Security Week 13: парад криптолокеров, ФБР взломало iPhone без помощи Apple, больше деталей о Badlock

В этом выпуске Константин Гончаров подводит итоги выяснению отношений между Apple и ФБР, рассказывает о троянах-шифровальщиках SamSam, Locky и Petya, а также делится наблюдениями за пиар-кампанией уязвимости BadLock

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock

Шестинедельная сага о противостоянии компании Apple и Федерального бюро расследований закончилась. 28 марта в ФБР официально заявили, что им удалось взломать iPhone 5c, принадлежавший террористу, без помощи производителя. От Apple больше не требуют изготовления инструмента для взлома данного телефона. История закончилась, пожалуй, самым выгодным и для вендора, и для потребителя способом. Но это вовсе не значит, что тема закрыта.

Если отвлечься от деталей, производитель смартфона и (в некотором роде) государство поспорили о том, кто обязан предоставлять доступ к защищенным данным пользователя, если это необходимо для расследования преступления. Пожалуй, впервые в таком масштабе обсуждался вопрос: что делать госорганам, если защита в виде шифрования данных настолько хороша, что взломать ее без помощи производителя невозможно? В итоге выяснилось, что в ФБР поторопились: если очень нужно, найдутся и другие способы.

Но рано или поздно (скорее рано) этот вопрос снова будет поднят — в судебном разбирательстве или даже в рамках нового законодательства. Проблему придется решать, и это решение может серьезно повлиять на защищенность (не важно от кого!) любых зашифрованных данных, то есть затронет всех. Поэтому продолжаем наблюдение. Все выпуски дайджеста доступны по тегу.

Парад криптолокеров

Три из пяти самых популярных новостей прошедшей недели посвящены троянам-шифровальщикам. Не могу сказать, что вновь обнаруженные атаки серьезно отличаются от предыдущих, хотя исследователи и заметили пару интересных трюков. По-прежнему подавляющее большинство криптолокеров обнаруживаются хорошим защитным решением проактивно. Внимание к этой теме обеспечено не технологиями атак, а ростом их числа, а также серьезными инцидентами в компаниях, которые хранят важную информацию, — прежде всего в больницах. Пройдемся по основным событиям.

Бесфайловый криптолокер атакует медцентры

Новость. Исследование Carbon Black.

Расследуя атаку (не первую) на неназванную компанию, работающую в сфере здравоохранения, специалисты Carbon Black раскрыли деятельность киберпреступников-минималистов. Потенциальным жертвам рассылаются офисные документы, при открытии которых предлагается включить макросы, после чего данные шифруются с помощью скрипта в среде Windows PowerShell.

То есть (с некоторыми оговорками) мы имеем дело с очень простым трояном «на батниках», с примитивной коммуникацией с командным сервером без шифрования и результатом в виде потери либо данных, либо $500–1000 выкупа. Как видите, метод атаки с 20-летней историей продолжает работать, а с поддержкой в Windows командной оболочки bash у него открываются новые перспективы.

Целенаправленная атака криптолокера на больницы с использованием уязвимостей в серверном ПО

Новость. Исследование Cisco Talos.

А вот вымогатель SamSam использует для атаки достаточно нетривиальные методы. Он атакует не компьютеры сотрудников, а серверы приложений JBoss (он же WildFly). Мотивация у атакующих понятная: вместо не всегда срабатывающей социальной инженерии используются уязвимости в конфигурации серверов, которые, в отличие от сотрудников, работают не с девяти до шести, а круглосуточно.

Исследователи утверждают, что организаторы атаки в качестве жертв выбирают именно больницы. В прошлом выпуске я предположил, что за таким повышенным интересом к медцентрам кроется желание атаковать максимально чувствительную инфраструктуру и данные. Если сравнимый по размерам инфраструктуры небольшой «традиционный» бизнес прекратит свою работу на пару дней, никто особо не пострадает, а тут разбираться некогда — людей надо лечить.

Исследователи Cisco Talos приводят иную мотивацию: дело в том, что больничная IT-инфраструктура с точки зрения безопасности очень часто находится просто-таки в плачевном состоянии. Возможно: IT в медицине дело непрофильное, но если так, то пора с этим что-то делать.

Троян «Петя» (на фото справа) требует выкуп за шифрование диска целиком

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock

Новость. Исследование BleepingComputer.

В профессиональных терминах большинство криптолокеров используют file level encryption — когда шифруются отдельные файлы, при этом операционная система остается работоспособной. Обнаруженный в ходе исследования узконаправленной спам-рассылки на немецкие компании троян Petya вместо этого шифрует диск целиком (ну то есть не совсем так, но получить доступ к диску все равно не получается). В результате загрузка системы и работа с данными становятся невозможными до оплаты выкупа ($380).

