Security Week 32: проект Саурон, вразливість в iOS, черв'як у PLC

Між тим затишним сек'юріті дайджестам виповнився рік. Як швидко летить час! У випуску за 32-й тиждень минулого року я писав про дірку в Android, уразливості в автомобілях концерну Fiat Chrysler і концепції Do Not Track 2.0. Що змінилося? Нестачі в новинах про безпеку я не відчуваю, навіть навпаки. Зміни на краще є, але не скрізь, що можна побачити на прикладі цих трьох давніх повідомлень.

Stagefright. З моменту виявлення уразливості було виявлено ще несколько связанных з обробкою медіа, а нещодавно до них добавились серьезные дыры, що зачіпають в основному пристрої на платформі Qualcomm. Така велика робота над помилками — хороший знак, тим більше, що протягом року почала вирішуватися проблема доставкою патчів. Не на всі пристрої, і з перемінним успіхом у різних вендорів, але позитивні зрушення є.

Автобезпека залишається складною темою. З одного боку одкровень рівня минулорічної новости про бездротовому зломі авто не з'явилося, з іншого — відсутність гучних викриттів не говорить про безпеку. Швидше причина в закритості автоіндустрії по відношенню до незалежним дослідникам. Хороша історія по темі відбулася на цьому тижні: дослідники з університету Бірмінгема раскрыли деталі уразливості штатної протиугінної системи, яка встановлюється на автомобілі концерну Volkswagen аж з 1995 року. Перехоплювати сигнали з бездротового брелока такої системи виявилося досить просто. Важливо, що всі дані були на руках у дослідників вже в 2013 році, але VW пригальмував публікацію звіту судовим позовом. Їх теж можна зрозуміти, але судячи за непрямими даними, про уразливості сигналізації не знала тільки громадськість, а ось злочинці користуються їй вже давно. У такому розкладі власнику авто краще все-таки знати про потенційну небезпеку штатної системи.

Ну і приватність. З приватністю краще не стало, швидше навпаки. Існуючі системи і пов'язані алгоритми шифрування випробовуються на надійність дослідниками, плюс весь рік ведеться дискусія про доступ до зашифрованих даних з боку держорганів і прирівняних до них організацій. Але є і позитивні моменти, наприклад перехід на шифрування даних WhatsApp і Viber. Повернемося до новин дня сьогоднішнього. Абсолютно всі випуски дайджесту доступні по тегу.

Проект «Саурон» — нова таргетована кампанія враховує помилки попередників
Новина. Дослідження «Лабораторії». Исследование Symantec.

На початку цього тижня експерти «Лабораторії» і дослідники з Symantec незалежно один від одного публікують звіт нової атаки класу APT. Ми її називаємо ProjectSauron, наші колеги — Strider. «Саурон» використовує достатньо просунуті методи атаки, збору і эксфильтрации даних, хоча і не настільки круті, як, наприклад, в The Equation. Мабуть, головними особливостями атаки є максимальна заточенность під жертву і максимальна ж складність виявлення. Шкідливі компоненти зберігаються тільки в оперативній пам'яті, під кожну жертву створюється власний комплект з малварі, домену та серверів для виведення даних. А для эксфильтрации використовується цілий арсенал засобів: від стандартних, але із застосуванням сильного шифрування, до експлуатації внутрішніх поштових серверів і виведення даних з air-gapped систем з допомогою хитро розмічених флешок. Позитивним моментом є наявність прийомів боротьби з ломами і такої класифікації: шкідлива активність була задетектирована за допомогою нашого рішення для захисту від цільових атак. Більше технічних деталей в докладному звіті «Лабораторії» PDF.


Скріншот нашого трекера просунутих атак натякає, що таких атак стало дуже багато.

В iOS 9.3.4 закрита критична RCE вразливість
Новина. Advisory на сайті Apple.

Переможець у номінації «Найбільш коротка новина тижня». В чергове оновлення мобільної операційної системи iOS компанія Apple закрила небезпечну уразливість, яка дозволяла додатком виконати код з привілеями ядра. Всі! Apple може собі таке дозволити: код системи закритий, відносини з зовнішніми дослідниками також проводяться непублічно. Навіть запущена недавно програма Bug Bounty компанією Apple ведеться приватно: як повідомляють з місць, в програму запрошені лише дві дюжини дослідників, і немає, нам навіть не розкажуть, хто саме. До речі, за інформацію про уразливості Apple дякує китайську команду Team Pangu, групу хакерів, специализирующуся на джейлбрейках.

Дослідники показали proof of concept хробака, що живе в програмованих логічних контролерах
Новина. Дослідження в PDF.

А ось і обіцяний минулого тижня компот — ще одне цікаве дослідження з конференції Blackhat. Дослідник Маїк Брюггеманн з компанії OpenSource Security досить багато часу провів аналізуючи взаємодію програмованих логічних контролерів (PLC) Siemens з керуючої консолі TIA Portal.

Виявивши прогалини в системі безпеки, зокрема в методах перевірки цілісності коду і парольного захисту, він показав, як можна заразити самі контролери. Це ключовий момент: якщо раніше обговорення безпеки індустріальних систем будувалося навколо захисту керуючого софта і систем, то тепер мова йде про можливої компрометації самих контролерів — пристроїв відносно простих і тому не сприймаються як загрозу. А дарма: у демонстрації показано, наприклад, як можна налагодити зв'язок між черв'яком і командним центром за межами мережі.



На щастя, це все ще proof of concept, а не реальний хробак. Виробник заліза, компанія Siemens, і зовсім стверджує, що демонстрація була дуже теоретичного властивості. Зокрема, для реалізації своєї ідеї дослідник поотключал системи безпеки, які в нормальних умовах повинні бути включені завжди. Тим не менш, картина виходить гарна і лякає: на сучасному виробництві потенційно уразливих комп'ютерів і так десятки, а тут виходить що сотні. Брюггеманн робить висновок: виробникам треба міняти підхід до безпеки. Добре, але неконкретно: в даному випадку можна почати з контролю цілісності коду для PLC, і бажано не тільки вендором.

Що ще сталося:
Серйозна уразливість в реалізації протоколу TCP в Linux, що дозволяє перехоплювати трафік.

До атаки на POS-систему Oracle можливо причетні автори Carbanak.

У Microsoft здається великі проблеми з системою SecureBoot (а у джейлбрейкеров свято).

Давнину:
«V-492»

Резидентний дуже небезпечний вірус. Заражає COM-файли при їх запуску на виконання. Довжину файлів не перевіряє. Копіює себе в кінець файлу і змінює його перші 6 байт (JMP xx xx zz zz zz).

При активізації шукає файл C:\COMMAND.COM і інфікує його. Потім залишається резидентным в пам'яті. Для цього вірус копіює себе в таблицю векторів переривань за адресою 0000:0200. Періодично пере кілька секторів з випадковими номерами. Змінює int 1Ch і int 21h. Містить команду 'PUSH 100h', тому не поширюється на комп'ютерах з процесором 8086/88.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 87.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.