Czy atak DDoS może jeszcze czymś zaskoczyć? Okazuje się, że jak najbardziej tak. W cyber świecie zadebiutował nowy wariant botnetu Mirai, który ukrywa się w sieci Tor. Tak, temat Mirai znów powraca… Co jeszcze dla was wyszukaliśmy? AI w służbie cyberbezpieczeństwa, problem ze skryptami JS i SystemBC, który niestety zawsze występuje w parze z innym zagrożeniem.
1. SanDisk SSD Dashboard z wadą i furtką dla cyberprzestępców
Program do zarządzania dyskami SSD firmy SanDisk ma dwie luki w zabezpieczeniach, które znacząco zwiększają ryzyko utraty danych.
Pierwsza z nich pozwala atakującym instalować malware udający oficjalną aktualizację producenta. Jak to jest możliwe? Odpowiedź jest bardzo prosta – SSD Dashboard pobiera aktualizacje po niezabezpieczonym HTTP.
Czarny scenariusz. Przejęty przez przestępców serwer udaje oficjalny serwer SanDisk i udostępnia najnowszą aktualizację oprogramowania. Użytkownik nie ma jednak pojęcia, że w rzeczywistości pobiera właśnie najświeższą wersję ransowmare lub trojana bankowego. Jednym słowem klasyczny chwyt w stylu man-in-the-middle.
Druga podatność wiąże się z wykorzystaniem domyślnego hasła do zabezpieczania raportów diagnostycznych klientów. Jeśli atakujący przejmą raport o błędach, są w stanie odszyfrować go z pomocą domyślnego hasła – i w ten sposób zdobyć przesłane w nim informacje.
Western Digital udostępnił już aktualizację – zarówno dla SanDisk SSD Dashboard jak i Western Digital SSD Dashboard – która rozwiązuje oba problemy.
2. AI jest w stanie wykrywać złożone i nieznane cyberzagrożenia
Coraz większa liczba producentów z obszaru IT security wykorzystuje zaawansowane metody uczenia maszynowego m.in do wykrywania zagrożeń, czy analizy ruchu sieciowego. Statystyki pokazują, że już 69% organizacji uważa, że bez wsparcia AI nie są w stanie właściwie reagować na pojawiające się zdarzenia (chcesz dowiedzieć się więcej – pobierz raport AI&Machine Learning).
Rozszerzony monitoring na miarę XXI wieku
Nie tylko urządzenia końcowe, serwery czy zapora ogniowa, ale także urządzenia sieciowe, urządzenia internetu rzeczy, infrastruktura OT (czujniki automatyki stosowane w przemyśle wytwórczym i przemysłowym) oraz urządzenia POS.
Do tej pory narzędzia do monitoringu sieci służyły głównie do sprawdzania jej stanu. Stosowanie analizy behawioralnej umożliwia identyfikację podejrzanych działań, które przeoczą konwencjonalne narzędzia cyberbezpieczeństwa. W jaki sposób? Program tworzy model podstawowych zachowań dla każdego urządzenia i maszyny w sieci. Wykorzystuje do tego wszystkie dostępne dane m.in. źródłowe i docelowe adresy IP/maszyny, bytes in/out oraz logi DHCP. Opracowana w ten sposób biblioteka modeli zachowań pomaga w identyfikacji zaawansowanych i nieznanych zagrożeń jak: exploity, atak ransomware, czy przejęcie urządzenia.
3. W sieci Tor czai się nieuchwytny botnet Mirai
Mirai był już wielokrotnie wykorzystywany do przeprowadzenia ataków DDoS – pisaliśmy o nim m.in tutaj i tutaj. Botnet jest dobrze znany użytkownikom IoT. Przejmuje on kontrolę na router’ami, kamerami monitoringu, urządzeniami smart home a nawet pojazdami.
Badacze z Trend Micro potwierdzili, że nowo wykryta wersja Mirai zawiera te same funkcjonalności co wcześniejsze jego odmiany z tą różnicą, że skupia się na portach TCP 9527 i 34567. Dla niewtajemniczonych wskazuje to na pewnego typu preferencje… do przejmowania kamer IP oraz DVR.
To co jest szczególne w jego przypadku to umiejscowienie serwerów C&C (command-and-control server). W tradycyjnym scenariuszu – czyli kiedy są udostępniane poprzez internet – istnieje możliwość szybkiego ich zdjęcia / wyłączenia. Można więc walczyć z rozprzestrzenianiem się malware’a. Jednak kiedy są one ukryte pod adresem .onion w sieci Tor staje się to znacznie trudniejsze.
