Viry a Červi

Už žádné výkupné! Ransomware GandCrab skončil.

VIRY.CZ - 20 Červen, 2019 - 16:30

Odhaduje se, že si havěť GandCrab našla 1,5 milionů obětí, kterým zašifrovala důležité soubory a požadovala od nich výkupné. Platit výkupné není vhodné a nyní ani nutné. K dispozici je totiž nový dekryptor, kterým se lze k originálním / nepoškozeným souborům vrátit.

Na začátku měsíce jsem informoval o tom, že GandCrab končí, neboť již útočníkům vydělal dost. Čekalo se ale, zda útočníci zveřejní privátní klíče, díky kterým by bylo možné všechny oběti posledních verzí (hlavně 5.2) GandCrab odšifrovat. Zároveň jsem slíbil, že budu celou situaci sledovat

A ejhle, stalo se, že dobrovolně zřejmě klíče nezveřejnili , nicméně díky společnému úsilí organizací jako Europol, FBI a dalších (včetně společnosti BitDefender) se je evidentně získat podařilo. Tady je například tisková zpráva Europolu. Výsledkem je aplikace pro dešifrování souborů, kterou lze stáhnout odsud.

Kdo si počká, ten se dočká

Kdo se tak stal obětí ransomwaru GandCrab, odmítl zaplatit výkupné a ponechal si zašifrované soubory, má nyní reálnou šanci na jejich obnovu bez větších nákladů.

Jak šel čas vývoje havěti GandCrab a následných dekryptorů od společnosti BitDefender, která měla podíl i na ukončení kapitoly „GandCrab“.

Mimochodem, havěť GandCrab si sama určovala výši výkupného dle situace. Podle množství zašifrovaných souborů mohlo jít o částky mezi 600 až 2000 dolary. Pokud GandCrab zjistil, že jde o server, výkupné začínalo na částce 10000 dolarů! GandCrab též v minulosti tvořil kolem jedné poloviny všech incidentů způsobených ransomwarem. Motivace byla vysoká, autoři nabízeli provizi 60% prostředníkům, kteří havěť šířili do světa. Odborně řečeno, šlo o model Ransomware as a Service (RaaS) s affiliate systémem.

Zálohovat, zálohovat, zálohovat!

Proti ransomware lze bojovat ideálně formou pravidelného zálohování. Některé tipy lze najít v kapesní příručce o havěti.

The post Už žádné výkupné! Ransomware GandCrab skončil. appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Facebook’s Libra cryptocurrency is big news but will it be secure?

Sophos Naked Security - 20 Červen, 2019 - 15:57
Unless you’ve been under a rock, you’ll know that earlier this week Facebook announced plans for a new global cryptocurrency for absolutely everyone called Libra.

Shut the barn door: UK data watchdog tells MPs mass slurping by firms is a huge risk to privacy

The Register - Anti-Virus - 20 Červen, 2019 - 14:59
You need to rifle through my photos why, exactly?

Regulators and campaign groups have warned a UK Parliamentary inquiry that the increasing collection, use and storage of data by corporations poses a serious risk to privacy and security.…

Kategorie: Viry a Červi

“Deeply personal medical” records exposed online

Sophos Naked Security - 20 Červen, 2019 - 14:39
The Facebook ad agency xSocialMedia exposed 150K medical histories, along with identifying information for the people involved.

Not-so-dear subscribers

Kaspersky Securelist - 20 Červen, 2019 - 12:01

Many people have had a run-in with subscriptions to mobile content providers. They appear out of the blue, and get discovered only when account funds run dry. It might seem that the obvious solution is not to visit dubious sites and not to install apps from third-party sources. But, alas, these days such advice is clearly not enough. We recently discovered several apps in Play Market directly related to such intrusive services.

Pink Camera (com.paint.oil) and Pink Camera 2 (com.psbo.forand) are identical save for the numeral in the name; each has been installed more than 10,000 times

On the face of it, they are ordinary photo editors, but suspicions start to creep in on perusing the list of permissions. For example, the apps request access to Wi-Fi controls, which is rather unusual for this type of software. What’s more, when run, the editors request access to notifications — and keep doing it till the user says “yes.” Next, while the user is trying to embellish a photo (using the meager functionality), the app collects information in the background about the device and sends it to the server ps.okyesmobi[.]com.

