Security Week 48: локер з техпідтримкою, мутації Mirai, уразливість в Firefox і Tor

Почнемо наш п'ятничний вечірній дайджест з новини про криптолокере, який настільки поганий з технічної точки зору, що це навіть цікаво. Хоча я не можу достовірно знати, що відбувається по той бік ландшафту загроз, можу уявити, як творці більш пристойних троянів-вимагачів коментують дане творіння в стилі майстра Безенчука з «Дванадцяти стільців». "Вже у них і матерьял не той, і обробка гірше, і кисть рідка, туди її в гойдалку".

Троян VindowsLocker (так, саме так, через V) докладно описаний фахівцями компанії Symantec і незалежним дослідником TheWack0lian (новость исследование). Після шифрування даних троян пропонує зателефонувати в техпідтримку (безкоштовний дзвінок на території США, все як у пристойних людей), і обговорити можливість викупу в 350 доларів. Командного центру немає, замість нього троян відправляє ключі для розблокування на pastebin. Зроблено все максимально криво: у більшості випадків ключ нормально не відправляється, відповідно і злочинці його не бачать. Тобто гроші (після переговорів) вони зібрати не можуть, а розшифрувати дані — ні.

Після дзвінка в техпідтримку» відбувається наступне: створюється сесія RDP, і скаммеры прямо на комп'ютері користувача спочатку відкривають офіційну сторінку технічної підтримки Microsoft, а поверх її — форму реєстрації, де мотивують жертв передати їм номер соц. страхування та кредитної карти із секретним кодом. У цьому косноязычном киберпостмодернизме, якщо постаратися, можна розгледіти спробу націлити криптолокерский бізнес на більш широку аудиторію — ту, що з биткоином і даркнетом впоратися не зможе. Але ні, насправді це просто просто дуже поганий троян.



Інформації про методи зараження немає, але швидше за все там теж все сумно. Я радий за колег з Malwarebytes, які написали для даного трояна дешифровщик, тільки дана шкідлива програма швидше є канонічним антиприкладом вірусонаписання, а не реальної масової загрозою.

В Mozilla Foundation закрили серйозні уразливості в Firefox
Новина. Інформація про патч. Докладний описание на BleepingComputer. Інформація для браузера Tor.

28 листопада для двох свіжих версій Firefox (49 і 50) був випущений екстрений патч. Уразливість при ряді умов дозволяє обійти політику єдиного джерела (same origin policy). 30 листопада був випущений ще один апдейт, на цей раз закриває проблему в оброблювачі графіки у форматі SVG. А ось ця вразливість може призвести до виконання довільного коду. Дану уразливість вже активно експлуатували на момент випуску патча: з її допомогою збиралася інформація про користувача і відправлялася на віддалений сервер. Тактика атакуючих при цьому була дуже схожа на методи ФБР для деанонімізація користувачів, використані раніше. Про це, до речі, повідомив той же незалежний дослідник TheWack0lian з попередньої новини.

Ботнет, заснований на коді Mirai, атакував роутери клієнтів Deutsche Telekom, викликавши проблем з доступом до мережі
Новина. Исследование «Лабораторії».

Ботнет Mirai і не думає зникати з актуальних новин з безпеки, завдяки викладеному вихідного коду, який, на черговому витку розвитку драми, взялися допілівать. У ботнету, по суті, є два режими роботи — атакувати кого попало і шукати нові жертви. По другій частині цього тижня проблеми виникли у німецького телекому Deutsche Telekom. Все почалося, як завжди, з масових скарг користувачів на низьку якість доступу до інтернету. Виявилося, пара моделей роутерів, що поставляються провайдером кінцевим користувачам, були атаковані черговий мутацією Mirai.

Наші експерти детально описали, чому так сталося, але методи розширення кількості зомбі-комп'ютерів були пояснені і багатьма іншими спостерігачами. На цей раз проблема криється в спеціалізованому протоколі TR-064, який використовується провайдерами для віддаленого управління клієнтськими пристроями. У тому випадку, якщо інтерфейс управління (на порте 7547) доступний зовні, з'являється можливість або завантажити та виконати на пристрої довільний код, або зробити те ж саме, але через стадію відкриття доступу до традиційного веб-інтерфейсу. Спроба атаки виглядає приблизно так:



данным інституту SANS, теоретично схильних пристроїв налічується понад 40 мільйонів — це ті, у кого сервісний протокол просто доступний з мережі. Що стосується атаки на Deutsche Telekom, то вона не увінчалася успіхом — спроба атаки призвела лише до того, що приблизно 5% роутерів перестали нормально працювати. Звідси і перебої з доступом до мережі. У будь-якому випадку, користувачам рекомендують «спробувати вимкнути і включити»: шкідливий код зберігається тільки в оперативній пам'яті.

Що ще сталося:
Масова атака на комп'ютери департаменту громадського транспорту Сан-Франциско (уражено понад 2 тисяч комп'ютерів, запропоновано викуп у 100 биткоинов) привела до цікавого побічного ефекту: щоб не паралізувало рух, оператор відключив платіжні автомати і забезпечив жителям міста безкоштовний проїзд у День Подяки.

Давнину
«V-707»

Резидентний безпечний вірус. Вражає .COM-файли при їх завантаженні в пам'ять. Змінює перші п'ять байт файлу MOV AX, Start_Virus, PUSH AX RET near) і дописується в його кінець.

Активізується тільки в DOS 3.30, визначає (скануванням пам'яті) точки входу обробників 13h-го і 21h-го переривання DOS і активно їх використовує при зараженні файлів. Розташований у самих старших адресах пам'яті, коригуючи останній MCB і зменшуючи розмір доступної пам'яті (слово за адресою 0000:0413).

При зараженні веде підрахунок вже заражених файлів, і як тільки зустрічається 30-й заражений файл, встановлює переривання 8h на підпрограму генерації звукового сигналу. Перехоплює int 8 і int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 89.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.