Nietypowy poniedziałek, poprzedzony równie nietypowym weekendem. Opustoszałe centra miast, oblegane sklepy i szał zakupów na wszystko ze słowem „dezynfekujący” w nazwie. Przyszło nam żyć (miejmy nadzieję, że tylko przez pewien czas) w bardzo nietypowej rzeczywistości. Jest też druga strona nowej pandemii – w 100 procentach cyfrowa. Jednak jej skutki mogą się okazać dużo dotkliwsze. Przestępcy nie próżnują. Już kilka tygodni temu informowaliśmy was o kampanii malspam wymierzonej w obywateli Japonii, która wykorzystała pojawienie się koronawirusa w Azji. Teraz okazuje się, że nawet interaktywna mapa obrazująca rozprzestrzenianie się koronawirusa od Johns Hopkins University jest niebezpieczna… tzn. jej idealna kopia. Ale o tym więcej poniżej. O czym jeszcze przeczytacie w poniedziałkowym podsumowaniu newsów ze świata IT? Czy Miscrosoft uśmierci botnet Necurs oraz nowoczesne pamięci RAM są nadal podatne na atak Rowhammer. A także: atak SMBGhost, podatność w AVAST i Cookiethief na Androida.
1. Czy Microsoft wymierzył śmiertelny cios botnetowi Necurs?
Necurs jest jednym z największych botnetów, pozostaje aktywny od 2012 roku. Do tej pory zainfekował ponad 9 mln urządzeń. Necurs słynie z tego, że „wpuszcza” na zainfekowane urządzenia malware GameOver Zeus, Dridex, Locky,Trickbot oraz wiele podobnych zagrożeń. Specjaliści śledzący poczynania przestępców doliczyli się 11 botnetów, z czego cztery największe odpowiadają za ponad 95% wszystkich infekcji.
Microsoft oraz Bitsight już w przeszłości łączyli siły i analizowali oprogramowanie wykorzystywane do ataków. Teraz wspólnie z 35 krajami (policją oraz firmami technologicznymi) skutecznie zaburzyli pracę serwerów C&C przestępców. W efekcie udało się „uwolnić” prawie 2 mln urządzeń. Nie jest to jednak finalne rozwiązanie problemu, ponieważ wszystkie one nadal pozostają zainfekowane. Przestępcy mogą więc ponownie zaprzęgnąć je do pracy.
Ciekawostka: obecne „zaburzenie” to efekt wieloletniej pracy obu zespołów. W szczególności studiowania malware, które przez lata rozsyłał Necurs, samego botneta oraz jego infrastruktury command and control.
Operacja była możliwa ponieważ badaczom udało się złamać wykorzystywany do ataków Algorytm Generacji Domen (eng. DGA, domain generation algorithm). To dzięki niemu Necurs był wyjątkowo odporny na wszelkie działania zwalczające.
Specjalistom udało się również ustalić ponad 6 mln domen, które zostałyby wykorzystane do ataków w ciągu następnych 25 miesięcy. Zgłoszono je już lokalnym autorytetom – w efekcie strony zostaną zablokowane, aby uniemożliwić dołączenie ich do infrastruktury Necurs.
2. Śledzisz mapę z COVID-19? Uważaj – mogłeś paść ofiarą przestępców!
Cyberprzestępcy znani są z tego, że żerują na strachu użytkowników… Stąd nie powinno nas dziwić, że wykorzystują obawy związane z rozwojem koronawirusa do przeprowadzania ataków i kampanii phishingowych – w tym za pomocą złośliwego oprogramowania AZORult i Emotet. Te można łatwo połączyć z TrikBot i Ryuk ransomware.
Ataki te będą koncentrować się głównie na dużych korporacjach, które pracują na rynkach i łańcuchach dostaw pochodzących z Chin i innych regionów. Pracownicy tych organizacji wykazują zwiększone zainteresowanie wiadomościami i postępami związanymi z rozprzestrzenianiem się wirusa, potencjalnie czyniąc się bardziej podatnymi na socjotechnikę – a od niej tylko krok do ataku ransomware. Łatwym celem dla przestępców mogą okazać się również placówki medyczne i pracownicy samorządowi.
W ostatniej kampanii oszuści wykorzystują mapę przedstawiającą stan infekcji COVID-19. Namawiają do pobrania i uruchomienia złośliwej aplikacji, która pokazuje mapę ładowaną z legalnego źródła. Gdy ofiary uruchomią plik wykonywalny, złośliwe oprogramowanie wyświetla graficzny interfejs użytkownika, który wygląda bardzo dobrze i przekonująco. Po uruchomieniu okno GUI ładuje informacje ze strony internetowej Johns Hopkins, podczas gdy złośliwe oprogramowanie działa w tle i wykrada poufne dane przechowywane w przeglądarce – nazwy użytkowników, hasła, numery kart kredytowych i inne poufne dane.
W tym trudnym czasie radzimy, aby zachować ostrożność i zdrowy rozsądek również w sieci.
3. Nowoczesne pamięci RAM są nadal podatne na atak Rowhammer
Współczesne karty pamięci RAM są nadal podatne na ataki Rowhammera. Wszystko to pomimo rozległych działań zaradczych wprowadzonych przez producentów na przestrzeni ostatnich sześciu lat.
Target Row Refresh (TRR) to kombinacją poprawek programowych i sprzętowych, które systematycznie włączano do projektu nowoczesnych kart RAM od 2014 roku.
Na czym polega atak Rowhammer?
W skrócie: wielokrotne uzyskiwanie dostępu do dwóch adresów w pamięci (do której dany proces ma dostęp) powoduje przeskok bitu w trzeciej lokalizacji, która znajduje się w innym rzędzie (ang. “row“) pamięci DRAM na innej stronie (ang. “page“) — innych 4k.
