Эволюция ботнета Rex

Исследователи из компании Stormshield Security представили развернутый отчет о деятельности малвари Rex, за которой они наблюдают последние семь месяцев, с самого момента ее обнаружения.

Напомню, что Rex был впервые замен в мае 2016 года, а в августе специалисты «Доктор Веб» выпустили доклад о вредоносе, в котором сообщили, что тот написан на языке Go, и атакует сайты, работающие под управлением различных популярных CMS, включая Drupal. Тогда выяснилось, что малварь способно майнить криптовалюту, может использоваться для DDoS-атак и представляет собой децентрализованный P2P-ботнет.

Исследователи Stormshield Security пишут, что авторы вредоноса, похоже, не планируют использовать ботнет для организации DDoS-атак. Вместо эого Rex применяется как средство для проникновения на Linux-машины, на которых работают серверы Drupal, WordPress и Magento, также малварь компрометирует такие приложения как Exagrid, Apache Jetspeed, и роутеры AirOS.

После того, как цель была инфицирована, злоумышленники связываются с операторами сайта по почте и начинают угрожать DDoS-атакой на ресурс, если жертва не заплатит выкуп. При этом хакеры выдают себя за известных вымогателей из группировки Armada Collective или хактивистов Anonymous. В результате, фактически никакого «ботнета» нет, хакеры компрометируют единичные цели и вымогают у пострадавших деньги.

При этом нельзя сказать, что авторы Rex совсем не интересуются созданием ботнета для DDoS-атак, так, недавно вредонос обзавелся новыми функциями. Аналитики сообщают, что авторы малвари явно следят за последними новостями. После того как исходных коды трояна Mirai были опубликованы в открытом доступе, Rex позаимствовал у Mirai некоторые трюки, к примеру, научился сканировать сеть в поисках устройств с открытыми Telnet-портами, а затем брутфорсить их.

Но эксперимент с заимствованием кода Mirai, судя по всему, обернулся неудачей. Исследователи Stormshield Security отмечают, что версия с Telnet-сканером была очень багованная, и ей удалось заразить лишь порядка десяти девайсов, после чего разработчики малвари решили переключиться на использование SSH-сканера, тоже подсмотренного у Mirai. Однако провалилась и эта попытка. Согласно данным компании, на данный момент «ботнет» Rex насчитывает всего около 150 зараженных устройств, что довольно забавно, учитывая тот факт, что своим жертвам вымогатель угрожают именно потенциальной DDoS-атакой.

Источник: xakep.ru

Рубрика: Report | Оставить комментарий

Новая техника внедрения кода AtomBombing

Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы AtomBombing, которая работает на всех версиях Windows, включая версию 10.

В настоящее время существует не так много известных способов внедрения кода. Список некоторых из них можно найти здесь. Летом прошлого года исследователи из enSilo на основе техники внедрения кода, используемого в PowerLoader, разработали модифицированную технику PowerLoaderEx, которая имеет несколько усовершенствований: поддержка x64, использование Desktop Heap вместо Shared Section в explorer.exe, техника не использует чтение памяти целевого процесса.

По сути, AtomBombing представляет собой модификацию метода с использованием QueueUserAPC, при этом сформированный при помощи ROP техники  shellcode помещается в память с использованием таблицы атомов. Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений.

Производителям антивирусных продуктов придется в очередной раз усовершенствовать свои механизмы поведенческого обнаружения (и как можно быстрее, пока технику не начали использовать in the wild), так как AtomBombing не использует никаких уязвимостей Windows, а лишь особенности ее реализации.

Рубрика: News | Оставить комментарий

Злоумышленники используют платформу WTP для внедрения трояна LatentBot

Платформа диагностики Windows (Windows Troubleshooting Platform, WTP) пополнила список легитимных служб Windows, эксплуатируемых киберпреступниками для распространения вредоносного ПО. Исследователи компании Proofpoint зафиксировали спам-кампанию, в ходе которой распространялся вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования компьютера жертвы бекдором LatentBot.

