SecurityWeek 50: хактивист устал и мухожук, фальшивый криптокошелек для любителей панд, двуликий Янус под Android

SecurityWeek 50: хактивист устал и мухожук, фальшивый криптокошелек для любителей панд, двуликий Янус под Android
 
Профессиональное выгорание, постигшее хактивиста по прозвищу The Doctor (он же The Janit0r), заставило его забросить свой ботнет BrickBot и отправиться в бессрочный отпуск. Причина проста: затевая в 2016 году крестовый поход против дыр в IoT, апологет философии «клин клином вышибают» надеялся заставить производителей и пользователей «умных» устройств серьезнее воспринимать уязвимости интернета вещей. Но как он ни старался, ничего не вышло.

Созданный им BrickerBot сканировал интернет в поисках уязвимых устройств, после чего переписывал их флэш-память, заполняя ее бесполезной информацией, иногда еще и корежа прошивку. По словам самого Janit0r, с ноября 2016 года под раздачу попал десяток миллионов устройств, и некоторые из нихпришли в полную негодность. Что ж, по крайней мере после этого испорченные камеры и телефоны действительно оказались бесполезны для ботнетов типа Mirai и его клонов.

Увы, время показало самопровозглашенному защитнику безопасности то, что знает любой школьный учитель: нет в мире силы мощнее, чем человеческий пофигизм. Подвижки в области защиты интернета вещей, конечно, начались, но, на вкус «Уборщика», слишком уж медленные. Более того, поскольку хакеру действительно удалось частично сдержать эпидемии заразных ботнетов (сам он назвал свои усилия «химиотерапией»), коллективное бессознательное интернета решило, что не так уж все и плохо в датском королевстве.

В качестве прощального подарка Janit0r выложил открытый код своего детища — правда, с некоторыми купюрами. Технические эксперты отметили, что в нем содержится как минимум одна уязвимость нулевого дня, которую могут использовать другие хакеры.

Перед уходом Janit0r еще раз пожурил всех за беспечность, предложил несколько разумных мер безопасности и выразил надежду, что не исчезнет в ночи, похищенный какой-нибудь нечистоплотной организацией, понесшей миллионные убытки из-за его проделок.
 
 
Как не стать Буратино
 
Новость на русском , подробнее на английском
На выходных некий кошелек для хранения криптовалюты внезапно оказался в топе App Store в категории «Финансы». Кошелек выглядел как мобильное приложение для сайта MyEtherWallet.com — довольно надежного хранилища криптовалюты на базе Etherium — и демократично стоил меньше пяти долларов. Вот только на самом сайте об этом приложении никогда не слышали, а указанный в описании разработчик кошелька никогда не занимался криптовалютой. Среди его проектов на AppStore только три приложения, в том числе две игрушки про боевых панд. Интернет, конечно, любит панд — почти как котиков, но это вряд ли достаточный повод доверять свои финансы непонятно кому. Даже если ключи для доступа к криптовалюте действительно хранятся на устройстве владельца, как утверждается в описании приложения, пользоваться таким кошельком едва ли безопасно.

Удивительно даже не то, что такой кошелек каким-то чудом пролез в топ, а то, что он в принципе появился в App Store: даже идейные противники яблочной продукции не могут отрицать, что система безопасности у Apple получше, чем у конкурентов. Похоже, криптовалюта сегодня по популярности бьет и панд, и котиков вместе взятых, вот модераторы и пропустили приложение, погребенное под лавиной аналогичных поделок. Создатели MyEtherWallet тут же связались с Apple и попросили удалить приложение — скорее всего, жульническое. Пострадал ли кто-то из-за него, пока неизвестно, но скачало его как минимум 3000 человек.
 
 
Не кентавр, не русалка, а уязвимость Android
 
Новость на русском , подробнее на английском
И еще пару слов о подделках: на этой неделе Google пропатчила уязвимость, которая могла теоретически позволить злоумышленнику включать вредоносный код в APK-файлы добропорядочных приложений, оставляя их при этом подписанными.
Уязвимость связана с самой структурой APK-файлов и возможностью включения в них DEX-файлов с произвольным кодом. Таким образом, один файл может восприниматься системой одновременно и как APK, и как DEX. А поскольку подпись APK-файла касается только архивированных частей, то она останется валидной.

Этот эксплойт прозвали двуликим Янусом. Как и древнее божество порогов, он способен нести хаос и разрушение в катастрофических масштабах: если заменить обновление вполне легитимной программы с высоким уровнем доступа — допустим, банковского приложения — двойственным файлом, над которым поколдовали злоумышленники, преступники могут приобрести на устройстве пользователя те же права, что и само приложение. К счастью, пока в дикой природе примеров этой атаки найдено не было. Да и вообще, в операционных системах Android 7.0 и старше (с обновленной схемой подписей) уязвимость не срабатывает. Ура, товарищи.
 
 
Древности
 
Anthrax
Резидентен, поражает СОМ- и ЕХЕ-файлы, MBR винчестера. Файлы поражаются стандартно. MBR инфицируется при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются, начиная с адреса 0/0/2 (трек/головка/сектор).

Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Перехватывает int 21h, содержит строки: «ANTHRAX», «(с) Damage, Inc».




 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!