Witajcie w Centrum Bezpieczeństwa Xopero! Jakie technologiczne newsy rozgrzewały wyobraźnię specjalistów IT oraz geeków w ostatnich dniach? Było ich całkiem sporo, jednak my wybraliśmy dla was cztery najbardziej interesujące. Dzisiejszą prasówkę otwiera nowy szczep ransomware Barebones o nazwie Epsilon Red. Fanom komiksów Marvela będzie ona zapewne znajoma. Co takiego odróżnia owego „złoczyńcę” od innych zagrożeń? Mianowicie, oparcie łańcucha ataku na skryptach PowerShell. Kolejny temat dotyczy podatności w Microsoft PatchGuard. Nowo wykryty błąd pozwala atakującym załadować złośliwy kod wprost do jądra systemu Windows. Opisujemy również zmiany jakie zaszły wewnątrz bota Necro Python. Ostatnia aktualizacja to szereg świeżych funkcji a także exploity dla 10 aplikacji – w tym VMware. Dzisiejsze zestawienie zamyka wiadomość o złośliwych reklamach widocznych w sieci Google, które mogą dostarczyć na wasze komputery infostealera.
Tyle słowem wstępu… Zapraszamy do lektury.
Epsilon Red, czyli najnowszy ransomware z rodziny Barebones w akcji
Specjaliści z Sophos Labs natknęli się na nowy szczep ransomware Barebones, który odróżnia od innych zagrożeń znaczne ograniczenie funkcjonalności oraz bazowanie na skryptach PowerShell do wykonywania złośliwych funkcji.
Większość komponentów Epsilon Red to skrypty PowerShell. Sam komponent ransomware to 64-bitowy plik wykonywalny typu bare-bones, który ma tylko jedną funkcję – szyfrowanie plików na zaatakowanym urządzeniu.
Co już wiemy o atakach Epsilon Red?
Wszystko wskazuje na to, że pierwszy udokumentowany atak zainicjował nie załatany serwer Microsoft Exchange. Nie jest jasne, czy atakujący wykorzystali luki ProxyLogon, czy też sięgnęli po inne podatności.
W kolejnym kroku – czyli po przedarciu się przez „zabezpieczenia” – atakujący wykorzystali Windows Management Instrumentation (WMI) do zainstalowania dodatkowego oprogramowania w celu pobrania ransomware na wszystkie inne systemy, do których mogli uzyskać dostęp z serwera Exchange. W czasie operacji, cyberprzestępcy użyli łącznie kilkanastu skryptów PowerShell – część z nich miała za zadanie wykasowanie Volume Shadow Copies, inne skopiowanie zasobów Windows Security Account Management (SAM) i przechwycenie haseł przechowywanych na komputerze.
Co zaskakujące, sam plik binarny ransomware nie zawiera listy atakowanych plików i rozszerzeń. Jak już wspominaliśmy, że jego funkcja jest bardzo ograniczona – jedyne zadanie to szyfrowanie wszystkich danych na atakowanej maszynie. Dosłownie wszystkich, także kluczowych bibliotek DLL i rozszerzeń wymaganych do utrzymania działania systemu operacyjnego. Z zasady, większość operatorów ransomware unika takich praktyk za wszelką cenę. Dlaczego? Szyfrowanie plików wykonywalnych i bibliotek DLL jest złą praktyką w ich sprawach biznesowych. Przestępcy nie otrzymują zapłaty, jeśli nikt nie będzie w stanie odczytać żądania okupu – na przykład dlatego, że komputer zwyczajnie nie daje się uruchomić.
Na ten moment wydaje się, że Epsilon Red nie dokonuje takiego rozróżnienia. W efekcie jest całkiem prawdopodobne, że nawet po otrzymaniu narzędzia deszyfrującego, ofiary nie będą w stanie uruchomić go na zainfekowanych komputerach.
Microsoft PatchGuard z błędem, który umożliwia ładowanie złośliwego kodu wprost do jądra systemu Windows
PatchGuard, znany również jako Kernel Patch Protection, to narzędzie uniemożliwiające ładowanie do wnętrza jądra 64-bitowych systemów nieautoryzowanych patchy. Tym samym jest ono w stanie ochronić system przed atakiem z wykorzystaniem rootkitów lub też przed wykonaniem złośliwego kodu z poziomu jądra.
Zagrożenie. Z pomocą nowo wykrytej podatności atakujący mogą być jednak w stanie uruchomić złośliwy kod w trybie jądra. Złośliwe oprogramowanie może więc działać z najwyższym poziomem uprawnień. Jest więc spora szansa, że pozostanie przez długi czas niezauważone. Zdaniem wielu specjalistów to bardzo niepokojąca wiadomość. Obecnie wszystkie 64-bitowe wersje systemu Windows obsługują funkcję PatchGuard.
Czy jest szansa na szybką łatkę?
Okazuje się, że raczej nie ma co na nią liczyć. Microsoft nie załatał żadnej z luk PatchGuard, które zostały mu zgłoszone w ciągu ostatnich kilku lat. Skąd tak silne obiekcje? Według Microsoft takie ataki wymagają uruchamiania kodu z uprawnieniami administratora. Ale przy poziomie uprawnień nabytych z pomocą nowej podatności przestępcy będą już mogli przejąć dowolny system Windows – potwierdzili to nawet sami specjaliści Microsoft. Czy więc istnieje szansa na wydanie poprawki? Musimy zaczekać na oficjalne stanowisko Microsoft w tej sprawie.
