Следующая новость
Предыдущая новость

MEGANews. Самые важные события в мире инфосека за ноябрь

03.12.2020 17:42
MEGANews. Самые важные события в мире инфосека за ноябрь

Содержание статьи

  • 0-day в Chrome
  • VPN от Google
  • Raspberry в клавиатуре
  • Миллиард в биткойнах
  • Проблемы Let’s Encrypt
  • Итоги Pwn2Own и Tianfu Cup
  • Исходники Cobalt Strike
  • Microsoft против SMS
  • Победа youtube-dl
  • Шпионский пылесос

0-day в Chrome

В этом месяце раз­работ­чики Google выкати­ли три обновле­ния Chrome для Windows, Mac и Linux, что­бы устра­нить более десят­ка уяз­вимос­тей, вклю­чая нес­коль­ко 0-day-проб­лем, активно исполь­зуемых хакера­ми.

CVE-2020-16009

Баг был обна­ружен внут­ренней коман­дой безопас­ности Google, задача которой — отсле­живать зло­умыш­ленни­ков и их текущие опе­рации. Проб­лема была свя­зана с работой JavaScript-движ­ка V8 и допус­кала уда­лен­ное выпол­нение про­изволь­ного кода. Пока под­робнос­ти об уяз­вимос­ти и ее экс­плу­ата­ции не раз­гла­шают­ся.

Сто­ит заметить, что это обыч­ная прак­тика для Google: спе­циалис­ты ком­пании могут месяца­ми «мол­чать» о тех­ничес­ких деталях багов, что­бы не давать зло­умыш­ленни­кам под­ска­зок и поз­волить поль­зовате­лям спо­кой­но уста­новить обновле­ния.

CVE-2020-16010

Ис­прав­ление этой уяз­вимос­ти появи­лось в Chrome для Android вер­сии 86.0.4240.185. Извес­тно, что проб­лема свя­зана с перепол­нени­ем буфера кучи в одном из UI-ком­понен­тов, одна­ко тех­ничес­кие под­робнос­ти тоже пока не рас­кры­вают­ся. Спе­циалис­ты ком­пании отме­чают, что уяз­вимость уже при­меня­лась зло­умыш­ленни­ками для побега из песоч­ницы, то есть поз­воляла выпол­нить код вне изо­лиро­ван­ной сре­ды.

CVE-2020-16013 и CVE-2020-16017

Ес­ли пре­дыду­щие проб­лемы были най­дены самими инже­нера­ми Google, то на этот раз уяз­вимос­ти обна­ружи­ли бла­года­ря сооб­щени­ям, получен­ным из ано­ним­ного источни­ка. CVE-2020-16013 опи­сыва­ется как «некор­рек­тная импле­мен­тация в V8», а CVE-2020-16017 — как «ошиб­ка наруше­ния целос­тнос­ти информа­ции в памяти типа use after free» в сос­таве ком­понен­та Site Isolation. Нес­мотря на общий источник, в нас­тоящее вре­мя неяс­но, исполь­зовались эти уяз­вимос­ти как часть еди­ной цепоч­ки экс­пло­итов или же их при­меня­ли по отдель­нос­ти.

Обход песочниц

  • Эк­спер­ты ком­пании Positive Technologies про­ана­лизи­рова­ли 36 семей­ств мал­вари, которые были активны в пос­ледние десять лет, и прос­ледили за изме­нени­ями в методах обхо­да песоч­ниц и средств ана­лиза и обна­руже­ния.

  • 25% всех вре­донос­ных прог­рамм, вошед­ших в иссле­дова­ние, были активны в 2019–2020 годах, и не менее 23 APT-груп­пировок по все­му миру исполь­зовали эту мал­варь для атак, при­чем в 69% слу­чаев с целью шпи­она­жа.

  • В 2018–2019 годах уве­личи­лось количес­тво мал­вари, которая при­меня­ет методы обхо­да песоч­ниц. Впро­чем, при­чина, веро­ятнее все­го, в том, что воз­росло чис­ло иссле­дова­ний мал­вари в целом.

MEGANews. Самые важные события в мире инфосека за ноябрь
  • Ча­ще все­го тех­ники обхо­да песоч­ниц и обна­руже­ния средств ана­лиза внед­ряют в мал­варь для уда­лен­ного дос­тупа (56%) и заг­рузчи­ки (14%).

  • Сре­ди наибо­лее час­то встре­чающих­ся спо­собов обхо­да песоч­ниц экспер­ты наз­вали отправ­ку WMI-зап­росов (25%) или иные про­вер­ки окру­жения (33%), а так­же про­вер­ку спис­ка запущен­ных про­цес­сов (19%).

MEGANews. Самые важные события в мире инфосека за ноябрь
MEGANews. Самые важные события в мире инфосека за ноябрь

VPN от Google

Раз­работ­чики Google сооб­щили, что кли­енты Google One смо­гут исполь­зовать VPN-сер­вис ком­пании, что обес­печит им допол­нитель­ный уро­вень защиты в интерне­те. В пер­вую оче­редь это новов­ведение ори­енти­рова­но на тех, кто час­то под­клю­чает­ся к незащи­щен­ным сетям Wi-Fi в кафе и дру­гих общес­твен­ных мес­тах, наив­но рас­кры­вая при этом дан­ные бан­ков­ских карт и дру­гую лич­ную информа­цию.

