VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 17 min 43 sek zpět

Útok z hlubin počítače

12 Duben, 2019 - 15:44

Poslední týdny přinesly i dvě zajímavé novinky, o kterých bych se rád zmínil. Figurují v nich pojmy WinRAR a ASUS…

Přesněji řečeno budu hovořit o dvou aplikacích. První je legendární WinRAR pro komprimaci souborů. Kdo někdy viděl soubory s příponou RAR či ZIP, ten patrně WinRAR zná. Využívá ho přes 500 milionů uživatelů! Druhou je program „ASUS Live Update“, který sice není tak známý, nicméně výrobce hardwaru, společnost ASUS, není potřeba představovat. Tahle aplikace si dokáže „očichat“ HW počítače / notebooku uživatele a automaticky stáhnout veškeré aktualizace ovladačů pro zvukovou kartu, základní desku, včetně novější verze BIOSu. Obě spojuje v tomto článku skutečnost, že i zavedené a známé programy dokážou kdykoliv v průběhu svého života ohrozit bezpečnost počítače, ač každá z nich zcela jiným způsobem.

WinRAR

V tomto programu existovala celých 19 let(!) chyba, resp. zranitelnost (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 a CVE-2018-20253), kterou mohl případný útočník zneužít k zavirování počítače. Chybu obsahovala knihovna UNACEV2.dll, díky které dokázal WinRAR rozbalovat i archivní soubory formátu ACE. Soubor/archiv s příponou ACE bylo ale možné připravit tak, že WinRAR díky chybě „zblbnul“ a část souborů vybalil do jiné složky, než kterou určil uživatel!

Více informací lze najít tady (anglicky). Téměř dole je i video demonstrace (POC), jak by mohl případný útok s využitím této zranitelnosti probíhat. Třeba tak, že uživatel chce rozbalit ACE archiv na plochu, kam se sice rozbalí, nicméně jeden „zlý“ spustitelný EXE soubor se bez jeho vědomí dostane i do složky „Po spuštění“. Zákonitě se tak „zlý“ program spustí po dalším restartu počítače…

Tato 19 let stará chyba byla odstraněna ve WinRARu, verze 5.70. Chyba přitom byla „odstraněna“ doslovně, neboť UNACEV2.dll už není součástí distribuce nových verzí WinRARu. Archaický formát ACE si tak WinRARem už nerozbalíte. Proto doporučuji aktualizovat na verzi 5.70 nebo novější!

ASUS Live Update

Zde se pro změnu útočníkům podařilo odcizit validní digitální certifikáty společnosti ASUS, resp. ASUSTeK, kterými podepisovali škodlivé aplikace a jménem společnosti ASUSTeK je následně umisťovali na legitimní servery společnosti ASUS. Zpětně se ukázalo, že aktualizační servery společnosti ASUS byly útočníky kompromitovány mezi červnem a listopadem 2018. Tj. kdo instaloval ASUS Live Update v tomto období, měl velikou šanci, že si v počítači spustil potichu tikající bombu. Jenom společnost Kaspersky zaznamenala přes 57 tisíc uživatelů s takhle upraveným programem ASUS Live Update. V celosvětovém měřítku odhaduje, že mohlo být postiženo klidně přes 1 milion uživatelů. Více informací zde (anglicky).

Tenhle útok přitom spadá do kategorie APT (Advanced Persitent Threat), tedy že cílem útoku jsou konkrétní instituce (či jedinci) a nikoliv celá masa lidí, která program ASUS Live Update používá. Takový útok pak může být odhalen až za několik měsíců, let a nebo nikdy! V tomto případě se při analýze ukázalo, že útok cílil pouze na malou skupinu několika stovek uživatelů. Technicky to bylo zajištěno tak, že ve škodlivých programech bylo vyjmenováno celkem přes 600 MAC adres síťových adaptérů a další škodlivá činnost následovala pouze v případě, že se ASUS Live Update nacházel na počítači s MAC adresou z jmenovaného výčtu. Co bylo na těchto uživatelích / počítačích pro útočníky zajímavého? To teď těžko říci a je otázkou, zda je lepší to nevědět Připomeňme jen, že kyber-špionáže (kde hraje APT často významnou roli) vedly v minulosti například k black-outům / výpadkům elektrické energie v části Ukrajiny, ke krádežím firemních know-how, či ke zpomalení procesu obohacování uranu v Iránu při výrobě jaderné bomby…

The post Útok z hlubin počítače appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Pozor na nové vyděračské e-maily!

