Dzisiejsze zestawienie otwiera cryptojacking, który obrał sobie za cel niezabezpieczone Docker’y. Mogłoby się wydawać, że odpowiednie zabezpieczenie (lub jakiekolwiek) infrastruktury IT powinno być pierwszym przykazaniem dobrego Admina, a jednak. Ataki z wykorzystaniem podatności w RDP, ponowne przejęcia tych samych urządzeń przez atakujących… można tak bez końca. I chociaż 2034 podatne hosty Docker to żadna globalna katastrofa, jednak w zestawieniu z wydarzeniami o których pisaliśmy wam w ostatnich miesiącach – jest niepokojące.
1. Graboid, czyli Docker na celowniku cyberprzestępców
Wykorzystujesz Docker’a? Specjaliści z Unit 42 natrafili na nowe zagrożenie, które na ten moment rozprzestrzeniło się już na ponad 2000 niezabezpieczonych hostów.
Po raz pierwszy mamy do czynienia z cryptojacking’iem, który rozprzestrzenia się w oparciu o kontenery Docker Engine (Community Edition). Większość rozwiązań do monitoringu i zabezpieczania endpointów nie weryfikuje aktywności wewnątrz kontenerów, dlatego tego typu atak jest dziś wyjątkowo niebezpieczny (oraz skuteczny). Atakujący zdecydowali się posłużyć obrazem, który w przypadku technologii Docker stanowi podstawę do stworzenia samego kontenera. Po zakończeniu instalacji obrazu z serwerów C&C zostaje pobrany malware, którego przestępcy wykorzystują do kopania Monero. Atakujący wysyłają również zapytania w celu wyszukania kolejnych niezabezpieczonych hostów i losowo wybierają następny cel.
Z serwerów C&C są kolejno pobierane cztery skrypty:
- live.sh przekazuje informację o ilości dostępnego CPU,
- worm.sh pobiera plik „IP” zawierający listę 2000 niezabezpieczonych hostów z których zostaje wybrany losowo jeden. Atakujący komunikują się z nim poprzez przejętego Docker’a i zdalnie inicjują pobieranie obrazu,
- cleanxmr.sh losowo wybiera z listy zainfekowany host i wstrzymuje tymczasowo cryptojacking,
- xmr.sh wybiera z listy niezabezpieczonych hostów jeden i uruchamia plik z obrazem.
Cały proces jest oczywiście systematycznie powtarzany. Interwał został ustawiony na 100 sekund. Analizy wykazały, że średnio każdy miner jest aktywny przez około 63% czasu, a każde wydobywanie kryptomonet trwa 250 sekund.
Na koniec statystyki. Wspomniany w artykule obraz został już pobrany ponad 6500 razy. Lista podatnych hostów Docker zawiera dokładnie 2034 pozycje. 53% znajduje się na terytorium Chin. 13% zostało zlokalizowanych na terenie USA. Przestępcy mają do dyspozycji 15 serwerów C&C, z czego 14 występuje na liście „IP”.
2. Przepraszam, czy ten plik WAV jest bezpieczny?
Kopanie kryptowalut jest obecnie bardzo popularne… wśród cyberprzestępców. Pomimo spadków Bitcoin’a jest to nadal dochodowy biznes. Atakujący sięgają więc po coraz wymyślniejsze sposoby, aby uniknąć wykrycia. Na temat steganografii pisaliśmy już kilkakrotnie (zobacz m.in. tutaj). Teraz zespół z BlackBerry Cylance natrafił na złośliwy kod ukryty w pliku WAV. Niektóre w wykrytych plików pozwalają na odsłuchiwanie audio – bez wyraźnych strat jakości dźwięku. Inne po odtworzeniu generują tzw. biały szum.
Specjaliści z Cylance odkryli, że zawarte w plikach WAV skrypty (loader) wykorzystują trzy różne metody dekodowania i wykonywania złośliwego kodu.
- steganografię LSB (najmniej znaczący bit) do dekodowania i wykonywania pliku PE,
- algorytm dekodowania rand() do dekodowania i wykonywania pliku PE,
- oraz loader który korzysta z tego samego algorytmu, tyle że odpowiada za dekodowanie i wykonanie kodu powłoki.
Co ciekawe, występują one wspólnie. Z jednej strony przestępcy czerpią więc finansowe zyski z samego kopania Monero, z drugiej zdobywają zdalny dostęp do sieci ofiary.
Sedno problemu? W teorii każda z tych technik umożliwia atakującym ukrycie payloads w dowolnym formacie pliku. Jest to możliwe, o ile w trakcie nie zostanie uszkodzona struktura samego formatu.
3. Sudo posiada błąd, który umożliwia dostęp z poziomu root’a
Podatność wykryta przez Joe Vennix z Apple Information Security może umożliwić atakującemu wykonywanie kodu z poziomu root’a nawet w sytuacji gdy nie ma on takich uprawnień.
Problem dotyczy sposobu w jaki polecenie sudo traktuje identyfikatory użytkowników. W normalnej sytuacji użytkownik posiada wyłącznie dostęp do własnych zasobów. Jeśli jednak posłuży się ID „-1” lub „4294967295” i wpisze dowolne polecenie, jego ID zostanie przekształcone w wartość „0”, która jest identyfikatorem administratora systemu.
Błąd został sklasyfikowany jako groźny, jednak jego wykonanie jest… mało realne. Aby atak był możliwy hacker musi posiadać kontrolę nad wierszem poleceń w systemie. Bez fizycznego dostępu do komputera, przeprowadzenie go nie jest więc możliwe.
Poprawka została udostępniono już kilka godzin po wykryciu podatności. Administratorzy powinni pobrać pakiet sudo w wersji 1.8.28 lub nowszy.
