VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 7 min 1 sek zpět

Co si to takhle odložit třebas k Britney Spears?

12 Červen, 2019 - 16:32

Pro úspěch některé havěti je stěžejní komunikace s command & control (C&C) servery, přes které vede komunikaci se svým „páníčkem“ – útočníkem. Útočník zasílá havěti skrze C&C instrukce a ta je pak vykonává. Příkladem mohou být odkazy na další součásti havěti, které jsou na povel staženy a spuštěny. Laicky řečeno, havěť tam prostě čeká na další rozkazy.

Mrtvý C&C = mrtvá havěť

Pokud je takový C&C server zlikvidován, obvykle to pro havěť znamená konec života. Připomeňme, že instrukce mohou být uloženy třeba na odkazu http://utocnikova_stranka.cz/instrukce.txt (smyšlený příklad). Pokud se havěť využívající tento odkaz dostane do povědomí antivirových společností či státních úřadů, obvykle zajistí zablokování webhostingu pro takovou doménu a tedy i nedostupnost odkazu.

Pojďme se proto podívat na speciální případy C&C serverů, které se snaží tento „problém“ řešit a zajistit tak delší životnost havěti. Některé z nich:

DGA – Domain Generating Algorithm

V tomto případě má v sobě havěť zabudovaný algoritmus, který podle definovaného klíče vygeneruje řekněmě 200 názvů domén každý den. Tyto názvy mohou být na první pohled náhodné, ale přitom je tam jasně popsatelná logika a není tak problém už nyní říci, o jakých že 200 názvů půjde například za 10 dní. Pokud to hodně zjednoduším, příkladem mohou být „náhodné“ názvy domén:

moje2019-06-12a.cz, moje2019-06-12b.cz, moje2019-06-12c.cz, moje2019-06-12d.cz, …

Tak bych mohl dojít třeba až k těm 200 názvům pro den 12.6.2019.

Zároveň díky logice už teď vím, že pro den 22.6.2019 by šlo o názvy domén:

moje2019-06-22a.cz, moje2019-06-22b.cz, moje2019-06-22c.cz, moje2019-06-22d.cz, …

Úspěch je zajištěn, pokud stejnou logiku jako havěť, zná i útočník. Havěť se tak snaží každý den z této sady domén (v příkladě 200) stáhnout instrukce a pokud útočník potřebuje nějaké instrukce zaslat, stačí mu zaregistrovat a oživit POUZE JEDNU z této sady domén. Než takovou doménu, resp. webhosting odstaví úřady, dávno již není potřeba, neboť tu máme další sadu domén pro následující den. Zároveň není v silách nikoho, kupovat předem 200 domén denně a vyfouknout je tak útočníkovi.

Účty na sociálních sítích

Útočníci a havět si mohou vyměňovat instrukce i skrze komentáře na Twitteru či Instagramu. Ideální je k tomu využít účtů známých osobností, které asi jen tak někdo nevypne.

Třeba v roce 2017 byla popsána havěť, kde byly instrukce uloženy na oficiálním Instagram účtu Britney Spears, právě ve formě komentáře. Ten nebyl na první pohled až tak divný, přesto ale splňoval vstupní kritéria, aby si ho havěť všimla. Netisknutelné znaky a použití regulárního výrazu nakonec z nevinného textu vykouzlilo odkaz http://bit.ly/2kdhuHX!

Závěr

K sepsání článku mě dovedla novinka z bleepingcomputer.com, která s výše uvedeným poněkud souvisí. Útočníci si tam sice nezajistili delší životnost havěti, ale instrukce si pro změnu ukládají do TXT záznamu v DNS domény. A aby se jim tyto instrukce jednoduše četli, využívají k tomu službu od Google, konkrétně DNS Resolver, která jim to krásně naservíruje přesně v podobě, která se jim hodí (JSON)…

The post Co si to takhle odložit třebas k Britney Spears? appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Ransomware GandCrab končí, prý už útočníkům vydělal dost

