Компьютерный раздел > Антивирусы, ключи
Все новости о вирусах и антивирусах
student:
В трояне-шифровальщике для ОС Linux есть дыра, позволяющая жертвам вернуть свои файлы, не заплатив ни копейки
Специалисты по информационной безопасности изучили недавно обнаруженный Linux-вариант вируса-шифровальщика известной группировки кибервымогателей Clop. Как выяснилось, он имеет массу недостатков, которых лишена его более зрелая версия для Windows-систем. Эти недостатки позволили экспертам очень быстро подготовить простой и универсальный инструмент для восстановления зашифрованных в результате атаки файлов. Он доступен уже в течение нескольких месяцев и дает возможность пострадавшим от действий злоумышленников ничего не платить Clop.
Уязвимый шифровальщик
Специалисты в области информационной безопасности из компании SentinelLabs выявили ряд изъянов Linux-версии вируса-шифровальщика известной вымогательской группировки Clop. Они позволяют жертвам вредоноса сравнительно легко восстановить собственные файлы, не заплатив злоумышленникам ни копейки. Инструменты, обеспечивающие расшифровку данных, «обработанных» вредоносным ПО Clop доступны в течение нескольких последних месяцев. Об этом сообщило издание Bleeping Computer.
Спойлер : Вариант шифровальщика Clop, нацеленного на серверы под управлением операционных систем семейства Linux, впервые был обнаружен в декабре 2022 г. специалистом SentinelLabs Антонисом Терефосом (Antonis Terefos). Первой известной целью Linux-версии вируса стала инфраструктура одного из университетов Колумбии. В атаке на нее также применялся и Windows-вариант вредоносной программы.
Как отмечает Bleeping Computer, Windows- и Linux-версии шифровальщика Clop во многом схожи: обе используют идентичный метод шифрования и в них заложена практически одинаковая логика действий. Тем не менее между ними есть и несколько существенных отличий, в основном обусловленных разницей в API операционных систем. Версия для Linux пока отстает от своего Windows-собрата по имеющейся функциональности.
Шифровальщик группировки Clop для Linux оказался полным недостатков
Рассчитанное на целевые системы под управлением Linux вымогательское ПО Clop находится на раннем этапе разработки, и ему, с точки зрения злоумышленника, недостает качественной обфускации (запутывания кода) и надежных механизмов защиты от обнаружения. Кроме того, вредонос просто кишит уязвимостями, использование которых дает жертвам атак с его участием вернуть себе доступ к ранее утраченным файлам без выплаты выкупа, отмечает издание.
Цель – серверы баз данных Oracle
Исполняемый файл (ELF) шифровальщика Clop для Linux при запуске порождает новый процесс, который пытается добиться повышения собственных привилегий в системе до уровня, позволяющего осуществить шифрование данных.
Файлы и директории, входящие в сферу интересов вредоноса, могут располагаться в домашнем каталоге рядовых пользователей (“/home”), суперпользователя (“/root”), каталоге “/opt”, предназначенном для размещения дополнительного ПО, каталогах Oracle (“/u01”-“/u04”), в которых хранятся файлы баз данных Oracle или использующиеся в качестве точек монтирования для ПО Oracle.
Нацеленность именно на БД Oracle является нетипичной для вирусов-шифровальщиков под Linux – они, как правило, стремятся установить контроль над файлами виртуальных машин VMware под управлением гипервизора ESXi.
В Linux-версии, в отличие от Windows-варианта, также не реализован алгоритм хэширования, который позволяет вередоносу отсеивать определенные типы файлов и не тратить ресурсы на их шифрование. Отсутствует в нем и механизм, позволяющий по-разному обрабатывать файлы различного размера. Кроме того, программе недостает поддержки приема аргументов командной строки, которая могла бы обеспечить злоумышленнику более гибкое управление процессом шифрования данных.
Недостатки функциональности шифрования
В своем нынешнем виде Linux-вариант программы-вымогателя группировки Clop не шифрует ключи RC4 (Rivest cipher 4; поточный шифр) в то время, как в его более зрелой версии для Windows соответствующая мера предусмотрена – используется ассиметричный RSA-подобный алгоритм.
Вместо этого Linux-версией используется единственный заданный в коде «мастер-ключ» RC4, применяемый при генерации ключа шифрования для обработки данных жертвы и его же хранения в локальном файле в опять же зашифрованном «мастер-ключом» виде. Кроме того, вариант вредоноса Clop для проведения атак на Linux-системы не осуществляет валидацию ключа RC4 – в отличие от ситуации с Windows-версией.
