Przedwiosenne ożywienie widoczne jest nie tylko za naszymi oknami, ale również w działaniach cyberprzestępców i starających się wyprzedzać ich ataki ekspertów ds. bezpieczeństwa. Ostatnie dni były wyjątkowo gorące – przekonajcie się sami.
1.Trojan Emotet używa zakamuflowanych złośliwych makr, by uniknąć wykrycia przez antywirusa
Emotet (znany również jako Geodo lub Heodo) jest modularnym koniem trojańskim potrafiącym omijać wykrywanie oparte na sygnaturach. Posiada kilka metod utrzymywania trwałości, w tym klucze i usługi rejestru automatycznego. Za sprawą modułów bibliotek DLL (Dynamic Link Libraries), potrafi szybko ewoluować i poszerzać swoje możliwości. Dodatkowo dzięki temu, że Emotet to tzw. Virtual Machine-aware trojan, działając w środowisku wirtualnym jest w stanie generować fałszywe wskaźniki.
Poszczególne moduły Emoteta odpowiedzialne są za następujące jego funkcjonalności: wykradanie pieniędzy z kont bankowych (atak Man in the Browser), wykradanie maili i danych dostępowych do kont pocztowych, wykradanie haseł uwierzytelniających, moduł DDoS oraz bot rozsyłający spam.
Nowo wykryty wariant programu Emotet Trojan, którego aktywność zaobserwowano w połowie stycznia br. ukrywa się przed oprogramowaniem antywirusowym chowając złośliwe makra wewnątrz plików XML, przebranych za dokumenty Word.
Procedura infekcji jest dość złożona i ma strukturę sekwencyjną. Włączenie przez użytkownika zainfekowanych makr prowadzi do uruchomienia komend w Powershellu. Powershell pobiera złośliwe oprogramowanie do folderu TEMP zaatakowanej maszyny. Zainfekowany host zaczyna łączyć się z listą adresów URL (prawdopodobnie z serwerami C&C atakujących) i proces ten jest powtarzany do momentu, aż się powiedzie. Gdy połączenie zostanie nawiązane spodziewać się można dalszych instrukcji uruchomienia określonych modułów Emoteta na przykład wykradania haseł oraz danych z kont pocztowych.
2. Destrukcyjny cyberatak na infrastrukturę bezpiecznej poczty VFEmail
Niszczycielski cyberatak całkowicie zrujnował infrastrukturę bezpiecznej poczty elektronicznej VFEmail. To rzadko spotykany przypadek destrukcyjnej ofensywy, pozbawionej motywu finansowego, szantażu, czy też wysunięcia jakichkolwiek żądań finansowych.
Napastnicy, którzy zaatakowali VFEmail w ciągu zaledwie kilku godzin wymazali wszystkie dane użytkowników zgromadzone przez 20 lat na serwerach tej amerykańskiej firmy. Celem ataku była cała infrastruktura VFEmaila: hosty pocztowe, hosty VM, klaster serwerów SQL oraz maszyny wirtualne. Atakujący sformatowali dyski na wszystkich serwerach, w tym również na serwerach kopii zapasowych.
Prawdopodobne jest, że za incydentem stoi chęć osobistej zemsty na właścicielu lub pracownikach firmy. Równie możliwy wydaje się scenariusz, że za atakiem kryją się napastnicy, którzy poszukiwali konkretnych danych, a uderzając w całą firmę chcieli zatuszować ślady. Dotychczasowa taktyka była zgoła odmienna – przestępcy atakując w konkretnym celu starali się nie robić zbyt wiele szumu. Ale ten incydent ma w sobie również charakter ataku typu nation-state. Jakie dane kryły się na serwerach VFEmail i do czego mogą się komuś przydać? Na odpowiedź przyjdzie nam jeszcze trochę poczekać.
Badacze bezpieczeństwa analizując przypadek VFEmail pytają o jakość ich polityki disaster recovery. Dlaczego firma ta nie zabezpieczyła lepiej swoich kopii zapasowych? Dlaczego dane nie były przechowywane na cold storage? I gdzie są archiwa offline tej firmy?
Fakt, że napastnicy mieli dostęp do wszystkich informacji i mogli je usunąć, dowodzi niezbicie, że systemy nie były skutecznie chronione. Nawet pomimo faktu, że firma promowała się jako “bezpieczna poczta”.
3. Istotna luka bezpieczeństwa w dystrybucjach Linuxa
Ubuntu i inne dystrybucje Linuxa cierpią na poważną podatność umożliwiającą atakującemu lub złośliwemu programowi uzyskać przywileje roota i przejąć kontrolę nad systemem.