4 Červen, 2019 - 16:10

Po roce a půl končí „projekt“ GandCrab. Útočníci vypnou celou platformu a partnery žádají o ukončení distribuce ransomwaru GandCrab, tedy havěti, která zašifruje soubory uživatelů a pak po nich požaduje výkupné…

GandCrab se začal promovat v lednu 2018 jako Ransomware as a Service (RaaS), tedy v „obchodním modelu“, na kterém se mohli přiživit i další kriminálníci. Ti se mohli zapojit do affiliate programu a rozjet vlastní kampaň na distribuci tohoto ransomwaru. Z každé oběti útoku, která zaplatila výkupné v naději, že ji útočníci obnoví důležité zašifrované soubory (dokumenty, fotografie, …), dostávali provizi.

Všechno dobré musí jednou skončit

Na začátku tohoto měsíce se pak na exploit.in objevila zpráva, že Gandcrab končí. Lidé okolo této havěti si prý vydělali více než 2 miliardy dolarů a nyní tak odcházejí do zaslouženého důchodu. Na celou, názorově zvrácenou zprávu, se můžete v originále podívat níže (zdroj: BleepingComputer).

Částka 2 miliardy dolarů je patrně přehnaná, ale i tak si mohli útočníci přijít na hezkou sumu peněz. GandCrab měl totiž v poslední době dominantní postavení, ač v poslední době řešil nějaké ty „potíže„.

A co oběti?

Neznáme ani odpověď na velmi důležitou otázku: Vezmou si útočnici „do hrobu“ i privátní klíče pro odšifrování souborů všech obětí a zničí tak definitivně naději na jejich obnovu? Počkejme si na konec měsíce! Budu to sledovat

The post Ransomware GandCrab končí, prý už útočníkům vydělal dost appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Uživatel rozumný, PC v pořádku, přesto zavirovanej

29 Květen, 2019 - 14:47

Existuje několik cest, jak dostat havěť do počítače, který je zabezpečen a používá ho rozumný uživatel. „Botu“ totiž mohl udělat výrobce aplikace, kterou používá…

Není to nic osobního proti společnosti ASUS, ale pár novinek dozadu jsem informoval o problému s ASUS Live Update. Útočníci tehdy ovládli jejich download servery a po dobu několika měsíců servírovali uživatelům podvodnou verzi ASUS Live Update bez toho, aby o tom věděl ASUS, natož uživatel. Ano, to je taky jeden ze způsobů, jak se dostat do zabezpečeného počítače bez vědomí uživatele.

Může za to HTTP

Trochu novější je pak incident s aplikací ASUS WebStore (řeší cloudové úložiště). Zde se útočníci „nenabourali“ na servery společnosti ASUS, ale využili nedostatečně zabepečeného aktualizačního procesu aplikace ASUS WebStore. Ta totiž stahuje aplikace po nezabezpečeném protokolu HTTP (nikoliv HTTPS) :-/

Byl to Man in the Middle útok

V tomto případě došlo pravděpodobně k MitM (Man in the Middle) útoku, kdy měli útočníci přístup ke komunikaci mezi počítačem uživatele a servery ASUS. K tomu může dojít například hacknutím nějakého routeru „na cestě“ (například u poskytovatele internetového připojení), případně routeru samotného uživatele, tedy „krabičky“, přes kterou je připojen k internetu. Že šlo o MitM útok dokládá i fakt, že ze stejné infrastruktury byly distribuovány i legitimní aktualizace.

Jak už bylo řečeno, útok zneužíval aktualizačního procesu ASUS WebStore, který běží přes nešifrovaný protokol HTTP, takže vše je krásně čitelné. Útočníkům tak stačí „někde na cestě k výrobci“, odchytávat požadavky aplikace ASUS WebStore. Ta ověřuje, zda neexistuje novější verze ke stažení. Přes HTTP GET pošle požadavek serveru update.asuswebstorage.com a očekává odpověď v podobě URL adresy, ze které následně aktualizaci stáhne a spustí. Právě do odpovědi útočníci vstoupí a místo URL adresy ve stylu http://homecloudd1.asuswebstorare.com/… naservírují vlastní, na které se může nacházet cokoliv. Obsah URL aplikace ASUS WebStore ochotně stáhne a následně spustí v domnění, že se jedná o jeho vlastní aktualizaci…

