Apple
Шестинедельная сага о противостоянии компании Apple и Федерального бюро расследований закончилась. 28 марта в ФБР официально заявили, что им удалось взломать iPhone 5c, принадлежавший террористу, без помощи производителя. От Apple больше не требуют изготовления инструмента для взлома данного телефона. История закончилась, пожалуй, самым выгодным и для вендора, и для потребителя способом. Но это вовсе не значит, что тема закрыта.
Если отвлечься от деталей, производитель смартфона и (в некотором роде) государство поспорили о том, кто обязан предоставлять доступ к защищенным данным пользователя, если это необходимо для расследования преступления. Пожалуй, впервые в таком масштабе обсуждался вопрос: что делать госорганам, если защита в виде шифрования данных настолько хороша, что взломать ее без помощи производителя невозможно? В итоге выяснилось, что в ФБР поторопились: если очень нужно, найдутся и другие способы.
Но рано или поздно (скорее рано) этот вопрос снова будет поднят — в судебном разбирательстве или даже в рамках нового законодательства. Проблему придется решать, и это решение может серьезно повлиять на защищенность (не важно от кого!) любых зашифрованных данных, то есть затронет всех. Поэтому продолжаем наблюдение. Все выпуски дайджеста доступны по тегу.
Apple против ФБР: дело о заблокированном айфоне, терроризме и законе 1789 года — https://t.co/oOjmaR8KrJ pic.twitter.com/G6H1WIVISb
— Kaspersky (@Kaspersky_ru) February 23, 2016
Парад криптолокеров
Три из пяти самых популярных новостей прошедшей недели посвящены троянам-шифровальщикам. Не могу сказать, что вновь обнаруженные атаки серьезно отличаются от предыдущих, хотя исследователи и заметили пару интересных трюков. По-прежнему подавляющее большинство криптолокеров обнаруживаются хорошим защитным решением проактивно. Внимание к этой теме обеспечено не технологиями атак, а ростом их числа, а также серьезными инцидентами в компаниях, которые хранят важную информацию, — прежде всего в больницах. Пройдемся по основным событиям.
Бесфайловый криптолокер атакует медцентры
Новость. Исследование Carbon Black.
Расследуя атаку (не первую) на неназванную компанию, работающую в сфере здравоохранения, специалисты Carbon Black раскрыли деятельность киберпреступников-минималистов. Потенциальным жертвам рассылаются офисные документы, при открытии которых предлагается включить макросы, после чего данные шифруются с помощью скрипта в среде Windows PowerShell.
Вымогатель Locky перенимает опыт у Dridex и по-олдскульному заражает жертв через макросы в Word-файлах: https://t.co/JN03pNvAAb
— Kaspersky (@Kaspersky_ru) February 19, 2016
То есть (с некоторыми оговорками) мы имеем дело с очень простым трояном «на батниках», с примитивной коммуникацией с командным сервером без шифрования и результатом в виде потери либо данных, либо $500–1000 выкупа. Как видите, метод атаки с 20-летней историей продолжает работать, а с поддержкой в Windows командной оболочки bash у него открываются новые перспективы.
Целенаправленная атака криптолокера на больницы с использованием уязвимостей в серверном ПО
Новость. Исследование Cisco Talos.
А вот вымогатель SamSam использует для атаки достаточно нетривиальные методы. Он атакует не компьютеры сотрудников, а серверы приложений JBoss (он же WildFly). Мотивация у атакующих понятная: вместо не всегда срабатывающей социальной инженерии используются уязвимости в конфигурации серверов, которые, в отличие от сотрудников, работают не с девяти до шести, а круглосуточно.
Исследователи утверждают, что организаторы атаки в качестве жертв выбирают именно больницы. В прошлом выпуске я предположил, что за таким повышенным интересом к медцентрам кроется желание атаковать максимально чувствительную инфраструктуру и данные. Если сравнимый по размерам инфраструктуры небольшой «традиционный» бизнес прекратит свою работу на пару дней, никто особо не пострадает, а тут разбираться некогда — людей надо лечить.
Медицина на линии огня: еще раз о том, чем грозит взлом больницы — https://t.co/iPvaOmOLtK #TheSAS2016 pic.twitter.com/N5y5L78SuE
— Kaspersky (@Kaspersky_ru) February 11, 2016
Исследователи Cisco Talos приводят иную мотивацию: дело в том, что больничная IT-инфраструктура с точки зрения безопасности очень часто находится просто-таки в плачевном состоянии. Возможно: IT в медицине дело непрофильное, но если так, то пора с этим что-то делать.
Троян «Петя» (на фото справа) требует выкуп за шифрование диска целиком
Новость. Исследование BleepingComputer.
В профессиональных терминах большинство криптолокеров используют file level encryption — когда шифруются отдельные файлы, при этом операционная система остается работоспособной. Обнаруженный в ходе исследования узконаправленной спам-рассылки на немецкие компании троян Petya вместо этого шифрует диск целиком (ну то есть не совсем так, но получить доступ к диску все равно не получается). В результате загрузка системы и работа с данными становятся невозможными до оплаты выкупа ($380).
