1. Uwaga: Microsoft SQL Server backdoor na wolno\u015bci<\/strong> <\/h2>\n\n\nSpecjali\u015bci od cyberbezpiecze\u0144stwa natrafili na nowego backdoor\u2019a stworzonego z my\u015bl\u0105 o serwerach MS SQL. Nowe zagro\u017cenie umo\u017cliwia zdaln\u0105 kontrol\u0119 nad przej\u0119t\u0105 infrastruktur\u0105.<\/p>\n\n\n\n
Backdoor typu malware \u2013 nazwany przez specjalist\u00f3w Skip-2.0 – dzia\u0142a w pami\u0119ci i pozwala atakuj\u0105cym po\u0142\u0105czy\u0107 si\u0119 z dowolnym kontem na serwerze z MS SQL w wersji 11 i 12 za pomoc\u0105 „magic password<\/em>.”. Atakuj\u0105cy s\u0105 w stanie dzia\u0142a\u0107 niezauwa\u017calnie: kopiowa\u0107, modyfikowa\u0107 lub usuwa\u0107 dane przechowywane w bazie. Pami\u0119tajmy, \u017ce ka\u017cda zmiana w bazie mo\u017ce wp\u0142yn\u0105\u0107 na dzia\u0142anie aplikacji, kt\u00f3re si\u0119 z ni\u0105 \u0142\u0105cz\u0105. Jest to dobra metoda manipulacji walutami w grach. Grupda Winnti prowadzi\u0142a ju\u017c takie dzia\u0142ania w przesz\u0142o\u015bci. <\/p>\n\n\n\nTak, wszystko wskazuje na to \u017ce za backdoor\u2019em stoi Winnti Group, podejrzewana o dzia\u0142anie na zlecenie chi\u0144skiego rz\u0105du. Wykryty malware jest bardzo podobny do innych narz\u0119dzi wykorzystywanych przez hacker\u00f3w. W szczeg\u00f3lno\u015bci chodzi tu o backdoor PortReuse oraz ShadowPad.<\/p>\n\n\n\n
Namierzony przez firm\u0119 ESET PortReuse jest implantem sieciowym (pod Windows), kt\u00f3ry wstrzykuje si\u0119 wewn\u0105trz uruchomionych proces\u00f3w. Zagro\u017cenie nas\u0142uchuje na porcie TCP i czeka na kolejny pakiet aby uruchomi\u0107 tak\u017ce w nim sw\u00f3j z\u0142o\u015bliwy kod. ShadowPad pozwala atakuj\u0105cym na uzyskanie bardzo \u201eelastycznego\u201d dost\u0119pu do sieci ofiary.<\/p>\n\n\n\n
Wa\u017cne.<\/strong> Poniewa\u017c Skip-2.0 jest zagro\u017ceniem typu post-exploitation <\/em>atakuj\u0105cy musz\u0105 najpierw przej\u0105\u0107 infrastruktur\u0119, aby uzyska\u0107 uprawnienia administratora, konieczne do przeprowadzenia udanego ataku z jego wykorzystaniem. <\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Cyberbezpiecze\u0144stwo](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/10\/cyber-budzet2020.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Smart speakers mog\u0105 zosta\u0107 przej\u0119te przez aplikacje szpieguj\u0105ce<\/strong> <\/h2>\n\n\nZewn\u0119trzne aplikacje dost\u0119pne na inteligentnych asystentach od Amazon i Google mog\u0105 w sekrecie szpiegowa\u0107 u\u017cytkownik\u00f3w lub wykrada\u0107 has\u0142a. Tak przynajmniej uwa\u017caj\u0105 specjali\u015bci z Security Research Labs.<\/p>\n\n\n\n
SRLabs stworzy\u0142o osiem aplikacji \u2013 cztery dla Amazon Alexa i tyle samo dla Google Home. Wszystkie by\u0142y w stanie ukradkiem rejestrowa\u0107 rozmowy prowadzone w zasi\u0119gu urz\u0105dze\u0144 i nast\u0119pnie przesy\u0142a\u0107 dane na zewn\u0119trzny serwer. Cz\u0119\u015b\u0107 z nich udawa\u0142a aplikacje sprawdzaj\u0105ce\u2026 horoskop. U\u017cytkownik prosi\u0142 o aktualny horoskop, asystent podawa\u0142 informacj\u0119 i milkn\u0105\u0142\u2026 a w sekrecie nadal nagrywa\u0142 odg\u0142osy z otoczenia. Programy typu phishing-apps dawa\u0142y fa\u0142szywy komunikat o b\u0142\u0119dzie i wymaga\u0142y od u\u017cytkownika podania has\u0142a. W tym miejscu nale\u017cy wspomnie\u0107, \u017ce wszystkie osiem aplikacji pozytywnie przesz\u0142o weryfikacj\u0119 prowadzon\u0105 przez producent\u00f3w (s\u0105 ju\u017c niedost\u0119pne!). <\/p>\n\n\n\n
