Security Week 50: DDoS кореневих DNS-серверів, життя APT Sofacy, багато криптографії

Серйозні зміни відбуваються рівно в той момент, коли відсоток бажаючих щось змінити перевищує певну критичну позначку. Ні, я зараз не про політику, чур мене і свят-свят, а про IT в цілому і IT-безпеку. І хочуть в загальному-то все різного: компанії — щоб не DDoS-або й не ламали, користувачі — щоб не крали паролі і не викрадали акаунти, security-вендори — нового ставлення до безпеки у всіх зацікавлених осіб, регулятори — ну зрозуміло, хочуть регулювати.

Ось коротка витримка предсказаний наших експертів на майбутній рік: еволюція APT (менше технологій, більше масовості і взагалі зниження витрат), атаки на нові фінансові інструменти а-ля ApplePay і фондові біржі — ближче до місць високої концентрації цифрових грошових знаків, атаки на самих ІБ-дослідників через застосовувані ними інструменти, злом компаній заради чистого збитку репутації (а.до.а. вивішування брудної білизни), дефіцит довіри будь-яких IT-інструментів (можуть зламати все, що завгодно), включаючи довірені сертифікати, ботнети з маршрутизаторів та інших IoT, масштабний криза криптографії.

У прогнозах цього року немає жодного пункту «на виріст», жодного малоймовірного сценарію розвитку. Ну хіба що до таких можна віднести атаки на керовані комп'ютером автомобілі, та й то мова йде про злом інфраструктури, від якої вони залежать мобільних та супутникових мереж. Все це, в тій чи іншій мірі, збудеться, проблема в тому, що як-то не хочеться. По можливості хотілося б цього всього уникнути. А якщо хочеться не тільки нам, але і взагалі всім (нехай і по-різному), то може 2016-й також стати роком прогресу в колективній IT-безпеки? Я жодного разу не експерт, але хочеться вірити, що так. Переходимо до новин тижня. Попередні випуски доступні по тегу.

Потужна атака на кореневі DNS-сервери
Новость. Заява IANA.

У 2007 році кореневі DNS-сервери були атаковані ботнетом з приблизно п'яти тисяч комп'ютерів, що призвело до багатогодинний недоступності пари серверів і до серйозних перевантажень на інших (всього їх 13). Минулого тижня стало відомо, що 30 листопада та 1 грудня відбулися ще дві подібні атаки. Втім, за 8 років кореневі сервери імен, які можна без серйозних перебільшення назвати фундаментом інтернету, стали набагато стійкіше. Дві багатогодинних атаки не призвели до серйозних проблем в мережі (це, втім, вірно і для атаки 2007 року), розподілена інфраструктура серверів витримала трафік приблизно в п'ять мільйонів запитів в секунду (стандартний трафік на кореневі сервери становить сотні тисяч запитів в секунду), але насичення каналів, через які підключені сервери, призвело до незначних затримок.

Якщо перевести цю історію на реалії традиційного світу з цегли і цементу, то вийде, наприклад, наступна фантастична замальовка. Численна банда злочинців намагалася атакувати головний офіс Центробанку, з використанням великої кількості автоматичної зброї і навіть гранатометів. Броньовані стіни і вікна захищеного будівлі витримали, але через атаки офіс Банку відкрився на наступний день на п'ять хвилин пізніше. Гроші не пропали (їх там і не було, це ж Центробанк, а не ощадкаса і не монетний двір), злочинцям вдалося втекти, в даний час ведеться їх розшук.



Еее. Якщо подумати, то з DNS-серверами сталося приблизно те ж саме: «вимкнути» їх не вдалося (жоден), і навіть якщо вдалося б, це б не призвело до падіння всього інтернету відразу. Цікаві деталі атаки. У 2007 році можна було приблизно локалізувати джерело, до країни, а в цей раз IP-адреси атакуючих комп'ютерів були рівномірно розподілені» (по всьому інтернету тонким шаром, треба думати). Запити до серверів були цілком легальні, причому всі запитували IP-адресу для одного і того ж домену. Повторна атака сталася з ідентичного сценарієм, тільки доменне ім'я було інше (які саме домени — у звіті не розкрили). Аналіз атаки показав, що технологія DNS-ампліфікації, коли замість адреси відправника підставляється адресу жертви, не використовувалася. Загалом на питання «що це було» відповіді поки немає. У коментарях пишуть, що можливо хтось тестував можливості свого ботнету, і швидше за все так, але на питання «навіщо» це не відповідає.

Експерти «Лабораторії» розкривають нові деталі російськомовної APT Sofacy (вона ж APT28)
Новость. Исследование.

Трохи вище я вже процитував прогнози наших експертів про еволюцію APT: очікується, що в майбутньому році в цих advanced persistent threats стане трохи менше advanced і persistent. Замість технологій зусилля будуть вкладати в рекогносцировку, а тактика тривалого присутності в мережі жертв зміниться на оперативне втручання з швидкою крадіжкою даних і заметанием слідів. Власне, коли ІБ-дослідники розкривають якусь технічно підковану операцію, відбувається приблизно те ж саме: організатори атаки швидко ховаються. Але Sofacy — виняток. Дослідження цієї атаки публікувалися багатьма компаніями, але це практично ніколи не приводило до зміни тактики та іншим маневрів. Як працювали починаючи з 2007 року, так і продовжують.

Дослідження таких операцій як Sofacy або The Equation — дійсно виділяються на загальному тлі кіберзлочинності — допомагає зрозуміти й передбачити розвиток загроз в цілому, так як будь-яка сучасна технологія рано чи пізно стає масовою. Судячи з усього на Sophacy працює потужний дослідний відділ: з шести експлойтів до 0day вразливостей в популярному ПЗ (MS Office і Java, наприклад) п'ять були знайдені самостійно, ще одна — запозичено з «зливу» даних Hacking Team.