Сер­вис будет «бес­плат­ным», но дос­тупным толь­ко для кли­ентов, под­писан­ных на Google One и тариф­ный план 2 Тбайт или выше, сто­имость которо­го сос­тавля­ет 9,99 дол­лара в месяц (699 руб­лей в месяц для Рос­сии). Сна­чала VPN-сер­вис будет дос­тупен толь­ко в США для Android, но в бли­жай­шие месяцы Google пла­ниру­ет запус­тить новую услу­гу и в дру­гих стра­нах, а так­же для дру­гих опе­раци­онных сис­тем, вклю­чая Windows, macOS и iOS.

«Мы встро­или рас­ширен­ную безопас­ность во все наши про­дук­ты, и VPN допол­нитель­но рас­ширя­ет эту безопас­ность, что­бы шиф­ровать весь онлайн‑тра­фик вашего телефо­на, незави­симо от того, какое при­ложе­ние или бра­узер вы исполь­зуете, — рас­ска­зыва­ет Лариса Фон­тейн, гла­ва Google One. — VPN встро­ен в при­ложе­ние Google One, поэто­му все­го одно нажатие, и вы можете быть уве­рены, что ваше соеди­нение защище­но от хакеров».

Раз­работ­чики Google уже выпус­тили тех­ничес­кий документ, содер­жащий некото­рые тех­ничес­кие под­робнос­ти о новом VPN-сер­висе, а так­же опуб­ликова­ли исходный код кли­ент­ской биб­лиоте­ки, что­бы поль­зовате­ли и экспер­ты мог­ли про­верить, как она обра­баты­вает дан­ные. В ком­пании заверя­ют, что VPN-сер­вис не ведет логов активнос­ти поль­зовате­лей, а так­же любых дан­ных, которые могут исполь­зовать­ся для рас­кры­тия лич­ной информа­ции. К таким дан­ным отно­сят­ся: сетевой тра­фик, IP-адре­са, вре­мен­ные мет­ки под­клю­чений и информа­ция о полосе про­пус­кания.

20 000 000 пользователей Brave

Раз­работ­чики Brave пох­васта­лись, что с тех пор, как в прош­лом году их бра­узер наконец дос­тиг пер­вой ста­биль­ной вер­сии 1.0, его ауди­тория замет­но воз­росла.

  • Так, еще осенью 2019 года Brave нас­читывал лишь 8 700 000 активных поль­зовате­лей еже­месяч­но, а теперь таковых уже более 20 000 000.

  • Ежед­невно бра­узе­ром поль­зуют­ся более 7 000 000 человек, и это пре­выша­ет прош­логод­ние показа­тели (3 000 000 человек в день) более чем вдвое. Для срав­нения: в нас­тоящее вре­мя у Firefox свы­ше 220 000 000 активных поль­зовате­лей.

  • Так­же раз­работ­чики Brave отме­чают, что с тех по,р как Apple раз­решила исполь­зовать в iOS любые бра­узе­ры по умол­чанию, поль­зователь­ская база Brave на iOS уве­личи­лась на треть.

MEGANews. Самые важные события в мире инфосека за ноябрь

Raspberry в клавиатуре

Ин­женеры Raspberry Pi Foundation пред­ста­вили не сов­сем обыч­ный гад­жет: пол­ноцен­ный компь­ютер, раз­мещен­ный в кор­пусе неболь­шой (286 × 122 × 23 мм) кла­виату­ры. Прек­расно понимая, какие ассо­циации воз­никнут у поль­зовате­лей, раз­работ­чики даже при­водят шуточ­ное срав­нение новин­ки с Commodore 64. Устрой­ство позици­они­рует­ся соз­дателя­ми как пол­ноцен­ный дес­ктоп­ный ПК, к которо­му нуж­но лишь под­клю­чить монитор и про­чую перифе­рию.

MEGANews. Самые важные события в мире инфосека за ноябрь

Raspberry Pi 400 пос­тро­ена на базе про­цес­сора ARM Cortex-A72 (1,8 ГГц) и ком­плек­тует­ся 4 Гбайт опе­ратив­ной памяти. Кла­виату­ра осна­щена Gigabit Ethernet, Bluetooth 5.0 (BLE) и Wi-Fi 802.11b/g/n/ac, име­ет два пор­та USB 3.0, один порт USB 2.0, интерфейс вво­да‑вывода GPIO и слот для кар­ты МicroSD. Есть в Raspberry Pi 400 и два пор­та HDMI, под­держи­вающих переда­чу изоб­ражения в раз­решении 4K с час­тотой до 60 Гц. Питание на устрой­ство пода­ется через порт USB-C. По сути, это более быс­трый и инте­рес­ный вари­ант Raspberry Pi 4.