Útočníci touto cestou do počítače zavedli havěť Plead (backdoor), o té třeba někdy příště. Zajímavostí je, že tento konkrétní útok byl odhalen z dat, které sbírá společnost ESET. Není totiž úplně běžné, aby legitimní proces (v tomto případě AsusWSPanel.exe), spouštěl jiný proces s havětí, obzvlášť když jde o bezobslužnou aplikaci. Analýzou bylo zjištěno, že k tomu dochází právě při nevhodně navrženém procesu aktualizace ASUS WebStore.

Pozor na nešifrovanou komunikaci!

Článkem jsem chtěl upozornit na fakt, že ani poučený uživatel a zabezpečený a záplatovaný počítač nemusí zaručit, že neskončíte zavirovaní. Aktualizační procesy aplikací si musí ohlídat vývojáři, jinak mohou představovat paradoxně díru do systému, než mechanismus pro jejich záplatování.

Stejně jako oni, i my musíme minimalizovat použití nešifrované komunikace a snížit tak rizika na minimum. Pár příkladů:

  • Pokud „běží“ navštěvovaná webová stránka pouze na http:// (nikoliv https:// – patrné u adresy webu v prohlížeči), budiž, ale určitě tam nezapisujte citlivé údaje (například přihlašovací).
  • Pokud stahujete poštu, určitě používejte šifrovanou podobu protokolů POP3, IMAP či SMTP (šifrovaná spojení SSL běží na portech 995, 993, 465). Pokud u těchto protokolu v nastavení pošty vidíte porty jako 110, 143 či 25, je to nejspíš špatně.

The post Uživatel rozumný, PC v pořádku, přesto zavirovanej appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Tehdy EternalBlue s WannaCry, teď BlueKeep s ?

28 Květen, 2019 - 13:21

Přibližně před 2 roky vypukla jedna z největších epidemií, kdy se začal masivně šířit ransomware WannaCry. Výsledkem bylo, že se na monitoru z ničeho nic zobrazilo okno vyžadující výpalné za zašifrované soubory. Ke spuštění havěti přitom došlo bez součinnosti uživatele a to díky zranitelnosti EternalBlue. Nyní tu máme novou zranitelnost podobného charakteru BlueKeep, tudíž historie se může opakovat…

Tehdy…

Ještě pro připomenutí, epidemie WannaCry byla tehdy tak masivní, že projevy byly patrné i na digitálních billboardech a v letištních halách.

I s přihlédnutím na fakt, že i dva roky po vypuknutí WannaCry máme na internetu 1 milion počítačů (!!!) bez záplaty proti EternalBlue (shodan.io), resp. fungujících na starém protokolu SMB v1, představuje objev zranitelnosti BlueKeep potenciální problém.

Teď…

Zranitelnost BlueKeep se netýká SMB protokolu (případ EternalBlue), ale rovnou RDP – Remote Desktop Protocol (Remote Desktop Services). Tahle služba se používá pro vzdálenou správu a tak je častým jevem, že port TCP 3389, na němž poslouchá, je přístupný z internetu. A bez patřičné záplaty je každý takový stroj v ohrožení. Podle služby Shodan je takových počítačů viditelných z internetu přes 2 miliony! Útok vedeny přes BlueKeep může mít přitom charakter internetového červa (worm), takže havěť se může sama množit mezi počítači, které jsou viditelné z internetu, či v rámci lokálních sítí firem, instituci, …

Vážností situace si je vědoma i společnost Microsoft a tak vydala záplaty i pro dávno nepodporované systémy Windows XP a Windows 2003. Aktualizace jsou dostupné i pro Windows 7, Windows Server 2008 R2 a Windows 2008. Windows 8 a 10 nejsou touto zranitelností postiženy.