Example of a request received after decrypting app traffic:

{ "q1":"201905211050", // app ID "y":1184, // screen height "sign":"308F03D2E9173D9A1A43DFA15FDAF47D" "z":"PUSH", "e":"201905211050", "pl":"25011", // network operator code "cf":"111,108", "s1":"104870", "a":"862921000707889", // imei "i":720, // screen width "b":"250110201713837", // imsi "c":"unknown", "j":"ru", "d":"S10", // phone model "e1":1 // Wi-Fi status }

As can be seen, information is transmitted about the device and network operator. In response, the software receives a set of links (depending on the country and network operator) to the pages:

{ "sts":200, "ph":"", "js":[], "list": [ { "sta":0, "cf":"111", "dy":0, "tl":"http://of.okyesmobi[.]com/redirect?uid=F867D2329F195671825571419DB5B7FA67880B4E99583D6B&sourceid=2300&clickid=104870_112672190_250110201713837_862921000707889_201905211050_0.31_94.25.169.249", "id":0, "oid":112672190 } ], "cr": [ { "tl":"http://of.okyesmobi[.]com/redirect?uid=35092271DFB564AE09748A8CF282E15D089A4800D04DE5FE&sourceid=2300&clickid=104870_155608136_250110201713837_862921000707889_201905211050_0.36_94.25.169.249&p=1", "oid":155608136 }, { "tl":"http://of.okyesmobi[.]com/redirect?uid=71CBD61E0439CE5B6B6EF0BC46C140A842767CC39AC9A56E&sourceid=2300&clickid=104870_130581973_250110201713837_862921000707889_201905211050_0.24_94.25.169.249&p=1", "oid":130581973 } ], "wf":true }

After several redirects, the addresses take the user to a subscription page. Our technologies detect these pages as not-a-virus:HEUR:AdWare.Script.Linkury.gen.

Examples of “subscription” pages

On receiving the addresses of the malicious pages, the program loads them in a window unseen by the user. Before doing so, the app turns off Wi-Fi in the user’s phone, thereby activating mobile data to simplify the subscription process.

The app then decrypts a Java helper script stored in the app resources, and performs the actions required to activate the subscription:

  • It substitutes the user’s phone number (obtained while harvesting information) into the relevant field.
  • If the subscription page is CAPTCHA-protected, the app uses the image recognition service chaojiying[.] and automatically inserts the result into the relevant field on the page.
  • If an SMS code is required, the app gets it through access to notifications.
  • It clicks the “subscribe” button.
How to protect yourself

Analysis of pages loaded by the malware revealed the targets to be users from different countries, while its distribution through an official app store helped the authors to spread it far and wide. To avoid the hook and save money on your mobile phone account, we recommend carefully studying the list of requested permissions during app installation and installing a security solution on your smartphone capable of detecting this type of threat. Additionally, you can enable content-blocking options, or open a “content account” — a free service offered by some carriers for managing subscription payments.

IOCs

SHA256

  • 7F5C5A5F57650A44C10948926E107BA9E69B98D1CD1AD47AF0696B6CCCC08D13
  • E706EB74BAD44D2AF4DAA0C07E4D4FD8FFC2FC165B50ED34C7A25565E310C33B
  • 796A72004FAE62C43B1F02AA1ED48139DA7975B0BB416708BA8271573C462E79
  • C5CA6AA73FDCB523B5E63B52197F134F229792046CBAC525D46985AD72880395
  • B9038DC32DE0EA3619631B54585C247ECFD304B72532E193DED722084C4A7D1C
  • D4406DEE2C0E3E38A851CEA6FD5C4283E98497A894CA14A58B27D33A89B5ED5F
  • 59D64FBFF1E5A9AC1F8E29660ED9A76E5546CA07C2FF99FE56242FA43B5ABEC3
  • C5B6146D7C126774E5BB299E732F10655139056B72C28AA7AD478BD876D0537E
C&C
  • ps.okyesmobi[.]com:8802

If Uncle Sam could quit using insecure .zip files to swap info across the 'net, that would be great, says Silicon Ron Wyden

The Register - Anti-Virus - 20 Červen, 2019 - 00:27
Senator urges NIST to do something about it

Influential US Senator Ron Wyden (D-OR) is not happy about Uncle Sam's employees using insecure .zip files and other archive formats to electronically transfer information.…

Kategorie: Viry a Červi

Google takes the PIS out of advertising: New algo securely analyzes shared encrypted data sets without leaking contents

The Register - Anti-Virus - 19 Červen, 2019 - 23:47
Plus: MongoDB crams end-to-end crypto into database tech