Де­вайс дос­тупен в двух вари­антах: одна кла­виату­ра про­дает­ся за 70 дол­ларов США, в ком­плект за 100 дол­ларов вклю­чены допол­нитель­но мышь, блок питания, HDMI-кабель, кар­та MicroSD и руководс­тво. Пока про­дажи стар­товали толь­ко для Великоб­ритании, США и Фран­ции, но ожи­дает­ся, что в бли­жай­шие недели устрой­ство ста­нет дос­тупно в Ита­лии, Гер­мании и Испа­нии. Раз­работ­чики обе­щают, что до кон­ца года Raspberry Pi 400 так­же появит­ся в Индии, Авс­тра­лии и Новой Зелан­дии, а затем (в пер­вые нес­коль­ко месяцев 2021 года) — по все­му миру.

Дуров попробовал iPhone 12 Pro

Па­вел Дуров про­дол­жает выс­тупать с кри­тикой в адрес ком­пании Apple. Но если рань­ше кри­тика была в основном свя­зана с тем, что Apple зло­упот­ребля­ет сво­им положе­нием на рын­ке, теперь в сво­ем Telegram-канале Дуров рас­кри­тико­вал и новые iPhone.

MEGANews. Самые важные события в мире инфосека за ноябрь

«Толь­ко что поп­робовал iPhone 12 Pro, до чего гро­моз­дкая желез­ка. Он выг­лядит и ощу­щает­ся как более круп­ная вер­сия iPhone 5 2012 года выпус­ка, толь­ко с урод­ливыми камера­ми, тор­чащими [из кор­пуса] на трех раз­ных высотах. Прес­ловутая „чел­ка“ и широкие гра­ни тоже на мес­те, из‑за чего стра­дает соот­ношение пло­щади экра­на к кор­пусу и появ­ляет­ся ощу­щение уста­рев­шего устрой­ства.

С момен­та смер­ти Сти­ва Джоб­са прош­ло девять лет, а ком­пания по‑преж­нему живет за счет тех­нологий и репута­ции, которые он соз­дал, без каких‑либо зна­чимых инно­ваций. Неуди­витель­но, что в начале текуще­го года про­дажи iPhone упа­ли на 21%. Если эта тен­денция сох­ранит­ся, через 7–10 лет доля iPhone на мировом рын­ке ста­нет нез­начитель­ной»

— Павел Дуров у себя в Telegram

MEGANews. Самые важные события в мире инфосека за ноябрь

Миллиард в биткойнах

В ночь пре­зидент­ских выборов в США крип­товалют­ное сооб­щес­тво обра­тило вни­мание на огромный перевод: кто‑то опус­тошил бит­койн‑кошелек, содер­жавший око­ло мил­лиар­да дол­ларов.

Ко­шелек был свя­зан с дар­кнет‑мар­кет­плей­сом Silk Road, который пред­лагал сво­им поль­зовате­лям самые раз­ные незакон­ные товары и услу­ги: начиная от нар­котиков и мал­вари и закан­чивая заказ­ными убий­ства­ми. Мар­кет­плейс был зак­рыт влас­тями еще в 2013 году, а его гла­ва Росс Уль­брихт — при­гово­рен к двой­ному пожиз­ненно­му зак­лючению, которое сей­час отбы­вает в США.

Ока­залось, что мил­лиард дол­ларов обна­ружи­ли... пра­воох­раните­ли. Про­курор США Дэвид Андерсон рас­ска­зал, что, нес­мотря на зак­рытие тор­говой пло­щад­ки и осуж­дение Уль­брих­та, у влас­тей оста­вал­ся воп­рос, куда же делись день­ги. Опе­рато­ры Silk Road нап­равля­ли бит­койн‑тран­закции через спе­циаль­ный тум­блер‑сер­вис, из‑за чего средс­тва было край­не слож­но отсле­дить.

При­бег­нув к помощи спе­циалис­тов из ком­пании Chainalysis, пра­воох­ранитель­ные орга­ны обна­ружи­ли, что еще в 2013 году были совер­шены 54 тран­закции на общую сум­му 70 411,46 бит­кой­на, которые были отправ­лены на два адре­са. Так как эти тран­закции не фигури­рова­ли в собс­твен­ной базе дан­ных Silk Road, пред­полага­лось, что средс­тва были кем‑то укра­дены.

MEGANews. Самые важные события в мире инфосека за ноябрь

В апре­ле 2013 года основная часть этих средств, в раз­мере 69 471,082 201 бит­кой­на, была отправ­лена на упо­мяну­тый выше кошелек, обоз­начен­ный в бумагах как 1HQ3 (по пер­вым сим­волам адре­са). В этом кошель­ке в ито­ге осе­ло 69 370,224 915 43 бит­кой­на, или око­ло мил­лиар­да дол­ларов США. В 2015 году неназ­ванный хакер пытал­ся лик­видиро­вать часть укра­ден­ных средств через крип­товалют­ную бир­жу BTC-e, которая в ито­ге была зак­рыта влас­тями США за отмы­вание денег. В Налого­вой служ­бе США и Минис­терс­тве юсти­ции счи­тают, что он поп­росту украл крип­товалю­ту у Silk Road.

