Новые вредоносные программы объединяют Ransomware, майнеры и ботнеты

21/09/2018

Оригинал

Пользователям Windows и Linux нужно быть осторожными, так как обнаружено разрушительное вредоносное ПО, которое включает в себя множество вредоносных программ, включая ransomware, криптовалютный майнер, бот-сеть и самораспространяющийся червь, предназначенный для Linux и Windows.

Новая вредоносная программа получила название XBash. Как полагают ее авторы Iron Group, известная как группа Rocke — группа известная из-за предыдущих кибератак, в которой участвуют вымогатели и криптовалютные майнеры.

По словам исследователей из Palo Alto Networks, которые обнаружили вредоносное ПО, XBash — это вредоносное ПО класса all-in-one, в котором реализованы возможности интеллектуального анализа данных и криптовалюта, а также червь, подобный WannaCry или Petya / NotPetya.

Помимо возможностей самораспространения, XBash также содержит еще не реализованные функциональные возможности, что позволяет быстро распространять вредоносное ПО в сети организации. Разработанная на Python, XBash охотится за уязвимыми или незащищенными веб-службами и удаляет базы данных, такие как MySQL, PostgreSQL и MongoDB, работающие на серверах Linux, в рамках своих возможностей для получения вымогательства.

Важно: оплата выкупа не принесет вам ничего!

Xbash был разработан для сканирования сервисов на целевом IP-адресе как на TCP, так и на UDP-портах, таких как HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin и PostgreSQL.

Найдя открытый порт, вредоносное ПО использует атаку имени пользователя и пароля, чтобы перевести ее в уязвимую службу, и один раз, удалив все базы данных, отобразит примечание о выкупе.

Вызывает беспокойство то, что сама вредоносная программа не содержит каких-либо функциональных возможностей, которые позволили бы восстановить удаленные базы данных после оплаты жертвами.

На сегодняшний день XBash заразил по меньшей мере 48 жертв, которые уже заплатили выкуп, что составляет около 6 000 долларов на сегодняшний день. Однако исследователи не видят никаких доказательств того, что платежи привели к восстановлению данных для жертв.

У вредоносного ПО также есть возможности для добавления целевых систем на базе Linux в бот-сети.

XBash Malware использует ошибки в Hadoop, Redis и ActiveMQ

С другой стороны, XBash нацелен на машины Microsoft Windows только для разработки криптовалют и самораспространения. Для самораспространения он использует три известные уязвимости в Hadoop, Redis и ActiveMQ:

Если точкой входа является уязвимая служба Redis, Xbash отправит вредоносную нагрузку JavaScript или VBScript для загрузки и выполнения coinminer для Windows вместо своего модуля ботнета и ransomware.

Как уже упоминалось выше, Xbash разработан на Python, а затем был преобразован в Portable Executable (PE) с помощью PyInstaller, который может создавать двоичные файлы для нескольких платформ, включая Windows, Apple MacOS и Linux, а также обеспечивает защиту от обнаружения.

Это, в свою очередь, позволяет XBash быть действительно межплатформенным вредоносным ПО , хотя на момент написания статьи исследователи обнаружили образцы только для Linux и не видели каких-либо версий Xbash для Windows или MacOS.

Пользователи могут защитить себя от XBash, следуя основным практикам кибербезопасности, в том числе:

  • изменить учетные данные для входа в систему по умолчанию,
  • использовать сильные и уникальные пароли,
  • постоянно обновляйте свою операционную систему и программное обеспечение,
  • избегать загрузки и запуска ненадежных файлов или щелчка по ссылкам,
  • регулярно делать резервные копии своих данных и
  • предотвратите несанкционированное соединение с помощью брандмауэра.

 

Реклама

Сказки о безопасности: Родительский контроль

20/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203446

— Потапыч, совет нужен. Проблема у меня.

— Срочно? Я просто занят, извини, я ж на работе.

— Да нет, до вечера терпит.

— Ну тогда вечером.

— Только Потапыч, ты зайди вечерком на чай с медом. Боюсь тут по телефону все не расскажешь, я показать хочу.

— Конечно. Что-то захватить к чаю? Конфеты или что-то покрепче?

— Нет, Потапыч, тут дело серьезное. Сам приходи.

Вот и вечер настал. Тихий осенний вечер, когда так приятно посидеть на веранде и попить чаю с плюшками. Да еще с медом…

— Что случилось, Хрюша? Надеюсь, все здоровы?

— Да здоровы-то здоровы, проблема не у меня, а у моей соседки, впрочем, вот она идет.

— Привет, Петровна. Что произошло?