Co na to Amazon i Google?<\/strong> Obie firmy zdecydowa\u0142y si\u0119 wprowadzi\u0107 zmiany w procesie zatwierdzania aplikacji. To dobra wiadomo\u015b\u0107. Jednak fakt, \u017ce w zosta\u0142y one w og\u00f3le zatwierdzone sugeruje, \u017ce firmy technologiczne nie inwestuj\u0105 wystarczaj\u0105co du\u017co czasu i energii w sprawdzanie aplikacji, kt\u00f3re decyduj\u0105 si\u0119 udost\u0119pnia\u0107 na swoich platformach.<\/p>\n\n\n\nSedno problemu?<\/strong> Nikogo nie zdziwi stwierdzenie, \u017ce inteligentni asystenci stanowi\u0105 zagro\u017cenie dla prywatno\u015bci u\u017cytkownik\u00f3w. Ju\u017c kilkakrotnie w mediach pojawi\u0142a si\u0119 seria artyku\u0142\u00f3w o tym, \u017ce pracownicy Amazon\/Google\/Apple rutynowo ods\u0142uchiwali nagrania odg\u0142os\u00f3w i rozm\u00f3w zarejestrowanych przez urz\u0105dzenia. Jednak \u201eeksperyment\u201d SRLabs pokaza\u0142, \u017ce zagro\u017cenie nie p\u0142ynie tylko ze strony samych producent\u00f3w, a tak\u017ce hacker\u00f3w. Co te\u017c nie powinno by\u0107 dla nikogo zaskoczeniem. Prawda? <\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Malware zmienia aplikacj\u0119 Discord w wykradaj\u0105cego dane backdoor\u2019a<\/strong> <\/h2>\n\n\nDiscord to pot\u0119\u017cny komunikator, kt\u00f3ry zosta\u0142 stworzony z my\u015bl\u0105 o graczach. Obecnie korzysta z niego ponad 200 milion\u00f3w u\u017cytkownik\u00f3w. Tak du\u017ca liczba wzbudzi\u0142a oczywi\u015bcie zainteresowanie cyberprzest\u0119pc\u00f3w. Stworzyli wi\u0119c oni malware\u2019a, kt\u00f3ry modyfikuje klienta Discord dla Windows i zmienia go w backdoor\u2019a oraz wykradaj\u0105cego dane trojana.<\/p>\n\n\n\n
Zacznijmy od pocz\u0105tku.<\/strong> Klient Discord dla Windows zosta\u0142 stworzony w Electron. Jest to popularny framework, kt\u00f3ry pozwala pisa\u0107 aplikacje desktopowe przy u\u017cyciu HTML, CSS i JavaScript. Nowo wykryty malware jest w stanie zmienia\u0107 \u017ar\u00f3d\u0142owe pliki aplikacji i w efekcie uruchamia\u0107 swoje z\u0142o\u015bliwe skrypty wraz ze startem programu.<\/p>\n\n\n\nPodczas instalacji malware dodaje z\u0142o\u015bliwy kod JavaScript do plik\u00f3w w lokalizacji %AppData%\\Discord\\[version]\\modules\\discord_modules\\index.js<\/em><\/p>\n\n\n\noraz<\/p>\n\n\n\n
%AppData%\\Discord\\[version]\\modules\\discord_desktop_core\\index.js.<\/em><\/p>\n\n\n\nNast\u0119pnie przerywa dzia\u0142anie aplikacji i przeprowadza jej restart \u2013 tylko wtedy zmiany w JavaScript zostan\u0105 wykonane. Po uruchomieniu JS realizuje r\u00f3\u017cne komendy API i zbiera informacje o u\u017cytkowniku:<\/p>\n\n\n\n
- wykorzystywany token,<\/li>
- strefa czasowa ofiary,<\/li>
- rozdzielczo\u015b\u0107 ekranu,<\/li>
- lokalny adres IP,<\/li>
- publiczny adres IP (WebRTC),<\/li>
- informacje o u\u017cytkowniku takie jak login, adres e-mail, czy numer telefonu,<\/li>
- skala powi\u0119kszenia ekranu,<\/li>
- rodzaj przegl\u0105darki,<\/li>
- wersja aplikacji Discord,<\/li>
- 50 pierwszych znak\u00f3w zapisanych w schowku.<\/li><\/ul>\n\n\n\n
