Blackrota / 0-day w Windows 7 i Windows Server 2008 / WAPDropper malware

Blackrota to nowy, niebezpieczny backdoor napisany w Golang, który bazuje na błędzie w Docker Remote API. Obfuscated malware stworzone w języku Go to naprawdę rzadkość. Co więcej, metoda zaciemniania wykorzystywana przez Blackrota stwarza nowe wyzwania dla analizy odwrotnej. Więcej informacji na temat Blackrota oraz aktualnych zagrożeń znajdziecie w naszym najnowszym Centrum Bezpieczeństwa.

Blackrota – nowy backdoor, którego analiza jest prawie zupełnie niemożliwa

Blackrota to nowy backdoor napisany w języku programowania Go (Golang), który wyróżnia wyjątkowo wysoki poziom zaciemniania kodu. Cyberprzestępcy wykorzystują błąd w Dockerze. A dokładnie, lukę w zabezpieczeniach Docker Remote API.

Charakterystyka

Złośliwe oprogramowanie otrzymało nazwę po domenie serwerów Command and Control (C&C) – blackrota.ga. Obecnie jest dostępne tylko dla systemu Linux, w formie plików Executable oraz Linkable Format (ELF). Wspierane są obie architektury procesorów – x86 i x86-64. Kolejna interesująca rzecz, malware wykorzystuje specyficzny rodzaj beacon do komunikacji z serwerem C2, prosząc o instrukcje lub eksfiltrację zebranych danych.

Beacon odpowiada za implementuję kluczowych funkcji backdoora Blackrota. Umożliwia m.in. wykonywanie poleceń powłoki (CMD_SHELL), przesyłanie plików (CMD_UPLOAD), pobieranie określonych plików (CMDDOWNLOAD), przeglądanie plików (CMD_FILE_BROWSE), ustawianie czasu opóźnienia uśpienia (CMD_SLEEP) i zmienianie katalogów (CMD_CD).

Maskowanie

O malware Blackrota można śmiało powiedzieć, że wykorzystuje rozbudowane techniki anty-wykrywania. Nowe zagrożenie jest wyjątkowo ​trudne do analizy oraz wykrycia. Po pierwsze, malware wykorzystuje gobfuscate – narzędzia open source – aby zaciemnić kod źródłowy przed jego kompilacją. W ten sposób przestępcy ukrywają różne elementy kodu źródłowego Go pod postacią przypadkowo podstawionych znaków – w tym nazwy pakietów i zmiennych globalnych, a także nazwy funkcji, typów oraz metod.

Gobfuscate zastępuje również wszystkie ciągi, kodowaniem XOR. Szyfr XOR jest operacją kryptograficzną, która porównuje dwa bity wejściowe i generuje jeden bit wyjściowy. W przypadku Blackrota do każdego łańcucha jest przypisana funkcja dekodowania XOR, która dynamicznie dekoduje ciągi znaków podczas wykonywania programu.

Kolejną przeszkodą dla analizy jest to, że sam język Go używa w pełni statycznych linków do tworzenia plików binarnych. Cały kod bibliotek standardowych oraz tych dostarczanych przez tzw. 3rd parties został spakowany do postaci plików binarnych, co skutkuje bardzo dużymi binariami.

Język Go w ostatnim czasie stał się popularny wśród przestępców. Pisaliśmy już na ten temat kilkakrotnie – więcej znajdziecie tutaj i tutaj. Czy Goland jednak pozostanie z nami na dłużej? W tym momencie, jego „niszowość” działa na korzyść atakujących. Nieuchwytny malware – czego Blackrota jest dobrym przykładem – który niepostrzeżenie wciąga wartościowe dane? Tak, bezpiecznie jest założyć wzrost tego typu programów w nadchodzących miesiącach.

Źródło

Windows 7 i Windows Server 2008 R2 z nowym zero-day, który wykryto… przez przypadek

„Przez przypadek”, czyli w trakcie prac nad aktualizacją narzędzia zabezpieczającego systemy Windows.

Lukę wykryto w dwóch błędnie skonfigurowanych kluczach rejestru dla usług RPC Endpoint Mapper i DNSCache, które uruchamiają się w czasie instalacji wszystkich systemów Windows.

HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Jeśli atakujący zmodyfikuje w podatnym systemie klucze rejestru, w kolejnym kroku jest już w stanie aktywować podklucz używany zwykle przez mechanizm monitorowania wydajności systemu Windows. Podklucze mają tę właściwość, że pozwalają programistom na ładowanie własnych plików DLL w celu śledzenia wydajności aplikacji z pomocą niestandardowych narzędzi.

