18 августа 2015

Распространение болезни: Darkhotel получает эксплойт нулевого дня от Hacking Team

Бизнес

Эксперты «Лаборатории Касперского» исследовали новую серию атак киберпреступников группы Darkhotel. Благодаря эксплойту нулевого дня для Adobe Flash, добытому Hacking Team при взломе, атака получила более широкий географический охват. Во время первого обнаружения Darkhotel, в основном, запомнился своим необычным механизмом распространения. Наряду с пиринговой и прочими видами тактик распространения, эта ATP в течение нескольких лет поддерживала возможность использования гостиничных сетей, для того чтобы выслеживать избранные мишени и атаковать их, пока они путешествуют по миру.

picture_1

В 2015 году излюбленные методы злоумышленников сместились в сторону упорного спиэрфишинга против выбранных целей. В настоящее время мы выявляем жертв в других географических регионах, новые варианты вредоносных вложений для спиэрфишинга с расширениями .hta, .rar и методом подмены расширения файла (RTLO), а также развертывание эксплойта нулевого дня от взлома от Hacking Team.

А это уже касается не только первоочередных мишеней, да и не один периметр теперь придётся укреплять

Модули направленной атаки Darkhotel, которые заражают гостиничные сети, ясно говорят о том, что государственные организации или крупные предприятия с большим количеством конфиденциальных данных не являются единственными целями. Относительно малые предприятия (например, отели, как в данном случае) могут выступать промежуточной точкой опоры для достижения главной цели, и гостиницы — не единственный способ подобраться к корпоративным менеджерам высшего звена и их секретам посредством сторонних организаций. Таким образом, даже малым и средним предприятиям придётся помнить о риске подвергнуться направленным атакам.

Некоторые предприятия недооценивают значение защиты конечных точек в своей стратегии ИТ-безопасности. Зато жертвы Darkhotel могли бы многое поведать о том, насколько важно обеспечить безопасность конечных точек. Портативные, мобильные устройства не всегда используются внутри периметра; за пределами корпоративной среды конечные точки, подключающиеся к неизвестным проводным и беспроводным сетям, должны быть надлежащим образом защищены.

Как распространяется зараза

Распространившись теперь на Северную и Южную Кореи, Россию, Японию, Таиланд и Германию, среди прочего Darkhotel начинает со спиэрфишинга или скрытого инфицирования, эксплуатирующего уязвимость нулевого дня в Adobe Flash.

Некоторые мишени подвергаются неоднократному спиэрфишингу с использованием схожих схем социальной инженерии. Darkhotel последовательно архивирует дропперы (исполняемые файлы .scr с расширениями, подменёнными с помощью RTLO) внутри архивов .rar, с тем чтобы цель воспринимала их как безобидные файлы .jpg.

 

Чтобы проверить настоящий тип файла, переключитесь на просмотр подробностей

Чтобы проверить настоящий тип файла, переключитесь на просмотр подробностей

В дополнение к использованию утёкшей уязвимости нулевого дня в Adobe Flash для поражения конкретных систем, для распространения атаки используются и менее направленные методы, в том числе вредоносные веб-сайты (например, «tisone360.com»). Как и уязвимость нулевого дня от Hacking Team, сайт «tisone360.com», по-видимому, также поставляет эксплойт CVE-2014-0497 для Flash. Подробная информация об атаке доступна здесь.

Технологии «Лаборатории Касперского» успешно противостоят Darkhotel

Полный список доступных мер противодействия направленным атакам можно найти здесь.

«Лаборатория Касперского» обеспечивает поддержку большинства этих мер и рекомендует реализовать их как можно полнее. Мы обнаруживаем новые загрузчики Darkhotel и похитители данных с вердиктом «Trojan.Win32.Darkhotel.*», спиэрфишинговые вложения определяются как «Trojan-Dropper.Win32.Dapato.*» и «Trojan-Downloader.Win32.Agent.*»

Борьба с уязвимостью нулевого дня

Слегка затемненные файлы .hta Darkhotel, используемые для первоначального проникновения, определяются посредством эмуляции с вердиктом «HEUR: Trojan.Script.Iframer». Существуют эвристические алгоритмы для ранее неизвестных образчиков вредоносных программ, которые не могут быть обнаружены с помощью БД на основе чёрных списков. Такие алгоритмы стоятся на основе знаний о структуре и эмуляции типичных поведенческих паттернов.

Функция Automatic Exploit Prevention «Лаборатории Касперского» предназначена для противодействия эксплойтам, в том числе использующим уязвимости нулевого дня, и очень эффективна при обнаружении компонентов Darkhotel. Эвристика и Automatic Exploit Prevention в качестве передовых компонентов антивируского движка «Лаборатории Касперского» являются важными элементами современной многослойной защиты.

Устанавливайте патчи своевременно

Регулярное обновление до последней версии установленного программного обеспечения и внесение исправлений в ОС помогает предотвратить широкий спектр атак. Своевременная установка патчей легче всего достигается с помощью инструментария управления обновлениями, такого как, например, у «Лаборатории Касперского», работающего вместе или вместо Microsoft WSUS. Vulnerability Assessment и Patch Management [1] вместе обновят все сторонние популярные программы до последних версий.

Краденые сертификаты

Как и другие группы передовых постоянных угроз (APT), Darkhotel использует украденные сертификаты, чтобы обеспечить своим модулям статус надёжных приложений. Доверительность файлов основана на их репутации, и цифровые подписи играют немалую роль в её оценке. Но цифровая подпись сама по себе не достаточна, для того чтобы вызывать доверие. Продукты «Лаборатории Касперского» обнаруживают вредоносные программы с цифровыми подписями.

Взломанные стартовые страницы сетей WiFi

Наиболее интересная техника начального проникновения в кампании Darkhotel — это инфекция стартовых веб-страниц гостиничных сетей. Мишени, в том числе менеджеры топ-уровня, заражаются сразу после аутентификации в локальных беспроводных сетях модных отелей. Этот вектор атаки можно с успехом перекрыть, задействовав веб-антивирус в политике Kaspersky Endpoint Security для бизнеса.

Известные URL контрольных серверов

Когда определяются серверы контроля и управления (CNC) в любой атаке, мы добавляем их адреса в нашу базу данных безопасности. Клиенты «Лаборатории Касперского» могут получить всю текущую информацию об активных серверах CNC из нашего специального канала данных. Этот канал может быть использован (например, в SIEM-системе заказчика), чтобы предупредить системных администраторов любых коммуникаций об этих вредоносных серверах.

Вредоносные вложения email

Несмотря на все новые гениальные способы заражения, спиэрфишинг с замаскированным вредоносным вложением по-прежнему является наиболее популярным методом у злоумышленников. Все продуктовые инсталляции Kaspersky Endpoint Security для бизнеса защищают их хозяев от этого метода распространения вредоносов. Организации могут также централизованно развернуть Kaspersky Security for Linux Mail Server или Kaspersky Security for MS Exchange, чтобы обеспечить безопасности бизнес-трафика электронной почты на стороне сервера.

[1] Vulnerability Assessment и Patch Management включены в Kaspersky Total Security для бизнесаKaspersky Endpoint Security для бизнеса расширенный и Kaspersky Systems Management.