Security Week 43: атака на сервери Dyn, життя підробленого техсаппорта, вразливість в Linux

Головною новиною тижня стала атака на DNS-сервери компанії Dyn минулої п'ятниці. Потужна DDoS-атака почалася вранці за часом США, проходила у два етапи і на кілька годин призвела до проблем з доступом або ж до повної недоступності безлічі сайтів-клієнтів Dyn (новость). Серед постраждалих — Twitter, Reddit, Github, Soundcloud, Spotify і інші. Фактично всі зазначені сайти працювали, були недоступні обслуговуючі їх DNS-сервери, але на стороні користувача неможливість транслювати ім'я веб-сайту в IP-адресу виглядала так само, як якщо б сервіс пішов в офлайн. Як зазвичай, недоступність великої соцмережі призвела до глюків і падіння сайтів, які були спочатку взагалі не при чому (наприклад, підвішений код елементів Twitter заважав завантажуватися сайту The Register).

Пізніше підтвердилися припущення про джерело атаки (новость — це був ботнет IoT-пристроїв Mirai, раніше відзначився масивної атакою на блозі Брайана Кребса. Код Mirai був викладений у відкритий доступ, що призвело до помітного зростання числа атакованих пристроїв. Їх і так було чимало: 380 тисяч за твердженням споконвічного «власника» исходников.

Термін «злом» схильним до пристроїв не зовсім застосуємо: у більшості випадків експлуатуються банальні уразливості і зашиті паролі. OEM-виробник Xiongmai, частково відповідальний за небезпечні прошивки пристроїв, навіть начал</a у США відкличну кампанію, яка, втім, відноситься тільки до кільком тисячам IP-відеокамер. По решті випущені рекомендації та оновлення прошивок. Проблема в тому, що навряд чи всі власники пристроїв будуть оновлювати пристрою.

Тема уразливого інтернету речей продовжує розвиватися, при тому, що сама епоха IoT ще навіть не настала. Сподіваюся, що проблема уразливих-за замовчуванням пристроїв, які або важко, або незручно оновлювати, почне вирішуватись. Атака на Dyn також стане корисним досвідом щодо посилення захисту від DDoS. Доведеться: за даними компанії Level3, що в DDoS-атаці брали участь всього близько 10% пристроїв з ботнету розміром півмільйона.

Microsoft попереджає про підроблений антивірусі Security Essentials з вбудованим телефонним шахрайством
Новость. Пост у блозі Microsoft.
Експерти з Microsoft підняли на цьому тижні цікаву тему телефонного кібер-шахрайства. Типова для західних країн (наскільки мені відомо, у Росії схема непопулярна) «атака» відбувається наступним чином: вам дзвонять нібито з техпідтримки Microsoft, повідомляють, що на комп'ютері все погано (він заражений вірусом або щось пооригінальніше) і пропонують віддалено вирішити проблему. Далі можливі варіанти — як зі скачуванням шкідливої програми, так і з віддаленим підключенням до вашого десктопа. Або з оплатою за «видалення вірусу», або за установку підробленого.


В даному випадку все працює трохи по-іншому: у мережі поширюється підроблений інсталятор Microsoft Security Essentials. Розрахунок на те, що в Windows 8 і 10 цей антивірус був замінений на Windows Defender, але хтось міг запам'ятати стару назву і «знайти» програму в мережі. Після установки користувачеві демонструється підроблений синій екран смерті з телефоном «техпідтримки», подальша обробка жертв переноситься в офлайн. Наші колеги з штатів перевірили — ще в понеділок телефон працював, і там стверджували, що абсолютно точно сертифіковані і авторизовані. Зазвичай так чи інакше такі телефонні шахраї намагаються що-небудь користувачу продати.

В якості рекомендацій фахівці з Microsoft рекомендують дивне: вміти відрізняти справжній BSOD від підробленого. Не самий кращий рада для цільової аудиторії таких шахраїв. Простіше блокувати спроби зараження відразу, тим більше приводів тут досить: і відсутність сертифіката, і прямолінійні спроби відключити диспетчер завдань.

Уразливість в ядрі Linux дозволяє отримати привілеї рута локально
Новина. Сайт уразливості від першовідкривача (з логотипом!). Інформація про уразливості в трекері Red Hat.
Уразливість «Брудна корова» або Dirty Cow була названа так тому, що в ній задіяний механізм Copy-On-Write. COW використовується для оптимізації споживання ресурсів, у разі якщо різні процеси запитують один і той же набір даних (наприклад, на диску). У звичайній ситуації було б кожен раз створювати копію даних, але в разі COW копія створюється тільки коли процес намагається змінити інформацію. Помилка в ядрі Linux дозволяє створити race condition, результатом якого буде запис у вихідний файл, а не копію, навіть якщо у иницииатора запису немає на це права.


Цікаві деталі є на сторінці коміта, виправляє вразливість. Лінус Торвальдс пише, що намагався виправити проблему ще 11 років тому, але тоді виникли якісь складнощі c системами на архітектурі S390. Можливо тоді на це не звернули увагу, так як практична можливість «стану гонки» в тому числі залежить від продуктивності системи, і на той момент атака здавалася не реалізується. У результаті вразливість існує у всіх версіях ядра Linux з 2007 року, і на даний момент запатчена не скрізь. Все б нічого, але є свідчення наявності експлойта «в полях».

Що ще сталося:
Google создал нейромережа, яка повністю самостійно розробила новий алгоритм шифрування (захищаючись від іншого протоАІ, який намагався розшифрувати дані). Дослідники, що створили нейромережа, не до кінця впевнені, як саме працює алгоритм. «Точно не XOR».

Екстрений патч для Adobe Flash.

Давнину
Сімейство «Saratoga»

Сімейство резидентних небезпечних вірусів. Стандартним чином вражають кожен другий або десятий EXE-файл (в залежності від версії вірусу) при його виконанні або завантаженні в пам'ять. Після кожного вдалого зараження файлу оголошують один з вільних кластерів поточного диска «поганим» (так званий псевдосбойный кластер).

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 44.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.