- PVSM.RU - https://www.pvsm.ru -

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock - 1Шестинедельная сага о противостоянии компании Apple и Федерального Бюро Расследований закончилась [1]. 28 марта в ФБР официально заявили, что им удалось взломать iPhone 5c, принадлежавший террористу, без помощи производителя. От Apple больше не требуют изготовления инструмента для взлома данного телефона. История закончилась, пожалуй, самым выгодным и для вендора, и для потребителя способом, стоковый дядя с картинки не даст соврать. Но это вовсе не значит, что тема закрыта.

Если отвлечься от деталей, производитель смартфона и (в некотором роде) государство поспорили о том, кто обязан предоставлять доступ к защищенным данным пользователя, если это необходимо для расследования преступления. Пожалуй впервые в таком масштабе обсуждался вопрос: что делать госорганам, если защита в виде шифрования данных настолько хороша, что взломать ее без помощи производителя невозможно? В итоге выяснилось, что в ФБР поторопились — если очень нужно, найдутся и другие способы.

Но рано или поздно (скорее рано) этот вопрос снова будет поднят, в судебном разбирательстве или даже в рамках нового законодательства. Проблему придется решать, и это решение может серьезно повлиять на защищенность любых зашифрованных (не важно от кого!) данных, то есть затронет всех. Поэтому продолжаем наблюдение. Все выпуски дайджеста доступны по тегу [2].

Парад криптолокеров
Три из пяти самых популярных новостей прошедшей недели посвящены троянам-шифровальщикам. Не могу сказать, что вновь обнаруженные атаки серьезно отличаются от предыдущих, хотя исследователи и обнаружили пару интересных трюков. По-прежнему подавляющее большинство криптолокеров обнаруживается хорошим защитным решением проактивно. Внимание к этой теме обеспечено не технологиями атак, а ростом их числа, серьезными инцидентами в компаниях, которые хранят важную информацию — прежде всего в больницах. Пройдемся по основным событиям.

Бесфайловый криптолокер атакует медцентры
Новость [3]. Исследование [4] Carbon Black.

Расследуя атаку (не первую [5]) на неназванную компанию, работающую в сфере здравоохранения, специалисты Carbon Black раскрыли деятельность киберпреступников-минималистов. Потенциальным жертвам рассылаются офисные документы, при открытии которых предлагается включить макросы, после чего данные шифруются с помощью скрипта в среде Windows PowerShell. То есть (с некоторыми оговорками) мы имеем дело с очень простым трояном «на батниках», с примитивной коммуникацией с командным сервером без шифрования, и результатом в виде потери либо данных, либо 500-1000 долларов выкупа. Как видите, метод атаки с 20-летней историей продолжает работать, а с поддержкой в Windows командной оболочки bash [6] у него открываются новые перспективы.

Целенаправленная атака криптолокера на больницы с использованием уязвимостей в серверном ПО
Новость [7]. Исследование [8] Cisco Talos.

А вот вымогатель SamSam использует для атаки достаточно нетривиальные методы. Атакуются не компьютеры сотрудников, а серверы приложений JBoss (он же WildFly). Мотивация у атакующих понятная: вместо не всегда срабатывающей социальной инженерии используются уязвимости в конфигурации серверов, которые, в отличие от сотрудников, работают не с 8 до 5, а круглосуточно. Исследователи утверждают, что организаторы атаки в качестве жертв выбирают именно больницы. В прошлом выпуске я предположил [9], что за таким повышенным интересом к медцентрам кроется желание атаковать максимально чувствительную инфраструктуру и данные. Если сравнимый по размерам инфраструктуры небольшой «традиционный» бизнес прекратит свою работу на пару дней — никто особо не пострадает, а тут разбираться некогда — людей надо лечить. Исследователи Cisco Talos приводят иную мотивацию: дело в том, что больничная IT-инфраструктура с точки зрения безопасности очень часто находится просто-таки в плачевном состоянии. Возможно: IT в медицине дело непрофильное, но если так, то пора с этим что-то делать.

Троян Петя (на фото) требует выкуп за шифрование диска целиком
Новость [10]. Исследование [11] Bleeping Computer.

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock - 2

В профессиональных терминах большинство криптолокеров используют file level encryption — когда шифруются отдельные файлы, при этом операционная система остается работоспособной. Обнаруженный в ходе исследования узконаправленной спам-рассылки на немецкие компании троян Petya вместо этого шифрует диск целиком, делая загрузку системы и доступ к каким-либо данным невозможным, до оплаты выкупа ($380). Исследователи с ресурса Bleeping Computer показали работу трояна вот на этом видео:

Если коротко, троян перезаписывает MBR жесткого диска, вызывает принудительную перезагрузку системы, после чего, демонстрируя пользователю фальшивую «проверку диска» шифрует данные. По ссылке на исследование можно увидеть во всех подробностях и с картинками процесс заражения и выкупа. Здесь мы имеем дело с еще одним достаточно древним методом атаки, который, благодаря появлению Tor и биткоинов, стал использоваться на новый лад. Очень интересный образец, хотя и сомнительный с точки зрения масштаба: в отличие от традиционных троянов, шифрование на дисковом уровне требует серьезной проработки атаки и предусматривает массу возможностей, когда что-то идет не так.

Уязвимость Badlock в Samba: специалисты пытаются понять, не появится ли эксплойт раньше патча
Новость [12].

Про уязвимость Badlock я писал в начале предыдущего [9] дайджеста. За прошедшую неделю ничего не изменилось: мы по прежнему ждем раскрытия деталей уязвимости 12 апреля — во вторник, после выпуска очередного набора патчей от Microsoft. Их собственная реализация протокола сетевого обмена файлами оказалась подвержена так же, как и свободная Samba. Продолжается обсуждение этической стороны раннего анонса исследователями компании SerNet, по совместительству являющихся мейнтейнерами Samba. Мотивация SerNet понятна — они (официально) хотят, чтобы администраторы огромного числа потенциально уязвимых серверов и разработчики зависимого ПО подготовились заранее и (неофициально) не возражают против дополнительного внимания СМИ и потенциальных клиентов к своей компании, работающей в сфере кибербезопасности.

Аргументы противников такого подхода следующие:
— Они превращают безопасность в балаган. Не будем обсуждать этот довод, как явно неконструктивный.
— Раннее раскрытие информации об уязвимости дает достаточно информации злоумышленникам для написания эксплойта, и применения его до того, как будет доступен патч.

Это резонный аргумент, и на этой неделе появились доводы в его поддержку. Одним из сотрудников SerNet и одновременно контрибьютором Samba является Штефан Метцмахер, и естественно его коммиты в код Samba сразу же оказались в центре внимания. Среди них, в модуле lock.c (отметим соответствие между названием уязвимости и назначением модуля), обнаружился такой комментарий:

/* this is quite bizarre – the spec says we must lie about the length! */

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock - 3А когда что-то происходит не так с определением размера чего-либо, следующим шагом вполне может стать переполнение буфера и запуск произвольного кода. Впрочем, подтверждений, что баг именно там, пока нет (интересующиеся могут проследовать по ссылке [13] на гитхаб).

— Подготовиться по такому анонсу не получится. Косвенно это подтвердил в интервью Threatpost исследователь SANS Institute Ларс Ульрих. По его мнению, раскрытие информации в бОльшем объеме действительно может помочь писателям эксплойтов. Но информация на сайте [14] уязвимости в нынешнем виде провести подготовку тоже не позволяет. Подготовка — это написать сканер определенных портов, провести инвентаризацию инфраструктуры на предмет уязвимых версий Samba, оценить масштаб, зная, что уязвимы только серверы, но не клиенты (или наоборот). Ждать и бояться — это не подготовка.

Вместе с тем, специалист SANS Institute верит в эффективность ранних анонсов: после выпуска патча они положительно влияют на динамику его внедрения. Правда, «брендировать», по мнению Ульриха, стоит только действительно серьезные уязвимости — иначе метод не будет работать. Вывод: пока, на сегодняшний день, в подходе к раскрытию уязвимости Badlock есть больше пользы, чем вреда. Но методику было бы неплохо усовершенствовать.

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock - 4Древности:
Семейство «Tula»

Резидентные и неопасные вирусы. Стандартно поражают запускаемые .COM- и .EXE-файлы. Уменьшают размер памяти DOS (слово по адресу 0000:0413). Перехватывают int 8, int 13h, int 21h. «Tula-417,-593» периодически сообщают «Fuck you!». «Tula-419» — очень опасен, записывается в начало запускаемых на выполнение COM-файлов. В субботу 14-го числа пытается отформатировать диски. Перехватывает прерывание 21h, содержит текст: «Tula 1990.Sat».

«Tula-635» выдает сообщение: «Formatting Drive...» и читает сектора с диска, хотя очень похоже, что изменением одного байта кода вируса можно добиться того, что диск будет действительно форматироваться.

«Tula-1480» при каждом 50-м запуске файла под веселую музычку сообщает популярный среди подростков матерный стишок на английском языке.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 48.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник [15]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/apple/116802

Ссылки в тексте:

[1] закончилась: https://threatpost.ru/fbi-breaks-into-terrorists-encrypted-iphone/15396/

[2] по тегу: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date

[3] Новость: https://threatpost.ru/fileless-powerware-ransomware-found-on-healthcare-network/15378/

[4] Исследование: https://www.carbonblack.com/2016/03/25/threat-alert-powerware-new-ransomware-written-in-powershell-targets-organizations-via-microsoft-word/

[5] первую: https://threatpost.ru/locky-ransomware-borrows-tricks-from-dridex/14842/

[6] bash: https://habrahabr.ru/post/280560/

[7] Новость: https://threatpost.ru/new-server-side-ransomware-hitting-hospitals/15453/

[8] Исследование: http://blog.talosintel.com/2016/03/samsam-ransomware.html?m=1

[9] предположил: https://habrahabr.ru/company/kaspersky/blog/280173/

[10] Новость: https://threatpost.ru/petya-ransomware-encrypts-master-file-table/15392/

[11] Исследование: http://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/

[12] Новость: https://threatpost.ru/badlock-vulnerability-clues-few-and-far-between/15399/

[13] ссылке: https://git.samba.org/?p=samba.git;a=blob;f=source4/libcli/smb2/lock.c;h=f2a76d876a103ce0dd06a5b362c2e629974772d5;hb=HEAD

[14] сайте: http://badlock.org/

[15] Источник: https://habrahabr.ru/post/280688/