Исследователи с ресурса BleepingComputer показали работу трояна вот на этом видео:

Если коротко, троян перезаписывает MBR жесткого диска, вызывает принудительную перезагрузку системы, после чего, демонстрируя пользователю фальшивую «проверку диска», шифрует данные. По ссылке на исследование можно увидеть во всех подробностях и с картинками процесс заражения и выкупа.

Здесь мы имеем дело с еще одним достаточно древним методом атаки, который благодаря появлению Tor и биткойнов стал использоваться на новый лад. Очень интересный образец, хотя и сомнительный с точки зрения масштаба: в отличие от традиционных троянов, шифрование на дисковом уровне требует серьезной проработки атаки и предусматривает массу возможностей, когда что-то идет не так.

Уязвимость Badlock в Samba: специалисты пытаются понять, не появится ли эксплойт раньше патча

Новость.

Про уязвимость Badlock я писал в начале предыдущего дайджеста. За прошедшую неделю ничего не изменилось: мы по-прежнему ждем раскрытия деталей уязвимости 12 апреля, во вторник, после выпуска очередного набора патчей от Microsoft. Их собственная реализация протокола сетевого обмена файлами оказалась подвержена так же, как и свободная Samba.

Продолжается обсуждение этической стороны раннего анонса исследователями компании SerNet, по совместительству являющимися мейнтейнерами Samba. Мотивация SerNet понятна — они (официально) хотят, чтобы администраторы огромного числа потенциально уязвимых серверов и разработчики зависимого ПО подготовились заранее и (неофициально) не возражают против дополнительного внимания СМИ и потенциальных клиентов к своей компании, работающей в сфере кибербезопасности.

Аргументы противников такого подхода следующие:
— Они превращают безопасность в балаган. Не будем обсуждать этот довод, как явно неконструктивный.
— Раннее раскрытие информации об уязвимости дает достаточно информации злоумышленникам для написания эксплойта и применения его до того, как будет доступен патч.

Это резонный аргумент, и на этой неделе появились доводы в его поддержку. Одним из сотрудников SerNet и одновременно контрибьютором Samba является Штефан Метцмахер, и, естественно, его коммиты в код Samba сразу же оказались в центре внимания. Среди них, в модуле lock.c (отметим соответствие между названием уязвимости и назначением модуля), обнаружился такой комментарий:

/* this is quite bizarre – the spec says we must lie about the length! */

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о BadlockА когда что-то происходит не так с определением размера чего-либо, следующим шагом вполне может стать переполнение буфера и запуск произвольного кода. Впрочем, подтверждений, что баг именно там, пока нет (интересующиеся могут проследовать по ссылке на гитхаб).

— Подготовиться по такому анонсу не получится. Косвенно это подтвердил в интервью Threatpost исследователь SANS Institute Иоганн Ульрих. По его мнению, раскрытие информации в большем объеме действительно может помочь писателям эксплойтов. Но информация на сайте уязвимости в нынешнем виде провести подготовку тоже не позволяет. Подготовка — это написать сканер определенных портов, провести инвентаризацию инфраструктуры на предмет уязвимых версий Samba, оценить масштаб, зная, что уязвимы только серверы, но не клиенты (или наоборот). Ждать и бояться — это не подготовка.

Вместе с тем специалист SANS Institute верит в эффективность ранних анонсов: после выпуска патча они положительно влияют на динамику его внедрения. Правда, «брендировать», по мнению Ульриха, стоит только действительно серьезные уязвимости — иначе метод не будет работать. Вывод: пока что в подходе к раскрытию уязвимости Badlock есть больше пользы, чем вреда. Но методику было бы неплохо усовершенствовать.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

Семейство «Tula»

Резидентные и неопасные вирусы. Стандартно поражают запускаемые .COM- и .EXE-файлы. Уменьшают размер памяти DOS (слово по адресу 0000:0413). Перехватывают int 8, int 13h, int 21h. «Tula-417, -593» периодически сообщают «Fuck you!». «Tula-419» очень опасен, записывается в начало запускаемых на выполнение .COM-файлов. В субботу 14-го числа пытается отформатировать диски. Перехватывает прерывание 21h, содержит текст: «Tula 1990.Sat».

«Tula-635» выдает сообщение: «Formatting Drive…» и читает сектора с диска, хотя очень похоже, что изменением одного байта кода вируса можно добиться того, что диск будет действительно форматироваться.

«Tula-1480» при каждом 50-м запуске файла под веселую музычку сообщает популярный среди подростков матерный стишок на английском языке.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 48.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы