Security Week 13: парад криптолокеров, ФБР зламала iPhone без допомоги Apple, більше деталей про Badlock

Шеститижнева сага про протистояння компанії Apple і Федерального Бюро Розслідувань закінчилася. 28 березня у ФБР офіційно заявили, що їм вдалося зламати iPhone 5c, що належав терористові, без допомоги виробника. Від Apple більше не вимагають виготовлення інструменту для злому даного телефону. Історія закінчилася, мабуть, найбільш вигідним і для вендора, і для споживача спосіб, стоковий дядько з картинки не дасть збрехати. Але це зовсім не означає, що тема закрита.

Якщо абстрагуватися від деталей, виробник смартфона і (в деякому роді) держава посперечалися про те, хто зобов'язаний надавати доступ до захищених даних користувача, якщо це необхідно для розслідування злочину. Мабуть вперше в такому масштабі обговорювалося питання: що робити держорганам, якщо захист у вигляді шифрування даних настільки хороша, що зламати її без допомоги виробника неможливо? У результаті з'ясувалося, що у ФБР поквапилися — якщо дуже треба, знайдуться й інші способи.

Але рано чи пізно (скоріше рано) це питання знову буде порушено, в судовому розгляді або навіть в рамках нового законодавства. Проблему доведеться вирішувати, і це рішення може серйозно вплинути на захищеність будь-яких зашифрованих (не важливо від кого!) даних, тобто торкнеться всіх. Тому продовжуємо спостереження. Всі випуски дайджесту доступні по тегу.

Парад криптолокеров
Три з п'яти найбільш популярних новин минулого тижня присвячені троянам-шифровальщикам. Не можу сказати, що знову виявлені атаки серйозно відрізняються від попередніх, хоча дослідники і виявили пару цікавих трюків. Як і раніше переважна більшість криптолокеров виявляється хорошим захисним рішенням проактивно. Увага до цієї теми не забезпечено технологіями атак, а зростанням їх числа, серйозними інцидентами в компаніях, які зберігають важливу інформацію — насамперед у лікарнях. Пройдемося по основним подіям.

Бесфайловый криптолокер атакує клініки
Новость. Исследование Carbon Black.

Розслідуючи атаку (не перший на неназвану компанію, що працює у сфері охорони здоров'я, фахівці Carbon Black розкрили діяльність кіберзлочинців-minimalists. Потенційним жертвам розсилаються офісні документи, при відкритті яких пропонується включити макроси, після чого дані шифруються за допомогою скрипта в середовищі Windows PowerShell. Тобто (з деякими застереженнями) ми маємо справу з дуже простим трояном «батники», з примітивною комунікацією з командним сервером без шифрування, і результатом у вигляді втрати або даних, або 500-1000 доларів викупу. Як бачите, метод атаки з 20-річною історією продовжує працювати, а з підтримкою Windows командної оболонки bash у нього відкриваються нові перспективи.

Цілеспрямована атака криптолокера на лікарні з використанням вразливостей в серверному
Новина. Дослідження Cisco Talos.

А ось вимагач SamSam використовує для атаки досить нетривіальні методи. Атакуються не комп'ютери співробітників, а сервери додатків JBoss (він же WildFly). Мотивація у атакуючих зрозуміла: замість не завжди спрацьовує соціальної інженерії використовують уразливості в конфігурації серверів, які, на відміну від співробітників, що працюють не з 8 до 5, а цілодобово. Дослідники стверджують, що організатори атаки в якості жертв обирають саме лікарні. У минулому випуску я припустив, що за таким підвищеним інтересом до медцентрам криється бажання атакувати максимально чутливу інфраструктуру і дані. Якщо порівнянний за розмірами інфраструктури невеликий «традиційний» бізнес припинить свою роботу на пару днів — ніхто особливо не постраждає, а тут розбиратися колись — людей треба лікувати. Дослідники Cisco Talos приводять іншу мотивацію: справа в тому, що лікарняна IT-інфраструктура з точки зору безпеки дуже часто знаходиться просто-таки в жалюгідному стані. Можливо: IT в медицині справа непрофільне, але якщо так, то пора з цим щось робити.

Троян Петя (фото) вимагає викуп за шифрування диска цілком
Новина. Исследование Bleeping Computer.



