Articoli

Recently I changed my QNAP, moving from an old 32bit model to a recent 64bit. The new NAS enabled me to install the 4.3.x firmware that introduces many new features and use 64-bit computing.

The migration occurred in conjunction with Wannacry (found on Homelab blog an article on how to exploit this vulnerability on NAS QNAP) and on my NAS was no longer running Samba (SMB). I don’t know if it is due to the wannacry patch or NAS/Firmware change. But Samba did not go anymore! Several people on the official QNAP forum complain about the same problem.

I solved by connecting via SSH to the NAS and editing the Samba configuration file. A small guide…

$ smb2status

smbd (samba daemon) Version 3.6.25
smbd (samba daemon) is not running.
max protocol SMB 2.1 enabled.

By typing the smb2status command, in output I had “smbd is not running” even if the WEB interface was correctly active.

$ mv /etc/config/smb.conf /etc/config/smb.conf.old

I did a backup copy of the Samba configuration file and saved it in smb.conf.old. Then I read the default configuration file:

$ cat /etc/default_config/smb.conf

Copy the contents of this file locally, in the text editor you prefer, then read the old configuration file:

$ cat /etc/config/smb.conf.old

Immediately after the Global Statement ([GLOBAL] … …) you will find the specifications of each of your shared folders, just copy this contents on your local text file.

You will then have a file composed of [GLOBAL] variable coming from the default file and then the variables of each of your shared folders coming from the old file. Example:

[global]

[Multimedia]
….

[Download]

[Web]

[Public]
….

Now you have to recreate the configuration file by copying inside it the newly built text:

$ rm /etc/config/smb.conf

$ vi /etc/config/smb.conf

Once the new Samba configuration file is pasted, we restart Samba.

$ /etc/init.d/smb.sh restart

After the reboot has finished, try typing smb2status again and it should be ok:

$ smb2status

smbd (samba daemon) Version 4.4.14
smbd (samba daemon) is running.
max protocol SMB 3.0 enabled.

Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.