В ито­ге в начале нояб­ря 2020 года тот самый хакер, фигури­рующий в судеб­ных докумен­тах как Individual X, был най­ден пра­воох­раните­лями, под­писал сог­лашение с влас­тями и передал им все содер­жимое кошель­ка 1HQ3. Теперь Минюс­ту пред­сто­ит доказать, что изъ­ятая крип­товалю­та дей­стви­тель­но была свя­зана с Silk Road и под­лежала кон­фиска­ции.

Малварь из Google Play Store

Эк­спер­ты ком­пании NortonLifeLock (ранее Symantec) и IMDEA Software Institute опуб­ликова­ли резуль­таты инте­рес­ного иссле­дова­ния, круп­ней­шего в сво­ем роде на текущий момент: изу­чили, по каким каналам вре­донос­ные при­ложе­ния попада­ют на устрой­ства поль­зовате­лей.

  • Бы­ло изу­чено про­исхожде­ние при­ложе­ний на 12 000 000 Android-устрой­ств за пери­од с июня по сен­тябрь 2019 года. В общей слож­ности ана­лизу под­вер­глись свы­ше 34 000 000 APK для 7 900 000 уни­каль­ных при­ложе­ний.

  • От 10 до 24% про­ана­лизи­рован­ных при­ложе­ний могут рас­ценивать­ся как вре­донос­ные или нежела­тель­ные.

  • По­ряд­ка 67,5% вре­донос­ных при­ложе­ний были взя­ты жер­тва­ми нап­рямую из Google Play Store. Вто­рое мес­то с боль­шим отста­вани­ем занима­ют аль­тер­натив­ные магази­ны при­ложе­ний, на которые при­ходит­ся лишь 10% уста­нов­ленной мал­вари.

MEGANews. Самые важные события в мире инфосека за ноябрь

Проблемы Let’s Encrypt

Раз­работ­чики Let’s Encrypt пре­дуп­редили, что в 2021 году серь­езные проб­лемы с сер­тифика­тами и дос­тупом к сай­там могут воз­никнуть у поль­зовате­лей устрой­ств, работа­ющих под управле­нием Android 7.1 (Nougat) и более ста­рых вер­сий ОС. 1 сен­тября 2021 года исте­кает срок пар­тнерс­тва Let’s Encrypt и орга­низа­ции IdenTrust. Это озна­чает, что кор­невой сер­тификат Let’s Encrypt, име­ющий перек­рес­тную под­пись с IdenTrust DST Root X3, тоже исте­чет 1 сен­тября 2021 года.

MEGANews. Самые важные события в мире инфосека за ноябрь

Let’s Encrypt уже дав­но име­ет собс­твен­ный кор­невой сер­тификат ISRG Root X1, поэто­му изме­нение не вызовет непола­док в боль­шинс­тве сов­ремен­ных ОС. Одна­ко это не каса­ется ста­рых вер­сий Android, не обновляв­шихся с 2016 года, так как они не доверя­ют собс­твен­ному кор­невому сер­тифика­ту Let’s Encrypt. К сожале­нию, таких девай­сов в эко­сис­теме Android нас­читыва­ется око­ло 34%, а генери­руют они, по под­сче­там инже­неров Let’s Encrypt, до 5% все­го тра­фика.

«Что мы можем сде­лать с этим? Что ж, мы хотели бы иметь воз­можность улуч­шить ситу­ацию с обновле­ниями Android, но здесь мы ничего не можем поделать. Так­же мы не можем поз­волить себе купить новые телефо­ны всем в мире, — пишет Джей­коб Хоф­фман‑Эндрюс, ведущий раз­работ­чик Let’s Encrypt. — Можем ли мы получить еще одну перек­рес­тную под­пись? Мы изу­чали этот вари­ант, и он кажет­ся малове­роят­ным. Это боль­шой риск для цен­тра сер­тифика­ции — перек­рес­тная под­пись сер­тифика­та дру­гого цен­тра, ведь таким обра­зом они берут на себя ответс­твен­ность за все, что дела­ет дру­гой центр сер­тифика­ции».

Раз­работ­чики Let’s Encrypt совету­ют поль­зовате­лям ста­рых устрой­ств готовить­ся осенью к воз­можным проб­лемам и хотя бы уста­новить мобиль­ную вер­сию Firefox (этот бра­узер име­ет собс­твен­ный спи­сок доверен­ных кор­невых сер­тифика­тов). Так­же в теории мож­но уста­новить необ­ходимые сер­тифика­ты вруч­ную.

В Microsoft будет работать «отец» языка Python

В прош­лом году «отец» язы­ка Python Гви­до ван Рос­сум, которо­му тог­да уже исполни­лось 63 года, ото­шел от дел и объ­явил, что ухо­дит на пен­сию. Одна­ко теперь ван Рос­сум неожи­дан­но сооб­щил, что ско­ро вер­нется к работе, при­чем не где‑нибудь, а в ком­пании Microsoft.