Google on Wednesday released source code for a project called Private Join and Compute that allows two parties to analyze and compare shared sets of data without revealing the contents of each set to the other party.…

Kategorie: Viry a Červi

Feds: Cyberattack on NASA’s JPL Threatened Mission-Control Data

VirusList.com - 19 Červen, 2019 - 23:02
Rampant security-operations bungling allowed cyberattackers to infiltrate JPL's network, which carries human mission data.
Kategorie: Viry a Červi

Google Releases Open Source Tool For Computational Privacy

VirusList.com - 19 Červen, 2019 - 21:19
Google's new multi-party computation tool allows companies to work together with confidential data sets.
Kategorie: Viry a Červi

Using Oracle WebLogic? Put down your coffee, drop out of Discord, grab this patch right now: Vuln under attack

The Register - Anti-Virus - 19 Červen, 2019 - 20:35
Emergency security fix emitted for remote code exec hole exploited in the wild

Oracle has issued an emergency critical update to address a remote code execution vulnerability in its WebLogic Server component for Fusion Middleware – a flaw miscreants are exploiting in the wild to hijack systems.…

Kategorie: Viry a Červi

Oracle Warns of New Actively-Exploited WebLogic Flaw

VirusList.com - 19 Červen, 2019 - 18:25
Oracle is urging users to update after a critical WebLogic Server Flaw was found being actively exploited in the wild.
Kategorie: Viry a Červi

Plurox: Modular backdoor

Kaspersky Securelist - 18 Červen, 2019 - 12:00

In February this year, a curious backdoor passed across our virtual desk. The analysis showed the malware to have a few quite unpleasant features. It can spread itself over a local network via an exploit, provide access to the attacked network, and install miners and other malicious software on victim computers. What’s more, the backdoor is modular, which means that its functionality can be expanded with the aid of plugins, as required. Post-analysis, the malware was named Backdoor.Win32.Plurox.

Key features

Plurox is written in C and complied with Mingw GCC, and judging by the presence of debug lines, the malware was at the testing stage when detected.

Debug lines in the samples we found

The backdoor uses the TCP protocol to communicate with the C&C server; plugins are loaded and directly interfaced via two different ports, which are stitched into the body of Plurox; the C&C addresses are also hardcoded into the bot. When monitoring the malware’s activity, we detected two “subnets.” In one, Plurox receives only miners (auto_proc, auto_cuda, auto_gpu_nvidia modules) from the C&C center, while in the other, besides miners (auto_opencl_amd, auto_miner), it is passed several plugins, which will be discussed later.

The Plurox family has virtually no encryption, only a few 4-byte keys are applied for the regular XOR cipher. The packet for calling the C&C server looks as follows:

The buffer contains an XORed string with the key at the start of the packet. The response from the C&C center contains the command to be executed, plus data for its execution, which is encrypted using XOR. When the plugin is loaded, the bot itself selects the required bitness and requests both auto_proc and auto_proc64. In response there arrives a packet with an encrypted plugin, the usual MZ-PE.

Supported commands

The Plurox version we found supports a total of seven commands:

  • Download and run files using WinAPI CreateProcess
  • Update bot
  • Delete and stop (delete own service, remove from autoload, delete files, remove artifacts from registry)
  • Download and run plugin
  • Stop plugin
  • Update plugin (stop process and delete file of old version, load and start new one)
  • Stop and delete plugin

Plugins

During the monitoring, we managed to detect several Plurox plugins and study them all.

Plugin miners

The malware can install on the victim computer one of several cryptocurrency miners, depending on the particular system configuration. The bot sends the package with the system configuration to the C&C server, and in response it receives information about which plugin to download. We counted eight mining modules in total, whose features can be guessed from their names:

  • auto_proc
  • auto_cuda
  • auto_miner
  • auto_opencl_amd
  • auto_gpu_intel
  • auto_gpu_nvidia
  • auto_gpu_cuda
  • auto_gpu_amd
UPnP plugin

The module receives from the C&C a subnet with mask /24, retrieves all IP addresses from it, and attempts to forward ports 135 (MS-RPC) and 445 (SMB) for the currently selected IP address on the router using the UPnP protocol. If successful, it reports the result to the C&C center, waits for 300 seconds (5 minutes), and then deletes the forwarded ports. We assume that this plugin can be used to attack a local network. It would take an attacker just five minutes to sort through all existing exploits for services running on these ports. If the administrators notice the attack on the host, they will see the attack coming directly from the router, not from a local machine. A successful attack will help the cybercriminals gain a foothold in the network.

