20 sty 2019

Jak cyberprzestępcy używają memów do komunikacji z malware

0


Metoda ukrywania złośliwego kodu w obrazkach w celu ominięcia zabezpieczeń i wykonania złośliwego kodu, jest już od dawna wykorzystywana przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania i wykonywania złośliwych operacji. O interesujących możliwościach wykorzystywania tego mechanizmu steganografii pisaliśmy m.in. w artykule dotyczącym stegosploitów z maja 2015 roku (LINK).

 

Firma Trend Micro pod koniec roku 2018 opublikowała na swoim blogu artykuł opisujący wykorzystanie unikalnej techniki w... memach na Twitterze. Twórcy malware zamieścili dwa tweety zawierające "złośliwe memy" w dniach 25 i 26 października 2018 roku na koncie Twitter utworzonym w 2017 r. Memy zawierały wbudowane polecenie, które przeanalizowane przez szkodliwe oprogramowanie po pobraniu z zainfekowanego konta Twittera (bomber) na komputer ofiary, działało jak usługa C&C dla zainstalowanego już złośliwego oprogramowania.

Konto Twitter wykorzystane przez cyberprzestępców, z widocznym złośliwym memem zawierającym szkodliwy kod
źródło: https://blog.trendmicro.com

Należy zauważyć, że malware nie zostało pobrane z Twittera, a Trend Micro nie zaobserwowała, jaki konkretny mechanizm został użyty do dostarczenia szkodliwego oprogramowania swoim ofiarom. Szkodliwe oprogramowanie powiązane ze złośliwymi memami zostało zablokowane przez technologię uczenia maszynowego i behawioralną technologię wykrywania Trend Micro w momencie jej wykrycia.

To nowe zagrożenie (wykryte jako TROJAN.MSIL.BERBOMTHUM.AA) jest godne uwagi, ponieważ komendy szkodliwego oprogramowania są odbierane za pośrednictwem platformy społecznościowej, używają niewinnie wyglądających, ale złośliwych memów, i nie można ich usunąć, chyba że złośliwe konto na Twitterze zostanie całkowicie wyłączone. Twitter po otrzymanym zgłoszeniu przejął konto i od 13 grudnia 2018 r. przełączył je w tryb offline.

Badacze bezpieczeństwa z Trend Micro odkryli we wspomnianych memach m.in. ukryte polecenie "/print", które umożliwia złośliwemu oprogramowaniu wykonanie zrzutów ekranu zainfekowanej maszyny. Następnie malware otrzymuje informacje o serwerze kontroli od Pastebin i wysyła zebrane dane do atakującego, przesyłając je pod określony adres URL.

Wydobyty złośliwy kod z adresem URL odsyłającym do pastebin.com
źródło: https://blog.trendmicro.com
Złośliwe oprogramowanie analizuje zawartość konta cyberprzestępców na Twitterze i zaczyna szukać pliku obrazu na tym koncie, używając wzoru:
 



Podczas przeprowadzanej przez Trend Micro analizy, dwa memy (pliki: DqVe1PxWoAIQ44B.jpg oraz DqfU9sZWoAAlnFh.jpg) zawierały polecenie "/print". Gdy złośliwe oprogramowanie pobierze już obrazek, próbuje wydobyć polecenie zaczynające się od znaku "/".


Fragment wydobytego kodu służącego do zlokalizowania poleceń
źródło: https://blog.trendmicro.com

Lista poleceń wydobytych z obrazków, obsługiwanych przez złośliwe oprogramowanie:
  1. /print - wykonanie zrzutu ekranu;
  2. /processos - pobranie listy uruchomionych procesów;
  3. /clip - przechwycenie danych ze schowka;
  4. /username - pobranie nazwy uzytkownika z zainfekowanego komputera;
  5. /docs - pobranie nazwy plików z określonej ścieżki (np.desktop, %appdata%, etc.).


Złosliwy kod służący do wykonania zrzutu ekranu
źródło: https://blog.trendmicro.com
Zagrożenie jest realne a złośliwe konto Twittera to tylko przykład, ponieważ równie dobrze tego typu mechanizmy powiązane ze steganografią mogą zostać użyte w każdym innym serwisie społecznościowym lub stronie internetowej (złośliwej lub przejętej).

