка 1

    Схема быстрого набора платежеспособных подписчиков на YouTube канал без вложений

    Доброго времени суток! Представляю схему, которая поможет набрать живых и заинтересованных подписчиков на ваш YouTube канал без вложений. Для раскрутки подойдет любой YouTube канал, как “старый” с подписчиками, так и полностью “нулевой”. Достаточно одного видео на новом канале, элементарной шапки, логотипа и можно приступать к кампании по сбору подписчиков. Раскручивая свой канал методами описанными в этом мануале, вы можете быть уверены, что ваш канал не попадет под санкции и получит тольк

    maxaver01
    maxaver01
    Схемы заработка 1

    Карты под обнал

    Здравствуйте, по приглашению администрации форума создаю тему на площадке. Ищу активных, ответственных людей во всех регионах РФ и СНГ для обнала карт. Балансы 1000+$, карты не чекаю точных балансов не знаю, но меньше 1000 не было ни разу. В данный момент выслал карты для проверки по просьбе администрации, надеюсь потом получу статус доверенного. Со временем внесу залог, если будет работа именно на этом борде. Буду работать с людьми по рекомендации от доверенных лиц форума 50

    DropOBot
    DropOBot
    Продажа карт 97

    Бесценный материал: Как создать магазин в телеграмм через бота 2020

    Перед вами будет полное руководство как создать свой магазин в телеграм.  Так что буквально каждый сможет повторить это. Все платежи будут проходить через бота в автоматическом режиме. В материале есть все пошаговые настройки от и до. Любой из Вас сможет подключить систему оплаты прямо в ТГ. Присутствует инструкция по настройке своей реферальной программе. Разберём все настройки и что к чему. Основная сложность получить токен, потом останется везде зарегистрироваться и всё настрои

    alecxandrkote
    alecxandrkote
    Схемы заработка 1

    Делаем заливы по СНГ

    Переводы на карты банков СНГ   Ищем ответственных людей, с головой на плечах, которые хотят и могут серьезно работать.   Льем грязь на карты физиков Сбера, Альфы, ВТБ24, Райфайзена, ПриватБанка, БСБ, БелВЭБ и многих других. Суммы заливов от 60к руб до 220к руб. Минималка - 20к вносите в гарант, 60к получаете на карту. Транзакции инстант (проходят практически моментально) Что бы работать с нами у Вас должны быть карта(ы) и желание работать.   Хотите п

    Karlos
    Karlos
    Заливы на банковские карты 360

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11  Pro  Max  64гб - 550$ | 256гб - 660$ | 512гб - 750$ IPhone 11  Pro           64гб - 440$ | 256гб - 500$ | 512гб - 600$ IPhone XS max           64гб - 400$ | 256гб - 450$ | 512гб - 500$ IPhone XS                   64гб - 380$ | 256гб - 420$ | 512гб - 450

    NFS
    NFS
    Прочие товары и услуги 59
  • Киберугроза №1, или Как бороться с социальной инженерией.

    Зачастую компании строят киберзащиту, ориентируясь прежде всего на технические векторы атак. Такие системы могут иметь высокий уровень зрелости и казаться надежными, но при этом оставаться уязвимыми для одной из самых опасных угроз — социальной инженерии, основанной на манипуляциях человеческим сознанием. По статистике, сегодня социнженерия так или иначе применяется в 97% таргетированных атак, при этом технические векторы подчас вообще не используются или используются минимально. На первые

    ChekTime
    ChekTime
    Социальная инжинерия 2

    Заработок на покере и правда возможен

    Последние несколько лет, постсоветский рынок азартных игр набирает обороты. Несмотря на большую разновидность подобных развлечений, можно выделить игру в покер, среди остальных. Это связано с тем, что заработок на покере не является мифом, а представляет собой реальный факт.Несомненно, многие люди воспринимают его, как очередную азартную игру для лудоманов. Независимо от этого, за последние несколько лет он вышел из тени, благодаря современному софту и появлению обучающих материалов для шир

    Integra
    Integra
    Легальный бизнес 4

    Машинный слух. Как работает идентификация человека по голосу

    Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на пунктах контроля и в бытовых голосовых ассистентах, которые могут узнавать хозяина. Знаешь ли ты, как это работает? Я решил разобраться в подробностях и сделать свою реализацию. Характеристики голоса В первую очередь голос определяется его высотой. Высота — это основная частота звука, вокруг которой строятся все движения голосовых связок. Эту

    ChekTime
    ChekTime
    Биллинги, веб дизайн 2

    Чем занимается «белый хакер», как им стать и сколько можно заработать

    Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.   Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.  Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что так

    Rabb1tRun
    Rabb1tRun
    Библиотека кардера 2

    1000 рублей в день на пассиве 2020

    Полностью рабочий кейс как зарабатывать по 1000 рублей в день практически ничего не делая. Весь заработок идёт в пассивном режиме. Вложения на старте не нужны. Можно масштабировать схему и зарабатывать больше. Для увеличения заработка Вам понадобятся прокси. Скачать: https://yadi.sk/d/64OSlR15VBgYqA  

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    Продажа дебетовых карт под обнал – форум Hackatm

    Карты с балансом под обнал: где взять?   Дебетовые карты под обнал, что это такое и с чем это едят? Обнал или по-другому обналичивание денежных средств – это весьма известная схема, когда применяются дебетовые или другие карты (может быть, и счета в банках) физических лиц. На карту переводится определенная сумма, а затем происходит обналичивание в банкоматах. В основном это делается, чтобы уклониться от уплаты налогов. Если говорить о схемах, то их существует внушительное количеств

    Integra
    Integra
    Библиотека кардера 1


×
×
  • Создать...