Как поясняют эксперты по ИБ, при использовании подобной схемы необходимые криптографические ключи возможно извлечь, а ранее зашифрованные данные – откатить к исходному состоянию. SentinelLabs для этих целей предлагает собственноручно разработанный скрипт на языке Python (содержит всего 146 строк кода), который можно загрузить на хостинге проектов GitHub.
Ко всему прочему специалисты SentinelLabs обратили внимание на тот факт, что Linux-воплощение вируса при записи зашифрованного ключа в файл также добавляет туда некоторое количество дополнительной информации, такой как, к примеру, размер соответствующего файла и время шифрования. Сведения такого рода разработчикам следовало бы держать в тайне, поскольку они позволяют осуществить выборочное восстановление конкретных особо ценных файлов, отмечает Bleeping Computer.
Придется доработать
Вирус-вымогатель Clop для Linux вряд ли получит широкое распространение в текущем его виде, считают эксперты. Легкая доступность скрипта для дешифрования вынудит его авторов поработать над улучшением своего творения.
В разговоре с Bleeping Computer представитель SentinelLabs заявил, что компания передала разработанный ей инструмент для восстановления данных, правоохранительным органам, которые, в свою очередь, смогут оказать помощь пострадавшим от нового вредоноса Clop организациям.
Лучше плохой инструмент, чем его полное отсутствие
Применение Linux-варианта в атаках группировки Clop, несмотря на все его недостатки, по мнению специалистов по ИБ, свидетельствует о том, что злоумышленникам важно иметь хоть какой-то инструмент для воздействия на сегменты инфраструктуры под управлением ОС семейства Linux, чем не иметь его вовсе.
По данным Positive Technologies, число хакерских атак на Linux-системы в III квартале 2022 г. в мире увеличилось более чем в два раза по сравнению со II кварталом того же года. Доля инцидентов с участием Linux выросла с 12% до 30%.
Согласно аналитическому отчету «Лаборатории Касперского», только в заключительном квартале 2022 г. от целевых атак шифровальщиков пострадало не менее 730 организаций по всему миру. В числе наиболее активных группировок, принявших участие в атаках, – Clop.
student:
Операторы связи предупредили о грядущем апокалипсисе квантовых угроз — они дают на их отражение не больше десяти лет
IBM, Vodafone и члены GSMA опубликовали программный документ, в котором наметили важнейшие пути защиты телекоммуникационных компаний от киберугроз квантовой эпохи. И хотя группа не ожидает появления потенциально опасной квантовой системы взлома до 2032 года, для ряда направлений угроза перестала быть призрачной. Под удар уже попадает информация для длительного хранения под грифом «Секретно» и персональные данные граждан. Действовать надо немедля.
Документ Post Quantum Telco Network Impact Assessment об оценке влияния квантовых технологий на телекоммуникационные сети можно загрузить по этой ссылке. Это 57-страничный текст для специалистов, в нём проводится углублённый анализ угроз в сфере квантовой безопасности, с которыми уже сталкивается и вскоре ещё сильнее столкнётся отрасль, а также приводится подробный пошаговый список действий и решений для подготовки к смягчению этих угроз.
Спойлер : В частности, в документе даётся оценка связанных с квантовыми киберугрозами бизнес-рисков для конкретных операторов связи, включая четыре типа атак, оказывающих наибольшее воздействие: накопление данных сейчас, расшифровка позже; подпись кода и цифровые подписи; а также изменение истории и атаки на менеджеры ключей. Например, злоумышленники могут уже сегодня накапливать информацию, защищённую до невозможности взлома за разумное время, с надеждой дешифровать её после появления квантовых платформ.
Противостоять будущим угрозам можно будет только с принятием новых стандартов безопасности, которые уже, к слову, разрабатывает та же компания IBM. Это касается не только протоколов и алгоритмов кодирования, но также SIM-карт, инфраструктуры открытых ключей, цифровых сертификатов и многого другого. Учитывая общую инерцию всех бюрократических структур, возникают резонные опасения, что за десять лет серьёзно изменить что-то будет или невозможно, или крайне сложно.