Závěrečná doporučení
  • Záplatujte! Mějte povolenu automatickou aktualizaci (více v PDF knizenově k dostání i v tištené podobě s tričkem).
  • Nepoužívejte staré řady Windows. Vše starší než Windows 7 je špatně!
  • Více o BlueKeep lze najít pod ID CVE-2019-0708 a to například přímo u Microsoftu.
  • Port TCP 3389 by neměl být otevřen z internetu. Když už, tak na omezenou skupinu IP adres, případně by měl být „schován“ za VPN spojením.

The post Tehdy EternalBlue s WannaCry, teď BlueKeep s ? appeared first on VIRY.CZ.

Kategorie: Viry a Červi

LightNeuron, havěť jak z akčního filmu!

15 Květen, 2019 - 18:49

LightNeuron je název nové havěti APT od hackerské skupiny Turla a je dokonalou ukázkou „zašívání“: na zavirovaném serveru se nachází tam, kde ho nikdo nečekal (všechno je jednou poprvé) a příkazy k vzdálenému ovládání i vynášená data maskuje do souborů ve formátu JPG a PDF. Prostě expert přes zašívárnu!

Prvenství

Podle Matthieua Faoua ze společnosti ESET se jedná o první havěť, zaměřující se na poštovní servery s Microsoft Exchange. Na tom je pozitivní snad jediná věc: tuhle havěť doma v počítači nenajdete. Cílovou skupinou nechvalně známé hackerské skupiny Turla jsou převážně státní instituce v Evropě, Asii a na Středním východě. LightNeuron pochází právě od skupiny Turla.

Na ministerstvu už Turlu znají

Turla přitom v minulosti pronikla i na Ministerstvo zahraničních věcí ČR o čemž informuje výroční zpráva BIS (strana 15). Tehdy došlo ke kompromitaci systému elektronické pošty MZV, což bylo sice začátkem roku 2017 odhaleno, ale s nepříjemným verdiktem: systém byl kompromitován minimálně po dobu jednoho roku!

Jak to funguje?

Havěť LightNeuron má kompletní kontrolu nad všemi e-maily, které o daný Microsoft Exchange server třeba jen zavadí. Dokáže bez problémů číst příchozí i odchozí zprávy včetně příloh, vstupovat do nich, měnit jejich obsah, zahazovat je, …

To je mu umožněno díky funkci Microsoft Exchange, tzv. „transportních agentů“. Aplikace transportního agenta může být vytvořena Microsoftem, třetí stranou, ale i vlastními silami. Dosud šlo přitom o funkcionalitu hojně využívanou antispamy či antiviry k filtraci nevyžádané či zavirované pošty. S příchodem LightNeuronu tuhle vymoženost využívají i útočníci ze skupiny Turla…

Špionáž se steganografií

Aby měla kompromitace poštovního serveru pro útočníky nějaký smysl, mohou tuto havěť vzdáleně ovládat (ala backdoor) a zajistit si například vynášení citlivých informací obsažených v těle zprávy či v přílohách. Forma vzdáleného „rozkazování“ přitom probíhá velice originálně a zároveň nenápadně. Příkazy jsou totiž umístěny v příloze běžných e-mailů, které odesílají útočníci přímo na zavirovaný server! U příloh typu JPG či PDF je přitom využita digitální steganografie. Útočníci tak do JPG/PDF souboru umístí navíc data (příkazy), přičemž zůstane jakžtakž zachována jeho původní funkčnost (více na wikipedii). Této formě pak rozumí backdoor LightNeuron sedící na poštovním serveru a díky odchytu kompletní e-mailové komunikace mu nečiní problém zprávu útočníků přivítat a příkazy provést. Podobný mechanismus používá backdoor i při vynášení dat, kdy je opět s využitím steganografie nacpe do JPG/PDF souborů a pošle zpět útočníkům e-mailem.

Pokračování příště

Protože je tohle schovávání příkazů docela zajímavé, rád bych o „zašívání“ hovořil i ve volném pokračování. Tak na shledanou příště!

The post LightNeuron, havěť jak z akčního filmu! appeared first on VIRY.CZ.

Kategorie: Viry a Červi