Szczeg\u00f3lnie niepokoj\u0105ce wydaje si\u0119 zainteresowanie zawarto\u015bci\u0105 schowka. To prosty spos\u00f3b na wykradanie hase\u0142 i wra\u017cliwych informacji nt. u\u017cytkownika.<\/p>\n\n\n
W jaki spos\u00f3b przest\u0119pcy jeszcze kradn\u0105 dane u\u017cytkownik\u00f3w Discord<\/h6>\n\n\n
Po przes\u0142aniu zgromadzonych informacji malware wykonuje funkcj\u0119 fightdio() i mo\u017ce s\u0142u\u017cy\u0107 tak\u017ce jako backdoor. Atakuj\u0105cy s\u0105 wtedy w stanie przeprowadzi\u0107 o wiele wi\u0119cej szkodliwych dzia\u0142a\u0144. Jeszcze wi\u0119cej? Tak, m.in. wykrada\u0107 dane p\u0142atno\u015bci (je\u015bli takie istniej\u0105 na urz\u0105dzeniu), wykonywa\u0107 zdalnie polecenia na zainfekowanym ho\u015bcie lub doinstalowywa\u0107 dodatkowe komponenty (malware, ransomware \u2013 sprawd\u017a nasz s\u0142owniczek zagro\u017ce\u0144<\/a>).<\/p>\n\n\n\nU\u017cytkownik ca\u0142y czas pozostaje nie\u015bwiadomy, \u017ce pad\u0142 ofiar\u0105 ataku. Szans\u0105 na jego wykrycie jest skan sieci i wy\u0142apanie nietypowych API oraz zapyta\u0144 web hook. Jedyn\u0105 opcj\u0105 na oczyszczenia urz\u0105dzenia jest odinstalowanie aplikacji Discord i zainstalowanie jej ponownie.<\/p>\n\n\n\n
Jak sprawdzi\u0107 czy pad\u0142o si\u0119 ofiar\u0105 ataku? W bardzo prosty spos\u00f3b. Pliki kt\u00f3re zmieniaj\u0105 przest\u0119pcy normalnie posiadaj\u0105 tylko jedn\u0105 linijk\u0119 kodu (patrz poni\u017cej).<\/p>\n\n\n\n
![\"Discord](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/10\/discord_modules.jpg\")
Normalny plik discord_modules\\index.js (\u017ar\u00f3d\u0142o<\/a>).<\/figcaption><\/figure><\/div>\n\n\n\n![\"Discord](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/10\/discord_desktop_core.jpg\")
Normalny plik discord_desktop_core\\index.js (\u017ar\u00f3d\u0142o<\/a>).<\/figcaption><\/figure><\/div>\n\n\n\nCiekawostka. <\/strong>Specjali\u015bci z MalwareHunterTeam natrafili na nowe zagro\u017cenie kilkana\u015bcie dni temu. Nadali mu nazw\u0119 Spidey Bot (lub BlueFace) – po kanale C&C kt\u00f3ry malware wykorzystuje do komunikacji z atakuj\u0105cymi.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. NordVPN – kulisy ataku na fi\u0144ski serwer<\/strong> <\/h2>\n\n\nNordVPN – dostawca jednej z najbardziej popularnych us\u0142ug VPN na swoim blogu zdradzi\u0142 kulisy incydentu bezpiecze\u0144stwa, kt\u00f3ry narazi\u0142 jeden z tysi\u0119cy fi\u0144skich serwer\u00f3w. Tym samym ucina wszelkie domys\u0142y i plotki, kt\u00f3re od tygodnia kr\u0105\u017cy\u0142y w sieci.<\/p>\n\n\n\n
Co zosta\u0142o naruszone? <\/strong>NordVPN ma tysi\u0105ce serwer\u00f3w hostowanych przez zewn\u0119trzne centra danych na ca\u0142ym \u015bwiecie. W marcu 2018 roku dosz\u0142o do w\u0142amania na jeden z nich w w centrum danych w Finlandii. <\/p>\n\n\n\nJak do tego dosz\u0142o? <\/strong>Firma ujawni\u0142a, \u017ce nieznany atakuj\u0105cy uzyska\u0142 dost\u0119p do serwera wykorzystuj\u0105c \u201cniepewny system zdalnego zarz\u0105dzania pozostawiony przez dostawc\u0119 centrum danych\u201d, o kt\u00f3rym NordVPN nie wiedzia\u0142o. <\/p>\n\n\nCo zosta\u0142o skradzione?<\/strong><\/h6>\n\n\nPoniewa\u017c NordVPN nie rejestruje dzia\u0142a\u0144 swoich u\u017cytkownik\u00f3w, przej\u0119ty serwer nie zawiera\u0142 \u017cadnych dziennik\u00f3w aktywno\u015bci. \u017badna z aplikacji nie wysy\u0142a r\u00f3wnie\u017c po\u015bwiadcze\u0144 utworzonych w celu uwierzytelnienia, wi\u0119c nazwy u\u017cytkownik\u00f3w i ich has\u0142a r\u00f3wnie\u017c nie mog\u0142y zosta\u0107 przechwycone. Firma potwierdzi\u0142a jednak, \u017ce atakuj\u0105cym uda\u0142o si\u0119 ukra\u015b\u0107 trzy klucze szyfruj\u0105ce TLS odpowiedzialne za ochron\u0119 ruchu u\u017cytkownik\u00f3w. Co prawda klucze te ju\u017c wygas\u0142y, ale nast\u0105pi\u0142o to 7 miesi\u0119cy po w\u0142amaniu.<\/p>\n\n\n\n