После открытия документа на экране отображался бессмысленный набор символов и предупреждение о неправильной кодировке. Для решения проблемы пользователю предлагалось дважды кликнуть на уведомление. Двойной клик запускал файл .DIAGCAB, содержащий набор PowerShell скриптов, загружающих и устанавливающих на компьютер жертвы троян LatentBot.

Как отмечают эксперты, функционально вредоносные макросы и используемые злоумышленниками скрипты «диагностики» практически не отличаются, так как оба позволяют атакующим выполнить серию операций на целевом компьютере. Разница заключается в том, что установленные на устройстве антивирусные решения отслеживают вредоносное ПО, которое может быть загружено вредоносными макросами, тогда как скрипты диагностики по большей части остаются незамеченными.

Платформа Windows Troubleshooting Platform представляет собой средство для выполнения специальных модулей (Troubleshooting Packages), которые создаются на языке PowerShell и призваны решать различные проблемы, касающиеся конфигурации операционной системы, ее отдельных компонентов, устройств, сервисов и приложений.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Эксперты рассказали о функционале Linux-бэкдора FakeFile

Исследователи компании «Доктор Веб» опубликовали анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян, получивший название Linux.BackDoor.FakeFile.1 (по классификации «Доктор Веб»), маскируется под PDF-файлы, документы MS Office или Open Office.

При запуске вредонос сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой запускается, он ищет скрытый файл с аналогичным своему именем и перемещает его на место исполняемого файла. В случае отсутствия документа, троян создает его и открывает в gedit.

На следующем этапе FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы /.profile или /.bash_profile команду для своего автозапуска. Далее вредоносная программа извлекает из собственного файла и расшифровывает конфигурационные данные, а затем запускает два потока. Первый предназначен для обмена данными с C&C-сервером, а второй отслеживает продолжительность соединения (после 30 минут соединение разрывается).

Функционал бэкдора включает следующие возможности: передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организация и завершение backconnect, запуск sh; создание файлов и папок и пр.

Как отмечают исследователи, для работы трояна не требуются привилегии суперпользователя. Вредонос может выполнять действия с правами текущего пользователя.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Невинные жертвы?

Последние громкие скандалы выявили, что в «пост-сноуденовскую» эпоху в США появился легальный способ воздействия на любого IT-вендора в американской юрисдикции, так называемый секретный порядок, позволяющий встроить бэкдор (в терминах АНБ – «имплант»). Формально, вендор имеет право оспорить данный приказ в секретном суде.

Теперь посмотрим на ситуацию сложных взаимоотношений американских IT-вендоров и спецслужб в подробностях, и разберем на реальных примерах обнаружения бэкдоров в Yahoo (октябрь 2016) и Juniper (декабрь 2015).

Исторические корни

Прежде чем говорить о взаимоотношениях американских IT-вендоров и спецслужб, придется немного углубиться в историю, чтобы понять первопричины. Кто-то удивится, но в США до 1942 года… не было единой секретной службы в привычном нам понимании. До создания Управления стратегических служб, УСС (преемником которого затем в 1946 году стало Центральное разведывательное управление, ЦРУ), в США стратегической разведкой не занимался никто, а отдельные частные вопросы находились в ведении специальных отделов в Госдепе, армии и флоте. И лишь в 1942 Уильям Донован (William Donovan) создал и возглавил единый разведывательный орган для сбора и анализа стратегической информации.

Интересны принципы, на которых создавалась разведка США. Донован был мультимиллионером с Уолл-Стрит, и во главе ключевых подразделений УСС — крупнейших американских финансово-промышленных групп, ФПГ (финансы, оружие, сталь, нефть, связь) — были расставлены свои люди, получившие от Донована максимум полномочий при минимальных ограничениях. Одной из главных стратегических целей, кроме непосредственно победы в войне с Японией и Германией, было обеспечение мировой экспансии США и большого бизнеса в Европу, Азию и Латинскую Америку после ее окончания. Принципиально за эти 70 лет ничего не изменилось, и спецслужбы США так же тесно исторически переплетены с ФПГ и предприятиями военно-промышленного комплекса, ВПК, обслуживая их бизнес-интересы. И все эти структуры обладают колоссальной поддержкой в Белом доме, на Капитолийском холме, в Пентагоне и, весьма вероятно, в Лэнгли и Мэриленде (ЦРУ и Агентство национальной безопасности, АНБ, соответственно).

