BlueKeep wkrótce realnie uderzy w biznes. Można już oficjalnie nabyć działającego exploit’a. Równolegle cyberprzestępcy wyszukują w sieci potencjalne ofiary. Jeśli jeszcze nie załataliście podatności – najwyższy czas aby to zrobić. Zaczynamy…
1. Exploit BlueKeep jest już dostępny
Immunity INC. to amerykańska firma specjalizująca się w cyberbezpieczeństwe. Dlaczego o niej piszemy? Od kilku dni oferowane przez nią narzędzie do przeprowadzania testów penetracyjnych posiada w pełni uzbrojoną wersję exploit’a BlueKeep.
Tak, można już go kupić…
Udostępniony w pakiecie CANVAS moduł BlueKeep jest w stanie otworzyć powłokę na zainfekowanych hostach i wykonywać zdalnie kod. Bardziej szczegółowe informacje nie są jeszcze znane.
Cena jednej licencji rozwiązania oscyluje w granicach kilku a kilkudziesięciu tysięcy dolarów. Jednak w przeszłości hackerzy potrafili zakupić legalne oprogramowania do pentestów, by potem wykorzystać je w swojej nielegalnej działalności. Biorąc pod uwagę, że dotąd ponad 800 tys. urządzeń jest nadal podatnych na atak – będzie to inwestycja, która raczej szybko się zwróci.
Nie zabezpieczyłeś jeszcze protokołu RDP? To nie koniec złych wieści. Przestępcy skanują sieć i być może znaleźli już Twoje urządzenie. O tym dlaczego to robią przeczytasz poniżej… Ale w grę wchodzą oczywiście pieniądze.
2. WatchBog skanuje sieć w poszukiwaniu serwerów z niezabezpieczonym RDP (BlueKeep!)
Najnowszy wariant botnet’a WatchBog – kryptominer Monero – został rozbudowany o moduł umożliwiający skanowanie internetu w poszukiwaniu serwerów z niezabezpieczonym protokołem RDP.
W zeszłym tygodniu informowaliśmy, że ponad 800 000 urządzeń ma nadal niezałataną podatność. Na szczęście dla wszystkich tych, którzy dopiero planują update Windows Server, w sieci nie zadebiutował jeszcze kod exploit’a. To koniec dobrych wieści. Exploit jest już sprzedawany przez firmę Immunity wraz z ich narzędziem do przeprowadzania pentestów. Nie zmienia to jednak faktu, że hackerzy przygotowują się już do przeprowadzania masowych ataków.
Przestępcy wykorzystali sieć stworzoną przez WatchBog do opracowania listy podatnych hostów, które będą mogły zostać zaatakowane w [niedalekiej] przyszłości. Nie ma więc co się oszukiwać – lista z pewnością wkrótce zostanie wystawiona na sprzedaż, a znajdujące się na niej urządzenia staną się pierwszym celem ataków.
Druga zła informacja
Linux’owy botnet ze skanerem BlueKeep? Wszystko wskazuje na to, że twórcy WatchBog biorą pod uwagę również rozszerzenie swojego zasięgu o urządzenia z systemem Windows.
3. Blockchain to więcej niż bitcoin, teraz posłuży do walki z fake news
The New York Times, drugi największy amerykański dziennik, wykorzysta technologię blockchain do walki z fałszywymi newsami.
Gazeta już od kilku miesięcy pracuje nad The News Provenance Project – o którym więcej przeczytacie tutaj. We wtorek zespół R&D uchylił rąbka tajemnicy i mogliśmy dowiedzieć się w jaki sposób amerykanie zamierzają wykorzystać Hyperledger Fabric m.in. do uwierzytelniania zdjęć. NY Times zaczyna od fotoreportażu, ale docelowo projekt ma objąć wszystkie informacje publikowane przez serwis.
Cel: zapewnienie wiarygodności danym i informacjom, które istnieją w wersji elektronicznej.
Jak: przechowywanie metadanych kontekstowych wszystkich informacji w postaci łańcucha bloków, z dokładnym uwzględnieniem tego kiedy, gdzie i przez kogo zdjęcie lub nagranie wideo zostało wykonane, w jaki zakresie przeprowadzono jego edycję i kiedy opublikowano je w sieci.
Wszystkie posty w social media lub informacje widoczne w wynikach wyszukiwania będą zawierać właśnie zbiór takich danych. Technologia blockchain za to zagwarantuje, że nie będzie można przy nich w żaden sposób “majstrować”.
