Specjali\u015bci z 360NetLab natrafili na nowy, ciekawy botnet IoT, kt\u00f3ry za pomoc\u0105 brute force \u0142amie zabezpieczenia port\u00f3w telnet i nast\u0119pnie wymazuje ca\u0142e urz\u0105dzenie. Dodatkowo, HEH botnet posiada tak\u017ce bardzo dziwaczn\u0105 funkcj\u0119 \u2013 lub jego tw\u00f3rcy, specyficzne poczucie humoru. Mianowicie, botnet przez bardzo kr\u00f3tki czas wy\u015bwietla Deklaracj\u0119 Praw Cz\u0142owieka ONZ\u2026 w o\u015bmiu j\u0119zykach. HEH to oczywi\u015bcie nie jest jedyny news tego zestawienia. <\/p>\n\n\n\n
System Windows ka\u017cdego dnia tworzy kopie zapasowe systemu i plik\u00f3w danych, kt\u00f3re nast\u0119pnie przechowuje w postaci migawki. Z takiej migawki u\u017cytkownik jest nast\u0119pnie w stanie odzyska\u0107 pliki, kt\u00f3re zosta\u0142y omy\u0142kowo usuni\u0119te lub nadpisane. Nie jest wi\u0119c sekretem, \u017ce jest to funkcja systemu Windows kt\u00f3ra zdecydowanie nie odpowiada cyberprzest\u0119pcom. Dlatego jedn\u0105 z pierwszych rzeczy, kt\u00f3re wykonuje ransomware, jest usuni\u0119cie wszystkich kopii Shadow Volume z atakowanego komputera.<\/p>\n\n\n\n
Jednak na cyberhoryzoncie pojawi\u0142o si\u0119 \u015bwiate\u0142ko nadziei. Nowo wypuszczona szczepionka o nazwie Raccine jest w stanie zako\u0144czy\u0107 procesy, kt\u00f3re pr\u00f3buj\u0105 wykasowa\u0107 kopie Windows Shadow Copies z pomoc\u0105 vssadmin.exe.<\/p>\n\n\n\n
Istniej\u0105 dwie metody usuwania wolumin\u00f3w:<\/p>\n\n\n\n
vssadmin delete shadows \/all \/quiet<\/p>\n\n\n\n
lub<\/p>\n\n\n\n
vssadmin.exe resize shadowstorage \/for=D: \/on=D: \/maxsize=401MB<\/p>\n\n\n\n
Raccine monitoruje usuwanie kopii wolumin\u00f3w – przechwytuje \u017c\u0105danie i zabija wywo\u0142uj\u0105ce je procesy. Je\u015bli program wykryje, \u017ce proces u\u017cywa opcji \u201evssadmin delete\u201d lub \u201evssadmin resize shadowstorage\u201d, automatycznie go zako\u0144czy. Jest to o tyle istotne, \u017ce w\u0142a\u015bnie tak dzia\u0142a<\/p>\n\n\n\n
Mo\u017ce si\u0119 tak zdarzy\u0107, \u017ce Raccine mo\u017ce zako\u0144czy\u0107 dzia\u0142anie legalnego oprogramowania, kt\u00f3re u\u017cywa vssadmin.exe w ramach swoich procedur tworzenia kopii zapasowych. Aby tego unikn\u0105\u0107, administratorzy powinni wprowadzi\u0107 zmiany w konfiguracji – zezwoli\u0107 niekt\u00f3rym programom na obej\u015bcie Raccine, tak by nie zosta\u0142y omy\u0142kowo zako\u0144czone.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowo odkryty botnet zawiera kod, kt\u00f3ry mo\u017ce usun\u0105\u0107 wszystkie dane z zainfekowanych system\u00f3w, takich jak routery, serwery i urz\u0105dzenia Internetu Rzeczy (IoT). Nazwany HEH, rozprzestrzenia si\u0119, przeprowadzaj\u0105c ataki typu brute-force na ka\u017cdy system po\u0142\u0105czony z Internetem, kt\u00f3rego porty Telnet (23 i 2323) s\u0105 ujawnione w sieci. Je\u015bli urz\u0105dzenie korzysta z domy\u015blnych lub \u0142atwych do odgadni\u0119cia danych logowania Telnet, botnet uzyskuje dost\u0119p do systemu. Nast\u0119pnie natychmiast pobiera jeden z siedmiu plik\u00f3w binarnych, kt\u00f3re instaluj\u0105 z\u0142o\u015bliwe oprogramowanie HEH.