MEGANews. Самые важные события в мире инфосека за ноябрь

«Я при­шел к выводу, что на пен­сии очень скуч­но, и при­соеди­нил­ся к отде­лу раз­работ­чиков Microsoft. Для чего? Слиш­ком мно­го вари­антов, что­бы перечис­лить! Но это навер­няка улуч­шит исполь­зование Python (и не толь­ко в Windows :-). Здесь мно­го опен­сорса. Сле­дите за этой областью»

— ван Рос­сум у себя в Twitter

MEGANews. Самые важные события в мире инфосека за ноябрь

Итоги Pwn2Own и Tianfu Cup

Сос­тязание Pwn2Own Tokyo в этом году про­води­лось в онлайн‑фор­мате, а учас­тни­ки демонс­три­рова­ли свои экс­пло­иты уда­лен­но. Тем не менее учас­тни­ки зарабо­тали 136 000 дол­ларов, обна­ружив и про­демонс­три­ровав 23 уни­каль­ные уяз­вимос­ти на шес­ти устрой­ствах. Теперь про­изво­дите­лям отво­дит­ся 120 дней на выпуск исправ­лений, преж­де чем ZDI обна­роду­ет под­робнос­ти багов.

По­беди­телем сорев­нования ста­ла коман­да Team Flashback, в которую вхо­дят нас­тоящие ветера­ны Pwn2Own — Пед­ро Рибей­ро (Pedro Ribeiro) и Радек Доман­ски (Radek Domanski). В пер­вый день сорев­нований Team Flashback успешно взло­мала WAN-интерфейс мар­шру­тиза­тора NETGEAR Nighthawk R7800 и смог­ла оста­вить на устрой­стве устой­чивый бэк­дор, который сох­ранял­ся даже пос­ле сбро­са к завод­ским нас­трой­кам. Этот взлом при­нес коман­де 20 000 дол­ларов и два очка Master of Pwn.

Во вто­рой день Team Flashback ском­про­мети­рова­ла мар­шру­тиза­тор TP-Link AC1750 Smart WiFi, исполь­зовав для это­го три RCE-уяз­вимос­ти, и получи­ла еще 20 000 дол­ларов и два очка.

Ко­ман­да DEVCORE, заняв­шая вто­рое мес­то, зарабо­тала 20 000 дол­ларов за успешную демонс­тра­цию экс­пло­ита про­тив NAS Synology DiskStation DS418Play и еще 17 500 дол­ларов — за экс­пло­ит для NAS Western Digital My Cloud Pro Series PR4100. Для взло­ма Western Digital коман­да исполь­зовала цепоч­ку аж из шес­ти уяз­вимос­тей.

В Китае тем вре­менем прош­ло собс­твен­ное хакер­ское сорев­нование — Tianfu Cup, очень похожее на Pwn2Own и соз­данное имен­но пос­ле того, как в 2018 году китай­ское пра­витель­ство зап­ретило мес­тным ИБ‑иссле­дова­телям учас­тво­вать в хакер­ских кон­курсах, орга­низо­ван­ных за рубежом. Как и во вре­мя Pwn2Own, обо всех исполь­зован­ных экс­пло­итах и най­ден­ных багах сооб­щают раз­работ­чикам ском­про­мети­рован­ных про­дук­тов, и пат­чи выходят вско­ре пос­ле завер­шения сорев­нования.

По ито­гам сорев­нования учас­тни­ки про­демонс­три­рова­ли 23 попыт­ки взло­ма, во вре­мя которых уда­лось ском­про­мети­ровать:

  • iOS 14 (работа­ющую на iPhone 11 Pro);
  • Samsung Galaxy S20;
  • Windows 10 2004 (April 2020);
  • Ubuntu;
  • Chrome;
  • Safari;
  • Firefox;
  • Adobe PDF Reader;
  • Docker (Community Edition);
  • VMware ESXi (гипер­визор);
  • QEMU (эму­лятор и вир­туали­затор);
  • про­шив­ки роуте­ров TP-Link и ASUS.

Как и в прош­лом году, с боль­шим отры­вом победи­ла коман­да спе­циалис­тов китай­ско­го тех­нологи­чес­кого гиган­та Qihoo 360 (она же Team 360Vulcan). Победи­тели заб­рали домой 744 500 дол­ларов — поч­ти две тре­ти при­зово­го фон­да. Вто­рое и третье мес­та заняли коман­да Ant-Financial Light-Year Security Lab (258 000 дол­ларов) и час­тный ИБ‑иссле­дова­тель Панг (99 500 дол­ларов).

Утечка Capcom

В начале нояб­ря япон­ская кор­порация Capcom пос­тра­дала от хакер­ской ата­ки, и взлом пов­лиял на биз­нес‑опе­рации раз­работ­чика игр, вклю­чая работу сис­темы элек­трон­ной поч­ты.

  • По дан­ным СМИ, Capcom ста­ла жер­твой шиф­роваль­щика Ragnar Locker. В запис­ке с тре­бова­нием выкупа хакеры сооб­щали, что перед началом шиф­рования они похити­ли око­ло 1 Тбайт фай­лов из кор­поратив­ных сетей Capcom в Япо­нии, США и Канаде.