Po co? <\/strong>Prawie wszystkie witryny, a przynajmniej te zaufane, korzystaj\u0105 z HTTPS do ochrony ruchu sieciowego u\u017cytkownik\u00f3w. VPN nak\u0142ada na niego dodatkow\u0105 warstw\u0119 uwierzytelniania i szyfrowania poprzez tunelowanie ruchu przez du\u017c\u0105 liczb\u0119 swoich serwer\u00f3w (w\u0119z\u0142\u00f3w wyj\u015bciowych). Osoby, kt\u00f3re zdoby\u0142y klucze szyfrowania VPN, mog\u0105 wi\u0119c odszyfrowa\u0107 jedynie t\u0119 dodatkow\u0105 warstw\u0119 ochrony. Nie mog\u0105 narazi\u0107 ruchu u\u017cytkownik\u00f3w szyfrowanego protoko\u0142em HTTPS. Mog\u0142o to jednak pozwoli\u0107 na przechwycenie niezaszyfrowanych danych u\u017cytkownik\u00f3w ze stron pozbawionych protoko\u0142u oraz wyszukiwa\u0144 DNS dla niekt\u00f3rych u\u017cytkownik\u00f3w. <\/p>\n\n\n\nHappy end czy rozstanie? <\/strong>Po odkryciu incydentu kilka miesi\u0119cy temu firma natychmiast rozwi\u0105za\u0142a umow\u0119 z dostawc\u0105 serwer\u00f3w, a te wynajmowane przez NordVPN zosta\u0142y natychmiast zniszczone.<\/p>\n\n\n\nCzy u\u017cytkownicy powinni si\u0119 martwi\u0107? <\/strong>Niebardzo. VPN to dodatkowe zabezpieczenie prywatno\u015bci w sieci. O ile wi\u0119kszo\u015b\u0107 stron, kt\u00f3re odwiedzasz chroni si\u0119 HTTPS – nie masz powod\u00f3w do zmartwie\u0144. Na pewno nie jest to te\u017c pow\u00f3d, aby przesta\u0107 korzysta\u0107 z VPN.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n5. MedusaLocker – ransomware – incognito<\/strong> <\/h2>\n\n\nPod koniec wrze\u015bnia uaktywni\u0142 si\u0119 tajemniczy ransomware MedusaLocker, kt\u00f3ry atakuje ofiary na ca\u0142ym globie. Tajemniczy, bo nikt nie zna sposobu jego dystrybucji. Znany jest jednak przebieg dzia\u0142ania. Oto on:<\/p>\n\n\n\n
Przygotowanie.<\/strong> Po uruchomieniu, ransomware wykona szereg czynno\u015bci przygotowuj\u0105cych komputer do zaszyfrowania i zapewni sobie dost\u0119p do zmapowanych dysk\u00f3w. Zrestartuje r\u00f3wnie\u017c us\u0142ug\u0119 LanmanWorkstation, by upewni\u0107 si\u0119, \u017ce sie\u0107 Windows dzia\u0142a, a mapowane dyski sieciowe s\u0105 dost\u0119pne. Nast\u0119pnie wyszuka i zako\u0144czy procesy celem zamkni\u0119cia program\u00f3w bezpiecze\u0144stwa i upewni si\u0119, \u017ce wszystkie pliki danych s\u0105 zamkni\u0119te i dost\u0119pne do szyfrowania. Wreszcie usunie Shadow Value Copies, aby nie mo\u017cna by\u0142o u\u017cy\u0107 ich do przywr\u00f3cenia plik\u00f3w. Pozb\u0119dzie si\u0119 r\u00f3wnie\u017c kopii zapasowych stworzonych przy u\u017cyciu systemu Windows.<\/p>\n\n\n\nOfensywa. <\/strong>Po procesie przygotowa\u0144, rozpocznie skanowanie dysk\u00f3w w poszukiwaniu plik\u00f3w do zaszyfrowania. Pominie te z rozszerzeniem u\u017cywanym do szyfrowania oraz te znajduj\u0105ce si\u0119 w wybranych folderach systemowych i profilach u\u017cytkownik\u00f3w. Nast\u0119pnie zaszyfruje pliki z wykorzystaniem standardu AES, do kt\u00f3rego klucz zostanie zaszyfrowany za pomoc\u0105 RSA-2048 zawartym w pliku wykonywalnym ransomware. Do ka\u017cdego z tych plik\u00f3w do\u0142\u0105czy jedno z rozszerze\u0144: .