Security Week 16: SWIFT под колпаком, в Magento снова дыра, подари Honeypot другу

7baa16b5ac694fba9ae6a9e9a70afae0.jpgShadow Brokers явно завидуют славе Ассанжа. Раньше они с покерфейсом выкладывали несвежие архивы инструментов АНБ, которые и сами по себе давали основания для знатного хейта в адрес АНБ. Теперь же Shadow Brokers — это такой Wikileaks, только лучше: в этот раз они слили не только эксплойты, но и логи, и совершенно секретные документы. Если раньше приходилось гадать, как и для чего АНБ применяет свои импланты, то теперь известно точно: SWIFT давно под колпаком у конторы.

Речь о сети SWIFT, которая занимается межбанковскими денежными переводами. Важнейшая вещь для международной торговли, да и внутри стран активно используется. Как раз недавно я писал про группу Lazarus, которая добывает деньги через SWIFT — и денег там очень много. Но максимум, что могут сделать те ребята, это обчистить корреспондентский счет банка в SWIFT. У АНБ замах оказался пошире.

Если верить документам Shadow Brokers, хакеры из группы Equation, связанной с АНБ, нашли ключик к сервисным бюро SWIFT. Для сети SWIFT эти организации играют ту же роль, что и интернет-провайдеры для Интернета — то есть обеспечивают доступ конечных пользователей (в данном случае — банков) к ресурсам сети, плюс предлагают сопутствующие сервисы. И в новой утечке нашлись вполне убедительные свидетельства того, что сеть как минимум одного из этих провайдеров успешно взломана АНБ.

Скомпрометированный провайдер — EastNets Service Bureau — конечно, тут же заявил, что, во-первых, их системы работают в изолированной сети и взломать их невозможно, а, во-вторых, все это было давно, и взломанный сервер они выключили еще в 2013 году.
[Лирический режим вкл.] Байки про собственные, физически не связанные с Интернетом, каналы связи, поют многие организации, имеющие дело с очень большими деньгами или совершенно секретными данными. Иногда это так и есть, но часто они выдают желаемое за действительное — создавать полносвязную физически изолированную сеть для крупных организаций очень дорого, а администрировать ее адски неудобно. Очень, очень хочется просто отгородить себе кусочек сети надежными невзламываемыми межсетевыми экранами [лирический режим выкл.].

В Magento нашли новый зеродей
Новость. Исследование. В последнее время Magento упоминается в новостях не реже, чем Wordpress. То тут дыра, то там дыра. А между тем, эта CMS применяется в интернет-магазинах. В России, например, под ней крутятся Lamoda, Ашан, Philips и Huawei и еще десятки других игроков рынка поменьше.

Уязвимость нашлась в функции, позволяющей администратору добавлять ролики с Vimeo в описание продукта. Если коротко, попытка загрузить превью-картинку к видео с указанием URL, ведущего не на изображение, а на что-то другое (к примеру, php-файл), приводит к возврату ошибки. Но кривой файл при этом скачивается на сервер! Получается, если скормить Мадженте .htaccess, разрешающий запуск php, а также php, запускающий cmd-шелл, можно сделать на сервере что угодно.

3ff90602744047f2b0cc3affa7dfeda3.png
Провернуть такой трюк не очень просто. Нужно либо подсунуть админу магазина, залогиненному в этот момент в Мадженту, специальную ссылку, либо надо как-то (хоть тушкой, хоть чучелом) получить доступ в панель администрирования, даже без полных разрешений. Призом может стать база данных пользователей, включая сохраненные данные платежных карт. Но! Безотносительно этой уязвимости, магазины, хранящие номера карт клиентов, стоит обходить стороной. Платежные системы давно придумали безопасные способы платежа через Интернет.

Кстати, после публикации этой новости на Threatpost пользователи Magento получили письмо от вендора CMS с оповещением об этой уязвимости и способами защиты, пока не выпущен патч. Однако что мешало заняться решением проблемы в ноябре, когда безопасники из DefenseCode уведомили компанию об этом безобразии? Вопрос, конечно, риторический.

Исследователь превратил IoT-устройства своих друзей в приманки для хакеров
Новость. Продолжаем нашу ретроспективу кулсторис с SAS 2017. Дэн Деметр, старший исследователь из глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского», поведал о бесчеловечных экспериментах, которым он подверг себя и своих друзей. Наш герой установил в домах приятелей роутеры с дырявыми прошивками (как будто в классе SOHO есть недырявые) в качестве ловушек (ханипотов) и заставил их протоколировать всю входящую активность, а также подключил компьютер, который прокликивал вредоносные линки и собирал семплы.

6def0f6dc67342139471ee97b4ec3651.jpgДвухгодичный улов составил 13 миллионов атак с 200 IP-адресов. Деметр наблюдал применение множества старых эксплойтов для уязвимостей, раскрытых еще в 2014 году, — очевидно, в Сети еще полно непропатченных устройств. Самое же интересное, что первая попытка атаки через уязвимость в Apache Struts 2 была зафиксирована уже на следующий день после публикации ее описания. Получается, что не следить за ИБ-новостями может быть просто опасно — плохие ребята держат руку на пульсе, и для накатывания патчей от новых уязвимостей у вас есть буквально несколько часов.

1a3d8477c94641beaa19694292d10b54.png

Древности


«Driver-1024»

Резидентный очень опасный «стелс»-вирус, поражает .COM- и .EXE-файлы при чтении и записи секторов каталогов, содержащих информацию о .COM- или .EXE-файлах. Свое тело хранит в последнем кластере инфицированного логического диска, этот кластер помечает как последний в цепочке кластеров. При заражении файла вирус корректирует лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет только одна копия вируса.

При инициализации проникает в ядро DOS, изменяет адрес системного драйвера дисков и затем перехватывает все обращения DOS к этому драйверу. В вирусе реализован мощный «стелс»-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла как через int 21h, так и через int 25h. При этом вирус обращается напрямую к ресурсам DOS и «пробивает» практически любые антивирусные брокировщики.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 65.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (2)

  • 21 апреля 2017 в 22:52

    0

    На скриншотах в соседней статье по swift-у есть несколько забавных упоминаний о ваших продуктах…))
  • 22 апреля 2017 в 00:30

    0

    Справедливости ради хочу сказать, что Lamoda не использует Magento уже больше двух лет

© Habrahabr.ru