— Купила я своему оболтусу смартфон. Ну, в школе у многих есть, решила, почему нет, тем более парень он хороший, учится хорошо. Да и в семье у нас особых секретов нет друг от друга. Конечно, антивирус поставила и завела ему отдельную учетную запись. Ну, все как ты учил. И вот вылезла проблема.

— В чем?

— Знаешь, они сейчас в школе все помешаны на каких-то мессенджерах интернетовских. Ну и мой уговорил себе поставить вацап, мы с ним тоже там переписываемся. Дешевле получается.

— Да, знаю такой. И что?

— Да появился у него странный контакт, называет себя Хрюнделем. Он отправляет сообщения детям, представляясь другом, у которого теперь новый номер телефона. Однако после непродолжительного диалога контакт начинает присылать ссылки на порносайты.

— Фу, какая гадость.

— Ага, но самое противное, что мне теперь приходится периодически просматривать список друзей сына, смотреть его переписку. Хорошо, он терпит, но как долго? Ссориться с сыном я не хочу. Оставлять на самотек тем более. Не знаю, что и делать.

— А что делать? С сыном ты поговорила, нужно бы с детьми и родителями поговорить. Да вот только поймут ли дети и захотят ли делиться с родителями своими маленькими тайнами? На словах все родители выступают за родительский контроль, а когда доходит до дела, ничего делать не хотят. И что им сказать? Я не знаю…

А вы знаете, что делать? Вы готовы говорить с детьми откровенно? А они?


Сказки о безопасности: Поддельное видео

18/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203273

— Иоганн, у нас серьезные проблемы.

— Господин директор, я понимаю, что если мне звонит глава департамента контрразведки империи, тем более по защищенному каналу, то это не от хорошей жизни.

— Собирайтесь! Я знаю, что сегодня выходной, но для вашего департамента, точнее для вас и тех, кого вы решите включить в группу, этот и последующие дни — рабочие. Машина доставит вас на ваш запасной командный пункт. Там все готово к вашему приезду. И еще, официально нашего разговора не было.

— Вызывайте Марка, Риту и их отделы. Вызовите наших стажеров, Татьяну, Поля. Вызывайте Софи, она показала себя весьма интересным аналитиком. Я через 10 минут у крыльца.

— Машина уже вас ждет.

Прошло полчаса.

— Доброе утро, коллеги! Я точно сам не знаю, что произошло. Мы ждем директора департамента контрразведки. Судя по тому, что он приезжает сам, дело предстоит неординарное.

— Доброе утро, господа! С этого момента вы переводитесь на казарменное положение с тройным окладом. Без налогов. Как во время боевых действий. Все звонки наружу идут только через закрытый коммутатор. Вашим родным сказали, что вы убыли в служебную командировку без доступа к связи. За вашей мамой, Рита, позаботятся наши врачи. Ее сейчас перевозят в имперский санаторий, не волнуйтесь! Софи, вашу проблему с водопроводом уже устраняют. Марк, над вашей машиной поработают в нашем служебном гараже. Весь ремонт и запчасти за счет императора. Ведь вы сегодня хотели отвезти ее в сервис, верно? У кого еще есть домашние проблемы? Мы все решим за вас. Главное разберитесь с этой проблемой.

— Господин директор, а что за проблема?

— Вчера какой-то злоумышленник передал на телестудию канала N видеоролик, на котором наш канцлер якобы произносит речь по поводу событий в республике К. Опубликование этого ролика может существенно осложнить наши отношения. Самое интересное, что все выглядит подлинно, но канцлер эту речь не произносил и не мог. Мы заинтересованы в мире с республикой К.

— То есть наша задача доказать, что это фальшивка?

— Не только. Ваша задача понять, как это сделано. Как вообще это стало возможным.

— Понятно. Итак, коллеги, ваши мысли?

— Сегодня подменить голос не проблема. Более того, можно сделать даже интонацию и подделать тон. Но вот видео… Рита, что скажут ваши умники?

— Нужно анализировать видео.

— Безусловно, однако меня сейчас интересует теоретическая возможность.

— Теоретически вполне возможно. Сегодня видеоролик на глазах перестаёт быть доказательством того, что определённый человек сказал те или иные слова: новая нейронная сеть может вложить в уста персонажа что угодно по воле создателя клипа. Правда, пока она работает лишь с изображением, а не со звуком. Разрабатывалась она для художественных фильмов. Технология является развитием методов, с помощью которых на изображения актёров «наклеиваются» лица известных людей. Новшество идёт дальше: оставляя персонажу видео его собственное лицо, оно придаёт ему нужную артикуляцию, заставляя произносить чужие слова.