  • Че­рез нес­коль­ко недель Capcom приз­нала, что хакеры похити­ли не толь­ко кон­фиден­циаль­ные кор­поратив­ные докумен­ты, но и информа­цию о кли­ентах и сот­рудни­ках ком­пании. В общей слож­ности пос­тра­дали око­ло 350 000 человек.

MEGANews. Самые важные события в мире инфосека за ноябрь

Исходники Cobalt Strike

На GitHub появил­ся репози­торий, который содер­жит исходные коды Cobalt Strike. Судя по фай­лу src/main/resources/about.html, это исходни­ки Cobalt Strike вер­сии 4.0, выпущен­ной 5 декаб­ря 2019 года. У репози­тория уже появи­лось более 1200 фор­ков, что сущес­твен­но зат­рудня­ет сдер­живание даль­нейше­го рас­простра­нения исходни­ков.

Cobalt Strike — легитим­ный ком­мерчес­кий инс­тру­мент, соз­данный для пен­тесте­ров и red team и ори­енти­рован­ный на экс­плу­ата­цию и пос­тэкс­плу­ата­цию. Его дав­но полюби­ли все хакеры, начиная от пра­витель­ствен­ных APT-груп­пировок и закан­чивая опе­рато­рами шиф­роваль­щиков. Пол­ная вер­сия Cobalt Strike оце­нива­ется при­мер­но в 3500 дол­ларов за уста­нов­ку, но, как пра­вило, зло­умыш­ленни­ки исполь­зуют Cobalt Strike бес­плат­но (ста­рые, пират­ские, взло­ман­ные и незаре­гис­три­рован­ные вер­сии), при­меняя его во вре­мя вымога­тель­ских атак для получе­ния устой­чивого уда­лен­ного дос­тупа к ском­про­мети­рован­ной сети.

ИБ‑эксперт Виталий Кре­мез (Vitali Kremez) из ком­пании Advanced Intel, изу­чав­ший исходни­ки по прось­бе жур­налис­тов, сооб­щает, что, по его мне­нию, дан­ный Java-код был деком­пилиро­ван вруч­ную. Неиз­вес­тный изба­вил­ся от всех зависи­мос­тей и про­вер­ки лицен­зии, что­бы инс­тру­мент мож­но было ском­пилиро­вать вновь. Кре­мез пре­дуп­режда­ет, что эта утеч­ка может иметь серь­езные пос­ледс­твия, так как она «устра­няет вход­ной барь­ер на пути к получе­нию инс­тру­мен­та и сущес­твен­но облегча­ет задачу получе­ния и изме­нения кода для прес­тупных груп­пировок».

Работа после пандемии

  • «Лабора­тория Кас­пер­ско­го» выяс­нила, что 68% рос­сиян, занятых в малом и сред­нем биз­несе, не готовы вер­нуть­ся к при­выч­ной орга­низа­ции рабоче­го про­цес­са пос­ле окон­чания пан­демии корона­виру­са.

  • На уда­лен­ке у людей появи­лись воз­можнос­ти, которые они хотели бы сох­ранить в даль­нейшем: боль­ше вре­мени про­водить с семь­ей (54%), не тра­тить вре­мя на дорогу до работы и обратно (53%) и эко­номить день­ги (45%).

  • Око­ло тре­ти опро­шен­ных не хотели бы воз­вра­щать­ся к тем или иным при­нятым ранее пра­вилам. Нап­ример, 32% не готовы сно­ва работать по стро­гому вось­мичасо­вому гра­фику. В целом по миру этот показа­тель даже выше — 39%. Еще 35% не хотят быть стро­го при­вяза­ны к офи­су, 33% — к пятид­невной рабочей неделе.

  • Каж­дый чет­вертый (24%) хотел бы про­дол­жать работать уда­лен­но и пос­ле окон­чания пан­демии.

MEGANews. Самые важные события в мире инфосека за ноябрь

Microsoft против SMS

Эк­спер­ты ком­пании Microsoft в оче­ред­ной раз под­няли воп­рос о небезо­пас­ности мно­гофак­торной аутен­тифика­ции через телефон с помощью одно­разо­вых кодов в SMS-сооб­щени­ях (или голосо­вых вызовов). Ком­пания при­зыва­ет исполь­зовать более новые тех­нологии: при­ложе­ния‑аутен­тифика­торы и клю­чи безопас­ности.

Пре­дуп­режде­ние исхо­дит от Алек­са Вей­нер­та (Alex Weinert), гла­вы по безопас­ности иден­тифика­цион­ной информа­ции Microsoft. Вей­нерт объ­ясня­ет, что, если есть выбор меж­ду нес­коль­кими спо­соба­ми МФА, ни в коем слу­чае нель­зя делать его в поль­зу телефо­на: аутен­тифика­ция через телефон зависит от мно­жес­тва узких мест, хотя бы от сос­тояния телефон­ных сетей. SMS-сооб­щения и голосо­вые вызовы переда­ются в откры­том виде и могут быть лег­ко перех­вачены зло­умыш­ленни­ками с помощью таких методов и инс­тру­мен­тов, как SDR (Software-Defined Radio), FEMTO или багов SS7.

