Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex


8d8c2fc30ae0468ebbf6fc7f2b63ded5.jpgБывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов — он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong — сотового модема, который стоит в смартфонах Huawei.

Что тут началось! Впрочем, что именно тут началось нам доподлинно не узнать, но Вайнман кинулся искать дыры. И, разумеется, нашел и показал. А сколько черных шляп нашли, но ничего не сказали?… Риторический вопрос. Однако исходники уже несвежие, но это не особо мешает поиску уязвимостей, которые, если верить Rand Corporation, живут в софте в среднем по 7 лет. А смартфонов с разными версиями этой прошивки на руках у народа — тьма. Например, только за третий квартал 2016 года Huawei продала 33 миллиона смартфонов Honor, половина которых — с HiSilicon Balong на борту.

1cf5b1fc93a84dc7a3132b9230ba765c.jpgПорывшись в исходнике на основе VxWorks, Вайнман сумел разработать метод доступа к C-shell, встроенному интерпретатору C. Тот, правда, ничего особенного не дает делать, помимо вызова любых экспортированных функций. Но уже одно это позволило Вайнману снимать дамп памяти, модифицировать ее содержимое, запускать новые задачи, и загружать динамические модули ядра. В своем выступлении на конференции Infiltrate он продемонстрировал, как можно извне инициировать соединение, которое Android не увидит. Тааак, похоже, мой Honor 6c отправляется в помойку.

Атака, описанная Вайнманом, проводится через поддельную базовую станцию на основе OpenLTE, которая прикидывается реальной вышкой сотового оператора и отправляет на смартфон хитрые пакеты, переполняющие буфер в стеке LTE. В итоге Android крэшится, аппарат ребутится и заселяет на борт нового «постояльца» — бэкдора.

Теперь хорошая новость: это все еще LTE, то есть без обладания закрытым ключом оператора или без подмены ключа в SIM-карте БС не подделать. Пойду достану смартфон из помойки. Впрочем, это только цветочки: Вайнман утверждает, что САМОГО СТРАШНОГО он еще не рассказал. Ей Богу, как Сноуден. Просто хочет дать Huawei шанс исправить ошибки.

Мораль истории в том, что опен-сорс в аспекте информационной безопасности хорош там, где его легко пропатчить. А на смартфонах практика обратная: если вашему аппарату стукнул год, обновления вы, скорее всего, не дождетесь. Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.

Компании сливают конфиденциальные данные через мультисканеры
Еще одна страшная новость с нашего SAS 2017. Как-то раз Маркус Найс из Swisscom AG натравил Yara на семплы, загруженные в VirusTotal. Абсолютно нормальное занятие, вот только он составил правила для поиска не малвари, а PGP-ключей. Обнаружив несусветное их количество, Маркус дополнил правила признаками конфиденциальных данных — TLP-метками уровней GREEN, AMBER и RED.

e11a9e5f82534138a1b22a072a4c6d6d.gifПервый улов его потряс: 60 писем от ФБР, 800 оповещений об информационных угрозах от Министерства внутренней безопасности США, три куртки импортных, учетные данные для VPN в ассортименте, приватные ключи SSH, масса внутрикорпоративной и даже государственной переписки. Вы спросите, откуда все это взялось на VirusTotal? Таки Маркус знает что сказать: слишком многие компании используют мультисканер как халявный антивирус, скидывая туда ВСЕ входящие документы. Ну, знаете, вдруг там малварь притаилась. Самое смешное, что среди семплов нашлись даже отчеты ИБ-подрядчиков о расследованиях киберинцидентов.

Вроде бы пока не очень страшно: ну льют все, что льется, на VirusTotal, no big deal. Однако же немалая доля пользователей сервиса может эти семплы скачивать. И качает ведь. Исследователь для проверки залил документ Microsoft Word с «канарейкой»-токеном, и в первые же два дня зафиксировал доступ из США, Германии, России и Польши.

Все это иначе как утечкой данных не назовешь, причем зачастую сливаются не свои данные, а информация клиентов и подрядчиков, а это совсем уже неприлично. По словам Нейса, особенно эту практику полюбили индийские IT-аутсорсеры — валят на VirusTotal и ему подобные сервисы все подряд. Вот так наймешь себе немного дешевых кодеров, а они твои данные всему миру явят… И наивно было бы думать, что черные дата-брокеры еще не обнаружили такую сытную кормушку.

Microsoft закрыла любимый зеродей Dridex
Есть и хорошие новости, и исследования. Только Dridex повадился заражать машины через уязвимость нулевого дня в MS Office, как Microsoft его взяла и закрыла! 8cbc70ca3c2044a5b921863326db9e40.gifБуквально за три дня после обнаружения. Неясно, правда, как давно Dridex промышлял через этот баг. А последний, надо сказать, был сочный — позволял выполнять произвольный код, причем от жертвы требовалось лишь открыть документ с эксплойтом. Больше ничего жать не надо, ваш компьютер уже приняли в большую дружную ботосемью Dridex. В интернет-банк после этого лучше и не заглядывать — расстроитесь. Чуть погодя.

Механика работы эксплойта незамысловата. Жертва открывает RTF-документ со встроенным объектом OLE2link. Ворд послушно лезет в Интернет, куда указывает объект, тащит оттуда HTA-файл и скармливает его интерпретатору mshta.exe. VBScript внутри HTA, в свою очередь, скачивает троянца и устанавливает его, параллельно закрывая winword.exe и запуская его заново, но уже с другим документом. Это нужно, чтобы пользователь не успел увидеть сообщение от Word, создаваемое OLE2link.
8cb33b6fccbb42b58a1f9b446cc0e0dc.png

А, да, чуть не забыл сказать, что Microsoft дыру закрыла, но как-то не до конца: пока есть патч только для Microsoft Office 2010, да и то, требующий SP2. При этом уязвимость актуальна вплоть до Office 2016. В качестве временного решения предлагается заблокировать RTF в Word и использовать Microsoft Office Protected View. Ну или предварительно высылайте все документы на VirusTotal (шутка:).

1a3d8477c94641beaa19694292d10b54.png

Древности


«Digger-1475»

Неопасный нерезидентный вирус. Зашифрован. Обходит дерево каталогов и стандартно записывается в COM- и EXE-файлы. Содержит текст »© DIGGER». Оставляет небольшую резидентную программу, которая периодически переворачивает экран вверх ногами.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 64.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (0)

© Habrahabr.ru