{"id":2305,"date":"2020-03-09T08:15:00","date_gmt":"2020-03-09T07:15:00","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2305"},"modified":"2024-05-15T17:32:06","modified_gmt":"2024-05-15T15:32:06","slug":"pwndlocker-ppp-daemon-z-luka-lookalike-com","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/pwndlocker-ppp-daemon-z-luka-lookalike-com\/","title":{"rendered":"PwndLocker \/ PPP Daemon z luk\u0105 \/ Lookalike.com"},"content":{"rendered":"\n

Firmie Emisoft uda\u0142o si\u0119 „rozbroi\u0107” ransomware PwndLocker. Przynajmniej tymczasowo… Specjali\u015bci opracowali dekryptor, kt\u00f3ry jest w stanie odszyfrowa\u0107 „utracone” dane. W tym tygodniu tak\u017ce: numer na wygas\u0142y certyfikat, Linux zagro\u017cony przez 17-letni\u0105 podatno\u015b\u0107. Dodatkowo: rejestracja domeny lookalike<\/em>, NetSupport Manager RAT oraz 670 domen Microsoft, kt\u00f3re ju\u017c do Microsoft nie nale\u017c\u0105 i mog\u0105 wpa\u015b\u0107 w niepowo\u0142ane r\u0119ce.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. „Certyfikat straci\u0142 wa\u017cno\u015b\u0107” – uwaga na fa\u0142szywe powiadomienia!<\/strong><\/h2>\n\n\n

Przest\u0119pcy testuj\u0105 now\u0105 taktyk\u0119 wstrzykiwania malware. Strasz\u0105 u\u017cytkownik\u00f3w fa\u0142szywymi powiadomieniami o wygas\u0142ym certyfikacie. Oczywi\u015bcie informacja posiada bardzo du\u017cy i dobrze widoczny przycisk z dopiskiem – Recommended<\/em>.<\/p>\n\n\n\n

Ju\u017c na pierwszy rzut oka wida\u0107, \u017ce atakuj\u0105cy licz\u0105 raczej na nie\u015bwiadomych u\u017cytkownik\u00f3w, kt\u00f3rzy nie b\u0119d\u0105 widzie\u0107 czym jest certyfikat i \u017ce to nie oni odpowiadaj\u0105 za jego utrzymanie.<\/p>\n\n\n\n

Specjali\u015bci z Kaspersky Lab natrafili na t\u0119 nietypow\u0105 kampani\u0119 po raz pierwszy 16 stycznia br. Powiadomienia s\u0105 dostarczane poprzez element iframe, kt\u00f3ry \u0142aduje zawarto\u015b\u0107 z zewn\u0119trznego \u017ar\u00f3d\u0142a. Wiarygodno\u015bci kampanii dodaje fakt, \u017ce w pasku URL jest widoczny adres przej\u0119tej witryny.<\/p>\n\n\n\n

U\u017cytkownicy, kt\u00f3rzy dadz\u0105 si\u0119 podej\u015b\u0107 i klikn\u0105 w przycisk \u201cInstall (Recommended)\u201d zainfekuj\u0105 swoje urz\u0105dzenie malware. Na ten moment atakuj\u0105cy wykorzystuj\u0105 trojana Buerak oraz backdoor\u2019a Mokes. W kolejnym tygodniach zapewne w cyberprzest\u0119pczym portfolio zadebiutuj\u0105 kolejne zagro\u017cenia.<\/p>\n\n\n\n

Brzmi znajomo? Oczywi\u015bcie, obecna kampania czerpie z dobrze znanych wzorc\u00f3w. Wtyczka Flash? Nieaktualne Google Chrome? Akcja z nieaktualnym certyfikatem przynosi jednak pewien powiew \u015bwie\u017co\u015bci – dlatego warto zachowa\u0107 czujno\u015b\u0107 i przestrzec mniej do\u015bwiadczonych u\u017cytkownik\u00f3w\u2026 <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. PwndLocker Ransomware zosta\u0142 \u201ePwned\u201d \u2013 na rynku jest dost\u0119pny dekryptor<\/h2>\n\n\n

Ofiary ransomware PwndLocker mog\u0105 od teraz odszyfrowa\u0107 swoje dane z pomoc\u0105 dekryptora napisanego przez firm\u0119 Emisoft.<\/p>\n\n\n\n

Na celowniku PwndLocker znalaz\u0142y si\u0119 m.in. du\u017ce firmy oraz samorz\u0105dy. Dlaczego w\u0142a\u015bnie one? Przest\u0119pcy obrali sobie za cel rozbudowane infrastruktury. Haracz za dane oscylowa\u0142 w granicach 175-660 tys. dolar\u00f3w ameryka\u0144skich. Wysoko\u015b\u0107 by\u0142a uzale\u017cniona oczywi\u015bcie od wielko\u015bci firmowej sieci.<\/p>\n\n\n\n

