Security Week 24: чорний ринок викрадених RDP, зиродей в Flash, GMail відмовляється від SSLv3 і RC4

Одна з найбільш резонансних новостей цього тижня присвячена чорному ринку віддаленого доступу до серверів. Експерти «Лабораторії» исследовали сервіс, на якому будь-який бажаючий може недорого придбати інформацію для доступу до одного з 70 з гаком тисяч серверів по всьому світу за протоколом RDP. Зламані сервери досить рівномірно розподілені по земній кулі, приблизно третина припадає на країни, де вибір — максимальний: Бразилію, Китай, Росію, Індію та Іспанію.

Нічого не підозрюють власникам цих серверів напевно буде цікаво дізнатися, що з ними можуть зробити зловмисники, але тут я навіть важко у виборі, з чого почати. Якщо коротко — зробити можна все. Подальший злом інфраструктури жертви — без проблем. Розсилка спаму, DDoS-атаки, кримінальний хостинг, крадіжка інформації, таргетовані атаки з ефективним заметанием слідів — теж можна. Крадіжка даних кредиток, грошей з рахунків, бухгалтерської звітності — так, якщо зламаний сервер має доступ до такої інформації. Все це — за смішними цінами: 7-8 доларів за учетку.

XDedic і подібні сервіси (можна припустити, що він такий не один) — це кримінальний екоммерс і фінтех, він об'єднує злочинців різного профілю, крутих і не дуже, використовує сучасні технології, надає якісний сервіс. Самі вкрадені дані надають більше 400 продавців — тут вам і конкуренція і боротьба за збільшення кількості зламів. Самий підходящий момент нагадати — вас можуть зламати, навіть якщо вам здається, що ваші дані нікому не потрібні. По-перше, потрібні, і вам не сподобається, як їх використовують. По-друге, ресурси теж коштують грошей, а коли ціна питання — три копійки, під удар потрапляють все аж до малого бізнесу. Вкрадуть гроші з рахунку, або дампи кредиток, або хоча б контакти клієнтів для розсилки спаму, атакують через вас іншу компанію, а якщо взагалі нічого не вийде — ну поставлять генератор биткоинов і зжеруть електрика.

З такими эволюциями киберкриминала важко боротися, але це дослідження дозволяє приблизно зрозуміти, як це робити.
Всі випуски серіалу — тут.

Не виключено, що у багатьох жертв xDedic і злому ніякого не відбувалося, а пароль до RDP був здобутий простим перебором. Потенційним солдатам цієї підпільної армії навіть не обов'язково освоювати такі примітивні скіли: додаток для брутфорс-атаки на RDP надається там же. Ще одна утиліта — по суті своїй троян — допомагає підтримувати актуальність бази серверів і збирати інформацію про доступні ресурсах. Вона сканує систему на наявність цікавого для криміналу софту. Шукають інструменти для масової розсилки повідомлень (спаму), програми для доступу до сервісів азартних ігор (щоб красти звідти гроші), фінансове (аналогічно). Окремо йде довгий список софту для платіжних терміналів і касових апаратів: в загальному теж зрозуміло для чого.



Як боротися з цим — не дуже зрозуміло, якщо дивитися з точки зору потенційних жертв. Традиційний підхід, вже застарілий, але повсюдно вживаний — намагатися закрити загрозу технологією, тобто софтом. Але в даному випадку це просто не працює — не можна закрити софтом схильність кіберзлочинців об'єднуватися для спільного заробітку. ОК, підозрюю, що багато жертв xDedic не виконували прості рекомендації щодо захисту доступу RDP. Але справа не в RDP, якщо закрити цю дірку, залишиться ще сотня інших.

А ось отримання інформації про подібної кримінальної активності, і не просто у форматі захоплюючого чтива, а з готовими індикаторами злому (наявність утиліти-аналізатора, підключення до характерних C&C ітд), чим раніше, тим краще — цілком дозволить стерти пару нулів на підставі чека на відновлення після злому. Ласкаво просимо в майбутнє інформаційної безпеки, де працюють і цінуються, насамперед, знання і способи їх застосування на практиці.

Zero-day уразливість в Flash, чекаємо патч
Новина. Advisory Adobe. Дослідження «Лабораторії».

За останній час вразливостей Flash було чимало, в тому числі критичних, в тому числі вразливостей нульового дня — які активно експлуатуються в отстутствие патча. Відмінністю уразливості CVE-2016-4171 стало те, що експерти «Лабораторії» одним махом і баг знайшли, і розслідували операції порівняно молодий APT-угруповання, відомої як Starcruft. Дослідження дає трохи більше технічних деталей про уразливості, ніж зазвичай. Експлойт використовує один з модулів обробки метаданих, де проводиться читання даних без контролю кордонів, що природно може призвести до переповнення буфера. Кілька послідовних операцій запису даних, і атакуючі отримують можливість виконання довільного коду.


Винуватець торжества обведений рамочкою

Крім цього в арсеналі Starcruft була виявлена цікава схема обходу захисних рішень. Для цього використовується баг (можливо правильно буде назвати це недокументованій фичей) бібліотеки Windows DDE, в результаті чого остання використовується як прошарок між операціями виконання експлойта і запуском шкідливого коду. Так як Adobe Flash — відомий джерело проблем, захисне рішення може відстежувати підозрілі операції виконання коду від імені процесу, але в даному випадку може такий хитрий хід і пропустити. Саме час сказати, що антивірус — не торт, але немає. Нова уразливість була виявлена в квітні за допомогою автоматизованої системы детектування експлойтів, що використовується в наших продуктах.

Як би те ні було, патча вразливості від Adobe поки немає, хоча можливо він з'явиться прямо найближчим часом (обіцяли 16 червня).

Gmail припиняє підтримку протоколів SSLv3 і RC4 для підключення по протоколу IMAP/POP
Новость. Анонс Google.

Google послідовно ліквідує підтримку небезпечних протоколів шифрування даних для власних сервісів, в першу чергу — для GMail. Обидва протоколу давно визнані небезпечними і легко взламываемыми, і хоча в Google говорять, що абсолютна більшість клієнтів забирають пошту за допомогою протоколу TLS 1.2, деяку обмежену кількість поштового софта може перестати працювати — починаючи з 16 червня, але підтримка буде поступово відключатися ще місяць.



Загалом користувачів давніх смартфонів і антикварного комп'ютерного можуть виникнути проблеми. Дії Google, як і попередні инициативы щодо відмови від SSLv3 в браузерах, можна назвати превентивними: інформації про атаки для погано захищені з'єднання поки не було (можливо ті, хто слухають — особливо це не афішують). Незважаючи на те, що RC4 був оголошений небезпечним ще в 2001 році (перші роботи взагалі були в 1995-м), його продовжують досліджувати, так як, на жаль, його як і раніше використовують. Одне зі свіжих досліджень (PDF) показує можливість часткової розшифровки трафіку за 52 години.

Що ще сталося:
Чергові hardcoded ключі знайшлися в роутерах Netgear.

Новий криптолокер написаний на чистому Javascript.

Давнину:
«Warrior-1024»

Нерезидентный дуже небезпечний вірус. Стандартно записується в EXE-файли. На час роботи файлу-носія вірус залишається в пам'яті, перехоплює int 21h і при записі у файл (ah = 40h) замість записуваної інформації підставляє текст: "… and justice for all! (US constitution) Dream Over… alone And the warrior is warrior. The powerfull WARRIOR!".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 94.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.