«Появление такой технологии [квантовой киберугрозы] требует немедленной подготовки, поскольку некоторые формы атак могут быть ретроспективными (например, "хранить сейчас, расшифровать потом"). Мотивированные злоумышленники могут собирать и хранить данные сейчас, чтобы расшифровать их, когда станут доступны определённые возможности квантовых вычислений. Как говорится в отчёте, такие субъекты могут делать это, чтобы "подорвать безопасность данных с длительным сроком сохранения конфиденциальности, таких как корпоративные IP, государственные секреты или индивидуальные биоданные"», — сказано в пресс-релизе компании IBM.
student:
Украденные у Activision данные о сотрудниках появились в открытом доступе
01.03.2023 [15:24]
Данные, украденные у игрового издателя Activision в результате декабрьского инцидента неизвестными киберпреступниками, появились в открытом доступе на одном из популярных форумов в даркнете. Персональная информация пользователей среди них отсутствует.
Факт произведённого в декабре 2022 года взлома Activision подтвердила несколько дней назад, и события стали развиваться по худшему сценарию. Данные, как заявили сами хакеры, были украдены с инстанса Activision в CDN инфраструктуры Azure — они включают в себя 20 тыс. записей о сотрудниках игрового гиганта: полные имена, адреса электронной почты, номера телефонов и адреса офисов. Информация не была выставлена на продажу, а выложена в открытый доступ в формате текстового файла.
Спойлер : Взлом был произведён при помощи фишинговой кампании с использованием SMS. Жертвой атаки оказался сотрудник отдела кадров Activision, который, не осознавая последствий своих действий, передал злоумышленникам данные для доступа к ресурсам компании. Представитель Activision подтвердил утечку данных, но заявил, что хакеры не смогли получить доступ к «конфиденциальным данным сотрудников», хотя независимое расследование эту версию опровергло, а опубликованная киберпреступниками информация фактически не оставила на ней камня на камне.
В результате взлома была похищена также информация, относящаяся к готовящейся к выходу игровой продукции — в Activision заявили, что она конфиденциальной не является. Компания также заверила, что данные геймеров и клиентов злоумышленникам похитить не удалось. Однако публикация персональной информации сотрудников Activision в открытом доступе способна в значительной мере осложнить их работу — следует ожидать целой волны очередных фишинговых атак.
vladimir1949:
Неизвестный троян напал на серверы Microsoft, стоящие на Тайване
Бэкдор неизвестного происхождения эксплуатирует функцию сбора метаданных входящих запросов FREB. Таким образом ему удается сохранять скрытность.
Подслушивающее устройство
Интернет-серверы Microsoft IIS (Internet Information Services) атакует новый вредонос под названием Frebniss, который выполняет функции бэкдора и позволяет скрытно запускать произвольные команды, присылаемые через веб-запросы.
Frebniss обнаружили эксперты Symantec Threat Hunter Team. По их данным, операторы Frebniss в основном атакуют жертв на территории Тайваня.
Microsoft IIS выполняет функции, собственно, веб-сервера и платформы для хостинга веб-приложений, таких как Outlook for the Web и Microsoft Exchange.
В ходе атак, которые изучили эксперты Symantec, хакеры эксплуатировали функцию IIS под названием Failed Request Event Buffering (FREB — буферизация неудачного запроса), которая отвечает за сбор метаданных поступающих запросов: IP-адреса, HTTP-заголовки, файлы Cookie. Смысл этой функции — помочь администраторам сервера устранять проблемы, возникающие при обработке запросов или появлении неожиданных статусов HTTP.
Спойлер : Вредонос встраивает код в одну из функций DLL-файла, отвечающего за управление FREB (iisfreb.dll), тем самым обеспечивая оператору возможность перехватывать и мониторить все запросы HTTP POST, направляемые на сервер ISS. Когда вредонос выявляет специфические HTTP-запросы, отправленные операторами атаки, он вычленяет из них команды, которые должны быть запущены на сервере.
Как он туда попал?
Эксперты Symantec отметили, что для компрометации модуля FREB злоумышленники уже должны были получить доступ к серверу, но каким именно образом им это удалось, пока остается неизвестным.
Сам по себе инъектируемый вредоносный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода на языке C# прямо в оперативной памяти устройства (без следов на жестком диске), что сильно затрудняет его обнаружение.
Он также ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.
Второй HTTP-параметр закодирован с помощью base64. Это инструкция для Frebniis установить соединение и выполнить команды на других системах через скомпрометированный IIS. В теории это позволяет добраться до защищенных внутренних систем, которые недоступны из внешней сети.
Основной целью эксплуатации FREB является скрытность — вредонос таким образом маскируется от средств обнаружения, и делает это крайне эффективно: никаких следов, никаких файлов, никаких подозрительных процессов в системе не формируется.