W przypadku nowszych wersji systemów Windows, biblioteki DLL są zwykle ograniczone –  tzn. ładują się z ograniczonymi uprawnieniami. Jednak w starszych wersjach OS  – właśnie w Windows 7 i Windows Server 2008 – można nadal załadować niestandardowe biblioteki DLL i pozwolić im działać z uprawnieniami systemowymi.

Zarówno Windows 7, jak i Windows Server 2008 R2 nie są już oficjalnie wspierane przez Microsoft. Aktualizacje zabezpieczeń są wykonywane wyłącznie dla w ramach płatnego wsparcia ESU (Extended Support Updates). Jednak na ten moment nie ma potwierdzenia ze strony Microsoft, czy w ogóle pojawi się aktualizacja dla tego nowego zero-day. Wyjściem może okazać się instalacja micropatch’a od ACROS Security. To nie koniec dobrych wieści – aktualizacja została udostępniona wszystkim użytkownikom 0patch, czyli także tym którzy posiadają darmowe konto.

Źródło

Uważaj – WAPDropper malware może zasubskrybować usługi premium

Badacze bezpieczeństwa z firmy Check Point odkryli nową rodzinę złośliwego oprogramowania o nazwie WAPDropper. Atakuje on użytkowników telefonów komórkowych w celu subskrypcji legalnych usług o podwyższonej opłacie.

Działa również jako dropper i w drugim etapie może dostarczać malware. Jedną z jego możliwości jest obchodzenie CAPTCHA opartych na obrazach. Wykorzystuje w tym celu usługę opartą na uczeniu maszynowym.

Szkodliwy kod jest dystrybuowany za pośrednictwem zewnętrznych sklepów. Po zainstalowaniu, kontaktuje się z serwerem C&C i otrzymuje ładunki do wykonania. Jest nim moduł dialera, który otwiera niewielki widok strony internetowej i kontaktuje się z usługami premium oferowanymi przez legalne firmy telekomunikacyjne. Następnie w niemal niewidoczny dla użytkownika sposób ładuje docelowe strony usług premium i aktywuje subskrypcję. 

W przypadku, gdy do wymagane jest zatwierdzenie CAPTCHA, korzysta z usługi “Super Eagle” chińskiego producenta, która za wykorzystaniem machine learning dopasowuje wymagane obrazki. 

WAPDropper jest również w stanie zbierać informacje o zainfekowanym urządzeniu, w tym: ID telefonu, adres mac, identyfikator abonenta, listę uruchomionych aplikacji i usług, ilość pamięci RAM.

Na razie zagrożenie zaobserwowano w Tajlandii i Malezji. Specjaliści zwracają uwagę również na to, że jego szerokie możliwości mogą posłużyć innym celom w przyszłości. 

Źródło

Błąd w Xbox Live mógł ujawnić przestępcom adresy mailowe graczy

Microsoft załatał błąd w witrynie Xbox, który mógł umożliwić oszustom połączenie tagów graczy (nazw użytkowników) z adresami e-mail podanymi przy rejestracji.

Badacz bezpieczeństwa, Joseph „Doc” Harris, który zasygnalizował problem firmie Microsoft, zlokalizował błąd w witrynie enforcement.xbox.com. Portalu, w którym użytkownicy Xbox mogą przeglądać ostrzeżenia oraz składać odwołania, jeżeli zostali niesłusznie ukarani za swoje zachowanie w społeczności Xboxa. 

Na czym polegał błąd? Gdy użytkownik zaloguje się do witryny, Xbox Enforcement tworzy w jego przeglądarce plik cookie ze szczegółami dotyczącymi sesji, dzięki czemu nie musi uwierzytelniać się przy każdej następnej wizycie w witrynie. Ten plik zawierał pole identyfikatora użytkownika Xbox (XUID), które było niezaszyfrowane. 

Korzystając z narzędzi dołączonych do wszystkich przeglądarek, Harris zmodyfikował pole XUID i zastąpił je XUID konta testowego, które utworzył i używał do testowania w ramach programu Xbox bounty. Podczas próby zastąpienia wartości pliku cookie i odświeżeniu, nagle mógł zobaczyć e-maile innych użytkowników.

Błędu nie można było wykorzystać do przejęcia konsoli Xbox, ale mógł pozwolić oszustom na połączenie dowolnego tagu gracza z jego adresem e-mail. 

Microsoft wdrożył poprawkę dla tego błędu w zeszłym miesiącu – sprowadzała się ona do zaszyfrowania XUID. Luka została załatana po stronie serwera. To oznacza, że użytkownicy nie muszą nic ustawiać lub zmieniać, aby zachować bezpieczeństwo – poprawka działa automatycznie. 

Źródło