Исследователи с ресурса BleepingComputer показали работу трояна вот на этом видео:
Если коротко, троян перезаписывает MBR жесткого диска, вызывает принудительную перезагрузку системы, после чего, демонстрируя пользователю фальшивую «проверку диска», шифрует данные. По ссылке на исследование можно увидеть во всех подробностях и с картинками процесс заражения и выкупа.
Здесь мы имеем дело с еще одним достаточно древним методом атаки, который благодаря появлению Tor и биткойнов стал использоваться на новый лад. Очень интересный образец, хотя и сомнительный с точки зрения масштаба: в отличие от традиционных троянов, шифрование на дисковом уровне требует серьезной проработки атаки и предусматривает массу возможностей, когда что-то идет не так.
Рассказываем подробности о "Пете": шифровальщике-вымогателе, который ест жесткие диски https://t.co/gkM9fzpwa9 pic.twitter.com/obluuFQ0qf
— Kaspersky (@Kaspersky_ru) March 31, 2016
Уязвимость Badlock в Samba: специалисты пытаются понять, не появится ли эксплойт раньше патча
Про уязвимость Badlock я писал в начале предыдущего дайджеста. За прошедшую неделю ничего не изменилось: мы по-прежнему ждем раскрытия деталей уязвимости 12 апреля, во вторник, после выпуска очередного набора патчей от Microsoft. Их собственная реализация протокола сетевого обмена файлами оказалась подвержена так же, как и свободная Samba.
Продолжается обсуждение этической стороны раннего анонса исследователями компании SerNet, по совместительству являющимися мейнтейнерами Samba. Мотивация SerNet понятна — они (официально) хотят, чтобы администраторы огромного числа потенциально уязвимых серверов и разработчики зависимого ПО подготовились заранее и (неофициально) не возражают против дополнительного внимания СМИ и потенциальных клиентов к своей компании, работающей в сфере кибербезопасности.
Чем запомнилась та неделя: ФБР и айфон, криптодыра в iMessage, шифровальщики в больнице https://t.co/B09VTM4m0k pic.twitter.com/l1zwphCKJm
— Kaspersky (@Kaspersky_ru) March 28, 2016
Аргументы противников такого подхода следующие:
— Они превращают безопасность в балаган. Не будем обсуждать этот довод, как явно неконструктивный.
— Раннее раскрытие информации об уязвимости дает достаточно информации злоумышленникам для написания эксплойта и применения его до того, как будет доступен патч.
Это резонный аргумент, и на этой неделе появились доводы в его поддержку. Одним из сотрудников SerNet и одновременно контрибьютором Samba является Штефан Метцмахер, и, естественно, его коммиты в код Samba сразу же оказались в центре внимания. Среди них, в модуле lock.c (отметим соответствие между названием уязвимости и назначением модуля), обнаружился такой комментарий:
/* this is quite bizarre – the spec says we must lie about the length! */
А когда что-то происходит не так с определением размера чего-либо, следующим шагом вполне может стать переполнение буфера и запуск произвольного кода. Впрочем, подтверждений, что баг именно там, пока нет (интересующиеся могут проследовать по ссылке на гитхаб).
— Подготовиться по такому анонсу не получится. Косвенно это подтвердил в интервью Threatpost исследователь SANS Institute Иоганн Ульрих. По его мнению, раскрытие информации в большем объеме действительно может помочь писателям эксплойтов. Но информация на сайте уязвимости в нынешнем виде провести подготовку тоже не позволяет. Подготовка — это написать сканер определенных портов, провести инвентаризацию инфраструктуры на предмет уязвимых версий Samba, оценить масштаб, зная, что уязвимы только серверы, но не клиенты (или наоборот). Ждать и бояться — это не подготовка.
Вместе с тем специалист SANS Institute верит в эффективность ранних анонсов: после выпуска патча они положительно влияют на динамику его внедрения. Правда, «брендировать», по мнению Ульриха, стоит только действительно серьезные уязвимости — иначе метод не будет работать. Вывод: пока что в подходе к раскрытию уязвимости Badlock есть больше пользы, чем вреда. Но методику было бы неплохо усовершенствовать.
Древности:
Семейство «Tula»
Резидентные и неопасные вирусы. Стандартно поражают запускаемые .COM- и .EXE-файлы. Уменьшают размер памяти DOS (слово по адресу 0000:0413). Перехватывают int 8, int 13h, int 21h. «Tula-417, -593» периодически сообщают «Fuck you!». «Tula-419» очень опасен, записывается в начало запускаемых на выполнение .COM-файлов. В субботу 14-го числа пытается отформатировать диски. Перехватывает прерывание 21h, содержит текст: «Tula 1990.Sat».
«Tula-635» выдает сообщение: «Formatting Drive…» и читает сектора с диска, хотя очень похоже, что изменением одного байта кода вируса можно добиться того, что диск будет действительно форматироваться.
«Tula-1480» при каждом 50-м запуске файла под веселую музычку сообщает популярный среди подростков матерный стишок на английском языке.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 48.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Советы