Bot Necro Python otrzymał nowe funkcje i exploity dla 10 aplikacji i programów, w tym VMware
Necro Python (nazywany również FreakOut) nie jest nowym zagrożeniem – bot jest rozwijany od 2015 roku i udokumentowany na początku 2021 r. Ostatnio twórca Necro Python wprowadził szereg zmian, które mają zwiększyć siłę i wszechstronność zagrożenia.
Potwierdzają to exploity dla 10 różnych aplikacji i protokołu SMB, które wykorzystywane są w ostatnich kampaniach bota. Załataliście już VMware vSphere, do czego nakłanialiśmy Was w minionym tygodniu? Bot zawiera bowiem exploity do luk w programach, takich jak właśnie VMWare vSphere, SCO OpenServer i Vesta Control Panel. Wykorzystuje także popularne luki EternalBlue oraz EternalRomance.
Bot w pierwszej kolejności próbuje wykorzystać wyżej wymienione luki zarówno w systemach Linux, jak i Windows. Jeśli się powiedzie, złośliwe oprogramowanie wykorzystuje downloader JavaScript, interpreter i skrypty Python oraz pliki wykonywalne utworzone za pomocą pyinstaller, aby rozpocząć podłączanie zaatakowanego systemu do botnetu.
Gdy już nawiąże połączenie z serwerem C2, otrzymuje polecenia, aby wydobyć dane lub dołożyć kolejne ładunki złośliwego oprogramowania. Nowość? Trojan XMRig ywykorzystujący zasoby obliczeniowe zaatakowanej maszyny do wydobywania Monero (XMR).
Inne funkcje obejmują możliwość uruchamiania ataków DDoS, eksfiltracji danych i sniffingu. Bot instaluje również rootkit w trybie użytkownika, aby zapewnić trwałość, uruchamianie wraz z logowaniem użytkownika oraz skuteczne ukrywanie swojej obecności.
Kolejnym ulepszeniem są zdolności polimorficzne Necro Python. Bot zyskał moduł, który umożliwia programistom przeglądanie kodu w taki sposób, w jaki byłby widziany przez interpreter przed skompilowaniem do kodu bajtowego. Co więcej, moduł ten został zintegrowany z silnikiem, który może umożliwiać modyfikacje środowiska wykonawczego.
To zagrożenie dokładnie pokazuje, jak ważne jest regularne stosowanie najnowszych aktualizacji zabezpieczeń dla wszystkich aplikacji, nie tylko systemu operacyjnego.
Reklamy w wynikach wyszukiwaniach Google mogą dostarczyć info-stealery
Jeśli chcesz coś wypromować lub sprzedać, inwestujesz w reklamy, prawda? Oszuści też! Jak się okazuje, płacą duże pieniądze za najwyższe pozycje w wynikach wyszukiwania Google dla popularnych aplikacji AnyDesk, Dropbox i Telegram. Reklamy te prowadzą do złośliwych witryn z info-stealerami.
Redline, Taurus, Tesla i Amadey – wszystkie te powszechne trojany do wykradania informacji są dostarczane za pośrednictwem systemu reklamowego Google Ads i reklam PPC (pay-per-click – “opłata za kliknięcie”). Kliknięcie w reklamę prowadzi do strony z możliwością pobrania złośliwych pakietów AnyDesk, Dropbox i Telegram opakowanych jako obrazy ISO – wynika z ustaleń firmy Morphisec.
Przykład? Specjaliści z Morphisec pokazali, że w wyniku wyszukiwania hasła „anydesk download” Google wyświetliło trzy reklamy, z których wszystkie prowadziły do stron zawierających info-stealery. Pierwsze dwie – Redline, trzecia – Taurus.
Google twierdzi, że używa zastrzeżonej technologii i narzędzi do wykrywania złośliwego oprogramowania i „regularnie skanuje wszystkie kreacje reklamowe”. Zabrania reklam, które pochodzą ze stron trzecich lub subskrypcji niecertyfikowanych źródeł. Oczywiście odrzuca wszelkie reklamy rozpowszechniające złośliwe oprogramowanie zawieszając ich autorów na co najmniej 3 miesiące.
W jaki sposób więc reklamy finansowane przez oszustów pojawiły się wśród top wyników wyszukiwania? W skrócie: według Morphisec ataki te powiodły się ponieważ oszuści wydają realne pieniądze w Google Ads oraz wiedzieli w jaki sposób uniknąć skanowania przez Google. Wszystkie założone przez nich witryny posiadały aktualne, legalne certyfikaty. W dodatku do pobierania wykorzystali wystarczająco duży obraz ISO, który prześlizgnął się przez system weryfikacji Google. Czy w takim razie posiadanie wystarczająco dużego pliku ISO to wszystko, czego potrzeba, aby uniknąć wykrycia? Jeżeli tak, to bardzo zły znak dla Google…
Jak się chronić? Firmy, które pobrały i zainstalowały złośliwy program, powinny przeprowadzić przegląd swojej infrastruktury w celu zidentyfikowania wszelkich dodatkowych backdoorów. Powinny również monitorować wszelkie złośliwe zmiany, które wskazywałyby, że atakujący nadal może mieć dostęp.