У професійних термінах більшість криптолокеров використовують level file encryption — коли шифруються окремі файли, при цьому операційна система залишається працездатною. Виявлений в ході дослідження вузьконаправленої спам-розсилки на німецькі компанії троян Petya замість цього шифрує весь диск цілком, роблячи завантаження системи і доступ до яких-небудь даними неможливим, до оплати викупу ($380). Дослідники з ресурсу Bleeping Computer показали роботу трояна ось на цьому відео:



Якщо коротко, троян перезаписує MBR жорсткого диска, викликає примусову перезавантаження системи, після чого, демонструючи користувачеві фальшиву «перевірку диска» шифрує дані. З посиланням на дослідження можна побачити у всіх подробицях і з картинками процес зараження і викупу. Тут ми маємо справу з ще одним досить давнім методом атаки, який, завдяки появі Tor і биткоинов, став використовуватися на новий лад. Дуже цікавий зразок, хоч і сумнівний з точки зору масштабу: на відміну від традиційних троянів, шифрування на дисковому рівні вимагає серйозного опрацювання атаки і передбачає масу можливостей, коли щось йде не так.

Вразливість Badlock у Samba: фахівці намагаються зрозуміти, чи не з'явиться експлойт раніше патча
Новина.

Про уразливість Badlock я писав на початку попереднього дайджесту. За минулий тиждень нічого не змінилося: ми як і раніше чекаємо розкриття деталей уразливості 12 квітня — у вівторок, після випуску чергового набору патчі від Microsoft. Їх власна реалізація протоколу мережевого обміну файлами виявилася схильна так само, як і вільна Samba. Триває обговорення етичної сторони раннього дебюту дослідниками компанії SerNet, за сумісництвом є мейнтейнерами Samba. Мотивація SerNet зрозуміла — вони (офіційно) хочуть, щоб адміністратори величезного числа потенційно вразливих серверів і розробники залежного ЗА підготувалися заздалегідь і (неофіційно) не заперечують проти додаткової уваги ЗМІ і потенційних клієнтів до своєї компанії, працюючої у сфері кібербезпеки.

Аргументи противників такого підходу наступні:
— Вони перетворюють безпека в балаган. Не будемо обговорювати цей аргумент, як неконструктивний.
— Раннє розкриття інформації про уразливості дає достатньо інформації зловмисникам для написання експлойта, і застосування його до того, як буде доступний патч.

Це резонне аргумент, і на цьому тижні з'явилися аргументи на його підтримку. Одним із співробітників SerNet і одночасно помічником Samba є Штефан Метцмахер, і природно його коміти код Samba відразу ж виявилися в центрі уваги. Серед них, в модулі lock.c (відзначимо відповідність між назвою уразливості і призначенням модуля), виявився такий коментар:

/* this is quite bizarre – the spec says we must lie about the length! */

А коли щось відбувається не так з визначенням розміру чого-небудь, наступним кроком може стати переповнення буфера і запуск довільного коду. Втім, підтверджень, що баг саме там, поки немає (зацікавлені можуть пройти ссылке на гитхаб).

— Підготуватися за такого анонсу не вийде. Побічно це підтвердив в інтерв'ю Threatpost дослідник SANS Institute Ларс Ульріх. На його думку, розкриття інформації в більшому об'ємі дійсно може допомогти письменникам експлойтів. Але інформація на сайт уразливості в нинішньому вигляді провести підготовку теж не дозволяє. Підготовка — це написати сканер певних портів, провести інвентаризацію інфраструктури на предмет версій Samba, оцінити масштаб, знаючи, що тільки сервери уразливі, але не клієнти (або навпаки). Чекати і боятися — це не підготовка.

Разом з тим, фахівець SANS Institute вірить в ефективність ранніх анонсів: після випуску патча вони позитивно впливають на динаміку його впровадження. Правда, «брендувати», на думку Ульріха, варто тільки дійсно серйозні уразливості, інакше метод не буде працювати. Висновок: поки, на сьогоднішній день, в підході до розкриття уразливості Badlock є більше користі, ніж шкоди. Але методику непогано було б удосконалити.

Давнину:
Сімейство «Tula»

Резидентні та безпечні віруси. Стандартно вражають запускаються .COM — і .EXE-файли. Зменшують розмір пам'яті DOS (слово за адресою 0000:0413). Перехоплюють int 8, int 13h, int 21h. «Tula-417,-593» періодично повідомляють «Fuck you!». «Tula-419» — дуже небезпечний, записується в початок запускаються на виконання COM-файлів. В суботу 14-го числа намагається форматувати диски. Перехоплює переривання 21h, містить текст: «Tula 1990.Sat».

«Tula-635» видає повідомлення: «Formatting Drive...» і читає сектору з диска, хоча дуже схоже, що зміною одного байта коду вірусу можна домогтися того, що диск буде дійсно форматуватися.

«Tula-1480» при кожному 50-му запуску файлу під веселу музичку повідомляє популярний серед підлітків матірний віршик англійською мовою.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 48.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.