Lukę nazwano „Dirty_Sock” i oznaczono jako CVE-2019-7304. Firma Canonical, twórca Ubuntu dowiedział się o podatności pod koniec stycznia br..
Luka zlokalizowana jest w interfejsie API REST dla usługi snapd (uniwersalnego systemu pakowania Linuxa). Zbudowany przez Canonical, snapd jest domyślnie zainstalowany we wszystkich wersjach Ubuntu i używany w innych dystrybucjach Linuxa: Debianie, OpenSUSE, Arch Linux, Solus i Fedora.
Snap hostuje serwer WWW (gniazdo UNIX_AF) i oferuje listę RESTful API , która pomocna jest w wykonywaniu różnych działań w systemie operacyjnym. REST API wyposażone są w kontrolę dostępu w celu zdefiniowania uprawnień dla określonych zadań na poziomie użytkownika. Niektóre zaawansowane API są dostępne tylko dla użytkowników root, inne dla tych o niższych uprawnieniach.
Błąd ukryty jest w sposobie, w jaki mechanizm kontroli dostępu sprawdza identyfikator UID powiązany z każdym żądaniem wysyłanym do serwera. Atakujący ma możliwość nadpisania zmiennej UID i w ten sposób zyskać może dostęp do dowolnych funkcji API, w tym do tych przypisanych dla użytkownika root.
Canonical w minionym tygodniu wydał wersję Snapd 2.37.1, która łata opisaną lukę. Ubuntu i inne główne dystrybucje już wprowadziły poprawione wersje swoich pakietów.
Użytkownicy Linuxa powinni jak najszybciej zaktualizować posiadane systemy.
4. Uważajcie, aby nie dać się złowić na nowy rodzaj ataków phishingowych
Cztery podstawowe kroki weryfikacji autentyczności strony internetowej to: sprawdzenie poprawności adresu URL, upewnienie się czy adres nie jest homograficzny, sprawdzenie czy strona używa protokołu https oraz wykorzystanie oprogramowania lub rozszerzenia przeglądarki wykrywających domeny phishingowe.
Niestety, nie zawsze okazuje się to wystarczające. Coraz więcej stron umożliwia internautom logowanie przy pomocy danych do konta na Facebooku lub w innych mediach społecznościowych. Taki sposób zapewnia szybką rejestrację i równie szybki dostęp do usług strony trzeciej.
Moda ta nie uszła uwadze cyberprzestępców. Na kontrolowanych przez siebie stronach oraz usługach online zaczęli bowiem udostępniać internautom idealnie odtworzone przy pomocy HTML i JavaScript fałszywe okna logowania do konta na Facebooku. Pasek stanu, pasek nawigacyjny, cienie i adres URL do witryny Facebooka z zieloną kłódką przy protokole https wszystko odtworzono wiernie w celu przechwycenia wpisanych przez użytkowników danych uwierzytelniających.
Co więcej, użytkownicy mogą przeciągać podrobione okno przeglądarki, a także opuszczać je w ten sam sposób, w jaki działa prawdziwe okno. Czy jesteśmy zatem bezbronni wobec tego rodzaju phishingu? Niekoniecznie. Sposobem ochrony jest próba szybkiego przeciągnięcia okna logowania. Jeśli przeciągnięcie nie powiedzie się (część popupu zniknie za krawędzią okna), to znak, że wyskakujące okienko jest fałszywe.
Najprostszym i fundamentalnym sposobem na zabezpieczenie w tym przypadku jest również dwuskładnikowe uwierzytelnianie.
5. 127 milionów skradzionych kont wystawionych na sprzedaż w Dark Webie
127 milionów rekordów wykradzionych z ośmiu firm wystawionych zostało na sprzedaż na rynku Dream Market przez sprzedawcę o nicku „gnosticplayers”. Kolekcja wyceniona została na równowartość 14,5 tysiąca dolarów płatnych w bitcoinach.
Ta sama osoba (lub grupa osób) wystawiła na sprzedaż kilka dni wcześniej zbiór 620 milionów kont wykradzionych z 16 innych firm. Kolekcja ta wyceniona została na 20 tysięcy dolarów płatnych w bitcoinach.
Dream Market to nielegalny rynek, który rozpoczął swoją działalność w sieci w listopadzie 2013 roku i zapewnia anonimowy dostęp do nielegalnych przedmiotów i usług: od narkotyków, broni, złośliwego oprogramowania po wykradzione dane.
Sprzedawca nazywający siebie „gnosticplayers” wcześniej odpowiadał za wystawienie na sprzedaż danych z takich platform jak m.in. MyFitnessPal ShareThis, Whitepages czy MyHeritage. Przestępca zapowiada, że już wkrótce na sprzedaż wystawi kolejne kolekcje wykradzionych danych.