4 Duben, 2019 - 12:21

Dejte si pozor na nové vyděračské zprávy, které se od rána objevují v e-mailových schránkách uživatelů! Útočník v nich tvrdí, že o uživateli nashromáždil řadu citlivých a kompromitujících informací, včetně záznamu z jeho web kamery. A to v době, kdy uživatel navštěvoval weby s erotickou tématikou a prováděl u toho nepřístojnosti…

Ve skutečnosti…

…je to celé nesmysl a útočníci nemají nic. Určitě se ale najdou ti, kteří naletí a požadované „výpalné“ v hodnotě 13 500 Kč zaplatí. Více informací lze najít na specializovaném serveru HOAX.CZ.

K úspěšnému útoku dnes stačí málo

Za sebe ještě dodám, že můžeme pozorovat až děsivou degradaci technické úrovně útoků. Už útoky založené na havěti typu ransomware (zašifruje soubory na počítači uživatele a vyžaduje „výpalné“ za jejich vrácení do použitelné podoby) jsou velice primitivní a přitom účinné. Že to ale nakonec dopadne tak, že k úspěšnému vydírání bude stačit jen tupá e-mailová zpráva (v řadě případů ještě plná pravopisných chyb), tak to jsem ještě nedávno netušil…

The post Pozor na nové vyděračské e-maily! appeared first on VIRY.CZ.

Kategorie: Viry a Červi

250 antivirů pro Android, pravých jen zlomek

22 Březen, 2019 - 15:14

Na bezpečnosti se dobře vydělává, čehož se chytila i řada pochybných společností. Server AV-Comparatives tak otestoval 250 antivirů (!), které lze stáhnout na Google Play a používat na chytrých telefonech se systémem Android. Výsledek? V řadě případů to jsou podvodné programy, které si na antiviry hrajou…

To, že si autoři těchto děl vybrali zrovna systém Android není náhodný. Při porovnání s Microsoft Windows je Google Android stále mladá záležitost. Navíc díky fungování systému Android je vývoj bezpečnostních řešení jednodušší. Výrobci nemusí řešit tak velký technologický deficit a dohánět velkou časovou ztrátu jako velcí hráči, nebo ti, kteří na trh vstoupili již před lety. Ani havěť nemá za sebou tak dlouhou historii jako na platformě Microsoft Windows a k zajištění zpětné detekce není nutné věnovat tolik času.

Jak to dopadlo?

Takže jak test dopadl? Z 250 antivirů jich jen 80 dokázalo detekovat přes 30% havěti a to bez falešných poplachů. Mezi těmi 80 antiviry lze najít spoustu podprůměrných, ale alespoň mají nějakou „snahu“ (23 z nich dosahovalo 100% detekce). Nicméně onen zbytek, tedy 170 údajných antivirů, to byl jasný odpad. Typickým chováním takových „antivirů“ byl zvýšený výskyt falešných poplachů, kdy označují legitimní aplikace za zavirované a neustále tak obtěžují uživatele. Navíc kvalita detekce byla u těchto 170 kousků pod 30%. Těchto 170 „antivirů“ tak můžeme v klidu zařadit do kategorie podvodných/fake antivirů či do kategorie PUA (potentially unwanted applications).

Další zajímavosti
  • Hodnocení antivirů na Google Play nevypovídá o jejich kvalitně. Většina z testovaných 250 produktů měla 4 hvězd z 5 nebo více, ač stály za prd! Bohužel toto může platit všeobecně pro jakoukoliv aplikaci na Google Play :-/ Podobná je situace s počtem stažení.
  • 15 antivirů z těch 80 používalo shodný antivirový „motor“ OpenAVL a všechny tak skončily na 87,8% kvality detekce.
  • Hodně antivirů běželo i na známém „motoru“ BitDefender. Celkem 7. Některým to stačilo na 100% detekci, některým ne.
  • Mezi těmi nejhoršími 170 kousky bylo evidentní, že často vycházejí ze společného základu, pouze se prezentují v jiných barvách či s jinými texty. Podívejte se třeba na 6 různých fake antivirů níže, asi bratři
  • Některé z nejhorších „antivirů“ pracovaly pouze na principu whitelistu a vše ostatní považovaly za škodlivé. Whitelist byl přitom postaven na názvech balíčků. Takže například všechny názvy balíčků začínající na com.twitter.* byly považovány za čisté, ač pro útočníka není problém pod com.twitter.* vystavit vlastní škodlivý kód. Některé z těch nejdebilnějších „antivirů“ pak na whitelist zapomněly přidat samy sebe, takže samy sebe označovaly za havěť!
  • O podvodných antivirech informoval v minulosti například článek na We Live Security. Perličkou bylo, že když už něco podvodný antivirus opravdu regulérně detekoval jako nebezpečnou aplikaci, tak to byl konkureční podvodný antivirus…
Těchto 6 aušusových antivirů vycházelo evidentně ze společného základu.

Celou zprávu ze serveru AV-Comparatives lze stáhnout přesně zde.

The post 250 antivirů pro Android, pravých jen zlomek appeared first on VIRY.CZ.

Kategorie: Viry a Červi