Security Week 22: вымогатель в виртуальной машине
На прошлой неделе специалисты компании Sophos раскрыли детали интересного трояна-шифровальщика Ragnar Locket (статья в издании ZDNet, технический пост в блоге Sophos). Вымогатель тащит за собой на атакованную систему полноценную виртуальную машину, в которой запускается, получает доступ к файловой системе хоста и шифрует данные. Помимо прочего этот случай показывает, что инфляция инсталляторов добралась и до вредоносного софта. Чтобы спрятать собственно вредоносный код размером 49 килобайт, жертве доставляют установщик объемом 122 мегабайта, который распаковывается до 282 мегабайт.
По данным Sophos, вымогатель использует группировка, нацеленная на бизнес. В пример приводят атаку на поставщика электроэнергии Energias de Portugal. Предположительно у них украли 10 терабайт данных, а за расшифровку киберпреступники потребовали 1580 биткойнов. В СМИ операция с виртуальной машиной описана как эффективный трюк для обхода антивирусного ПО. Но на деле такая «инновация» не требует каких-либо изменений в технологиях защиты.
Необходимо только правильное применение существующих.
В отчете компании не сказано, как именно происходит заражение компьютера. Чтобы запустить вредоносный объект, нужно либо убедить пользователя это сделать, либо воспользоваться уязвимостью. Есть только намек на эксплуатацию дыр или простых паролей для RDP-соединения. Упоминаются также атаки на поставщиков услуг (Managed Service Providers), иными словами — удаленных администраторов из другой компании, у которых есть полный доступ к инфраструктуре потенциальной жертвы. Достаточно взломать такую организацию, чтобы получить возможность атаковать ее клиентов.
А дальше все просто. На компьютер устанавливается виртуальная машина Oracle Virtualbox, причем невероятно древняя — релиз 2009 года, еще от имени компании Sun. С помощью скрипта передаются параметры конфигурации виртуальной машины. Запускается урезанный образ ОС Windows XP (MicroXP 0.82, сборка 2008 года). Устанавливается виртуальное сетевое соединение и поднимается доступ ко всем дискам на хосте:
Процесс шифрования в публикации Sophos не описан. Перед ним еще один скрипт закрывает по списку приложения и сервисы на основной системе, чтобы снять блокировку с редактируемых файлов. В конце на атакованный компьютер кладется текстовый файл с требованием выкупа.
If you’re concerned about #Ragnar ransomware’s new evasion tactic via #VMbox virtual machines, don’t panic: our products detect the malware using the behavior monitoring https://t.co/58FcxfzkOj
— Eugene Kaspersky (@e_kaspersky) May 22, 2020
Продвинутых технологий здесь нет: это подготовленная виртуальная машина и кучка скриптов. С точки зрения защитного решения такая атака принципиально не отличается от появления в корпоративной сети зараженного компьютера с доступом к сетевым папкам. Да, есть нюанс — явно вредоносный софт на атакуемой машине даже не появляется: он спрятан внутри виртуального образа, а запускается только легитимное ПО.
Проблема решается анализом поведения программы или действий с удаленного компьютера на предмет четких маркеров «я хочу здесь что-то зашифровать». Любопытный способ сэкономить на разработке сложных вредоносных технологий.
Что еще произошло
Издание The Register опубликовало детали атаки на авиакомпанию EasyJet. В период между октябрем 2019 года и январем 2020-го злоумышленники украли данные о кредитных картах относительно небольшого числа клиентов (по официальным данным — около 2200). Судя по сообщениям пострадавших, утечка информации о бронированиях (но не платежных данных) затронула миллионы пользователей.
Компания Trustwave сообщает, что злоумышленники используют сервис Google Firebase. Сервис, созданный для разработчиков, используют для хостинга фишинговых страниц. Это только одна из многих попыток воспользоваться легитимными инструментами Google в рамках кибератак.
Киберпреступники атакуют сервисы для выплаты компенсаций пострадавшим от пандемии. Свежий (но не единственный) пример — атаки на государственные сервисы в США. Группировка, предположительно действующая из Нигерии, использует данные жителей и компаний, направляя компенсации на свой банковский счет.
Арестован предполагаемый распространитель базы логинов и паролей, известной как Collection 1. Изначально доступная на черном рынке, эта база из 773 миллионов записей попала в открытый доступ в январе прошлого года.
Исследователи из Великобритании, Германии и Швейцарии нашли новые уязвимости в протоколе Bluetooth (новость, исследовательская работа). Недостатки в процессе авторизации позволяют атакующему имитировать устройство, с которым жертва уже устанавливала связь. Проблема подтвердилась на выборке из 31 устройства с Bluetooth, на 28 разных чипсетах.