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet. Po zako\u0144czeniu u\u015bnie na 60 sekund, a nast\u0119pnie ponownie przeskanuje dyski w poszukiwaniu nowych plik\u00f3w do zaszyfrowania.<\/p>\n\n\n\nSmak wygranej. <\/strong>W ka\u017cdym folderze, w kt\u00f3rym znajduje si\u0119 zaszyfrowany plik, MedusaLocker utworzy notatk\u0119 z \u017c\u0105daniem okupu zawieraj\u0105c\u0105 dwa adresy mailowe, pod kt\u00f3re nale\u017cy si\u0119 zg\u0142osi\u0107, aby otrzyma\u0107 instrukcj\u0119 p\u0142atno\u015bci. <\/p>\n\n\n\nTak, jak nieznana jest droga dystrybucji ransomware, tak te\u017c nie wiadomo jakiej kwoty \u017c\u0105daj\u0105 przest\u0119pcy oraz czy faktycznie spe\u0142ni\u0105 swoje obietnice po otrzymaniu p\u0142atno\u015bci. <\/p>\n\n\n\n
Tak, wszystko wskazuje na to \u017ce za backdoor\u2019em stoi Winnti Group, podejrzewana o dzia\u0142anie na zlecenie chi\u0144skiego rz\u0105du. Wykryty malware jest bardzo podobny do innych narz\u0119dzi wykorzystywanych przez hacker\u00f3w. W szczeg\u00f3lno\u015bci chodzi tu o backdoor PortReuse oraz ShadowPad.<\/p>\n\n\n\n
Namierzony przez firm\u0119 ESET PortReuse jest implantem sieciowym (pod Windows), kt\u00f3ry wstrzykuje si\u0119 wewn\u0105trz uruchomionych proces\u00f3w. Zagro\u017cenie nas\u0142uchuje na porcie TCP i czeka na kolejny pakiet aby uruchomi\u0107 tak\u017ce w nim sw\u00f3j z\u0142o\u015bliwy kod. ShadowPad pozwala atakuj\u0105cym na uzyskanie bardzo \u201eelastycznego\u201d dost\u0119pu do sieci ofiary.<\/p>\n\n\n\n
Wa\u017cne.<\/strong> Poniewa\u017c Skip-2.0 jest zagro\u017ceniem typu post-exploitation <\/em>atakuj\u0105cy musz\u0105 najpierw przej\u0105\u0107 infrastruktur\u0119, aby uzyska\u0107 uprawnienia administratora, konieczne do przeprowadzenia udanego ataku z jego wykorzystaniem. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Zewn\u0119trzne aplikacje dost\u0119pne na inteligentnych asystentach od Amazon i Google mog\u0105 w sekrecie szpiegowa\u0107 u\u017cytkownik\u00f3w lub wykrada\u0107 has\u0142a. Tak przynajmniej uwa\u017caj\u0105 specjali\u015bci z Security Research Labs.<\/p>\n\n\n\n SRLabs stworzy\u0142o osiem aplikacji \u2013 cztery dla Amazon Alexa i tyle samo dla Google Home. Wszystkie by\u0142y w stanie ukradkiem rejestrowa\u0107 rozmowy prowadzone w zasi\u0119gu urz\u0105dze\u0144 i nast\u0119pnie przesy\u0142a\u0107 dane na zewn\u0119trzny serwer. Cz\u0119\u015b\u0107 z nich udawa\u0142a aplikacje sprawdzaj\u0105ce\u2026 horoskop. U\u017cytkownik prosi\u0142 o aktualny horoskop, asystent podawa\u0142 informacj\u0119 i milkn\u0105\u0142\u2026 a w sekrecie nadal nagrywa\u0142 odg\u0142osy z otoczenia. Programy typu phishing-apps dawa\u0142y fa\u0142szywy komunikat o b\u0142\u0119dzie i wymaga\u0142y od u\u017cytkownika podania has\u0142a. W tym miejscu nale\u017cy wspomnie\u0107, \u017ce wszystkie osiem aplikacji pozytywnie przesz\u0142o weryfikacj\u0119 prowadzon\u0105 przez producent\u00f3w (s\u0105 ju\u017c niedost\u0119pne!). <\/p>\n\n\n\n Co na to Amazon i Google?