<\/p>\n\n\n\n Obecne funkcje HEH to:<\/strong><\/p>\n\n\n\n 1) Funkcja usidlaj\u0105ca zainfekowane urz\u0105dzenia i zmuszaj\u0105ca je do przeprowadzania atak\u00f3w brute force w celu wzmocnienia botnetu, <\/p>\n\n\n\n 2) funkcja, kt\u00f3ra umo\u017cliwia atakuj\u0105cym uruchamianie polece\u0144 Shell na zainfekowanym urz\u0105dzeniu,<\/p>\n\n\n\n 3) odmiana powy\u017cszej funkcji wykonuj\u0105ca list\u0119 predefiniowanych operacji Shell, kt\u00f3re czyszcz\u0105 wszystkie partycje urz\u0105dzenia<\/strong>.<\/p>\n\n\n\n Botnet HEH zosta\u0142 odkryty przez badaczy bezpiecze\u0144stwa z Netlab i po raz pierwszy opisany w zesz\u0142ym tygodniu. Specjali\u015bci nie s\u0105 w stanie stwierdzi\u0107, czy operacja czyszczenia urz\u0105dzenia jest zamierzona, czy jest to tylko \u017ale zakodowana procedura samozniszczenia. Niezale\u017cnie jednak od intencji, uruchomienie tej funkcji mo\u017ce skutkowa\u0107 setkami lub tysi\u0105cami zablokowanych i niedzia\u0142aj\u0105cych urz\u0105dze\u0144. W tym domowych router\u00f3w, inteligentnych urz\u0105dze\u0144 (IoT), czy serwer\u00f3w Linux.<\/p>\n\n\n\n Czyszczenie wszystkich partycji powoduje czyszczenie oprogramowania sprz\u0119towego i systemu operacyjnego urz\u0105dzenia. Operacja ta mo\u017ce zablokowa\u0107 urz\u0105dzenia do czasu ponownej instalacji firmware i systemu operacyjnego. <\/p>\n\n\n\n Obecnie Netlab potwierdzi\u0142 wykrycie pr\u00f3bek HEH dzia\u0142aj\u0105cych na nast\u0119puj\u0105cych architekturach procesor\u00f3w: x86 (32\/64), ARM (32\/64), MIPS (MIPS32 \/ MIPS-III) i PPC. <\/p>\n\n\n\n Ale to nie koniec…botnet HEH nadal si\u0119 rozprzestrzenia…<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n File Manager to bardzo popularna wtyczka s\u0142u\u017c\u0105ca do zarz\u0105dzania plikami w ramach stron postawionych na WordPress. Zdaniem specjalist\u00f3w z Wordfence, posiada ona jednak powa\u017cn\u0105 wad\u0119, kt\u00f3r\u0105 atakuj\u0105cy mog\u0105 wykorzysta\u0107, wysy\u0142aj\u0105c specjalnie spreparowane \u017c\u0105danie do connector.minimal.php. A w efekcie, uzyska\u0107 mo\u017cliwo\u015b\u0107 zdalnego wykonania kodu w podatnej na ataki witrynie WordPress.<\/p>\n\n\n\n Zerologon<\/a> opiera si\u0119 na luce w szyfrowaniu i umo\u017cliwia zmian\u0119 has\u0142a do konta maszyny na puste. Nast\u0119pnie skr\u00f3ty NTML kontrolera domeny mo\u017cna zdalnie eksfiltrowa\u0107. W takiej sytuacji, has\u0142o do maszyny musi zosta\u0107 szybko przywr\u00f3cone, w przeciwnym razie kontrolery domeny nie b\u0119d\u0105 si\u0119 synchronizowa\u0107, co mo\u017ce nast\u0119pnie doprowadzi\u0107 do awarii sieci.<\/p>\n\n\n\n Je\u015bli komunikacja z kontrolerem domeny zostanie poprowadzona ze strony atakuj\u0105cego, to w du\u017cej mierze, mo\u017ce on zosta\u0107 administratorem domeny jednym klikni\u0119ciem.<\/p>\n\n\n\n Chocia\u017c komunikacja z sieci\u0105 wewn\u0119trzn\u0105 i kontrolerem domeny mo\u017ce odbywa\u0107 si\u0119 tylko w ramach intranetu, wiele sieci stosuje s\u0142abe polityki i posiada z\u0142\u0105 architektur\u0119 opart\u0105 na segregacji i segmentacji. W efekcie, serwery sieciowe – zlokalizowane w DMZ – mog\u0105 r\u00f3wnie\u017c komunikowa\u0107 si\u0119 wewn\u0119trznie z zasobami sieci wewn\u0119trznej oraz z kontrolerami domeny. Cyberprzest\u0119pcy s\u0105 w stanie teraz to wykorzysta\u0107 w praktyce, w\u0142a\u015bnie z powodu podatno\u015bci we wtyczce File-Manager (CVE-2020-25213), kt\u00f3ra umo\u017cliwia wykonanie dowolnego kodu po stronie serwera (luka RCE).