IT-неофиты

И все в этой схеме было привычно и спокойно, пока в начале 90-х в мир финансово-промышленных групп и предприятий ВПК стремительно не ворвались IT-вендоры: Microsoft, IBM, Intel, Cisco, а затем Apple, Google, Facebook. К 2016 году по капитализации в первую пятерку американских компаний входят Apple (первое место), Google (второе место), Microsoft (третье место) и Facebook (пятое место).

Крупнейшая в мире нефтяная компания Exxon Mobil (нефть – главный политический фактор современного мира) занимает лишь четвертое место с двукратным(!) отрывом от Apple. Не так уж серьезно отстают и остальные американские IT-гиганты – Cisco, Oracle, IBM, Intel.

Получается, что эти IT-неофиты, с одной стороны, своей финансовой мощью быстро потеснили ведущие финансово-промышленные группы и предприятия ВПК, определяющие на протяжении последнего столетия политику США, а с другой — совершенно явно не успели «вылезти из-под коряги» (С), получив соответствующее их финансовой мощи политическое влияние и прикрытие в Вашингтоне. Традиционный ВПК очевидно не воспринимает IT-вендоров всерьез, считая их не более чем обслуживающим свои интересы посредником, без которого уже не обойтись. А крупнейшие производители IT справедливо полагают, что сегодня их финансовая мощь позволяет им вести свою политику. Налицо вероятный политико-экономический конфликт IT-неофитов и традиционного ВПК.

Акционеры – первый уровень сопротивления

А теперь давайте посмотрим на истории с «имплантами» АНБ, секретными порядками, судами и т.п. с точки зрения IT-вендоров. Попробуем поразмышлять над тем, зачем им помогать АНБ или ЦРУ, которые откровенно используют их для ведения своей большой геополитической игры в интересах ФПГ и предприятий ВПК. Здесь возможны два сценария.

В первом, менее вероятном, они уже являются частью ФПГ и просто делают вид, изображая публично свое несогласие. В пользу этого сценария свидетельствует ряд факторов. В частности, ведущими акционерами Apple, Microsoft, Oracle и других являются две крупнейших в мире инвестиционные компании Vanguard и Black Rock с суммарными активами порядка 8 триллионов долларов. США (что в сумме близко к суммарным активам всех остальных мировых инвестиционных фондов). Эти же две компании также являются основными акционерами многих ведущих компаний ВПК США, в частности, Lockheed Martin. Этот факт напрямую не свидетельствует о прямом контроле, но говорит о многом. Также существует еще масса менее значительных фактов, в частности, например, личность акционера Google Эрика Шмидта. Он недавно покинул свой пост, вернувшись на работу в министерство обороны США, хотя как раз это и можно расценивать как вероятный показатель начавшейся борьбы топовых IT-неофитов со спецслужбами.

Читать также: «Общественные активисты раскрыли тесные связи между Google, правительством США и государствами ЕС»>>

Второй сценарий – конфликт за переделы сфер влияния с ФПГ. В его пользу свидетельствуют и истории с Yahoo и Juniper (о чем ниже). Все это больше похоже на подковерную борьбу с выражением своего несогласия с политикой государства в лице его спецслужб.

Итак, предположим, что вендоры не входят в эти ФПГ, а значит, их не объединяют общие интересы в сфере участия в межгосударственной разведывательной деятельности. Им, в отличие от классических ФПГ, не надо “подсматривать, подслушивать”. Бессмысленно. Они и так абсолютные лидеры. Вся эта история с «имплантами» и глобальной слежкой серьезно портит бизнес IT-вендоров, тем самым только усиливая их существующий конфликт с ФПГ и отстаивающими их интересы спецслужбами. Подобная «подковерная возня» всегда имела место в американской большой политике, но сейчас, взглянув на всю ситуацию с закладками подновым углом, мы можем увидеть подтверждения конфликту в виде всплесков: различные публичные заявления в прессе от Apple, Microsoft, Google, Cisco.