<\/strong> Obie firmy zdecydowa\u0142y si\u0119 wprowadzi\u0107 zmiany w procesie zatwierdzania aplikacji. To dobra wiadomo\u015b\u0107. Jednak fakt, \u017ce w zosta\u0142y one w og\u00f3le zatwierdzone sugeruje, \u017ce firmy technologiczne nie inwestuj\u0105 wystarczaj\u0105co du\u017co czasu i energii w sprawdzanie aplikacji, kt\u00f3re decyduj\u0105 si\u0119 udost\u0119pnia\u0107 na swoich platformach.<\/p>\n\n\n\n Sedno problemu?<\/strong> Nikogo nie zdziwi stwierdzenie, \u017ce inteligentni asystenci stanowi\u0105 zagro\u017cenie dla prywatno\u015bci u\u017cytkownik\u00f3w. Ju\u017c kilkakrotnie w mediach pojawi\u0142a si\u0119 seria artyku\u0142\u00f3w o tym, \u017ce pracownicy Amazon\/Google\/Apple rutynowo ods\u0142uchiwali nagrania odg\u0142os\u00f3w i rozm\u00f3w zarejestrowanych przez urz\u0105dzenia. Jednak \u201eeksperyment\u201d SRLabs pokaza\u0142, \u017ce zagro\u017cenie nie p\u0142ynie tylko ze strony samych producent\u00f3w, a tak\u017ce hacker\u00f3w. Co te\u017c nie powinno by\u0107 dla nikogo zaskoczeniem. Prawda? <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Discord to pot\u0119\u017cny komunikator, kt\u00f3ry zosta\u0142 stworzony z my\u015bl\u0105 o graczach. Obecnie korzysta z niego ponad 200 milion\u00f3w u\u017cytkownik\u00f3w. Tak du\u017ca liczba wzbudzi\u0142a oczywi\u015bcie zainteresowanie cyberprzest\u0119pc\u00f3w. Stworzyli wi\u0119c oni malware\u2019a, kt\u00f3ry modyfikuje klienta Discord dla Windows i zmienia go w backdoor\u2019a oraz wykradaj\u0105cego dane trojana.<\/p>\n\n\n\n Zacznijmy od pocz\u0105tku.<\/strong> Klient Discord dla Windows zosta\u0142 stworzony w Electron. Jest to popularny framework, kt\u00f3ry pozwala pisa\u0107 aplikacje desktopowe przy u\u017cyciu HTML, CSS i JavaScript. Nowo wykryty malware jest w stanie zmienia\u0107 \u017ar\u00f3d\u0142owe pliki aplikacji i w efekcie uruchamia\u0107 swoje z\u0142o\u015bliwe skrypty wraz ze startem programu.<\/p>\n\n\n\n Podczas instalacji malware dodaje z\u0142o\u015bliwy kod JavaScript do plik\u00f3w w lokalizacji %AppData%\\Discord\\[version]\\modules\\discord_modules\\index.js<\/em><\/p>\n\n\n\n oraz<\/p>\n\n\n\n %AppData%\\Discord\\[version]\\modules\\discord_desktop_core\\index.js.<\/em><\/p>\n\n\n\n Nast\u0119pnie przerywa dzia\u0142anie aplikacji i przeprowadza jej restart \u2013 tylko wtedy zmiany w JavaScript zostan\u0105 wykonane. Po uruchomieniu JS realizuje r\u00f3\u017cne komendy API i zbiera informacje o u\u017cytkowniku:<\/p>\n\n\n\n Szczeg\u00f3lnie niepokoj\u0105ce wydaje si\u0119 zainteresowanie zawarto\u015bci\u0105 schowka. To prosty spos\u00f3b na wykradanie hase\u0142 i wra\u017cliwych informacji nt. u\u017cytkownika.<\/p>\n\n\n Po przes\u0142aniu zgromadzonych informacji malware wykonuje funkcj\u0119 fightdio() i mo\u017ce s\u0142u\u017cy\u0107 tak\u017ce jako backdoor. Atakuj\u0105cy s\u0105 wtedy w stanie przeprowadzi\u0107 o wiele wi\u0119cej szkodliwych dzia\u0142a\u0144. Jeszcze wi\u0119cej? Tak, m.in. wykrada\u0107 dane p\u0142atno\u015bci (je\u015bli takie istniej\u0105 na urz\u0105dzeniu), wykonywa\u0107 zdalnie polecenia na zainfekowanym ho\u015bcie lub doinstalowywa\u0107 dodatkowe komponenty (malware, ransomware \u2013 sprawd\u017a nasz s\u0142owniczek zagro\u017ce\u0144<\/a>).