Кро­ме того, одно­разо­вые коды из SMS-сооб­щений могут быть извле­чены с помощью опен­сор­сных и дос­тупных фишин­говых инс­тру­мен­тов, таких как Modlishka, CredSniper или Evilginx. Или же сот­рудни­ков мобиль­ных опе­рато­ров могут обма­нуть мошен­ники, что­бы под­менить SIM-кар­ту жер­твы (такие ата­ки обыч­но называ­ют SIM swap), что поз­волит зло­умыш­ленни­кам получать одно­разо­вые коды МФА от лица цели. По сло­вам Вей­нер­та, все это дела­ет МФА на осно­ве SMS-сооб­щений и голосо­вых вызовов «наиме­нее безопас­ным из всех дос­тупных на сегод­ня методов МФА».

А самое надеж­ное из защит­ных решений — исполь­зовать аппа­рат­ные клю­чи, которые Вей­нерт еще в прош­лом году называл «луч­шим решени­ем в области МФА».

На­пом­ним, что точ­ка зре­ния Вей­нер­та не нова: еще в 2016 году Наци­ональ­ный инсти­тут стан­дартов и тех­нологий США (NIST) пред­ста­вил документ, сог­ласно которо­му исполь­зование SMS-сооб­щений для двух­фактор­ной аутен­тифика­ции будет рас­смат­ривать­ся как «недопус­тимое» и «небезо­пас­ное».

Распродажи и фишинг

  • Ана­лити­ки Check Point Research отме­чают всплеск активнос­ти хакеров в течение пос­ледних 6 недель. Из‑за огра­ниче­ний, свя­зан­ных с COVID-19, онлайн‑шопинг в этом году вышел на новый уро­вень, а количес­тво онлайн‑покупок в «чер­ную пят­ницу», «кибер­понедель­ник» бьет все рекор­ды. Но к буму интернет‑покупок готовят­ся не толь­ко магази­ны и покупа­тели, зло­умыш­ленни­ки тоже мобили­зуют­ся, что­бы зарабо­тать на ски­доч­ном ажи­ота­же.

  • В пери­од с 8 октября по 9 нояб­ря во всем мире удво­илось количес­тво фишин­говых рас­сылок со «спе­циаль­ными пред­ложени­ями»: со 121 слу­чая в неделю в октябре до 243 слу­чаев в неделю к началу нояб­ря.

  • Так­же на 80% уве­личи­лось чис­ло фишин­говых рас­сылок, свя­зан­ных с рас­про­дажа­ми и спе­циаль­ными пред­ложени­ями от магази­нов. Подоб­ные элек­трон­ные пись­ма содер­жали сло­ва «sale», «% off» и дру­гие, свя­зан­ные с выгод­ными покуп­ками.

  • Все­го за 2 дня (9 и 10 нояб­ря) количес­тво фишин­говых атак со «спе­циаль­ными пред­ложени­ями» было выше, чем за пер­вые 7 дней октября.

MEGANews. Самые важные события в мире инфосека за ноябрь

Победа youtube-dl

На GitHub вос­ста­нови­ли репози­торий опен­сор­сно­го про­екта youtube-dl.

Эта исто­рия началась в прош­лом месяце, ког­да пра­вооб­ладате­ли из Аме­рикан­ской ассо­циации зву­коза­писы­вающих ком­паний (RIAA) добились уда­ления youtube-dl и 17 его копий. Биб­лиоте­ка была уда­лена яко­бы из‑за наруше­ния DMCA (Digital Millennium Copyright Act — Закон об автор­ском пра­ве в циф­ровую эпо­ху): по сло­вам пра­вооб­ладате­лей, про­ект мог при­менять­ся для «обхо­да тех­ничес­ких мер защиты, исполь­зуемых авто­ризо­ван­ными стри­мин­говыми сер­висами, такими как YouTube».

Этот слу­чай породил шквал кри­тики в адрес RIAA, GitHub и ком­пании Microsoft, которой с 2018 года при­над­лежит сер­вис. Даже Нэт Фрид­ман (Nat Friedman), воз­гла­вив­ший GitHub пос­ле при­обре­тения сер­виса Microsoft в 2018 году, был недово­лен сло­жив­шимся положе­нием и ско­опе­риро­вал­ся с юрис­тами «Фон­да элек­трон­ных рубежей» (Electronic Frontier Foundation, EFF), которые взя­лись за ана­лиз ситу­ации.

В ито­ге коман­да EFF выяс­нила, что Google не исполь­зует какие‑либо тех­ничес­кие средс­тва для пре­дот­вра­щения заг­рузки сво­их видео, которые дол­жны быть бес­плат­но дос­тупны для всех видов при­ложе­ний, бра­узе­ров, умных телеви­зоров и так далее. Сле­дова­тель­но, биб­лиоте­ка youtube-dl не может быть заб­локиро­вана в соот­ветс­твии с раз­делом 1201, так как вооб­ще не обхо­дит какую‑либо сис­тему защиты автор­ских прав.

