При атаке pastejacking хакеры с помощью вредоносного ПО заменяют содержимое буфера обмена пользователя другим набором данных, например, вредоносным URL, паролем или другой конфиденциальной информацией.

Когда пользователь пытается вставить исходное содержимое, вместо него вставляются вредоносные данные, что может привести к различным видам киберугроз, включая фишинговые атаки, заражение вредоносным ПО и кражу конфиденциальных данных.

В сегодняшнем подробном руководстве вы узнаете об опасном эксплойте, известном как pastejacking. В этой статье вы узнаете следующее:

  • Что такое Pastejacking?

  • Как избежать Pastejacking

  • Наша реализация pastejacking на Kali Linux

Что такое Pastejacking?

Pastejacking - это опасная атака, в ходе которой злоумышленник получает контроль над буфером обмена жертвы и вставляет в него вредоносный код.

Pastejacking или перехват буфера обмена - это техника, используемая вредоносными веб-сайтами для получения контроля над буфером обмена компьютера жертвы и замены его содержимого на вредоносное содержимое без ее ведома.

Pastejacking - это эксплуатация, при которой содержимое буфера обмена заменяется на вредоносную строку текста, например, ссылку на вредоносный веб-сервер, вредоносный код или команду.

Пример Предположим, пользователь просматривает веб-страницы и находит полезную команду.

Команда копируется пользователем, но если это pastejacking, то пользователь не копирует обычную, казалось бы, полезную команду.

Пользователь даже не осознает, что вместо обычной команды он скопировал вредоносную.

Если он вставит эту команду в терминал Linux или Windows powershell и выполнит ее, то его ПК будет взломан.


Как избежать Pastejacking

Избежать этого типа атак очень просто.

Не копируйте и не вставляйте в терминал команды непосредственно с сайта.

Хорошей практикой является ввод необходимых команд.

Если вам нужно скопировать команду с сайта, вы можете скопировать ее, но перед тем, как вставить ее непосредственно в терминал, следует вставить ее в текстовый редактор, такой как Notepad, Mousepad или Leafpad.

При вставке текстовый редактор отобразит вставленную команду.

Терминал также отобразит их, но в целях безопасности не следует пытаться это делать.

  • Не копируйте команды с веб-сайтов, пишите их самостоятельно.

  • Для очень длинных команд проверьте команду, вставив ее в текстовый редактор, прежде чем вставлять ее в терминал или powershell.

  • Включите уведомление о буфере обмена: некоторые операционные системы позволяют включить уведомление о буфере обмена. Это позволяет отслеживать подозрительную активность и защищать конфиденциальную информацию.

  • Используйте менеджер паролей с автозаполнением: Такие менеджеры паролей, как LastPass и 1Password, имеют функцию автозаполнения, которая позволяет вводить данные для входа в систему без необходимости копирования и вставки.

  • Используйте генератор веселых паролей: Вместо того чтобы использовать одни и те же скучные пароли, воспользуйтесь генератором веселых и интересных паролей, который создает пароли типа "UnicornPizza88!" или "JellyfishRainbow123#". Таким образом, можно сделать процесс создания паролей более увлекательным и менее трудоемким.


Наша реализация pastejacking на Kali Linux

В основном это можно сделать с помощью веб-сайта, который можно реализовать, обладая знаниями в области веб-разработки, или с помощью автоматизированного скрипта типа PasteJacker на машине Kali Linux.

Чтобы использовать инструмент PasteJacker, необходимо клонировать его из репозитория GitHub с помощью следующей команды:

git clone https://github.com/D4Vinci/PasteJacker

Затем мы установим PasteJacker с помощью следующей команды:

sudo python3 -m pip install ./PasteJacker

Затем инструмент PasteJacker можно запустить, выполнив команду в любом месте терминала:

sudo pastejacker

После выполнения приведенной выше команды главное меню PasteJacker будет выглядеть следующим образом:

Теперь можно воспользоваться инструментом PasteJacker.

В меню появляются две опции.

Выберите вариант 1 для использования под Windows или вариант 2 для использования под Linux.

Здесь, в качестве примера, выберите опцию 2 и нажмите Enter.

  1. Первая опция создает на системе жертвы скрытую команду bash, которая загружает и запускает полезную нагрузку msfvenom с помощью wget.

  2. Вторая опция создает обратное соединение с компьютером жертвы с помощью netcat.

