Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor

Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель".

Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian (новость ^[1], исследование ^[2]). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.

После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.

Информации о методах заражения нет, но скорее всего там тоже все уныло. Я рад за коллег из Malwarebytes, которые написали для данного трояна дешифровщик, только данная вредоносная программа скорее является каноничным антипримером вирусописания, а не реальной массовой угрозой.

В Mozilla Foundation закрыли серьезные уязвимости в Firefox
Новость ^[3]. Информация ^[4] о патче. Подробное описание ^[5] на BleepingComputer. Информация ^[6] для браузера Tor.

28 ноября для двух свежих версий Firefox (49 и 50) был выпущен экстренный патч. Уязвимость при ряде условий позволяет обойти политику единого источника (same origin policy). 30 ноября был выпущен еще один апдейт ^[7], на этот раз закрывающий проблему в обработчике графики в формате SVG. А вот эта уязвимость способна привести к выполнению произвольного кода. Данную уязвимость уже активно эксплуатировали на момент выпуска патча: с ее помощью собиралась информация о пользователе и отправлялась на удаленный сервер. Тактика атакующих при этом была весьма похожа на методы ФБР для деанонимизации пользователей, использованные ранее. Об этом, кстати, сообщил ^[8] тот же независимый исследователь TheWack0lian из предыдущей новости.

Ботнет, основанный на коде Mirai, атаковал роутеры клиентов Deutsche Telekom, вызвав проблем с доступом к сети
Новость ^[9]. Исследование ^[10] «Лаборатории».

Ботнет Mirai и не думает пропадать из актуальных новостей по безопасности, благодаря выложенному исходному коду, который, на очередном витке развития драмы, взялись допиливать. У ботнета, по сути, есть два режима работы — атаковать кого попало и искать новые жертвы. По второй части на этой неделе проблемы возникли у немецкого телекома Deutsche Telekom. Все началось, как обычно, с массовых жалоб пользователей на низкое качество доступа к интернету. Оказалось, пара моделей роутеров, поставляемых провайдером конечным пользователям, были атакованы очередной мутацией Mirai.

Наши эксперты подробно описали, почему так произошло, но методы расширения количества зомби-компьютеров были объяснены и многими другими наблюдателями. На этот раз проблема кроется в специализированном протоколе TR-064, который используется провайдерами для удаленного управления пользовательскими устройствами. В том случае, если интерфейс управления (на порте 7547) доступен снаружи, появляется возможность либо загрузить и выполнить на устройстве произвольный код, либо сделать то же самое, но через стадию открытия доступа к традиционному веб-интерфейсу. Попытка атаки выглядит примерно так:

По данным ^[11] института SANS, теоретически подверженных устройств насчитывается более 40 миллионов — это те, у кого сервисный протокол просто доступен из сети. Что касается атаки на Deutsche Telekom, то она успехом не увенчалась — попытка атаки привела лишь к тому, что примерно 5% роутеров перестали нормально работать. Отсюда и перебои с доступом к сети. В любом случае, пользователям рекомендуют «попробовать выключить и включить»: вредоносный код сохраняется только в оперативной памяти.

Что еще произошло:
Массовая атака на компьютеры департамента общественного транспорта Сан-Франциско (поражено более 2 тысяч компьютеров, запрошен выкуп в 100 биткоинов) привела ^[12] к интересному побочному эффекту: чтобы не парализовало движение, оператор отключил платежные автоматы и обеспечил жителям города бесплатный проезд в День Благодарения.

Древности

«V-707»

Резидентный неопасный вирус. Поражает .COM-файлы при их загрузке в память. Изменяет первые пять байт файла (MOV AX, Start_Virus, PUSH AX, RET near) и дописывается в его конец.

Активизируется только в DOS 3.30, определяет (сканированием памяти) точки входа обработчиков 13h-го и 21h-го прерывания в DOS и активно их использует при заражении файлов. Располагается в самых старших адресах памяти, корректируя последний MCB и уменьшая размер доступной памяти (слово по адресу 0000:0413).

При заражении ведет подсчет уже зараженных файлов, и как только встречается 30-й зараженный файл, устанавливает прерывание 8h на подпрограмму генерации звукового сигнала. Перехватывает int 8 и int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[13]