Конечно, было бы наивно полагать, что вендоры отстаивают интересы демократического общества. Их, по сути, волнует только одно – ежегодный рост капитализации компаний и увеличение прибыли. И им не интересны проблемы ФПГ, спецслужб и государства, если не произошла их смычка по первому сценарию. Поэтому, если считать наиболее вероятным именно второй сценарий, очевидно, что акционеры и руководство вендоров будут всеми силами бороться с практикой секретных предписаний, что мы, вероятно, и видим сейчас на примере последних скандалов в прессе.

Разработчики – второй уровень сопротивления

Не стоит недооценивать принципы свободы и демократии, которыми руководствуются многие американцы. На людях, которые искренне верят во все это, держится IT-индустрия США. Вспомним известное видео с искренними восторженными криками Стива Балмера на ежегодной встрече Microsoft со своими сотрудниками: «Разработчики, разработчики, разработчики!!!» И у них есть свои принципы. Большинство из них искренне верят в свободу и демократию, и им не интересно намеренно встраивать в свои продукты бэкдоры, даже получив секретный приказ, разглашение которого приравнивается к разглашению государственной тайны со всеми вытекающими последствиями. И даже если акционеры и боссы IT-гигантов уже давно «сроднились» с ФПГ и спецслужбами, это вовсе не означает, что разработчики будут их поддерживать. Как минимум, пока из России с Китаем путем многолетней пропаганды не сделают в очередной раз пугал «империи Зла». Поэтому разработчики — второй уровень сопротивления.

Факты. История 1. Yahoo

Кратко напомним, что в октябре 2016 года в американской прессе разразился грандиозный скандал из-за утечки, который, по информации из компетентных источников, выявил:

  • массовый анализ почты всех 500 миллионов пользователей почтового сервиса через установку в него силами самого вендора «импланта» АНБ для негласного сбора информации;
  • систему секретных предписаний, согласно которым государство может обязать любого вендора выполнить секретный приказ по встраиванию «импланта».

Интересно посмотреть на историю с Yahoo под новым углом. Итак, руководство Yahoo получает секретный приказ о встраивании «импланта», который они претворяют в жизнь узкой группой специалистов. Однако, судя по имеющейся отрывочной информации из прессы, данные об этом стали постепенно распространяться внутри Yahoo. В итоге, CISO покинул компанию, видимо, не согласившись участвовать в этой игре и затем перейдя в Facebook. По словам информированных источников, при очередной проверке служба ИБ Yahoo обнаружила «имплант». Через какое-то время произошла утечка в прессу и разразился грандиозный скандал.

По опыту, маловероятно, что безопасники Yahoo без дополнительной наводки сами обнаружили данный «имплант» – скорее всего, им помогли разработчики (или топ-менеджеры, хотя в данном случае это сомнительно).

Факты. История 2. Juniper

Самая загадочная история на стыке мира ИБ/IT случилась менее года назад — в конце декабря 2015 года — с главным конкурентом компании Cisco — компанией Juniper. Большого шума она не вызвала. Во-первых, вендор не так популярен, во-вторых, дело было в канун рождества. На самом деле, это была необъяснимая на тот момент таинственная история, к возможной разгадке которой привели недавние события от момента обнародования архива кибероружия АНБ и до истории с Yahoo.

Как было дело. 21 декабря 2015 года Juniper объявила об обнаружении в своем VPN-устройстве двух закладок, которые давали злоумышленнику следующие грандиозные возможности:

  • удаленный доступ к устройству через «вшитый» дефолтный пароль (был очень хитро закамуфлирован в коде);
  • удаленная расшифровка VPN-соединения путем ослабления реализации криптоалгоритма.

Другими словами, речь шла о полной компрометации VPN почти всех версий устройств Juniper. При этом представители компании заявили… что не знают, откуда в ее коде появились две данные закладки. ФБР затем заявила о расследовании, но вся история тогда очень подозрительно быстро заглохла в американской прессе – о ней никто не вспоминает и до сих пор, хотя напрасно.