<\/p>\n\n\n\n U\u017cytkownik ca\u0142y czas pozostaje nie\u015bwiadomy, \u017ce pad\u0142 ofiar\u0105 ataku. Szans\u0105 na jego wykrycie jest skan sieci i wy\u0142apanie nietypowych API oraz zapyta\u0144 web hook. Jedyn\u0105 opcj\u0105 na oczyszczenia urz\u0105dzenia jest odinstalowanie aplikacji Discord i zainstalowanie jej ponownie.<\/p>\n\n\n\n Jak sprawdzi\u0107 czy pad\u0142o si\u0119 ofiar\u0105 ataku? W bardzo prosty spos\u00f3b. Pliki kt\u00f3re zmieniaj\u0105 przest\u0119pcy normalnie posiadaj\u0105 tylko jedn\u0105 linijk\u0119 kodu (patrz poni\u017cej).<\/p>\n\n\n\n Ciekawostka. <\/strong>Specjali\u015bci z MalwareHunterTeam natrafili na nowe zagro\u017cenie kilkana\u015bcie dni temu. Nadali mu nazw\u0119 Spidey Bot (lub BlueFace) – po kanale C&C kt\u00f3ry malware wykorzystuje do komunikacji z atakuj\u0105cymi.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n NordVPN – dostawca jednej z najbardziej popularnych us\u0142ug VPN na swoim blogu zdradzi\u0142 kulisy incydentu bezpiecze\u0144stwa, kt\u00f3ry narazi\u0142 jeden z tysi\u0119cy fi\u0144skich serwer\u00f3w. Tym samym ucina wszelkie domys\u0142y i plotki, kt\u00f3re od tygodnia kr\u0105\u017cy\u0142y w sieci.<\/p>\n\n\n\n Co zosta\u0142o naruszone? <\/strong>NordVPN ma tysi\u0105ce serwer\u00f3w hostowanych przez zewn\u0119trzne centra danych na ca\u0142ym \u015bwiecie. W marcu 2018 roku dosz\u0142o do w\u0142amania na jeden z nich w w centrum danych w Finlandii. <\/p>\n\n\n\n Jak do tego dosz\u0142o? <\/strong>Firma ujawni\u0142a, \u017ce nieznany atakuj\u0105cy uzyska\u0142 dost\u0119p do serwera wykorzystuj\u0105c \u201cniepewny system zdalnego zarz\u0105dzania pozostawiony przez dostawc\u0119 centrum danych\u201d, o kt\u00f3rym NordVPN nie wiedzia\u0142o. <\/p>\n\n\n Poniewa\u017c NordVPN nie rejestruje dzia\u0142a\u0144 swoich u\u017cytkownik\u00f3w, przej\u0119ty serwer nie zawiera\u0142 \u017cadnych dziennik\u00f3w aktywno\u015bci. \u017badna z aplikacji nie wysy\u0142a r\u00f3wnie\u017c po\u015bwiadcze\u0144 utworzonych w celu uwierzytelnienia, wi\u0119c nazwy u\u017cytkownik\u00f3w i ich has\u0142a r\u00f3wnie\u017c nie mog\u0142y zosta\u0107 przechwycone. Firma potwierdzi\u0142a jednak, \u017ce atakuj\u0105cym uda\u0142o si\u0119 ukra\u015b\u0107 trzy klucze szyfruj\u0105ce TLS odpowiedzialne za ochron\u0119 ruchu u\u017cytkownik\u00f3w. Co prawda klucze te ju\u017c wygas\u0142y, ale nast\u0105pi\u0142o to 7 miesi\u0119cy po w\u0142amaniu.<\/p>\n\n\n\n Po co? <\/strong>Prawie wszystkie witryny, a przynajmniej te zaufane, korzystaj\u0105 z HTTPS do ochrony ruchu sieciowego u\u017cytkownik\u00f3w. VPN nak\u0142ada na niego dodatkow\u0105 warstw\u0119 uwierzytelniania i szyfrowania poprzez tunelowanie ruchu przez du\u017c\u0105 liczb\u0119 swoich serwer\u00f3w (w\u0119z\u0142\u00f3w wyj\u015bciowych). Osoby, kt\u00f3re zdoby\u0142y klucze szyfrowania VPN, mog\u0105 wi\u0119c odszyfrowa\u0107 jedynie t\u0119 dodatkow\u0105 warstw\u0119 ochrony. Nie mog\u0105 narazi\u0107 ruchu u\u017cytkownik\u00f3w szyfrowanego protoko\u0142em HTTPS. Mog\u0142o to jednak pozwoli\u0107 na przechwycenie niezaszyfrowanych danych u\u017cytkownik\u00f3w ze stron pozbawionych protoko\u0142u oraz wyszukiwa\u0144 DNS dla niekt\u00f3rych u\u017cytkownik\u00f3w. <\/p>\n\n\n\n Happy end czy rozstanie? <\/strong>Po odkryciu incydentu kilka miesi\u0119cy temu firma natychmiast rozwi\u0105za\u0142a umow\u0119 z dostawc\u0105 serwer\u00f3w, a te wynajmowane przez NordVPN zosta\u0142y natychmiast zniszczone.