Tradycyjny Miraj dysponował do tej pory jednym do czterech serwerów C&C. W przypadku nowo wykrytej wersji mamy do czynienia z 30 stałymi adresami IP. Urządzenia komunikują się ze sobą z za pomocą socks5 proxies. Jeśli dojdzie do przerwania połączenia, malware wykorzysta kolejny serwer który ma do dyspozycji – i tak jeszcze 29 razy. Z uwagi na wyjątkowe środowisko sieci Tor serwery są anonimowe – dzięki czemu nie można zidentyfikować twórcy malware’a i / lub właściciela serwerów C&C.
4. Czy ten JavaScript jest (nie)bezpieczny?
Tylko hackerzy z grupy Magecart – stojący za mega wyciekiem danych kart płatniczych w British Airways – wszczepiają złośliwy kod JavaScript w witrynę raz na każde 5 minut. Potwierdzają to nowe badania przeprowadzone przez RiskIQ.
Ataki skierowane bezpośrednio w witryny internetowe to tylko jedna strona medalu lub biznesu, jak kto woli. Przestępcy bardzo często uderzają w rozwiązania do analityki, optymalizacji czy moduły komunikacji. Przejmując nad nimi kontrolę wielokrotnie zwiększają zasięg swojego działania.
Mamy problem?
Tak, nie, trudno powiedzieć…. Głównie dlatego, atak JavaScript to atak z ukrycia. Nie mamy wglądu w kod dodatków i pluginów doinstalowywanych do CMSa lub platformy e-commerce. Jeśli zaufany dostawca straci kontrolę nad którymś ze swoich narzędzi, wtedy… jest już zazwyczaj za późno.
Magecart i podobne jej grupy odpowiadają za jedne z największych i najkosztowniejszych włamań w historii internetu. I ich przestępcza działalność się nie zmieni. Powinno jednak zmienić się nasze podejście do cyberbezpieczeństwa. Największe brzemię ciąży jednak na firmach prowadzących sprzedaż online. Być może to już czas by zrezygnować z zewnętrznych skryptów JS? Lub przynajmniej zacząć w ramach dobrych praktyk umieszczać je w tagu IFRAME a nie jak popadnie… Na rynku istnieją również narzędzia do monitoringu, które pozwalają wychwycić moment zmiany zawartość jednego z plików JavaScript. Więc jak to będzie?
5. Nietypowa aktywność na GoogleDrive? G Suite prześle Ci alert
Google pracuje nad nowymi zabezpieczeniami dla użytkowników i administratorów G Suite.
W momencie, gdy program trafi na podejrzaną aktywność – wykryje malware lub osobę kradnącą dane – Admin otrzyma specjalne powiadomienie. Podejrzane współdzielenie danych lub ich pobieranie również wyzwolą tego typu alert.
Ponieważ nowe powiadomienia są zintegrowane z narzędziem do sprawdzania zagrożeń dla klientów G Suite, administratorzy są w stanie podjąć działania naprawcze z poziomu centrum powiadomień.
Google udostępnił nowe funkcje wybranym użytkownikom do beta testów. Większa dostępność narzędzia jest jednak prawdopodobnie tylko kwestią czasu.
6. SystemBC maskuje ruchy przestępców na Twoim komputerze
Nowe złośliwe oprogramowanie nazwane SystemBC pomaga innym rodzajom złośliwego oprogramowania ominąć zapory firewall i maskować ich ruchy instalując proxy na zainfekowanych komputerach. Co więcej ten malware, zawsze “idzie w parze” z innym zagrożeniem – jego pojawienie się na naszym komputerze może sugerować poważny problem.
Analitycy zauważyli, że twórcy programu polecają go na czarnym rynku i forach hakerskich autorom innych programów, którzy chcą uniknąć wykrycia. W ciągu ostatnich dwóch miesięcy dystrybuowany był nawet za pośrednictwem zestawów exploitów, takich jak RIG i Fallout. Prawdopodobnie z SystemBC korzystają już twórcy trojana bankowego DanaBot i ransomware’a Maze.
Zadaniem SystemBC jest stworzenie serwera proxy SOCKS5, dzięki któremu inne złośliwe oprogramowanie omija zapory firewall, filtry treści internetowych i łączy się z serwerm C&C bez ujawniania swojego rzeczywistego IP. Ta umiejętność maskowania ruchów przestępców przez SystemBC z pewnością wpłynie na wzrost jego popularności.
Pamiętaj! Jeżeli wykryjesz to zagrożenie na swoim komputerze, wiedz, że kryje się za tym coś więcej. Nawet po jego usunięciu, Twój komputer nie jest bezpieczny.