Читать также: «Juniper заявила о будущем удалении обнаруженной закладки из операционной системы»>> 

Тогда было невозможно понять, во-первых, зачем компания сама обнародовала скандальный факт, а во-вторых, как специалисты одновременно обнаружили две такие совершенно разные закладки.

Никто не мешал Juniper тихо выпустить патч, добавив их к другим уязвимостям или обновлениям, который затем постепенно разошелся бы по клиентам. Вероятность, что кто-то из исследователей занялся бы реверсом патча, обнаружив эти закладки, крайне мала, хотя ее не стоит исключать. Juniper также ничто не мешало традиционно назвать обнаруженные закладки уязвимостями, не привлекая к ним внимания, вместо публичного признания обнаружения чужеродных закладок к коде.

Вторая уязвимость, связанная с возможностью удаленного раскрытия VPN-сессий, оказалась особенно важна. Криптографы поняли только через несколько месяцев (!) после раскрытия, что это было виртуозно выполненное ослабление в реализации криптоалгоритма. Чей это почерк? Очевидно, спецслужб. Кто обладает таким высочайшим уровнем мастерства в криптоанализе: специалисты из США, РФ, вероятно, Китая, Великобритании, Франции и, возможно, Израиля. Последних трех можно смело вычеркнуть. Китай и Россия – крайне маловероятно: сложно внедрить своих агентов внутрь Juniper, да и Cisco им было бы взломать гораздо интереснее. Круг подозреваемых сужается, и самыми вероятными из них оказываются сотрудники АНБ. Тем более, они это уже проделывали подобное ранее за 10 миллионов долларов с RSA.

Читать также: «Этика кибервзлома: США обвиняют Россию во взломе на основании данных из собственных незаконных закладок»>>

После раскрытия архива кибероружия АНБ всплыл еще один факт, который косвенно указывает в этой истории на АНБ. Как оказалось, у агентства долгие годы через уязвимость (уязвимость или закладка?) была возможность удаленного раскрытия VPN-сессий… Cisco. Для обеспечения достойного покрытия им не хватало… наличия аналогичной возможности в продуктах главного мирового конкурента Cisco – Juniper.

Давайте вспомним, что говорилось в прессе про эту историю самой компанией Juniper. Якобы в процессе аудита и анализа кода свои безопасники нашли данные уязвимости. Вспоминаем историю с Yahoo – легенда один в один. Особенно интересно, как они так внезапно случайно обнаружили такую сложнейшую уязвимость в VPN, да и дефолтный пароль просто так обнаружить было невозможно – надо было точно знать, что и где искать.

Вероятно, представители Juniper ранее либо получили секретный приказ от АНБ встроить данные закладки в свое оборудование, либо в свое время АНБ удалось провести удачную спецоперацию. Затем разработчики, знающие об этой истории, допустили утечку внутри компании, и баг был в данном случае демонстративно предан огласке, что, кстати, говорит о том, что Juniper вероятно не инкорпорирован ни в один из кланов ФПГ, или это совсем уж недоступно тонкая игра.

Вместо заключения

Из открытой информации достоверно оценить, что именно происходит во взаимоотношениях между американскими IT-вендорами и спецслужбами, достаточно сложно. Ясно, что идет мощная подковерная игра, отголоски которой мы регулярно видим в прессе. Также ясно, что такие монстры, как Apple, Microsoft и Google, если они уже не внутри традиционных ФПГ (хотя судя по основным владельцам первых двух в лице Vanguard и Black Rock очень похоже на это), имеют огромные финансовые возможности влиять на ситуацию и, судя по всему, ищут политического прикрытия на капитолийском холме для противовеса действия спецслужбам. А даже если они это и делают только для отвода глаз, последние истории четко показали, что не стоит сбрасывать со счетов американских разработчиков – они вполне имеют возможность влиять на данную ситуацию, не давая АНБ жить спокойно.

Об авторе: Илья Медведовский — эксперт, директор компании Digital Security, занимающейся информационной безопасностью.

