LokiBot / Switch’e Cisco do update’u / Drukarki z podatnością

Cyberprzestępcy coraz chętniej sięgają po steganografię. LokiBot jest doskonałym przykładem zaawansowanej i groźnej kampanii, której łatwo paść ofiarą. W tym tygodniu piszemy także o ataku Guest-to-Host escape z Hyper-V oraz o narzędziu z którego pomocą przeskanujesz Dark Web.

1. Ponad 35 podatności w popularnych drukarkach dla segmentu enterprise

Badacze z NCC Group odkryli niebezpieczne podatności w sześciu popularnych modelach drukarek.

Przetestowane modele. HP Color LastJet Pro MFP M281fdw, Ricoh SP C250DN, Xerox Phaser 3320, Brother HL-L8360CDW, Lexmark CX310DN, Kyocera Ecosys M5526cdw.

Na co zwracają uwagę specjaliści? Podatności mogą zostać wykorzystane na wiele sposobów. Z jednej strony istnieje zagrożenie ze strony ataków DoS, które mogą doprowadzić do awarii sprzętu. Przestępcy mogą również wykorzystać backdoor’a w zainfekowanych drukarkach do przeprowadzenia dalszego ataku na firmową sieć. W grę wchodzi również szpiegostwo. Atakujący są w stanie przechwycić wszystkie zadania przesyłane na zainfekowane urządzenia.

Co dalej? Wszystkie wykryte podatności, albo zostały już załatane przez producentów, albo nastąpi to w niedługim czasie. Administratorzy powinni jak najprędzej zaktualizować zagrożone urządzenia do najnowszej wersji firmware – i stale monitorować, czy nie jest już dostępny kolejny update.

Źródło

Zapisz się na webinar, a z chirurgiczną precyzją przeprowadzimy wykład o anatomii chmury!

2. LokiBot jeszcze groźniejszy dzięki wykorzystaniu steganografii

Malware LokiBot otrzymał istotną aktualizację i jest teraz w stanie ukrywać swój kod źródłowy w niewinnie wyglądającym obrazku.

To już kolejne złowrogie wykorzystanie steganografii o którym piszemy w ostatnim czasie (zobacz tutaj, tutaj i tutaj). Urok tej techniki polega na tym, że można z jej pomocą ukryć wiadomości lub kod w innych formatach plików np. .txt, .jpg, .rtf oraz w niektórych formatach video. Każdy z nas zetknął się z nią chociaż raz w przeszłości. Ochrona własności intelektualnej i praw autorskich dotąd była jej kluczową domeną. Nie trzeba było czekać długo, aż przestępcy znajdą dla niej praktyczne wykorzystanie także w swojej branży.

W aktualnie prowadzonej kampanii atakujący ukryli zaszyfrowane binaria LokiBot w plikach .png/.jpg. Obrazy spakowano w złośliwe archiwum, które następnie zostało rozesłane w wiadomościach phishingowych.

Przykładowy mail zawiera plik .doc, arkusz Microsoft Excel 97-2003 oraz paczkę 'package.json’. Skan przez VirusTotal pokazał, że to jednak nie wszystko… W momencie otwarcia złośliwego pliku, skrypt instaluje malware jako plik .exe w folderze tymczasowym wraz z obrazkiem .jpg wzbogaconym o kod źródłowy LokiBot.

Ciekawostka. Spreparowany plik .jpg może zostać otwarty jako obraz.

Jak przebiega atak? Loader wyszukuje określony ciąg lub marker w kodzie, który rozpoczyna proces odszyfrowywania. Następnie odszyfrowana zawartość jest rozpakowywana i ładowana do pamięci komputera. Co daje zastosowanie steganografii? Dodaje ona kolejną warstwę zaciemnienia – wscript (interpreter plików VBS) służy egzekucji zadań malware’a. Z uwagi na to, że Autostart bazuje właśnie na skrypcie, być może kolejne wersje LokiBot będą w stanie w locie przeprowadzać jego modyfikację.

Szkody. LokiBot jest w stanie wykradać informacje, czy robić za keylogger’a. Dodatkowo program tworzy backdoor’a w zainfekowanych systemach Windows – zarówno w celu utrzymania ataku, jak i wysyłki skradzionych informacji do serwera C&C. 

Źródło

3. Switch’e Cisco Small Business 220 do pilnej aktualizacji

Cisco udostępnia ważne aktualizacje zabezpieczeń dla switch’y z serii Small Business 220.

Dwie krytyczne wady…

Pierwsza z nich – CVE-2019-1913 – odnosi się do interface’u web narzędzia do zarządzania siecią. Napastnik może doprowadzić do przepełnienia bufora. W konsekwencji jest w stanie wykonywać dowolny kod lub komendy (ACE) z uprawnieniami root’a. Atakujący następnie wysyła za pośrednictwem HTTP lub HTTPS spreparowane żądanie do podatnych switch’y – wszystko zależy od konfiguracji samych urządzeń.

Druga podatność – CVE-2019-1914 – dotyczy już samych urządzeń. Z powodu niekompletnego weryfikowania autoryzacji we wspomnianym już interface’ie web, atakujący może wysłać spreparowane żądanie to konkretnych jego modułów. W dalszej kolejności może zmieniać konfigurację podatnych switch’y lub nawet wszczepić odwróconą powłokę (reverse shell).

…i jedna mniej

CVE-2019-1914, bo to o niej mowa, wynika z niewystarczającej weryfikacji danych wejściowych dostarczonych przez użytkownika.

Podatności wykryto tylko w switch’ach Cisco Small Business 220 Series Smart, działających w oparciu o firmware w wersji starszej niż 1.1.4.4 – z aktywnym interface’m web.