В Symantec отметили, что продвинутые средства мониторинга сетевого трафика могут помочь обнаружить признки активности вредоносов, в том числе Frebniis.
«Учитывая, что механизм первоначальной компрометации остается неизвестным, эта программа может быть еще зловредней, чем следует из отчета Symantec, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Впрочем, подобные программы обычно используются в целевых атаках, поэтому нельзя исключать, что первоначальный взлом и вовсе осуществляется вручную, или злоумышленники покупают его у брокеров в даркнете. Возможно также, что Frebniis используется в комбинации с каким-то другим вредоносом, который пока не удалось перехватить».
student:
Более миллиона сайтов на WordPress были взломаны за последние пять лет через плагины и темы
12.04.2023 [19:09]
Широкомасштабная кампания по внедрению вредоносного кода в сайты под управлением WordPress, получившая название Balada Injector, продолжается не менее пяти лет. По меньшей мере миллион сайтов были скомпрометированы с использованием уязвимостей плагинов и тем WordPress. После внедрения на сайт вредоносный код перенаправляет посетителей на мошеннические сайты, включая фейковые службы поддержки, незаконные лотереи и запросы на решение Captcha.
Одновременно внедрённые скрипты ищут конфиденциальную или потенциально полезную информацию, такую как журналы доступа, логи ошибок, файлы с отладочной информацией, инструменты администрирования баз данных, учётные данные администратора и многое другое. Они также загружают на сайты бэкдоры для постоянного доступа и захвата сайта.
Спойлер : Исследователи лишь недавно объединили вредоносную активность в единую кампанию, которая не показывает никаких признаков замедления. «Только в 2022 году наш внешний сканер сайтов SiteCheck обнаружил это вредоносное ПО более 141 000 раз, при этом более 67 % сайтов с заблокированными ресурсами загружали скрипты с известных доменов Balada Injector», — отметили эксперты по безопасности компании Sucuri.
Balada Injector используют уязвимости безопасности в плагинах и темах системы управления контентом (CMS) WordPress. Плагины — это модульные надстройки для WordPress позволяющие администраторам сайта добавлять различные функции, такие как проведение опроса, поддержка доски объявлений или интеграция электронной коммерции. Уязвимости в темах и плагинах WordPress могут позволить злоумышленнику внедрить код или получить несанкционированный доступ к сайту.
По оценкам экспертов, сейчас WordPress используется на 60 % сайтов. Такая популярность делает WordPress мишенью для огромного числа злоумышленников. А если добавить к этому огромный объём кода, доступность настроек, сложность экосистемы плагинов и отсутствие последовательных методов безопасности, становится понятно, почему WordPress настолько привлекательна для киберпреступников.
Эксперты по безопасности только за неделю с 15 марта насчитали 37 недавно обнаруженных и исправленных уязвимостей в плагинах и одну уязвимость темы, которые затронули более 6 миллионов сайтов на WordPress. Также известно о 27 уязвимостях в плагинах и 3 уязвимостях в темах, для которых ещё не выпущено исправлений. И эти цифры не являются чем-то из ряда вон выходящим. Всего в 2022 году выявлено 1425 уязвимостей плагинов и тем WordPress.
«WordPress определённо нуждается в обновлении на регулярной основе, тем более, если у вас есть сайт с большим количеством плагинов и стороннего кода, и это один из многих примеров, когда безопасность оказывается слишком сложной для обычного пользователя, который использует сайт для ведения бизнеса», — отмечает Кейси Эллис (Casey Ellis), основатель и технический директор платформы Bugcrowd bug bounty.
Sucuri отслеживает новые волны активности Balada Injector, возникающие каждые две недели, с перерывами между ними, которые «вероятно используются для сбора и тестирования недавно обнаруженных уязвимостей и уязвимостей нулевого дня».
Даже крупные организации не застрахованы от проблем с безопасностью WordPress. Часто сайт разрабатывается и поддерживается отдельным работником или небольшой командой. Эти сотрудники больше заинтересованы в поддержании актуальности сайта, чем в обеспечении его безопасности, в следствие чего пропускаются исправления и предупреждения системы безопасности. Чтобы защититься от Balada Injector и других угроз WordPress, необходимо убедиться, что всё программное обеспечение сайта обновлено, неиспользуемые плагины и темы удалены, а брандмауэр включён.
Навигация
Перейти к полной версии