  3. Третий вариант создает вредоносную однострочную команду и использует ее для выполнения pastejacking.

Мы могли бы использовать простой и автоматический первый или второй вариант, но поскольку у нас нет намерения причинить кому-либо вред, то для доказательства концепции мы напишем не вредоносную однострочную пользовательскую команду pastejacking. Поэтому выбираем вариант 3.

Здесь нам нужно ввести однострочную команду.

Для пользователей Linux можно использовать любую вредоносную команду, но здесь мы введем простую команду для отображения текста.

Далее необходимо выбрать шаблон, который нужно вставить.

Здесь есть три варианта вставки.

В данном примере мы выбрали вариант 2, т.е. вставку с помощью javascript.

Инструмент PasteJacker предложит ввести порт, но по умолчанию используется порт 80, поэтому оставьте его пустым и нажмите Enter.

Далее введите текст и дважды нажмите Enter для выхода.

Это обычная команда, и вы можете ввести все, что угодно, чтобы привлечь внимание жертвы.

Утилита PasteJacker запускает сервер localhost на порту 80.

Откройте браузер и обратитесь к localhost или 127.0.0.0.1, вы увидите обычную команду.

Вставьте ее и запустите, она превратится в однострочную команду.

Веб-страницу можно также модифицировать, чтобы она выглядела как настоящий сайт.

Для этого откройте в Терминале корневой каталог пользователя:

sudo su

Затем введите cd и нажмите Enter для перехода в корневой каталог пользователя root.

Затем можно изменить html-страницу с помощью следующей команды:

sudo mousepad .pastejacker/index.html

Мы можем изменить его на любой другой.

Таким образом, мы можем осуществить paste-jacking в нашей локальной сети.

Затем мы можем использовать атаку paste-jacking в Интернете, используя проброс портов с помощью SSH или услуги хостинга HTML-страниц.

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Комментарии (7)


  1. aamonster
    02.09.2023 13:46
    +10

    Вы сломали мне мозг.

    Вначале описание каких-то угроз, а потом предложение скачать что-то из сети и сделать "sudo pastejacker". Это что, тест IQ для script kiddies?


  1. Aquahawk
    02.09.2023 13:46
    +2

    Это все хорошо, только огромное количество софта предлагает вот такую инструкцию установки

    curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ee/script.deb.sh | sudo bash

    Я вот только что это взял с официальной инструкции гитлаба https://about.gitlab.com/install/#debian

    но не только они это делают. И люди реально вводят ээту команду и ставят так софт.


    1. me21
      02.09.2023 13:46

      Опасность в том, что могут взломать гитлаб и разместить там вредоносный скрипт?


      1. includedlibrary
        02.09.2023 13:46

        https://lukespademan.com/blog/the-dangers-of-curlbash/

        В том, что при разрыве соединения скрипт исполнится не полностью, а также в том, что можно распознать curl или wget, который передаёт данные в bash, и возвращать что-нибудь нехорошее


    1. eps
      02.09.2023 13:46

      Их дело — предложить, наше дело — отказаться.


      Прикладные программы отлично ставятся из своего пакетного менеджера или Flatpak или AUR, всякие сервисы вроде Gitlab — идут в docker container


  1. eps
    02.09.2023 13:46
    +2

    Достаточно, чтобы ваш терминал не вставлял концы строк из буфера обмена без вашего разрешения


    На Mac OS так умеет делать iTerm (brew install iterm2).


    • Во-первых, у него есть «composer» ., безопасное место, чтобы вставить команду, изучить, исправить её, и выполнить
    • Во-вторых, он предупреждает, когда пытаешься вставить строку с \n, говорит что-то типа «Confirm Multi-Line Paste. OK to paste 3 lines at shell prompt?» и предлагает содержимое посмотреть и поправить


  1. eps
    02.09.2023 13:46
    +1

    Ожидал менее топорную атаку.


    • Например, незаметные подмены при копировании — например, видишь curl https://raw.github.com/..., а копируется curl https://raw.gitnub.com/....
    • Например, скрытие полезной нагрузки хитрыми unicode-символами, чтобы она визуально как будто отсуствовала. — хотя бы взять исходную команду + \n + тысяча пробелов + полезная нагрузка + \n
    • Например, резидентную программу, которая подменяет текст ровно в тот момент, когда её вставляешь в терминал после изучения — и не трогает текст, если вставлять в текстовый редактор.