Atak działa, ponieważ współczesne pamięci DRAM stają się mniejsze, przez co komórki pamięci znajdują się coraz bliżej siebie. Taka budowa wprowadza niestabilności układu (komórki oddziałują ze sobą elektrycznie i ładunek z jednej może “wyciec” na sąsiednią). Powtarzanie zapisu niejako większa “wyciek” ładunku, który w końcu może spowodować tzw. “przeskok bitu“, czyli zamianę. Więcej na ten temat przeczytacie w pełnym tekście opublikowanym w serwisie Niebezpiecznik.pl.
Jak się jednak okazało, TRR nie rozwiązuje problemu. Badacze z uniwersytetów w Niderlandach oraz Szwajcarii przeanalizowali poprawki wprowadzone przez różnych producentów kości RAM. W oparciu o zebrane dane stworzyli generyczne narzędzie o nazwie TRRespass, z którego pomocą można przeprowadzić zaktualizowaną wersję ataku Rowhammer. Jak to ustalono? Narzędzie odkrywa nowe wzorce w oparciu o które można przeprowadzić aktualną wersję ataku.
Badacze przetestowali 43 typy DIMMs (Dual In-line Memory Module, to inna nazwa dla pamieci RAM stosowanych w laptopach/PC/serwerach). Odkryli, że 13 modeli od trzech największych producentów (Samsung, Hynix oraz Micron) jest podatnych na nową wariację ataku Rowhammer. Chipy LPDDR4 – tzw. Low-Power DDR – wykorzystywane w smartphonach oraz urządzeniach IoT również są obarczone podatnością.
4. 48 tys. hostów Win jest podatnych na atak SMBGhost
Podatność nazwana SMBGhost CVE-2020-0796 ma wpływ tylko na komputery i serwery pracujące pod systemem Windows 10 w wersji 1903 i 1909, a także na instalacje Server Core systemu Windows Server w wersji 1903 i 1909.
Specjaliści z Microsoft są świadomi zagrożenia, które dotyczy Microsoft Server Message Block 3.1.1 (SMBv3) oraz możliwości zdalnego wykonywania kodu na podatnych urządzeniach. Na ten moment nie jest jednak dostępna aktualizacja. Co w takim razie mogą zrobić administratorzy zagrożonych systemów? Microsoft doradza wyłączenie kompresji SMBv3 za pomocą następującego polecenia PowerShell:
Set-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
Firma zaleca również zablokowanie portu TCP 445.
5. Podatności w AVAST prowadzą do ataków Man in The Middle
W Avast Antitrack i AVG Antitrack Tools wykryto podatności, których wykorzystanie może prowadzić do ataków Man in The Middle (MiTM) obniżając jednocześnie bezpieczeństwo przeglądarek.
Analiza wykazała, że Avast Antitrack nie sprawdza ważności certyfikatów prezentowanych przez końcowy serwer WWW. To sprawia, że atak MiTM, który wykorzystuje fałszywą stronę za pomocą samopodpisanego certyfikatu jest trywialny w obsłudze. Osoba atakująca może nie tylko przechwycić ruch ofiary, ale także przejąć sesje na żywo poprzez klonowanie plików cookie, tym samym omijając uwierzytelnianie dwuskładnikowe. Wykorzystanie tego błędu nie wymaga nawet interakcji użytkownika.
Pozostałe dwa problemy powodują obniżenie protokołu bezpieczeństwa przeglądarki do TLS 1.0., podczas gdy wybrany przez narzędzie szyfr nie obsługuje Forward Secrecy.
Do pilnej aktualizacji
Choć błędy zostały znalezione w Avast Antitrack, dotyczy on również AVG Antitrack, który oparty jest na tym samym kodzie. Avast wydał poprawki zaraz po zgłoszeniu podatności. Zalecamy pilną aktualizację do wersji Avast Antitrack 1.5.1.172 oraz AVG Antirack 2.0.0.178 – wszystkie poprzednie podatne są na ataki.
6. Cookiethief na Androida kradnie ciasteczka z Facebooka i innych stron
Kto ukradł ciasteczka ze słoika Facebooka? Cookiethief – czyli dwie modyfikacje złośliwego oprogramowania dla systemu Android, które w połączeniu mogą przechwycić pliki cookie gromadzone przez przeglądarki i aplikacje społecznościowe.
Te dwa trojany mają podobne bazy kodów i kontrolowane są przez ten sam serwer C2. W połączeniu pozwalają one przejąć konta Facebooka i wysyłać złośliwe treści. Nie wiadomo jeszcze jaki jest ostateczny cel atakujących – jedną z teorii jest oferta usług wysyłania spamu w sieciach społecznościowych i kampanii phishingowych.
Badacze wyjaśniają, że pierwszy trojan uzyskuje prawa roota na urządzeniu docelowym, co umożliwia atakującym wysyłanie ciasteczek na kontrolowane przez nich serwery. Aby ominąć blokowanie podejrzanych logowań przez strony (m.in. Facebooka na podstawie lokalizacji logowania) wykorzystują drugiego trojana – Youzicheng. Może on uruchomić serwer proxy na urządzeniu docelowym i zażądać dostępu do strony internetowej podając się za uprawnionego posiadacza konta.
Nie ustalono jeszcze w jaki sposób trojan ląduje na urządzeniach docelowych. Przyczyna na pewno nie leży po stronie Facebooka ani przeglądarki. Mówi się, że może być ono instalowane w oprogramowaniu urządzenia przed jego zakupem. Atakujący mogą również wykorzystać luki w systemie operacyjnym, aby umieścić je w folderach systemowych.