Ес­ли говорить короче, youtube-dl ничего не наруша­ет, так как YouTube ничего и не зап­рещал.

Пос­ле получе­ния пре­тен­зии от RIAA у GitHub не было выбора, и ресурс дол­жен был соб­людать закон. Одна­ко скан­дал, свя­зан­ный с уда­лени­ем youtube-dl, стал для ком­пании хорошей воз­можностью поучить­ся: пос­ле слу­чив­шегося в GitHub пла­ниру­ют учре­дить «Фонд защиты раз­работ­чиков» в раз­мере 1 000 000 дол­ларов, который будет исполь­зовать­ся для защиты раз­работ­чиков от «необос­нован­ных тре­бова­ний об уда­лении на осно­вании раз­дела 1201 DMCA». Кро­ме того, GitHub обе­щает за свой счет нанять тех­ничес­ких и юри­дичес­ких экспер­тов, а так­же незави­симых спе­циалис­тов, которые будут рас­смат­ривать все пре­тен­зии на уда­ление кон­тента.

123456

Бли­зит­ся конец года, и раз­работ­чики менед­жера паролей NordPass в оче­ред­ной раз опуб­ликова­ли спи­сок наибо­лее исполь­зуемых и сла­бых паролей 2020 года. Увы, за пос­ледние 12 месяцев безопас­ность паролей нис­коль­ко не улуч­шилась.

  • Для сос­тавле­ния еже­год­ного отче­та экспер­ты изу­чили 275 699 516 паролей, про­сочив­шихся в сеть в ходе раз­личных уте­чек дан­ных.

  • На­ибо­лее рас­простра­нен­ные пароли по‑преж­нему неверо­ятно лег­ко уга­дать: на взлом учет­ных записей с такими пароля­ми у зло­умыш­ленни­ков может уйти мень­ше секун­ды или двух.

  • Толь­ко 44% изу­чен­ных паролей были приз­наны уни­каль­ными.

  • В 2020 году наибо­лее популяр­ными вари­анта­ми паролей были приз­наны: 123456, 123456789, picture1, password и 12345678.

  • Так­же люди по‑преж­нему час­то исполь­зуют дру­гие сла­бые пароли, которые край­не лег­ко уга­дать: сре­ди них мож­но перечис­лить football, iloveyou, letmein и pokemon.

В ито­ге топ-10 худ­ших паролей 2020 года выг­лядит сле­дующим обра­зом.

MEGANews. Самые важные события в мире инфосека за ноябрь
MEGANews. Самые важные события в мире инфосека за ноябрь

Шпионский пылесос

Груп­па уче­ных из уни­вер­ситета Мэрилен­да и Наци­ональ­ного уни­вер­ситета Син­гапура про­демонс­три­рова­ла ата­ку LidarPhone, которая спо­соб­на прев­ратить умный пылесос в шпи­онское устрой­ство, записы­вающее раз­говоры поб­лизос­ти. Как мож­но понять из наз­вания, ата­ка полага­ется на исполь­зование встро­енно­го в устрой­ство лидара, который нужен пылесо­су для навига­ции в прос­транс­тве.

MEGANews. Самые важные события в мире инфосека за ноябрь

По­тен­циаль­ный зло­умыш­ленник может исполь­зовать лидар и его лазер в качес­тве лазер­ного мик­рофона, которые неред­ко при­меня­ются спец­служ­бами. Такой мик­рофон нап­равля­ют на окон­ное стек­ло и с его помощью отсле­жива­ют виб­рации стек­ла, затем мож­но их декоди­ровать и рас­шифро­вать раз­говоры, про­исхо­див­шие внут­ри помеще­ния.

Ата­ка LidarPhone тре­бует соб­людения ряда опре­делен­ных усло­вий. К при­меру, лидар устрой­ства акти­вен и вра­щает­ся пос­тоян­но, что сок­раща­ет количес­тво дан­ных, которые может соб­рать ата­кующий. Зло­умыш­ленник будет вынуж­ден най­ти некую уяз­вимость, что­бы проб­рать­ся в про­шив­ку и оста­новить вра­щение лидара, зас­тавив его сфо­куси­ровать­ся на одном объ­екте. Так­же нуж­но отме­тить, что лидары роботов‑пылесо­сов далеко не так точ­ны, как лазер­ные мик­рофоны.

Нев­зирая на огра­ниче­ния, иссле­дова­телям уда­лось получить хорошие резуль­таты во вре­мя тес­тов на роботе‑пылесо­се Xiaomi Roborock. Экспе­римен­ты иссле­дова­телей кон­цен­три­рова­лись на вос­ста­нов­лении «чис­ловых зна­чений», которые в ито­ге уда­лось рас­познать с точ­ностью 90%. Одна­ко авто­ры ата­ки отме­чают, что LidarPhone мож­но исполь­зовать для иден­тифика­ции говоря­щих по полово­му приз­наку и даже для опре­деле­ния полити­чес­ких взгля­дов целей по выпус­кам новос­тей, зву­чащим на фоне.

Источник

Последние новости