Indicators of Compromise (SHA-256):
  • 003673cf045faf0141b0bd00eff13542a3a62125937ac27b80c9ffd27bb5c722
  • 3579d609cf4d0c8b469682eb7ff6c65ec634942fa56d47b666db7aa99a2ee3ef
  • 88b06e005ecfab28cfdbcab98381821d7cc82bb140894b7fdc5445a125ce1a8c
  • 8cdb574ba6fcaea32717c36b47fec0309fcd5c6d7b0f9a58fc546b74fc42cacd

Źródło:
https://blog.trendmicro.com

Czytaj więcej...

12 sty 2019

Pierwszy zdalny atak typu side-channel na pamięć podręczną stron

0

Zespół ośmiu ekspertów z Uniwersytetu Technicznego w Grazu, Uniwersytetu w Bostonie, NetApp, CrowdStrike i Intel opublikował 4 stycznia 2019 roku wyniki dotyczące ataków na pamięć podręczną stron. W przeciwieństwie do podatności Spectre i Meltdown, ten atak jest pierwszym, stabilnym i sprzętowo niezależnym atakiem typu side-channel, który może zdalnie atakować systemy operacyjne i skutecznie pozyskiwać dane, pomijając zabezpieczenia.


Celem pamięci podręcznej jest utrzymywanie jak największej ilości przydatnych danych w taki sposób, żeby błędy braku strony były obsługiwane szybko. Większość pamięci procesu użytkownika znajduje się w pamięci podręcznej stron lub pliku wymiany (ang. swap cache). Pamięć podręczna jest "warstwą" systemu znajdującą się pomiędzy jądrem i kodem obsługującym dyskowe operacje wejścia wyjścia. Strony wymiatane z pamięci procesu nie są natychmiast zapisywane na dysk, ale dodawane właśnie do pamięci podręcznej.

Atak side-channel opisany przez zespół badawczy działa poprzez mechanizmy zawarte w systemach operacyjnych Windows i Linux, które pozwalają programistom lub aplikacjom sprawdzić, czy strona pamięci jest obecna w pamięci podręcznej strony systemu operacyjnego. Te dwa mechanizmy to wywołanie systemowe "mincore" dla systemu Linux i wywołanie systemowe "QueryWorkingSetEx" dla systemu Windows.

Następnie naukowcy wykorzystali złośliwy proces uruchomiony w systemie w celu utworzenia stanów eksmisji pamięci podręcznej stron, które zwalniają stare strony pamięci z pamięci podręcznej strony. Ponieważ system pamięci podręcznej stron systemu operacyjnego zapisuje eksmitowane dane na dysku, uruchamia różne błędy lub ładuje nowe strony do pamięci podręcznej stron, naukowcy twierdzą, że mogą wywnioskować, jakie dane są przetwarzane w pamięci podręcznej stron, nawet przez inne procesy lub aplikacje.
 
W wyjaśnieniu ataku autorzy napisali:
Nasz atak pozwala na nieuprawnione monitorowanie niektórych dostępów do pamięci innych procesów, z przestrzenną rozdzielczością 4KB i czasową rozdzielczością 2 mikrosekundy na Linuksie (ograniczone do 6,7 pomiarów na sekundę) i 466 nanosekund w systemie Windows (ograniczone do 223 pomiarów na sekundę); jest to mniej więcej ten sam rząd wielkości, co obecne ataki pamięci podręcznej typu "state-of-the-art".

Co to dokładnie oznacza? Wartości te pozwalają na przechwytywanie więcej niż 6 naciśnięć klawiszy na sekundę, więc jest to wystarczająca ilość do dokładnego przechwycenia wprowadzanych informacji, np. haseł. 

Wartości zwracane przez atak na pamięć podręczną strony podczas wprowadzania hasła w systemie Linux (u góry) i podczas pisania w edytorze w systemie Windows (na dole). W Windowsie zaobserwowano zdarzenia zarówno przy naciśnięciu jak i puszczeniu klawisza klawiatury i osiągnięto wysoką częstotliwość ataku.
W obu przypadkach nie występują zakłócenia między naciśnięciami klawiszy.

Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Po wyszczególnieniu informacji podstawowych dotyczących pamięci podręcznych sprzętu, ataków pamięci podręcznej i pamięci podręcznych oprogramowania autorzy dostarczają model zagrożenia atakiem, w którym naukowcy zakładają, że "napastnik i ofiara mają dostęp do tej samej pamięci podręcznej strony systemu operacyjnego. W Linuksie zakładają również, że atakujący ma dostęp do odczytu strony docelowej, która może być dowolną stroną dowolnego pliku dostępnego dla atakujących w systemie".