— Погодите, но ведь тогда видеоролик перестанет быть компроматом на политика или доказательством в суде, ведь легко можно будет сфабриковать видео с любой речью, произносимой кем угодно!

— Если только не использовать специальное оборудование, которое будет подписывать видео с помощью электронной подписи. Это обойдется в кругленькую сумму, но другого выхода нет.

— Вы сможете провести анализ этого видеоролика?

— Да. Займемся анализом артефактов. Это займет до суток.

— Заказывайте любое оборудование, которое вам нужно, мои коллеги все вам доставят. И вообще, в вашем распоряжении любые суммы и средства. Империя стоит на грани войны.

Через три дня кризис был разрешен и получены необходимые доказательства. А оборудование для записи официальных лиц было закуплено заново.

Увы, это не сказка. Видеоролик на глазах перестаёт быть доказательством того, что определённый человек сказал те или иные слова: новая нейронная сеть, разработанная специалистами Университета Карнеги-Меллона, вкладывает в уста персонажа заданный текст.


Основы расследования киберинцидентов

18/09/2018

Сегодня очень распространено словосочетание «цифровая криминалистика», причем используют его весьма часто. Но что это такое? Вообще цифровая криминалистика (digitalforensics) — это наука о раскрытии преступлений, связанных с компьютерной информацией. Вместе с тем существует более полное
определение, которое, на мой взгляд, гораздо правильнее.
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удаленных объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом, и решается он
по-разному.

Win_9_18-pages-32-35


Сказки о безопасности: Расшифровка автомобиля

14/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203231

— Добрый день, Иоганн!

— Добрый день, господин комиссар! Что привело вас к нам в такую рань? Ведь явно же не просто так вы пришли. А выпить чашку хорошего кофе вы могли бы и у себя в кабинете. Тем более в такую мерзкую погоду.

А за окном вовсю хлестал дождь. Осень в империи началась вдруг резким похолоданием и дождями. Ветер и дождь, дождь и ветер. Казалось вода хлынула с небес сплошным потоком.

— Иоганн, вы же понимаете, что в такую погоду хорошая собака пожалеет хозяина и не будет проситься на прогулку. Значит меня привела очень важная причина. На самом деле у нас проблема. Нам нужно поставить прослушку в автомобиль Длинного Дэна. Он, как правило, проводит свои короткие совещания прямо в своем автомобиле.

— Ну так вскройте автомобиль и сделайте это.

— Ключевым является слово «вскройте». Мы не можем этого сделать. Он применяет электронный замок. А вскрыть его мы не можем.

— Понятно. Я поговорю с Ритой. Подумаем, чем мы можем вам помочь. Но, сами понимаете, это, увы, не мгновенно.

Прошло две недели.

— Иоганн, мы нашли решение.

— Какое?

— Автомобиль Длинного Дэна применяет беспроводную систему, которая использует относительно слабые алгоритмы шифрования для ключей. Наши исследователи разработали таблицу объемом в 6 Тб с возможными комбинациями кода — это примерно 216 возможный ключей. Помимо таблицы нужны еще радио-донгл, дубликатор и эмулятор RFID-меток, а также мини-компьютер. В общей сложности все оборудование стоит приблизительно 600 империалов.

— Погоди, но это же совсем не дорого!

— Более того, данный метод подходит для всех автомобилей, использующих беспроводные брелки, поскольку принцип работы таких систем одинаков: при нажатии на кнопку разблокировки брелок отправляет зашифрованный код, открывающий двери и запускающий бортовой компьютер. Оборудование способно удаленно считать сигнал с находящегося поблизости брелока, причем процесс получения криптографического ключа занимает менее 2 с.

— Ну что ж, Рита, получается мы можем порадовать комиссара?

— Да. И более того, мы продемонстрируем это на его собственном автомобиле.

— Господин комиссар, приезжайте к нам завтра с утра на вашем новом авто. Мы вам кое-что покажем.

Настало утро.

— Доброе утро, Иоганн, что вы хотели мне показать?

— Давайте подойдем к вашему автомобилю.

— Погодите, Иоганн, но я не оставлял на водительском сидении этот журнал. И тем более этот конверт. Что это?

— Откройте конверт, господин комиссар.

«Господин комиссар, мы успешно вскрыли ваш автомобиль, а значит и проблема Длинного Дэна успешно решена!»

— Иоганн, передайте мое восхищение вашим исследователям. Проблема действительно решена.

Увы, это не фантастика. Ключи от автомобиля Tesla сегодня подбираются за несколько секунд. Помните об этом.


Сказки о безопасности: Мошеннический запрос

12/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203189

— Ой, Потапыч, беда!