According to its description, the plugin is very similar to EternalSilence, except that port 135 is forwarded instead of 139. See this Akamai article for details of EternalSilence:

{"NewProtocol": "TCP", "NewInternalPort": "445", "NewInternalClient": "192.168.10.165",

"NewPortMappingDescription": "galleta silenciosa", "NewExternalPort": "47622"}

And here’s the Plurox plugin template:

<NewProtocol>TCP</NewProtocol>
<NewInternalPort>%d</NewInternalPort>
<NewInternalClient>%s</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>galleta silenciosa</NewPortMappingDescription>

In the two examples, a matching line is highlighted — a description of port forwarding.

SMB plugin

This module is responsible for spreading malware over the network using the EternalBlue exploit. It is identical to the wormDll32 module from Trojan.Win32.Trickster, but with no debug lines in the code, plus the payload in the exploit is loaded using sockets.

Left: Plurox SMB plugin injected code, right: WormDll injected code

Left: Plurox SMB plugin NetServerEnum, right: Trickster WormDll NetServerEnum

As can be seen in these samples, not only is the injected code similar, but also the code for standard procedures. Based on this, we can assume that the analyzed samples were taken from the same source code (commented lines in the Trickster plugin are missing in the Plurox plugin), which means the respective creators of Plurox and Trickster may be linked.

Kaspersky security solutions detect the bot and its plugins with the verdicts Backdoor.Win32.Plurox and HEUR:Trojan.Win32.Generic.

IoC

C&C servers

  • 178.21[.]11.90
  • 185.146[.]157.143
  • 37.140[.]199.65
  • 194.58[.]92.63
  • obuhov2k[.]beget[.]tech
  • webdynamicname[.]com
  • 37.46[.]131.250
  • 188.93[.]210.42
MD5
  • Main body
  • 59523DD8F5CE128B68EA44ED2EDD5FCA
  • C4A74D79030336A0C3CF60DE2CFAE9E9
  • CECFD6BCFDD56B5CC1C129740EA2C524
  • BE591AA0E48E496B781004D0E833E261
  • Trickster Worm module
  • f233dd609821c896a4cb342cf0afe7b2
  • auto_proc32
  • 2e55ae88c67b1d871049af022cc22aac
  • auto_proc64
  • b2d76d715a81862db84f216112fb6930
  • auto_opencl_amd32
  • a24fd434ffc7d3157272189753118fbf
  • auto_opencl_amd64
  • 117f978f07a658bce0b5751617e9d465
  • auto_miner32
  • 768857d6792ee7be1e1c5b60636501e5
  • auto_miner64
  • e8aed94c43c8c6f8218e0f2e9b57f083
  • upnp32
  • 8cf5c72217c1bb48902da2c83c9ccd4e
  • upnp64
  • b2824d2007c5a1077856ae6d8192f523
  • smb32
  • 6915dd5186c65891503f90e91d8716c6
  • smb64
  • cd68adc0fbd78117521b7995570333b2

Co si to takhle odložit třebas k Britney Spears?

VIRY.CZ - 12 Červen, 2019 - 16:32

Pro úspěch některé havěti je stěžejní komunikace s command & control (C&C) servery, přes které vede komunikaci se svým „páníčkem“ – útočníkem. Útočník zasílá havěti skrze C&C instrukce a ta je pak vykonává. Příkladem mohou být odkazy na další součásti havěti, které jsou na povel staženy a spuštěny. Laicky řečeno, havěť tam prostě čeká na další rozkazy.

Mrtvý C&C = mrtvá havěť

Pokud je takový C&C server zlikvidován, obvykle to pro havěť znamená konec života. Připomeňme, že instrukce mohou být uloženy třeba na odkazu http://utocnikova_stranka.cz/instrukce.txt (smyšlený příklad). Pokud se havěť využívající tento odkaz dostane do povědomí antivirových společností či státních úřadů, obvykle zajistí zablokování webhostingu pro takovou doménu a tedy i nedostupnost odkazu.