Przegląd ataku
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Technika przedstawiona w dokumentacji ataku pozwala w 2,68 sekund eksmitować strony na Linuxie. W systemie Windows trwa to wolniej, ze średnim czasem wykonania 10,1 sekund.

Wszystkie wymienione powyżej ataki są możliwe do przeprowadzenia lokalnie, gdzie nieuprzywilejowany proces uruchamia złośliwy kod na docelowym komputerze ofiary (np. poprzez malware). Atak można jednak zmodyfikować tak, aby atakujący "bombardował" zdalnie komputer złośliwym kodem w celu pobrania danych z jego pamięci. Jednak zdalne ataki nie są aż tak skuteczne, ponieważ nie mogą ominąć np. piaskownic i wymagają precyzyjnego dostosowania w oparciu o sprzęt ofiary (nie są sprzętowo niezależne, jak lokalne ataki).

Opóźnienie podczas zdalnego ataku side-channel na pamięć podręczną stron
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Powyższy rysunek przedstawia histogram opóźnienia podczas przeprowadzanego zdalnego ataku side-channel na 100 kilobajtowy plik pamięci podręcznej stron (ok. 25 stron). Ponadto, opóźnienia zwiększają się wraz z ilością pozyskiwanych atakiem stron.

Mounir Hahad, szef Juniper Threat Labs w Juniper Networks stwierdził, że "ta klasa ataku prezentuje znacznie niższą barierę złożoności niż wcześniejsze ataki side-channel z wykorzystaniem sprzętu i może być łatwo stosowana zarówno przez pojedynczych hackerów jak i cyber-gangi".

Autorzy ataków ujawnili lukę firmie Microsoft a ta już naprawiła sposób, w jaki Windows radzi sobie z odczytami cache strony. Dyskusje o tym, jak radzić sobie z łatkami na Linuksa wciąż trwają.

Ponadto, jeden z naukowców pracujących nad atakiem stwierdził, że nie testowano ataku na MacOS, ale ponieważ system ten również wykorzystuje mechanizmy pamięci podręcznej stron, ataki tego typu są jak najbardziej możliwe do przeprowadzenia.

Więcej informacji w języku angielskim znajdziecie w dokumentacji ataku: 
https://arxiv.org/pdf/1901.01161.pdf


Źródło:
Daniel Gruss, Erik Kraft, Trishita Tiwari, Michael Schwarz, Ari Trachtenberg, Jason Hennessey, Alex Ionescu, Anders Fogh - Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)
zdnet.com

Czytaj więcej...

11 sty 2019

ABW zatrzymało dyrektora polskiego oddziału HUAWEI oraz byłego oficera ABW

0



ABW zatrzymała Polaka i Chińczyka podejrzanych o współpracę z chińskimi służbami specjalnymi. Weijing W. to dyrektor polskiego oddziału Huawei. Piotr D. to z kolei były wysoki rangą oficer ABW, obecnie ekspert ds. cyberbezpieczeństwa i osoba znana w kręgach związanych ze sprawami cyberbiznesu.


We wtorek rano funkcjonariusze ABW wkroczyli równocześnie do domów obu podejrzanych. Oficerowie kontrwywiadu zabezpieczyli również dokumenty i dane elektroniczne w siedzibach Huawei oraz firmy Orange, dla której pracował Piotr D. W Orange Piotr D. odpowiadał m.in. za współpracę ze Związkiem Banków Polskich i system SMS-ów alarmowych.

Jak ustalili dziennikarze tvp.info, zastępca ambasadora Chińskiej Republiki Ludowej w Polsce w związku z tą sprawą pojawił się w gmachu Ministerstwa Spraw Zagranicznych z prośbą o umożliwienie chińskim służbom konsularnym kontaktu z aresztowanym obywatelem chińskim. W związku z tym, że dyrektora sprzedaży firmy Huawei nie chroni immunitet dyplomatyczny, pozostanie on, podobnie jak Polak, w areszcie co najmniej trzy miesiące. 

Kapitan Piotr D. był funkcjonariuszem ABW do roku 2011. W Agencji był wiceszefem Departamentu ds. Bezpieczeństwa Teleinformatycznego oraz doradcą ówczesnego szefa tej służby specjalnej gen. Krzysztofa Bondaryka. Jego odejście wiązano z tzw. infoaferą – dotyczącą korupcji przy rządowych przetargach informatycznych – ale nigdy nie postawiono mu w związku z tym zarzutów.