Источник: d-russia.ru

Рубрика: Opinion | Оставить комментарий

ATP-группа FruityArmor эксплуатировала уязвимость нулевого дня в Windows

Исправленная в октябре 2016 года уязвимость нулевого дня в Windows эксплуатировалась злоумышленниками в атаках, обнаруженных «Лабораторией Касперского». По словам экспертов, уязвимости были на вооружении у ATP-группы, которую они назвали FruityArmor. Ее жертвами становились исследователи, активисты и лица, связанные с правительственными организациями, в Таиланде, Саудовской Аравии, Иране, Йемене, Алжире и Швеции.

Для FruityArmor характерна эксплуатация уязвимости нулевого дня CVE-2016-3393, а также использование для атаки платформы, построенной исключительно вокруг PowerShell. «Основная используемая группировкой программа-имплант написана на PowerShell, и все команды оператора отправляются в виде скриптов PowerShell», — сообщили эксперты ЛК. Для получения персистентности хакеры использовали Windows Management Instrumentation (WMI).

Уязвимость CVE-2016-3393 позволяет злоумышленнику удаленно выполнить код и получить контроль над системой. По данным экспертов ЛК, хакеры из FruityArmor использовали ее для повышения привилегий. В ходе атаки они эксплуатировали уязвимости в браузере, как правило используемые вместе с уязвимостями, позволяющими повысить привилегии, для обхода песочницы браузера. Злоумышленники использовали специальный модуль, запускаемый непосредственно в памяти. Он предназначен для разархивирования особым образом сконфигурированного шрифта TTF, содержащего эксплоит для CVE-2016-3393.

После разархивирования с помощью AddFontMemResourceEx модуль загружал эксплоит из памяти. Далее с повышенными привилегиями выполнялась полезная нагрузка, которая в свою очередь выполняла скрипт PowerShell, подключающийся к C&C-серверу.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Обнаружен новый опасный червь для IoT-устройств

Исследователи безопасности из компании Rapidity Networks Сэм Эдвардс (Sam Edwards) и Иоаннис Профетис (Ioannis Profetis) обнаружили новый червь для устройств «Интернета вещей» (IoT) Hajime. Вредонос действует подобно известному трояну Mirai, однако является гораздо более сложным. Поскольку «Mirai» в переводе с японского языка означает «будущее», исследователи решили также дать новому вредоносу японское название (яп. «hajime» — «начало»).

Эдвардс и Профетис обнаружили червь, когда занялись изучением Mirai (исходный код трояна был опубликован в общем доступе в начале текущего месяца). Надеясь на то, что после публикации исходного кода появятся новые ботнеты Mirai, они создали несколько серверов-ловушек (honeypot), расположенных по всему миру. Спустя три дня после публикации исходного кода исследователи зафиксировали нечто похожее на Mirai, однако при более детальном анализе оказалось, что это совсем другой вредонос.

Процесс заражения Hajime состоит из трех фаз. На нулевом этапе вредонос устанавливается на систему жертвы и начинает сканировать произвольные IPv4 адреса. Червь осуществляет брутфорс-атаку на порт 23, пытаясь авторизоваться путем ввода комбинаций логинов и паролей, вшитых в его исходный код. В случае отсутствия открытого порта 23 или неудачной брутфорс-атаки Hajime переходит к другому адресу.

Если червю удалось авторизоваться, он выполняет следующую команду:
enable
system
shell
sh
/bin/busybox ECCHI

С ее помощью вредонос определяет, инфицировал ли он Linux-систему. Hajime может атаковать платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian. Отсюда начинается первая стадия. Вредонос загружает и запускает двоичный файл ELF, предназначенный для установки соединения с подконтрольным злоумышленникам сервером, получения от него кода и выполнения этого кода.

На второй стадии вредонос подключается к P2P-ботнету по DHT-протоколу и получает дополнительные коды и модули по протоколу uTP. Оба эти протокола являются ключевыми для BitTorrent-клиентов. Hajime атакует маршрутизаторы, видеорегистраторы и системы видеонаблюдения.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий