- PVSM.RU - https://www.pvsm.ru -

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux - 1Главной новостью недели стала атака на DNS-серверы компании Dyn в прошлую пятницу. Мощная DDoS-атака началась утром по времени США, проходила в два этапа и на несколько часов привела к проблемам с доступом или же к полной недоступности множества сайтов-клиентов Dyn (новость [1]). Среди пострадавших — Twitter, Reddit, Github, Soundcloud, Spotify и другие. Фактически все указанные сайты работали, были недоступны обслуживающие их DNS-серверы, но на стороне пользователя невозможность транслировать имя веб-сайта в IP-адрес выглядела так же, как если бы сервис ушел в офлайн целиком. Как обычно, недоступность крупной соцсети привела к глюкам и падению сайтов, которые изначально были вообще не при чем (например, подвисший код элементов Twitter мешал [2] загружаться сайту The Register).

Позже подтвердились предположения об источнике атаки (новость [1]) — это был ботнет IoT-устройств Mirai, ранее отметившийся [3] массивной атакой на блог Брайана Кребса. Код Mirai был выложен [4] в открытый доступ, что привело к заметному росту числа атакованных устройств. Их и так было немало: 380 тысяч по утверждению изначального «владельца» исходников.

Термин «взлом» к подверженным устройствам не совсем применим: в большинстве случаев эксплуатируются банальные уязвимости и зашитые пароли. OEM-производитель Xiongmai, частично ответственный за небезопасные прошивки устройств, даже начал [5] в США отзывную кампанию, которая, впрочем, относится только к нескольким тысячам IP-видеокамер. По остальным выпущены рекомендации и обновления прошивок. Проблема в том, что вряд ли все владельцы устройств будут обновлять устройства.

Тема уязвимого интернета вещей продолжает развиваться, при том, что сама эпоха IoT еще даже не наступила толком. Надеюсь, что проблема уязвимых-по-умолчанию устройств, которые либо трудно, либо неудобно обновлять, начнет решаться. Атака на Dyn также послужит полезным опытом по усилению защиты от DDoS. Придется: по данным компании Level3, что в DDoS-атаке участвовало всего около 10% устройств из ботнета размером в полмиллиона.

Microsoft предупреждает о поддельном антивирусе Security Essentials со встроенным телефонным мошенничеством

Новость [6]. Пост [7] в блоге Microsoft.

Эксперты из Microsoft подняли на этой неделе интересную тему телефонного кибер-мошенничества. Типовая для западных стран (насколько мне известно, в России схема непопулярна) «атака» происходит следующим образом: вам звонят якобы из техподдержки Microsoft, сообщают, что на компьютере все плохо (он заражен вирусом или что-то пооригинальнее) и предлагают удаленно решить проблему. Дальше возможны варианты — как со скачиванием вредоносной программы, так и с удаленным подключением к вашему десктопу. Или с оплатой за «удаление вируса», либо за установку поддельного ПО.

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux - 2

В данном случае все работает немного по-другому: в сети распространяется поддельный инсталлятор Microsoft Security Essentials. Расчет на то, что в Windows 8 и 10 этот антивирус был заменен на Windows Defender, но кто-то мог запомнить старое название и «найти» программу в сети. После установки пользователю демонстрируется поддельный синий экран смерти с телефоном «техподдержки», дальнейшая обработка жертв переносится в офлайн. Наши коллеги из штатов проверили — еще в понедельник телефон работал, и там утверждали, что совершенно точно сертифицированы и авторизованы. Обычно так или иначе такие телефонные мошенники пытаются что-нибудь пользователю продать.

В качестве рекомендаций специалисты Microsoft рекомендуют странное: уметь отличать настоящий BSOD от поддельного. Не самый лучший совет для целевой аудитории таких мошенников. Проще блокировать попытки заражения сразу, тем более поводов тут достаточно: и отсутствие сертификата, и прямолинейные попытки отключить диспетчер задач.

Уязвимость в ядре Linux позволяет получить привилегии рута локально

Новость [8]. Сайт уязвимости [9] от первооткрывателя (с логотипом!). Информация об уязвимости в трекере Red Hat [10].

Уязвимость «Грязная корова» или Dirty Cow была названа так потому, что в ней задействован механизм Copy-On-Write [11]. COW используется для оптимизации потребления ресурсов, в случае если разные процессы запрашивают один и тот же набор данных (например, на диске). В обычной ситуации потребовалось бы каждый раз создавать копию данных, но в случае COW копия создается только когда процесс пытается изменить информацию. Ошибка в ядре Linux позволяет создать race condition [12], результатом которого будет запись в оригинальный файл, а не в копию, даже если у иницииатора записи нет на это прав.

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux - 3

Интересные детали есть на странице [13] коммита, исправляющего уязвимость. Линус Торвальдс пишет, что пытался исправить проблему еще 11 лет назад, но тогда возникли какие-то сложности c системами на архитектуре S390 [14]. Возможно тогда на это не обратили внимание, так как практическая возможность «состояния гонки» зависит в том числе от производительности системы, и на тот момент атака казалась не реализуемой. В итоге уязвимость существует во всех версиях ядра Linux с 2007 года, и на данный момент запатчена не везде. Все бы ничего, но есть свидетельства наличия эксплойта «в полях».

Что еще произошло:
Google создал [15] нейросеть, которая полностью самостоятельно разработала новый алгоритм шифрования (защищаясь от другого протоAI, пытавшегося расшифровать данные). Исследователи, создавшие нейросеть, не до конца уверены, как именно работает алгоритм. «Точно не XOR».

Экстренный патч [16] для Adobe Flash.

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux - 4

Древности

Семейство «Saratoga»

Семейство резидентных опасных вирусов. Стандартным образом поражают каждый второй или десятый EXE-файл (в зависимости от версии вируса) при его выполнении или загрузке в память. После каждого удачного заражения файла объявляют один из свободных кластеров текущего диска «плохим» (так называемый псевдосбойный кластер).

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник [17]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/linux/203857

Ссылки в тексте:

[1] новость: https://threatpost.ru/mirai-fueled-iot-botnet-behind-ddos-attacks-on-dns-providers/18814/

[2] мешал: https://twitter.com/TheRegister/status/789507386352349184

[3] отметившийся: https://threatpost.ru/brajan_krebs_pod_obstrelom_novyj_ddos-rekord/18282/

[4] выложен: https://threatpost.ru/source-code-released-for-mirai-ddos-malware/18444/

[5] начал: https://threatpost.ru/chinese-manufacturer-recalls-iot-gear-following-dyn-ddos/18869/

[6] Новость: https://threatpost.com/fake-microsoft-installer-leads-to-malware-support-call-scam/121489/

[7] Пост: https://blogs.technet.microsoft.com/mmpc/2016/10/21/beware-of-hicurdismos-its-a-fake-microsoft-security-essentials-installer-that-can-lead-to-a-support-call-scam/

[8] Новость: https://threatpost.ru/serious-dirty-cow-linux-vulnerability-under-attack/18818/

[9] Сайт уязвимости: https://dirtycow.ninja/

[10] трекере Red Hat: https://bugzilla.redhat.com/show_bug.cgi?id=1384344#

[11] Copy-On-Write: http://stackoverflow.com/questions/628938/what-is-copy-on-write

[12] race condition: https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%B3%D0%BE%D0%BD%D0%BA%D0%B8

[13] на странице: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619

[14] S390: https://en.wikipedia.org/wiki/IBM_ESA/390

[15] создал: http://arstechnica.co.uk/information-technology/2016/10/google-ai-neural-network-cryptography/

[16] патч: https://threatpost.ru/adobe-patches-flash-zero-day-under-attack/18852/

[17] Источник: https://habrahabr.ru/post/313882/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best