Kolejne miesiące mają pokazać, czy dostęp do wspomnianych metadanych pomoże odbiorcom lepiej odnaleźć się w gąszczu publikowanych informacji.
4. Baza Elasticsearch botnet’em DDoS? Hackerzy znaleźli na to sposób
Cyberprzestępcy wykorzystali niezabezpieczone i publicznie dostępne bazy/serwery Elasticsearch. W pierwszym kroku zainfekowali je malware’m by następnie przekształcić je w botnet’y i wykorzystać do przeprowadzenia ataku DDoS.
Coś starego, coś nowego…
Malware, którym posłużyli się hackerzy to Setag – backdoor odkryty w 2017 roku. Program oprócz tego, że jest w stanie przeprowadzać ataki DDoS, wykrada również informacje o systemie. Głębsza analiza odkrytego kodu, wykazała jednak że tak naprawdę mamy do czynienia z dwoma malware’ami. Drugi program to BillGates o bardzo zbliżonym modus operandi.
W początkowej fazie ataku malware uruchamia skrypt s67.sh i wyłącza firewall’a. Następnie na nowo definiuje, które powłoki mają być wykorzystywane i wykasowuje pliki konfiguracyjne z lokalizacji /tmp. Potem dzieje się coś naprawdę interesującego… Program weryfikuje czy na urządzeniu działają już jakieś „obce” cryptominer’y – jeśli je wykryje, zostają odinstalowane. Na koniec skrypt wykasowuje wszystkie ślady wskazujące na to, że doszło do jakiegokolwiek ataku.
Ważne: jest już dostępna łatka, usuwająca podatność z której skorzystali przestępcy. Znajdziecie ją na stronie producenta.
5. VLC Media Player z poważną wadą
Najnowsza wersja popularnego video player’a pozwala hackerom instalować i uruchamiać programy za plecami użytkowników.
Odtwarzacze wideo są częstym celem exploitów formatu plików – głównie ze względu na złożoność procesu parsowania multimediów. Swoją drogą sam VLC nie cieszy się szczególną sympatią specjalistów od bezpieczeństwa. Ale o tym nie dzisiaj…
Z czym mamy do czynienia
Atakujący może uzyskać zdalny dostęp i potencjalnie ujawnić informacje, manipulować plikami lub doprowadzić do wystąpienia denial-of-service. Podatność – CVE-2019-13615 – doprowadza również do błędu przepełnienia bufora. Program czyta bufor – ale kiedy dojdzie do błędu, atakujący mogą zdobyć dostęp do innych danych zgromadzonych w pamięci komputera.
Dobra wiadomość
Aby atak zakończył się sukcesem, konieczna jest interwencja użytkownika, który musi albo pobrać niebezpieczny plik albo otworzyć jego streaming.
6. Odkryto mega botnet składający się z 400 tys. urządzeń
Potężny botnet 400 tys. urządzeń składających się głównie z routerów domowych przez 13 dni uderzał w dostawcę usług rozrywki online. Prawie 300 tysiącami zapytań na sekundę!
Przestępcy wykorzystali pakiety przypominające prawidłowe żądania do docelowej aplikacji w celu przejęcia przepustowości i zasobów serwera. W szczytowym momencie było aż 292 tys. żądań na sekundę. Co ciekawe, to nie pierwszy raz kiedy ta sama firma padła ofiarą ataku DDos. Być może nie należał do największych, ale przypomniał o poważnych skutkach ataków wolumetrycznych, w tym właśnie o najbardziej potężnym w historii botnecie Mirai.
Atak DDoS, znany również jako atak w warstwie aplikacji lub atak DDoS warstwy 7, z wykorzystaniem urządzeń (botnetu) miał prawdopodobnie na celu usunięcie usługi firmy. Według badań globalnie 81% producentów aplikacji pada ofiarą ataków. Dla 83% z tych, które dotknął DDoS, średni czas przestoju wynosił 12 godzin. Tego typu zagrożenia są już powszechnie uznawane jako jeden z kosztów prowadzenia biznesu online, na który firmy muszą być przygotowane.
Najsłynniejszy do tej pory atak DDos – Mirai – w 2016 roku straszył nas niemalże z każdego portalu poświęconego bezpieczeństwu IT. Choć firma Imperva, odpowiedzialna za analizę tytułowego ataku nie wierzy, że mógł pochodzić z botnetu Mirai ponieważ minęło zbyt dużo czasu od jego uśpienia, to istnieje szansa, że przestępcy zmodyfikowali go, aby niepostrzeżenie uderzyć ponownie.