Piotr D. miał dostęp do kluczowych informacji, w tym funkcjonowania SŁR, czyli Sieci Łączności Rządowej. To wewnętrzny system pozwalający na utajnione przekazywanie informacji najważniejszym osobom w państwie. Po odejściu z ABW zajmował się bezpieczeństwem teleinformatycznym w Wojskowej Akademii Technicznej, Urzędzie Komunikacji Elektronicznej (w latach 2012-2016) oraz Orange.

Weijing W. jest absolwentem Pekińskiego Uniwersytetu Studiów Zagranicznych uchodzącego za kuźnię kadr chińskiej dyplomacji i wywiadu. Studiował tam polonistykę. Podczas studiów na Uniwersytecie Łódzkim odbył roczny kurs języka polskiego. Od 2006 roku pracował w Konsulacie Generalnym ChRL w Gdańsku. W 2011 r. został zatrudniony w Huawei i ponownie wysłany do Polski. Odpowiadał za public relations tej firmy w Polsce oraz kontakty z przedstawicielstwami dyplomatycznymi. W 2017 roku został dyrektorem sprzedaży Huawei.

O sprawie poinformował zastępca ministra koordynatora służb specjalnych Maciej Wąsik. Sąd zdecydował o aresztowaniu mężczyzn na trzy miesiące - podał z kolei rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn.


Zatrzymane przez ABW osoby.

Obaj mężczyźni nie przyznają się do winy i odmawiają składania wyjaśnień.

Z kolei władze Czech w grudniu 2018 r. zapowiedziały, że nie będą korzystać z urządzeń i usług Huawei przy tworzeniu miejscowej infrastruktury teleinformatycznej. Jako powód podano zastrzeżenia Krajowego Biura Cybernetyki i Bezpieczeństwa Informacji. Jednak kilka dni później czeski rząd złagodził swoje stanowisko, zaznaczając, że przy zamówieniach publicznych nie chce dyskryminować żadnej z firm technologicznych.

Ponadto, na początku grudnia 2018 r. Alex Younger, szef MI6 - brytyjskiego wywiadu zagranicznego - ostrzegał w publicznej wypowiedzi przed zagrożeniami związanymi z zaangażowaniem chińskich firm - w tym Huawei - w budowę sieci 5G. Jak podkreślał, "musimy zdecydować, do jakiego stopnia czujemy się z komfortowo z tym, że Chińczycy będą mieli kontrolę nad tymi technologiami i platformami".


[AKTUALIZACJA 13.01.2019 r.]

[ Firma Huawei poinformowała, że w trybie natychmiastowym zwolniła swojego pracownika - jednego z dyrektorów polskiego oddziału firmy Weijinga W., którego w Polsce zatrzymano pod zarzutem szpiegostwa - bowiem zepsuł  on reputację firmy. ]




Żródło:
www.tvp.info
businessinsider.com.pl

Czytaj więcej...

6 sty 2019

NSA udostępni narzędzie do inżynierii wstecznej o nazwie GHIDRA

0

National Security Agency (NSA), jedna ze służb specjalnych USA udostępni bezpłatne narzędzie do inżynierii wstecznej na zbliżającej się konferencji bezpieczeństwa RSA, która odbędzie się w marcu tego roku w San Francisco. Nazwa tego oprogramowania to GHIDRA, a pod względem technicznym jest to dissasembler, oprogramowanie, które rozkłada pliki wykonywalne na kod, który może być analizowany przez ludzi. GHIDRA została napisana w Javie, ma graficzny interfejs użytkownika (GUI) i działa na systemach Windows, Mac i Linux. GHIDRA może analizować pliki binarne dla wszystkich głównych systemów operacyjnych, takich jak Windows, Mac, Linux, Android i iOS, a modułowa architektura obecnej wersji (7.0.2) umożliwia użytkownikom dodawanie pakietów na wypadek, gdyby potrzebowali dodatkowych funkcji, takich jak kryptoanaliza, interakcja z OllyDbg, czy Ghidra Debugger.

Zgodnie z opisem GHIDRA we wstępie do sesji konferencji RSA, narzędzie "zawiera wszystkie funkcje oczekiwane w zaawansowanych narzędziach komercyjnych, z nowymi i rozszerzonymi unikalnymi funkcjami opracowanymi przez NSA". Brzmi ciekawie.

