29 Декабря, 2017

Security Week 51: на старые грабли с новой силой, «растяжка» против уязвимых сайтов, еще один хактивист

Лаборатория Касперского
 
В Сети бушует эпидемия золотодобытчиков: неизвестные злоумышленники через Linux и Windows-серверы обзаводятся мулами (точнее, криптомайнерами Mule) для выкачки Monero. Кампания продумана до мелочей, агрессивна, как зерг раш, и наречена была Zealot в честь одного из загружаемых вредоносных файлов (других говорящих терминов тоже хватает и в коде, и в названиях файлов: как вам Observer или Overlord?). Об организаторах известно немного: во-первых, они явно фанаты StarCraft, во-вторых, столь же явно профи в своем деле.

Кампания сложная, многоходовая и многокомпонентная: вначале злоумышленники сканируют Интернет и ищут серверы с незакрытой уязвимостью в ApacheStruts или в WCMS-системе DotNetNuke.

Проникнув на сервер через одну из этих дырок, зловреды распространяются по локальной сети с помощью эксплойтов, слитых Shadow Brockers еще весной: в ход идут и нашумевший EternalBlue, и его чуть менее известный братишка EternalSynergy. Затем на Windows загружается скрипт PowerShell, который и скачивает майнер Monero. На Linux для этого применяются Python-скрипты.
Пока удалось отследить только один кошелек, на котором на тот момент было биткойнов на сумму около 8,5 тыс. долл. США. Сумма довольно скромная, но реальная выручка хакеров, вероятно, намного больше. Кроме того, еще не вечер.

Характерно, что все использованные уязвимости и эксплойты были давно обнародованы и пропатчены. Поэтому на всякий случай напоминаем: возраст граблей никак не влияет на их ударную силу, а обновления — вещь полезная и богоугодная.
 
 
Осторожно, мины
 
Новость на русском , подробнее на английском
Ученые из Калифорнийского университета решили облагодетельствовать общество утилитой, которая проверяет, насколько ответственно сайты подходят к защите своих пользователей. И назвали его Tripwire — «растяжка».

Механизм работы утилиты прост, но изящен: вы регистрируете новый почтовый ящик, а затем — аккаунт на каком-нибудь сайте, используя тот же пароль, что и для почтового ящика. Затем Tripwire следит за почтовым ящиком. Если в него вошел кто-то посторонний — значит, имела место утечка данных на сайте с соответствующей учеткой. Грубо говоря, детектор взлома построили на типичном пользовательском косяке.

Еще с помощью Tripwire можно изобличить сайты, которые используют слабое хеширование или вообще имеют нехорошую привычку хранить пароли в виде простого текста. Для этого на ресурсе создается несколько учеток: половина со слабым паролем, половина с сильным. Если произойдет утечка только слабых паролей, значит, защита довольно надежная, и взломщикам пришлось брутфорсить. А вот если утекли и слабые, и сильные — дела на сайте совсем плохи.

Исследователи сами проверили с помощью «растяжки» целый ряд сайтов, а для чистоты эксперимента решили исключить взлом самого почтового сервера. С этой целью они создали несколько сотен контрольных, ни к чему не привязанных адресов. Поскольку их никто посторонний не тронул, значит, виноваты были именно проверяемые сайты.

Тестовый прогон дал даже слишком успешные результаты: из 2300 сайтов утечки были выявлены на 19, причем один из них насчитывает аж 45 миллионов учеток (примерно столько пользователей на «Одноклассниках» и лишь чуть побольше на Reddit). Естественно, калифорнийские исследователи написали всем владельцам дырявых сайтов. Как ни странно, ответа они не получили.

Увы, разгласить, какие именно сайты оказались ненадежными, авторы утилиты не могут: согласия на участие в эксперименте никто не давал, а его результаты чреваты судебными исками, причем не только для сайтов, но и для самих проверяльщиков. Однако желающие могут почитать написанное ими исследование — правда, на английском. Или скачать код утилиты на GitHub .
 
 
Спасение утопающих — не дело утопающих
 
Новость на русском , подробнее на английском
Только на прошлой неделе мы проводили на покой The Janit0r , но свято место пусто не бывает: тут же в новостях засветился другой борец за справедливость, хотя и, видимо, менее опытный и действующий не с таким размахом.

Услышали мы о нем в связи с «разминированием» блога WiFiFamily, продвигающего продукцию Netgear на Word Press — сайта, работающего с 2015 года. Почему-то доступ к HMTL-ресурсам в нем оказался открыт всем желающим, хотя по дефолту эти настройки в Word Press отключены. В результате чуть ли не с момента создания злоумышленники использовали сайт в своих целях: для перенаправления на порносайты, фишинговые сайты, сайты фальшивой техподдержки и прочие нехорошие места. Кроме того, в блоге публиковались спам-посты от имени администратора и зарегистрированных пользователей.

Эксперт по безопасности под ником Derek наткнулся на это осиное гнездо случайно, возмутился, что техническая компания два года не может залатать такую вопиющую дыру, и сообщил об этом в своем блоге. Практически сразу после этого с ним связался неизвестный активист с говорящим ником Vigilante и сообщил, что нашел PHP-шелл, подобрал нехитрый пароль (root) и удалил всю папку с загрузками, в том числе и вредоносными. Угроза на какое-то время исчезла — а с ней и все улики против злоумышленников.

Исследователь напомнил неизвестному энтузиасту, что своими действиями на благо общества он с точки зрения закона нагрешил больше, чем неведомые хакеры: те по крайней мере ничего не ломали и не удаляли контент, только загружали новый. В нынешних реалиях единственный законный способ бороться с вредоносными ресурсами — писать владельцам этих ресурсов и надеяться, что они что-нибудь исправят. Желательно — раньше, чем через два года.
Кстати, из Netgear ответили, что сайт им не принадлежит: они только спонсировали его, а разработкой и поддержкой занимаются совсем другие люди. Впрочем, ресурс все равно мгновенно прикрыли, не предъявив хакеру никаких претензий, — можно сказать, в этот раз всем повезло.
 
 
Древности
 









Kiev-2048
Резидентен, поражает Boot-ceKTop диска С: и каждый 3-й запускаемый.ЕХЕ-файл. При старте вирус создает в корневом каталоге диска С: файл «’.SYS» длиной 2048 байт, куда записывает тело вируса, оформленное как файл-драйвер; и Boot-сектор диска С:. Затем этот файл объявляется уничтоженным: в корневом каталоге диска С: соответствующая запись помечается как удаленная, однако цепочка файла в FAT не освобождается (т. е. файл формально уничтожается, но сектора файла становятся недоступными для использования и составляют так называемый потерянный кластер). В Boot-сектор диска С: записывается часть кода вируса, которая при загрузке «оживляет» файл «’.SYS» и добавляет в начало файла C:CONFIG.SYS строку: «device='.sys». При инсталляции драйвера «'.SYS» он восстанавливает CONFIG.SYS в первоначальном виде и «уничтожает» «’.SYS» по описанному выше методу.

Резидентным в памяти вирус остается только при загрузке с зараженного Boot-ceктopa. Содержит строки: «NUL», «KIEV», «c:'.sys», «CONFIG.SYS», «device='.sys». Вирус сравнительно неплохо исполняет Гимн бывшего СССР. Не работает с дисками объема более 32М.
Перехватывает int 8, 21h.
 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.