<\/p>\n\n\n\n Cyberatak na skal\u0119 globaln\u0105<\/strong><\/p>\n\n\n\n WordFence podaje, \u017ce 4 wrze\u015bnia br. odnotowano ataki na ponad 1,7 miliona witryn. A 10 wrze\u015bnia \u2013 czyli raptem 6 dni p\u00f3\u017aniej – \u0142\u0105czna ilo\u015b\u0107 zaatakowanych stron wzros\u0142a do ponad 2,6 miliona.<\/p>\n\n\n\n W jaki spos\u00f3b przest\u0119pcy wykorzystuj\u0105 now\u0105 podatno\u015b\u0107?<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Specjali\u015bci z Kaspersky wykryli rzadki rodzaj potencjalnie niebezpiecznego malware, kt\u00f3re atakuje proces bootowania urz\u0105dzenia. Kampania obejmuje u\u017cycie naruszonych UEFI (Unified Extensible Firmware Interface) zawieraj\u0105cych z\u0142o\u015bliwy implant. To drugi znany przypadek, w kt\u00f3rym rootkit UEFI zosta\u0142 u\u017cyty na szerok\u0105 skal\u0119 (o pierwszym<\/a> pisali\u015bmy w styczniu 2019).<\/p>\n\n\n\n Wed\u0142ug specjalist\u00f3w, fa\u0142szywe obrazy firmware UEFI zosta\u0142y zmodyfikowane tak, aby zawiera\u0142y kilka modu\u0142\u00f3w umieszczaj\u0105cych malware na urz\u0105dzeniu ofiar. Ta technika zosta\u0142a wykorzystywana w serii targetowanych atak\u00f3w na cz\u0142onk\u00f3w organizacji pozarz\u0105dowych z Afryki, Azji i Europy. <\/p>\n\n\n\n Interfejs UEFI to nast\u0119pca BIOS-a w nowszych komputerach osobistych, kt\u00f3rego celem jest poprawa bezpiecze\u0144stwa. Poniewa\u017c UEFI u\u0142atwia \u0142adowanie samego systemu operacyjnego, rootkity s\u0105 odporne na jego ponown\u0105 instalacj\u0119 lub wymian\u0119 dysku twardego. Osoba atakuj\u0105ca mo\u017ce wi\u0119c zmodyfikowa\u0107 oprogramowanie uk\u0142adowe, aby wdro\u017cy\u0142o z\u0142o\u015bliwy kod, kt\u00f3ry zostanie uruchomiony po za\u0142adowaniu systemu operacyjnego. Wydaje si\u0119, \u017ce w\u0142a\u015bnie tak dzia\u0142a to w tym przypadku. <\/p>\n\n\n\n Chocia\u017c dok\u0142adny wektor infekcji u\u017cyty do nadpisania oryginalnego firmware pozostaje nieznany, specjali\u015bci podejrzewaj\u0105, \u017ce musia\u0142 zosta\u0107 wykorzystany fizyczny dost\u0119p do maszyny ofiary.<\/p>\n\n\n\n Nowe z\u0142o\u015bliwe oprogramowanie UEFI jest niestandardow\u0105 wersj\u0105 bootkita grupy VectorEDK, kt\u00f3ry wyciek\u0142 w 2015 r. S\u0142u\u017cy do umieszczania \u0142adunku o nazwie MosaicRegressor – wieloetapowego i modu\u0142owego frameworka s\u0142u\u017c\u0105cego do szpiegostwa i gromadzenia danych, zawieraj\u0105cego dodatkowe downloadery. Te s\u0142u\u017c\u0105 do kontaktowania si\u0119 z serwerem C2 i pobierania bibliotek DLL, kt\u00f3re wykorzystywane s\u0105 w celu wykonywania okre\u015blonych polece\u0144. Ich wyniki s\u0105 eksportowane z powrotem na serwer C2 lub przesy\u0142ane na zwrotny adres e-mail, z kt\u00f3rego atakuj\u0105cy mog\u0105 zebra\u0107 zgromadzone dane. <\/p>\n\n\n\n Z\u0142o\u015bliwe \u0142adunki s\u0105 dystrybuowane na r\u00f3\u017cne sposoby, w tym za po\u015brednictwem wiadomo\u015bci e-mail ze skrzynek pocztowych (\u201cmail.ru\u201d) zakodowanych na sta\u0142e w pliku binarnym szkodliwego oprogramowania.<\/p>\n\n\n\n2. Botnet HEH mo\u017ce wyczy\u015bci\u0107 routery i urz\u0105dzenia IoT<\/strong><\/h2>\n\n\n
3. Zerologon w parze z b\u0142\u0119dem w File Manager – popularnym pluginie WordPress<\/strong><\/h2>\n\n\n
4. MosaicRegressor – drugi w historii rootkit atakuj\u0105cy UEFI<\/strong><\/h2>\n\n\n