Ważne. Cisco nie odnotowało dotąd praktycznego wykorzystania odkrytych niedawno podatności.

Źródło

4. Strony informacyjne mogą być wykorzystane do infekowania PC czytelników

Cyberprzestępcy eksperymentują ze sposobami wykorzystania wiarygodnych stron internetowych do zainfekowania systemów użytkowników. Nowa kampania złośliwego oprogramowania zaatakowała chiński serwis informacyjny. Przestępcy użyli wektora ataku watering hole do rozprzestrzenienia backdoorów na komputerach niczego nieświadomych czytelników.  

Jak przebiega atak? Watering hole to taktyka, która polega na zmasowanym ataku na określoną grupę ofiar (organizacji, branży, regionu). Przestępcy weryfikują, które ze stron są przez nią najczęściej obserwowane i to właśnie za ich pomocą dokonują ataku. Początkowo atakujący sprawdzają witrynę pod kątem zabezpieczeń i słabych punktów. Następnie infekują ją przez lukę w zabezpieczeniach lub phishing na operatorze. Wreszcie, złośliwe skrypty są ładowane na stronę, aby sprawdzić, czy nie ma dla nich żadnych pułapek. Możliwe są również ataki z wykorzystaniem przeglądarek, reklam czy skimmingu. 

Na witrynę internetową wstrzykiwane są linki phishingowe, np. fałszywa strona logowania na Twitterze oraz skrypty, które sprawdzają informacje o przeglądarce i systemie operacyjnym użytkowników, aby upewnić się, że korzystają oni z Microsoft Windows.

Atakujący wykorzystują znane luki w zabezpieczeniach WinRAR i RTF (CVE-2018-20250 oraz CVE-2017-11882) do wstrzyknięcia backdoora. Jeśli system jest podatny na atak, wada WinRAR posłuży do ukrycia pliku .ace jako .rar, a inny plik – conf.exe – zostaje wyodrębniony i przypisany do uruchomienia.

Conf.exe zawiera Sality – trojana, który dynamicznie ładuje złośliwą bibliotekę DLL oraz zbiera i wysyła kradzione dane na serwer C&C atakującego. Ponadto może on gromadzić zrzuty ekranu, tworzyć listy plików, pobierać dane, teksty ze schowka czy skróty MD5. 

Są powody, aby sądzić, że przestępcy nie dokończyli jeszcze tej metody i jest ona stale rozwijana i wzbogacana o nowe funkcjonalności, które ułatwią im kradzież większej ilości informacji. 

Źródło

5. Odwrócony atak RDP pozwala na Guest-to-Host escape z Microsoft Hyper-V

Tak jak w przypadku innych wirtualizatorów, Hyper-V posiada interface graficzny z którego pomocą można wygodnie zarządzać maszynami wirtualnymi.

Co z tego? Enhanced Session Mode, które jest częścią Managera Hyper-V, wykorzystuje tę samą implementację co RDP. Korzysta z niej m.in. do tego by podłączać hosta do gościnnej maszyny wirtualnej (i współdzielić część zasobów). Hyper-V Manager odziedziczył więc wszystkie podatności o których było ostatnio głośno w kontekście Windows RDP. W tym przypadku dwie najistotniejsze z nich to przejęcie schowka oraz podatność Path Traversal, która właśnie umożliwia tzw. Guest-to-Host escape attack.

Co to znaczy? W praktyce odkryta podatność może doprowadzić do przedostania się atakującego z maszyny wirtualnej do hostów – łamiąc przy tym wszystkie zabezpieczenia zapewniane przez środowisko wirtualne. Z pomocą przejętej maszyny, atakujący mogą nakłonić użytkownika hosta do zapisania złośliwego pliku w folderze startowym systemu Windows. Złośliwy kod będzie wtedy automatycznie wykonywany z każdym kolejnym startem systemu.

Co dalej? Microsoft zdecydował się na prawie natychmiastowe załatanie odkrytej luki. Jeśli wykonaliście już aktualizację waszego Hyper-V, zagrożenia nie ma. 

Źródło

6. CyberScan za darmo przeskanuje dark web i social media w poszukiwaniu naruszeń

Nowy i bezpłatny produkt do skanowania dark webu i mediów społecznościowych CyberScan jest już dostępny dzięki ID Experts. W przeciwieństwie do innych podobnych produktów, CyberScan nie tylko stale skanuje wszystkie poziomy ciemnej sieci, ale ma również o ⅓ większy zasięg zapewniając użytkownikom stały monitoring i ochronę. Oferuje również SocialSentry – nową usługę ochrony prywatności dla członków Facebooka. 

Jak działa? Wystarczy podać adres e-mail, aby CyberScan zaczął skanować dark web w poszukiwaniu przypadków, w których mógł on zostać naruszony. Następnie można uzupełnić dane identyfikacyjne (numer telefonu, numer konta), aby dokładniej przeskanować sieć. Połączenie konta z Facebookiem umożliwia również weryfikację sieci społecznościowej pod kątem jego niewłaściwego wykorzystania. 

Skala produktu. Narzędzia ma dostęp do 10 miliardów danych uwierzytelniających i 500 milionów dokumentów ujawnionych w ponad 100 tysiącach przypadków naruszenia bezpieczeństwa pochodzących z milionów różnych zasobów i tysięcy operacji hakerów i stale poszerza swoją bazę. 

Po wprowadzeniu danych i zidentyfikowaniu sytuacji, produkt w kilka minut udzieli praktycznych porad, które pomogą zmniejszyć ryzyko związane z ich wyciekiem. 

CyberScan jest częścią grupy produktów ID Expert pod nazwą MyIDCare i dostępny jest tutaj

Źródło