<\/p>\n\n\n\n Czy u\u017cytkownicy powinni si\u0119 martwi\u0107? <\/strong>Niebardzo. VPN to dodatkowe zabezpieczenie prywatno\u015bci w sieci. O ile wi\u0119kszo\u015b\u0107 stron, kt\u00f3re odwiedzasz chroni si\u0119 HTTPS – nie masz powod\u00f3w do zmartwie\u0144. Na pewno nie jest to te\u017c pow\u00f3d, aby przesta\u0107 korzysta\u0107 z VPN.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Pod koniec wrze\u015bnia uaktywni\u0142 si\u0119 tajemniczy ransomware MedusaLocker, kt\u00f3ry atakuje ofiary na ca\u0142ym globie. Tajemniczy, bo nikt nie zna sposobu jego dystrybucji. Znany jest jednak przebieg dzia\u0142ania. Oto on:<\/p>\n\n\n\n Przygotowanie.<\/strong> Po uruchomieniu, ransomware wykona szereg czynno\u015bci przygotowuj\u0105cych komputer do zaszyfrowania i zapewni sobie dost\u0119p do zmapowanych dysk\u00f3w. Zrestartuje r\u00f3wnie\u017c us\u0142ug\u0119 LanmanWorkstation, by upewni\u0107 si\u0119, \u017ce sie\u0107 Windows dzia\u0142a, a mapowane dyski sieciowe s\u0105 dost\u0119pne. Nast\u0119pnie wyszuka i zako\u0144czy procesy celem zamkni\u0119cia program\u00f3w bezpiecze\u0144stwa i upewni si\u0119, \u017ce wszystkie pliki danych s\u0105 zamkni\u0119te i dost\u0119pne do szyfrowania. Wreszcie usunie Shadow Value Copies, aby nie mo\u017cna by\u0142o u\u017cy\u0107 ich do przywr\u00f3cenia plik\u00f3w. Pozb\u0119dzie si\u0119 r\u00f3wnie\u017c kopii zapasowych stworzonych przy u\u017cyciu systemu Windows.<\/p>\n\n\n\n Ofensywa. <\/strong>Po procesie przygotowa\u0144, rozpocznie skanowanie dysk\u00f3w w poszukiwaniu plik\u00f3w do zaszyfrowania. Pominie te z rozszerzeniem u\u017cywanym do szyfrowania oraz te znajduj\u0105ce si\u0119 w wybranych folderach systemowych i profilach u\u017cytkownik\u00f3w. Nast\u0119pnie zaszyfruje pliki z wykorzystaniem standardu AES, do kt\u00f3rego klucz zostanie zaszyfrowany za pomoc\u0105 RSA-2048 zawartym w pliku wykonywalnym ransomware. Do ka\u017cdego z tych plik\u00f3w do\u0142\u0105czy jedno z rozszerze\u0144: .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet. Po zako\u0144czeniu u\u015bnie na 60 sekund, a nast\u0119pnie ponownie przeskanuje dyski w poszukiwaniu nowych plik\u00f3w do zaszyfrowania.<\/p>\n\n\n\n Smak wygranej. <\/strong>W ka\u017cdym folderze, w kt\u00f3rym znajduje si\u0119 zaszyfrowany plik, MedusaLocker utworzy notatk\u0119 z \u017c\u0105daniem okupu zawieraj\u0105c\u0105 dwa adresy mailowe, pod kt\u00f3re nale\u017cy si\u0119 zg\u0142osi\u0107, aby otrzyma\u0107 instrukcj\u0119 p\u0142atno\u015bci. <\/p>\n\n\n\n Tak, jak nieznana jest droga dystrybucji ransomware, tak te\u017c nie wiadomo jakiej kwoty \u017c\u0105daj\u0105 przest\u0119pcy oraz czy faktycznie spe\u0142ni\u0105 swoje obietnice po otrzymaniu p\u0142atno\u015bci. <\/p>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n2. Smart speakers mog\u0105 zosta\u0107 przej\u0119te przez aplikacje szpieguj\u0105ce<\/strong> <\/h2>\n\n\n
3. Malware zmienia aplikacj\u0119 Discord w wykradaj\u0105cego dane backdoor\u2019a<\/strong> <\/h2>\n\n\n
W jaki spos\u00f3b przest\u0119pcy jeszcze kradn\u0105 dane u\u017cytkownik\u00f3w Discord<\/h6>\n\n\n
4. NordVPN – kulisy ataku na fi\u0144ski serwer<\/strong> <\/h2>\n\n\n
Co zosta\u0142o skradzione?<\/strong><\/h6>\n\n\n
5. MedusaLocker – ransomware – incognito<\/strong> <\/h2>\n\n\n