— Что опять случилось, Хрюша?!

— Ты ж банке работаешь?

— Ну да!

— В службе безопасности?

— Да говори ты толком, что случилось?

— Я ж у вас деньги свои держу!

— И что? Банк вроде надежный, я ж сам тебе рекомендовал. Что случилось-то?

— Да сегодня мне пришло SMS от имени банка, а в нем предупреждение о блокировке моей банковской карты из-за подозрительной операции.

— Правильно, что позвонила мне. А что было в сообщении?

— Для подтверждения транзакции мне предлагают позвонить по указанному номеру телефона, однако, когда я перезвонила, меня попросили назвать данные карты. Я испугалась, бросила трубку и позвонила тебе.

— Правильно сделала. Мы никому такие SMS не отправляли. Молодец, Хрюша! Умничка что позвонила сразу. Извини, я позже перезвоню, нужно предупредить нашу службу безопасности и наших вкладчиков! Спасибо!!!

— Так я все правильно сделала? А то думаю, вдруг я не права?

— Да правильно, правильно! Успокойся! Молодец что перезвонила! И запомни, не знаешь — перезвони сразу или мне, или на горячую линию банка, она у тебя на карточке написана. И не волнуйся! Никого ты не напрягаешь, горячая линия для того и создана, чтобы помогать.

Вот так закончилась эта история.

Увы, хорошо заканчиваются такие истории только в сказках. Гораздо чаще владельцы карточек идут на поводу у мошенников и сами отдают им свои деньги. Исследователи безопасности из компании Zecurion рассказали о новой мошеннической схеме, в ходе которой злоумышленники отправляют гражданам SMS-сообщения, якобы предупреждающее о блокировке банковской карты из-за подозрительной операции. Для подтверждения транзакции мошенники предлагают позвонить по указанному номеру телефона, однако, когда человек связывается со злоумышленниками, его просят назвать данные карты. Затем, с помощью полученной информации, хакеры выводят средства на свои счета. Пострадавших уже около сотни, а ущерб насчитывает порядка 2 млн. рублей.


Сказки о безопасности: Незапертый замок

10/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203125

— Рита, к вам на стажировку прикрепляются два новых курсанта Академии. Татьяна и Поль. Судя по отзывам из Академии, они хорошо образованы и могут вполне неплохо влиться в ваш коллектив.

— Спасибо, Иоганн, я как раз хотела попросить у вас двух новых «незасвеченных» людей для проведения оперативного мероприятия.

— В чем суть операции?

— Нужно проверить систему физической безопасности в банке на 18-й улице. Они давно нас просят. Но надо провести проверку негласно, чтобы о ней знал только руководитель банка.

— То есть служба безопасности знать об этом ничего не будет?

— Да. Проблема в том, что именно служба безопасности участвовала в проектировании здания изначально и поэтому привлекать их на данном этапе считаю недопустимым.

— Что смущает вас в проекте?

— Блокировка дверей с помощью RFID-карты.

— Ну вот с этого и начнем, тем более Поль и Татьяна писали на эту тему курсовые проекты. Пусть и покажут, чему их научили в Академии. А для начала Татьяна идет в экономический отдел, а Поль в техподдержку банка. Дадим им пару недель.

Прошло две недели.

— Шеф, ваша идея принесла плоды. Я в очередной раз хочу отметить высокий уровень наших курсантов. Поль обнаружил уязвимости в системе офисных контроллеров для управления физической безопасностью. Он заметил, что зашифрованные сообщения, рассылаемые устройствами по внутренней сети банка, не были случайными. А при надлежащей защите зашифрованные сообщения всегда должны выглядеть как случайный набор символов.

Он также обнаружил вшитый ключ шифрования, используемый для всех устройств. Ему удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Он смог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.

— И как это восприняли в банке?

— Как маленькое землетрясение! Ох сколько было крику, когда глава службы безопасности смог попасть к себе в кабинет только с четвертого раза. Причем его ключ то срабатывал, то нет.

— А что компания-производитель? Меры приняты?

— Меры-то приняты, да потребителям не легче, ведь фактически нужно заново покупать новые замки, починить-то их невозможно!

— Думаю, что стоит обязать компанию заменить все замки старого образца на новые бесплатно.

— Но ведь это может привести к банкротству компании?

— А лучше, чтобы за их разгильдяйство платили добросовестные покупатели? Думаю, нет!

Не так давно в офисе Google своим же сотрудником была выявлена уязвимость в дверных замках, благодаря наличию которой он смог открывать и блокировать все двери в офисе. Так что это, увы, не сказка.