4. Google Site Isolation na Androida chroni przed atakami w stylu Spectre
W minionym roku Google ogłosił Site Isolation w wersji desktopowej przeglądarki Chrome. Celem jest ochrona użytkowników przed atakami kanałem bocznym procesora, m.in. w stylu Spectre. Ta technika renderuje strony internetowe w osobnych procesach, aby zapobiec ingerencji lub szpiegowaniu, co zwiększa ochronę sandboxa. W czwartek Google upublicznił aktywację zabezpieczeń dla Chrome 77 w wersji na Androida. Rozszerzył również narzędzie o ochronę przed całkowitym atakiem na procesy renderowania oraz błędy skryptowe w różnych witrynach.
Site Isolation na Androida ma pewne wymagania. Potrzebuje 3-5% pamięci, dlatego aby korzystać z funkcji izolacji witryny, urządzenie powinno mieć co najmniej 2 GB pamięci RAM. Nawet wtedy ochrona jest aktywowana wyłącznie podczas odwiedzania stron z mechanizmem logowania i w przypadku 99% urządzeń. 1% został wykluczony w celu zapewnienia podstawy do monitorowania wydajności.
Jak to działa? Gdy Chrome zauważy interakcję z hasłem w witrynie, przyszłe jej odwiedziny będą chronione przez Site Isolation. Oznacza to, że będzie ona renderowana we własnym procesie, oddzielonym od innych witryn.
Użytkownicy mogą również ustawić flagę (chrome: // flags / # enable-site-per-process), aby aktywować narzędzie dla wszystkich witryn, nie tylko tych z formularzami logowania. Przełoży się to oczywiście na większe wykorzystanie pamięci RAM.
Wzbogacono również wersję desktopową. Izolacja witryny na komputerze zadziała nawet jeśli osoba atakująca będzie próbowała wykorzystać błąd uszkodzenia pamięci w silniku renderowania Chrome’a – Blink. Może ograniczyć dostępne pliki cookie, hasła i dane witryny zapobiegając w ten sposób pobieraniu danych.
Jest to potrzebne zwłaszcza z uwagi na to, że jak przyznaje Google, pomimo wszelkich starań, błędy w silniku Chrome Blink pojawiają się regularnie. W Chrome 69 wykryto ich 10, 5 w Chrome 70, 13 w Chrome 71, również 13 w Chrome 72 i 15 w Chrome 73.
5. Strona Donalda Trumpa otwarta na przejęcie serwera e-mail
Zła konfiguracja narzędzia Laravel do testowania stron internetowych przed ich uruchomieniem umożliwiła przejęcie setek serwerów e-mail. Być może sprawa przeszłaby w opinii publicznej niepostrzeżenie, gdyby nie to, że dotknęła oficjalnej witryny prezydenta Stanów Zjednoczonych, Donalda Trumpa.
Platforma Laravel zawiera tryb debugowania i pozwala programistom identyfikować błędy na etapie testów, przed uruchomieniem strony internetowej. Problem polegał na tym, że wielu z nich nie wyłączyło tego trybu po publikacji witryny, ujawniając tym samym szczegóły zaplecza technicznego strony – takie jak lokalizacje baz danych, hasła, tajne klucze i inne poufne informacje. Umożliwiło to hakerom przejąć serwery poczty, a także przechwytywać, wysyłać lub czytać wiadomości e-mail wysyłane z domeny.
DonaldJTrump[.]com to strona internetowa służąca do pozyskiwania darowizn na kampanię reelekcyjną prezydenta USA. Odsłonięte narzędzie odnaleziono w subdomenie leadops.donaldjtrump[.]com – odpowiedzialnej za pozyskiwanie adresów mailowych odwiedzających stronę Trumpa.
Bob Diachenko, badacz który odkrył lukę, poinformował administratorów strony lawiną maili, ale niestety pozostały bez odpowiedzi.
Skala problemu jest znacznie większa. Według badań cytowanych przez Comparitech około 135 tys. stron korzysta z narzędzia Laravel. Do tej pory wykryto 768 stron internetowych z aktywnymi sesjami debugowania. Szacuje się, że w przypadku 10-20% z nich doszło do wycieku poufnych danych.
6. Starcie piratów – stawką 26 milionów kart płatniczych
Pirat piratowi…piratem? Nie, to nie będzie zapowiedź kolejnej części Piratów z Karaibów, a prawdziwa historia o podwójnej kradzieży 26 milionów kart płatniczych.
BriansClub – jeden z największych nielegalnych marketplace’ów danych o skradzionych kartach kredytowych został…zhakowany. Anonimową informację jako pierwszy otrzymał Brian Krebs, którego nazwisko i wizerunek są od lat niechlubnie używane przez administratorów sklepu BriansClub.
Skradzione dane binarne mogą umożliwić przestępcom stworzenie fałszywych kart magnetycznych, za pomocą których można dokonywać zakupów. Kres takim praktykom, a tym samym istnienia takich forów, może przynieść wdrożenie EMV.
Sklep BriansClub posiada na sprzedaż skradzione karty kredytowe o wartości ok 414 milionów dolarów, w oparciu o poziomy cen wymienione na stronie. Tak wynika z analizy przeprowadzonej przez Flashpoint, wywiadowczą firmę z siedzibą w Nowym Jorku. Na forum sprzedano około 9,1 miliona skradzionych kart kredytowych, zarabiając 126 milionów dolarów.
Krebs oszacował, że przy stratach posiadacza karty szacowanych na 500 USD na kartę, BriansClub mógł wygenerować nawet 4 miliardy dolarów strat z około dziewięciu milionów kart sprzedanych oszustom od 2015 roku.