Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex

в 14:55, , рубрики: balong, Dridex, huawei, klsw, LTE, TheSAS2017, virustotal, Блог компании «Лаборатория Касперского», информационная безопасность

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 1Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong – сотового модема, который стоит в смартфонах Huawei.

Что тут началось! Впрочем, что именно тут началось нам доподлинно не узнать, но Вайнман кинулся искать дыры. И, разумеется, нашел и показал. А сколько черных шляп нашли, но ничего не сказали?.. Риторический вопрос. Однако исходники уже несвежие, но это не особо мешает поиску уязвимостей, которые, если верить Rand Corporation, живут в софте в среднем по 7 лет. А смартфонов с разными версиями этой прошивки на руках у народа – тьма. Например, только за третий квартал 2016 года Huawei продала 33 миллиона смартфонов Honor, половина которых — с HiSilicon Balong на борту.

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 2Порывшись в исходнике на основе VxWorks, Вайнман сумел разработать метод доступа к C-shell, встроенному интерпретатору C. Тот, правда, ничего особенного не дает делать, помимо вызова любых экспортированных функций. Но уже одно это позволило Вайнману снимать дамп памяти, модифицировать ее содержимое, запускать новые задачи, и загружать динамические модули ядра. В своем выступлении на конференции Infiltrate он продемонстрировал, как можно извне инициировать соединение, которое Android не увидит. Тааак, похоже, мой Honor 6c отправляется в помойку.

Атака, описанная Вайнманом, проводится через поддельную базовую станцию на основе OpenLTE, которая прикидывается реальной вышкой сотового оператора и отправляет на смартфон хитрые пакеты, переполняющие буфер в стеке LTE. В итоге Android крэшится, аппарат ребутится и заселяет на борт нового “постояльца” — бэкдора.

Теперь хорошая новость: это все еще LTE, то есть без обладания закрытым ключом оператора или без подмены ключа в SIM-карте БС не подделать. Пойду достану смартфон из помойки. Впрочем, это только цветочки: Вайнман утверждает, что САМОГО СТРАШНОГО он еще не рассказал. Ей Богу, как Сноуден. Просто хочет дать Huawei шанс исправить ошибки.

Мораль истории в том, что опен-сорс в аспекте информационной безопасности хорош там, где его легко пропатчить. А на смартфонах практика обратная: если вашему аппарату стукнул год, обновления вы, скорее всего, не дождетесь. Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.

Компании сливают конфиденциальные данные через мультисканеры
Еще одна страшная новость с нашего SAS 2017. Как-то раз Маркус Найс из Swisscom AG натравил Yara на семплы, загруженные в VirusTotal. Абсолютно нормальное занятие, вот только он составил правила для поиска не малвари, а PGP-ключей. Обнаружив несусветное их количество, Маркус дополнил правила признаками конфиденциальных данных – TLP-метками уровней GREEN, AMBER и RED.

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 3Первый улов его потряс: 60 писем от ФБР, 800 оповещений об информационных угрозах от Министерства внутренней безопасности США, три куртки импортных, учетные данные для VPN в ассортименте, приватные ключи SSH, масса внутрикорпоративной и даже государственной переписки. Вы спросите, откуда все это взялось на VirusTotal? Таки Маркус знает что сказать: слишком многие компании используют мультисканер как халявный антивирус, скидывая туда ВСЕ входящие документы. Ну, знаете, вдруг там малварь притаилась. Самое смешное, что среди семплов нашлись даже отчеты ИБ-подрядчиков о расследованиях киберинцидентов.

Вроде бы пока не очень страшно: ну льют все, что льется, на VirusTotal, no big deal. Однако же немалая доля пользователей сервиса может эти семплы скачивать. И качает ведь. Исследователь для проверки залил документ Microsoft Word с «канарейкой»-токеном, и в первые же два дня зафиксировал доступ из США, Германии, России и Польши.

Все это иначе как утечкой данных не назовешь, причем зачастую сливаются не свои данные, а информация клиентов и подрядчиков, а это совсем уже неприлично. По словам Нейса, особенно эту практику полюбили индийские IT-аутсорсеры – валят на VirusTotal и ему подобные сервисы все подряд. Вот так наймешь себе немного дешевых кодеров, а они твои данные всему миру явят… И наивно было бы думать, что черные дата-брокеры еще не обнаружили такую сытную кормушку.

Microsoft закрыла любимый зеродей Dridex
Есть и хорошие новости, и исследования. Только Dridex повадился заражать машины через уязвимость нулевого дня в MS Office, как Microsoft его взяла и закрыла! Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 4Буквально за три дня после обнаружения. Неясно, правда, как давно Dridex промышлял через этот баг. А последний, надо сказать, был сочный – позволял выполнять произвольный код, причем от жертвы требовалось лишь открыть документ с эксплойтом. Больше ничего жать не надо, ваш компьютер уже приняли в большую дружную ботосемью Dridex. В интернет-банк после этого лучше и не заглядывать – расстроитесь. Чуть погодя.

Механика работы эксплойта незамысловата. Жертва открывает RTF-документ со встроенным объектом OLE2link. Ворд послушно лезет в Интернет, куда указывает объект, тащит оттуда HTA-файл и скармливает его интерпретатору mshta.exe. VBScript внутри HTA, в свою очередь, скачивает троянца и устанавливает его, параллельно закрывая winword.exe и запуская его заново, но уже с другим документом. Это нужно, чтобы пользователь не успел увидеть сообщение от Word, создаваемое OLE2link.
Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 5

А, да, чуть не забыл сказать, что Microsoft дыру закрыла, но как-то не до конца: пока есть патч только для Microsoft Office 2010, да и то, требующий SP2. При этом уязвимость актуальна вплоть до Office 2016. В качестве временного решения предлагается заблокировать RTF в Word и использовать Microsoft Office Protected View. Ну или предварительно высылайте все документы на VirusTotal (шутка:).

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 6

Древности

«Digger-1475»

Неопасный нерезидентный вирус. Зашифрован. Обходит дерево каталогов и стандартно записывается в COM- и EXE-файлы. Содержит текст «© DIGGER». Оставляет небольшую резидентную программу, которая периодически переворачивает экран вверх ногами.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 64.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js