W\u015br\u00f3d ofiar PwndLocker znalaz\u0142y si\u0119 m.in. Lasalle County w stanie Illinois (50 BTC, co daje w przybli\u017ceniu 442 tys. USD) oraz miasto Nowy Sad w Serbii, gdzie przest\u0119pcy zaszyfrowali ponad 50 TB danych!<\/p>\n\n\n

B\u0142\u0105d w kodzie<\/strong> PwndLocker <\/h6>\n\n\n

Fabian Woser z Emisoft analizuj\u0105c kod malware, doszuka\u0142 si\u0119 w nim podatno\u015bci\u2026 Dzi\u0119ki temu dotychczasowe ofiary s\u0105 w stanie odzyska\u0107 zaszyfrowane dane bez konieczno\u015bci p\u0142acenia przest\u0119pcom. Niestety niezb\u0119dny do tego jest plik .exe, kt\u00f3ry zainicjowa\u0142 atak. Problem w tym, \u017ce w ko\u0144cowej fazie szyfrowania danych ransomware wykasowuje swoje pliki – w tym instalator. Ofiary s\u0105 jednak w stanie odzyska\u0107 plik executable<\/em> z pomoc\u0105 Shadow Explorer lub innego narz\u0119dzia do odzyskiwania plik\u00f3w. Ofiary powinny sprawdzi\u0107 zawarto\u015b\u0107 nast\u0119puj\u0105cych lokalizacji: %Temp%, C:\\User folders oraz %Appdata%.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

\"PwndLocker,<\/a><\/figure><\/div>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n

3. Wi\u0119kszo\u015b\u0107 dystrybucji Linux zagro\u017cona 17-letni\u0105 podatno\u015bci\u0105 w PPP Daemon<\/strong><\/h2>\n\n\n

PPP Daemon (pppd) stanowi sk\u0142adnik prawie wszystkich dystrybucji systemu Linux. Oprogramowanie jest implementacj\u0105 protoko\u0142u Point-to-Point (PPP), u\u017cywanego do ustanawiania internetowych po\u0142\u0105cze\u0144 za po\u015brednictwem modem\u00f3w telefonicznych, po\u0142\u0105cze\u0144 DSL oraz wielu innych rozwi\u0105za\u0144 typu point-to-point links<\/em>.<\/p>\n\n\n\n

Podatno\u015b\u0107 CVE-2020-8597 dotyczy przepe\u0142nienia bufora stosu. Wynika z b\u0142\u0119du logicznego w parserze pakiet\u00f3w Extensible Authentication Protocol (EAP) oprogramowania pppd. Luka mo\u017ce zosta\u0107 wykorzystana przez atakuj\u0105cych do zdalnego wykonywania dowolnego kodu na urz\u0105dzeniach pracuj\u0105cych pod jednym z zagro\u017conych z system\u00f3w. Tym samym, umo\u017cliwia stosunkowo prosto przej\u0105\u0107 kontrol\u0119 nad podatnym komputerem.<\/p>\n\n\n\n

Luka otrzyma\u0142a bardzo wysoki wynik na skali CVSS, bo a\u017c 9,8 punktu. Problem dotyczy wersji PPP Daemon od 2.4.2 do 2.4.8. Poni\u017cej podajemy linkowania do artyku\u0142\u00f3w opisuj\u0105cych spos\u00f3b rozwi\u0105zania problemu dla najpopularniejszych obecnie dystrybucji systemu Linux:<\/p>\n\n\n\n

Debian<\/a> | Ubuntu<\/a> | SUSE Linux<\/a> | Fedora<\/a> | NetBSD<\/a> | Red Hat Enterprise Linux<\/a><\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

4. Proste jak rejestracja domeny lookalikes<\/em>…<\/strong> <\/h2>\n\n\n

Cyberprzest\u0119pcy s\u0105 w stanie zarejestrowa\u0107 z\u0142o\u015bliwe wersje najbardziej rozpoznawalnych domen. W jaki spos\u00f3b? Dzi\u0119ki Verisign i us\u0142ugom IaaS, kt\u00f3re dopuszczaj\u0105 okre\u015blone znaki, wygl\u0105daj\u0105ce bardzo podobnie do \u0142aci\u0144skich liter.<\/p>\n\n\n\n

Pytanie: theguardian.com czy theguardian.com?<\/strong><\/p>\n\n\n\n

Atakuj\u0105cy mog\u0105 zarejestrowa\u0107 domen\u0119 lub subdomen\u0119, kt\u00f3rej nazwa b\u0119dzie wygl\u0105da\u0107 identycznie, jak nazwa oryginalnego serwisu. Do tego przest\u0119pcy mog\u0105 pos\u0142u\u017cy\u0107 si\u0119 jednym z wielu dost\u0119pnych w sieci narz\u0119dzi do klonowania stron internetowych (pisali\u015bmy na ten temat m.in. tutaj<\/a>), wykorzysta\u0107 socjotechniki\u2026 i zebra\u0107 ca\u0142kiem udane \u017cniwo.<\/p>\n\n\n\n

W sieci istnieje ju\u017c kilkana\u015bcie homograficznych domen, kt\u00f3re imituj\u0105 rozpoznawalne podmioty finansowe, sklepy internetowe oraz firmy z listy Fortune 100. Do tego wszystkie te strony wykorzystuj\u0105 certyfikat HTTPS.<\/p>\n\n\n\n

Matt Hamilton – kt\u00f3ry trafi\u0142 na \u015blad tego procederu – poinformowa\u0142 o swoim odkryciu Verisign (kt\u00f3re nadzoruje domeny .com i .net), Google, Amazon, Wasabi oraz DigitalOcean (IaaS provider). Mia\u0142o to miejsce pod koniec 2019 r. Jak dot\u0105d tylko Amazon oraz Versign wprowadzi\u0142o (lub jest w trakcie) konieczne zmiany. Amazon zmieni\u0142 zasady walidacji nazw segment\u00f3w S3, aby uniemo\u017cliwi\u0107 rejestracj\u0119 nazw rozpoczynaj\u0105cych si\u0119 od prefiksu punycode \u201exn\u2014\u201e. W ten spos\u00f3b wykluczy\u0142 korzystanie ze wszystkich znanych symboli unicode homoglyphs<\/em>.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

5. Hackerzy po raz kolejny si\u0119gaj\u0105 po pliki Word, makra\u2026 i s\u0105 ofiary<\/strong><\/h2>\n\n\n

Na pocz\u0105tku by\u0142 phishing, kt\u00f3ry przy ca\u0142ej swojej prostocie daje zadziwiaj\u0105co dobre efekty. Nast\u0119pnie do naszego \u201er\u00f3wnania\u201d dodajemy NetSupport – rozwi\u0105zanie po kt\u00f3re administratorzy si\u0119gaj\u0105 w celu zarz\u0105dzania sieci\u0105. Jak si\u0119 jednak okazuje, nie tylko oni.<\/p>\n\n\n\n

Kampania o kt\u00f3rej dzi\u015b wam donosimy wystartowa\u0142a w listopadzie 2019 i by\u0142a jeszcze aktywna w styczniu 2020. Co ciekawe, przest\u0119pcy targetowali drukarnie oraz\u2026 przemys\u0142 filmowy.<\/p>\n\n\n\n

Atak<\/strong><\/p>\n\n\n\n

Przest\u0119pcy rozes\u0142ali wiadomo\u015b\u0107 email zawieraj\u0105c\u0105 z\u0142o\u015bliwy za\u0142\u0105cznik Word z krytycznymi informacjami dodatkowo zabezpieczonymi has\u0142em. Jednak aby je wpisa\u0107, odbiorca wiadomo\u015bci by\u0142 zmuszony uruchomi\u0107 makra\u2026 Je\u015bli u\u017cytkownik da\u0142 si\u0119 z\u0142apa\u0107 na \u201emakra\u201d na urz\u0105dzeniu instalowa\u0142 si\u0119 malware. Co ciekawe, program weryfikowa\u0142, czy na komputerze by\u0142 zainstalowany antywirus… AVG lub Avast (i \u017caden inny). W kolejnym kroku nast\u0119powa\u0142a instalacja NetSupport Manager RAT. Na sam koniec, malware przysy\u0142a\u0142 lokalizacj\u0119 zainfekowanego urz\u0105dzenia na adres \u201c\u2018geo.netsupportsoftware[.]com\u201d. Atak ko\u0144czy\u0142 si\u0119 nawi\u0105zaniem sta\u0142ego po\u0142\u0105czenia z urz\u0105dzeniem.<\/p>\n\n\n\n

Ciekawostka.<\/strong> Badacze uwa\u017caj\u0105, \u017ce maile zosta\u0142y rozes\u0142ane z przypadkowych adres\u00f3w @protonmail[.]com i zawiera\u0142y w tytule: Refund status<\/em> lub Unauthorized credit card transactions<\/em>.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

6. 670 subdomen Microsoft mo\u017ce bez problemu trafi\u0107 w r\u0119ce cyberprzest\u0119pc\u00f3w<\/strong><\/h2>\n\n\n

Specjali\u015bci z Vullnerability.com namierzyli ponad 670 subdomen, kt\u00f3re wcze\u015bniej by\u0142y wykorzystywane przez Microsoft – tyle, \u017ce w mi\u0119dzyczasie kto\u015b o nich zapomnia\u0142. <\/p>\n\n\n\n