6. Błąd Cisco Network Assurance Engine umożliwia logowanie przy użyciu starego hasła
Cisco Network Assurance Engine (NAE) to oprogramowanie używane przez centra danych oraz centra operacji sieciowych do monitorowania sieci oraz urządzeń.
Firma Cisco ogłosiła komunikat bezpieczeństwa dotyczący mechanizmu Cisco NAE w wersji 3.0(1). Komunikat informuje, że zmiany hasła dokonane za pośrednictwem NAE nie są zsynchronizowane z interfejsem CLI powiązanego urządzenia. Błąd ten umożliwia uzyskanie dostępu do urządzenia przy użyciu starego hasła administratora.
Luka została załatana wersją Cisco NAE 3.0(1a). Po zainstalowaniu aktualizacji oprogramowania firma zaleca zmianę hasła administratora z poziomu sieciowego interfejsu, aby prawidłowo zsynchronizować hasła.
7. Coinbase wypłacił 30 tys. dolarów nagrody za zidentyfikowanie krytycznego błędu w swoim systemie
Powszechnie znana maksyma głosi, że lepiej zapobiegać niż leczyć. Zarządzający firmą Coinbase nie tylko ją znają ale i na co dzień stosują, o czym najdobitniej świadczą ich działania. Tylko w lutym 2019 firma wypłaciła 30 000 dolarów nagrody za odkrycie krytycznego błędu w swoim systemie.
Błąd został zarejestrowany 12 lutego za pośrednictwem programu ujawniania luk w oprogramowaniu Coinbase na platformie HackerOne. Rzecznik firmy poinformował, że wykryta luka została już naprawiona, ale nie podał żadnych dalszych szczegółów na ten temat.
Raport o odkrytej podatności nie jest dostępny dla opinii publicznej, ale biorąc pod uwagę wysokość wypłaconej nagrody mniemać można, że wada była dość istotna.
Coinbase posiada czteropoziomowy system nagród oparty na wpływie odkrytego błędu. 200 dolarów otrzymuje się za odkrycie błędu mało istotnego, 2 000 dolarów za średnio istotnego, 15 000 dolarów za błąd istotny oraz do 50 000 dolarów za błąd krytyczny.
8. Luka bezpieczeństwa w witrynach WordPress`a
Hakerzy przejmowali kontrolę nad witrynami tworzonymi na WordPressie wykorzystując luki w dość popularnej wtyczce WP Cost Estimation & Payment Forms Builder. Wtyczka opracowana przez firmę Loopus umożliwia administratorom stron WordPressa tworzenie kalkulatorów kosztów oraz formularzy płatności.
Defiant, twórca Wordfence – wtyczki bezpieczeństwa dla stron WordPress, poinformował, że ataki wykorzystujące luki w WP Cost Estimation & Payment Forms Builder służą do instalowania backdoorów na stronach internetowych.
Cyberprzestępcy wykorzystują do przeprowadzenia ataków dwie luki związane z przesyłaniem i usuwaniem plików. Luka umożliwia przesyłanie szkodliwych plików PHP z pozornie niegroźnymi rozszerzeniami, co oczywiście jest niedopuszczalne we wtyczce.
Druga luka pozwala atakującym na usunięcie dowolnych plików. W atakach wykrytych przez Wordfence`a, usuwano pliki wp-config.php. W wyniku tego WordPress zachowywał się jakby trwała nowa instalacja – ponieważ nie miał skonfigurowanej bazy danych. Umożliwiało to hakerom podłączenie strony do własnych bazy danych i zalogowanie się na witrynie jako administrator.
Obie wspomniane luki pozwalały hakerom osiągnąć ten sam cel. Obie wykorzystywane były w atakach wymierzonych w te same witryny, co doprowadziło ekspertów do przekonania, że exploit do przesyłania plików nie przyniósł oczekiwanych rezultatów.
Wykryte luki zostały załatane kilka miesięcy temu, ale jako że nie wydano ostrzeżenia o zagrożeniach wielu użytkowników nie zainstalowało aktualizacji i pozostawiło swoje witryny narażone na ataki.
Podczas badania skuteczności wprowadzonych w zabezpieczeniach poprawek badacze z Wordfence odkryli inną potencjalnie poważną wadę – problem z przesuwaniem katalogu do przesyłania, który może zostać wykorzystany do nadpisania dowolnego pliku. Badacze zgłosili odkrytą lukę do Loopus 26 stycznia 2019 roku, a łatka została opracowana i wydana kilka dni później.