Відмітна особливість дослідження загроз — скріншоти з Far Manager! В даному випадку показаний шматок коду з «вшитими» доменними іменами C&C серверів.

Не важливо, чи займаються організатори атаки пошуком вразливостей самостійно або купують їх на «чорному ринку», зиродеи обходяться недешево. Виводити їх на лінію фронту» у повному складі — значить ризикувати, що діяльність помітять, уразливості закриють і в цілому зроблять завдання злому більш складною. У термінах казино такий підхід аналогічний ставкою всіх фішок на зеро, а на таке можуть піти або від розпачу, або коли гроші — не останні і в загальному-то все одно пропадуть вони чи ні. Судячи по довговічності Sofacy, ми маємо справу з другим варіантом.

З Equation дану операцію ріднить ще один момент: і там, і там використовується технологія «зливу» інформації через флешку. Така методика эксфильтрации даних корисна, якщо з комп'ютера або мережі жертв не можна підключитися до командного сервера, а дані вкрасти дуже хочеться. В деталях модуль USBStealer був раніше досліджено фахівцями компанії ESET, але тут важливий навіть не метод эксфильтрации, а передбачуваний статус жертв. Air-gapped мережі, повністю ізольовані від інтернету у «звичайних компаніях» використовуються вкрай рідко.

Дайджест в дайджесті. Новини криптографії: У ФБР знову хочуть бекдори шифрування. Відмовитися від теоретично уразливого алгоритму SHA-1 не так просто.

Питання шифрування даних — як ящик Пандори, варто одного разу відкрити і закрити назад вже не вийде. Коли ця тема була ще більш вузькоспеціалізованими, ніж IT-безпеку, з ще більш високим порогом входу, якщо ви дійсно хочете щось у ній розуміти. Поріг входу, втім, так і залишився високим, а ось в обговореннях шифрування стає все більше політики. Чи бізнесу. Цей тиждень принесла пару прикладів.

Почнемо з ФБР. На цьому тижні відбулися досить рутинні слухання в одному з комітетів американського конгресу, де в тому числі виступав директор ФБР Джеймс Комі (для любителів — відео виступу). Він ще раз підтвердив те, що раніше ми власне і так вже знали, наприклад з витоків Сноудена: шифрування являє собою серйозну проблему для силових органів при проведенні розслідувань протиправної діяльності. Під «діяльністю» різні люди і організації розуміють абсолютно різні речі, але з точки зору чистої технології це навіть хороші новини: значить поширені сучасні методи захисту даних (від кого завгодно) в цілому працюють. Тепер погані новини: ФБР хоче, щоб технології шифрування працювали гірше, конкретно — щоб у «кого треба» був доступ через балконні двері.



Мова не обов'язково йде про бэкдорах. Комі окремо згадав, що це не єдине рішення«, і в цілому він за те, щоб за рішенням суду доступ до зашифрованих даних, наприклад, на смартфоні, міг бути наданий. Як саме — нехай, де, індустрія сама розбереться. Традиційний опонент ФБР, фонд EFF, у заяві у відповідь нагадує, що будь-яка компрометація систем шифрування робить їх безглуздими. Тобто або доступ через «лазівку» зможе отримати не тільки ФБР і не тільки через суд, або компаніям (наприклад після введення якогось нового закону) стане невигідно надавати функцію шифрування даних, що поставить під удар всіх користувачів.

Про падіння вартості пошуку колізій у SHA-1 я докладно писав у жовтні. Тоді я закінчив опис проблеми на позитиві: начебто до практичної реалізації уразливого криптографічного алгоритму хешування поки не дійшло, при цьому відмовлятися від підтримки в софті (наприклад, в браузерах), починають вже зараз, а якщо не зараз, то скоро. Так ось, щось пішло не так. Фахівці з Facebook і Cloudflare стверджують, що якщо великі веб-сайти також заборонять на своїй стороні застосування SHA-1 в процесі встановлення сесії, це позбавить доступу багатьох користувачів. За даними Facebook — до семи відсотків їх трафіку. Причина — навіть не у використанні цими користувачами застарілих браузерів, а у використанні застарілих операційних систем, не підтримують більш захищений алгоритм SHA256. Конкретно мова йде від Windows XP SP3 і до Android Gingerbread. Тобто про зовсім древніх пристроях, частка яких по ідеї повинна бути мікроскопічної, але немає. За даними CloudFlare, компанії, яка за ідеєю добре розбирається в трафіку різних сортів, постраждати можуть до 37 мільйонів користувачів. А тому пропонується впровадити обхідну технологію, яка забезпечить надійний протокол тим, хто його підтримує, і поганенький — тим для кого краще так, ніж ніяк.

Що ще сталося
Ще один масивний патч від Adobe, Flash: закрито 79 вразливостей.

71 патч від Microsoft, у тому числі закрыта серйозна уразливість Office, експлуатована in-the-wild.

Разом 150.

Давнину:
Сімейство «Amz»

Нерезидентні дуже небезпечні віруси, що інфікують COM — та EXE-файли (або тільки EXE — «Amz-600») при запуску зараженого файлу. Змінюють перші 13h байт COM-файлів на програму переходу на тіло вірусу. Містять коротке слово «AMZ». В залежності від версії перуть сектора FAT або всіх логічних дисків від A до Z: (якщо такі присутні), або поточного диска при умовах:

«Amz-600» — якщо номер дня тижня збігається з номером дня місяця;
«Amz-789» — 24 вересня з 0:00 до 7:00 ранку;
«Amz-801» — 13-го лютого о 13 годині.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 23.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.