Pojďme se proto podívat na speciální případy C&C serverů, které se snaží tento „problém“ řešit a zajistit tak delší životnost havěti. Některé z nich:

DGA – Domain Generating Algorithm

V tomto případě má v sobě havěť zabudovaný algoritmus, který podle definovaného klíče vygeneruje řekněmě 200 názvů domén každý den. Tyto názvy mohou být na první pohled náhodné, ale přitom je tam jasně popsatelná logika a není tak problém už nyní říci, o jakých že 200 názvů půjde například za 10 dní. Pokud to hodně zjednoduším, příkladem mohou být „náhodné“ názvy domén:

moje2019-06-12a.cz, moje2019-06-12b.cz, moje2019-06-12c.cz, moje2019-06-12d.cz, …

Tak bych mohl dojít třeba až k těm 200 názvům pro den 12.6.2019.

Zároveň díky logice už teď vím, že pro den 22.6.2019 by šlo o názvy domén:

moje2019-06-22a.cz, moje2019-06-22b.cz, moje2019-06-22c.cz, moje2019-06-22d.cz, …

Úspěch je zajištěn, pokud stejnou logiku jako havěť, zná i útočník. Havěť se tak snaží každý den z této sady domén (v příkladě 200) stáhnout instrukce a pokud útočník potřebuje nějaké instrukce zaslat, stačí mu zaregistrovat a oživit POUZE JEDNU z této sady domén. Než takovou doménu, resp. webhosting odstaví úřady, dávno již není potřeba, neboť tu máme další sadu domén pro následující den. Zároveň není v silách nikoho, kupovat předem 200 domén denně a vyfouknout je tak útočníkovi.

Účty na sociálních sítích

Útočníci a havět si mohou vyměňovat instrukce i skrze komentáře na Twitteru či Instagramu. Ideální je k tomu využít účtů známých osobností, které asi jen tak někdo nevypne.

Třeba v roce 2017 byla popsána havěť, kde byly instrukce uloženy na oficiálním Instagram účtu Britney Spears, právě ve formě komentáře. Ten nebyl na první pohled až tak divný, přesto ale splňoval vstupní kritéria, aby si ho havěť všimla. Netisknutelné znaky a použití regulárního výrazu nakonec z nevinného textu vykouzlilo odkaz http://bit.ly/2kdhuHX!

Závěr

K sepsání článku mě dovedla novinka z bleepingcomputer.com, která s výše uvedeným poněkud souvisí. Útočníci si tam sice nezajistili delší životnost havěti, ale instrukce si pro změnu ukládají do TXT záznamu v DNS domény. A aby se jim tyto instrukce jednoduše četli, využívají k tomu službu od Google, konkrétně DNS Resolver, která jim to krásně naservíruje přesně v podobě, která se jim hodí (JSON)…

The post Co si to takhle odložit třebas k Britney Spears? appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Ransomware GandCrab končí, prý už útočníkům vydělal dost

VIRY.CZ - 4 Červen, 2019 - 16:10

Po roce a půl končí „projekt“ GandCrab. Útočníci vypnou celou platformu a partnery žádají o ukončení distribuce ransomwaru GandCrab, tedy havěti, která zašifruje soubory uživatelů a pak po nich požaduje výkupné…

GandCrab se začal promovat v lednu 2018 jako Ransomware as a Service (RaaS), tedy v „obchodním modelu“, na kterém se mohli přiživit i další kriminálníci. Ti se mohli zapojit do affiliate programu a rozjet vlastní kampaň na distribuci tohoto ransomwaru. Z každé oběti útoku, která zaplatila výkupné v naději, že ji útočníci obnoví důležité zašifrované soubory (dokumenty, fotografie, …), dostávali provizi.

Všechno dobré musí jednou skončit

Na začátku tohoto měsíce se pak na exploit.in objevila zpráva, že Gandcrab končí. Lidé okolo této havěti si prý vydělali více než 2 miliardy dolarů a nyní tak odcházejí do zaslouženého důchodu. Na celou, názorově zvrácenou zprávu, se můžete v originále podívat níže (zdroj: BleepingComputer).

Částka 2 miliardy dolarů je patrně přehnaná, ale i tak si mohli útočníci přijít na hezkou sumu peněz. GandCrab měl totiž v poslední době dominantní postavení, ač v poslední době řešil nějaké ty „potíže„.

A co oběti?

Neznáme ani odpověď na velmi důležitou otázku: Vezmou si útočnici „do hrobu“ i privátní klíče pro odšifrování souborů všech obětí a zničí tak definitivně naději na jejich obnovu? Počkejme si na konec měsíce! Budu to sledovat

The post Ransomware GandCrab končí, prý už útočníkům vydělal dost appeared first on VIRY.CZ.

Kategorie: Viry a Červi
Syndikovat obsah