Przykładowa analiza przy pomocy narzędzia GHIDRA
 
NSA opracowało narzędzie GHIDRA na początku 2000 roku, a od dobrych kilku lat dzieli się nim z innymi agencjami rządowymi USA, które mają powołane zespoły odpowiadające za cyberbezpieczeństwo i które m.in. analizują kod złośliwego oprogramowania. O istnieniu narzędzia GHIDRA świat dowiedział się w marcu 2017 roku, kiedy WikiLeaks opublikował tzw. Vault 7, zbiór wewnętrznych plików i dokumentacji, które podobno zostały wykradzione z sieci intranetowej CIA. Dokumenty te ujawniły m.in., że CIA była jedną z agencji, które miały dostęp do tego narzędzia.
Były pracownik NSA i badacz bezpieczeństwa Charlie Miller potwierdził na Twitterze, że narzędzie to było używane przez NSA 13 lat temu kiedy kończył pracę w tej agencji (LINK).
 
Osoby, które znają i używają narzędzia GHIDRA (m.in. byli pracownicy NSA) i podzieliły się opiniami na jego temat w mediach społecznościowych, takich jak Reddit i Twitter, porównały je z IDA, dobrze znanym ale bardzo drogim narzędziem do inżynierii wstecznej. Większość użytkowników twierdzi, że GHIDRA jest wolniejsza i bardziej obciążająca niż IDA, ale dzięki otwartemu kodowi źródłowemu i możliwości wsparcia ze strony społeczności open source, GHIDRA być może szybko nadrobi "zaległości", a w przyszłości przekroczy możliwości IDA. Czyżby zatem szykowały się promocje na licencjonowanie narzędzia IDA? ;) 

Jeden z wpisów na Reddicie dot. narzędzia GHIDRA

Informacja o tym, że NSA udostępnia swoje wewnętrzne narzędzia nie powinna już dziwić. W ciągu ostatnich kilku lat NSA opublikowała narzędzia open-source, z których największym sukcesem jest Apache NiFi, projekt do automatyzacji dużych transferów danych między aplikacjami internetowymi, który z kolei stał się jednym z ulubionych narzędzi z obszaru cloud computingu. Łącznie NSA ma 32 projekty open-source w ramach programu transferu technologii (TTP), a ostatnio otworzyła nawet... oficjalne konto GitHub.

Według zapowiedzi, GHIDRA zostanie pokazana na konferencji RSA 5 marca tego roku i prawdopodobnie niedługo pojawi się na specjalnej stronie NSA (LINK) oraz na jej koncie GitHub (LINK).

Garść informacji na temat narzędzia GHIDRA:
https://wikileaks.org/ciav7p1/cms/page_51183656.html

Źródło:
rsaconference.com
zdnet.com
gbhackers.com
wikileaks.org
reddit.com
nsa.gov 

Czytaj więcej...

5 sty 2019

Ogromny wyciek danych z Town of Salem, na liście także użytkownicy z Polski

0

BlankMediaGames przyznało kilka dni temu na swoim blogu, iż hakerzy wykradli dane osobowe 7,6 milionów użytkowników z ich przeglądarkowej gry "Town of Salem". Naruszenie danych zostało po raz pierwszy wykryte i ujawnione 28 grudnia 2018 roku, kiedy to kopia bazy danych Town of Salem została anonimowo przesłana do serwisu DeHashed, (wyszukiwarka i agregator baz danych zdobytych przez hackerów).

 
Baza danych zawierała dowody przełamania zabezpieczeń z serwerów i dostęp do pełnej bazy danych graczy, która zawierała m.in. 7 633 233 adresów e-mail (najczęściej występujący dostawcy poczty to: Gmail, Hotmail i Yahoo.com). Na liście znalazły się także użytkownicy z Polski, m.in. konta pocztowe zarejestrowane z domen wp.pl (ponad 16 tysięcy) oraz z o2.pl (ponad 9 tysięcy).

Po przeanalizowaniu kompletnej bazy danych, DeHashed ujawniło, że zainfekowane dane zawierały następujące informacje o graczach Town of Salem:
  • Adresy e-mail;
  • Nazwy użytkowników;
  • Zahashowane hasła (w formatach phpass, MD5 (WordPress) i MD5 (phpBB3));
  • Adresy IP;
  • Aktywność w grze i na forum;
  • Niektóre informacje o płatnościach (w tym pełne nazwy, adresy rozliczeniowe i wysyłkowe, informacje o IP i kwoty płatności).

Top 50 adresów mailowych z wycieku BlankMediaGames:

email ilość
gmail.com 4530276
hotmail.com 928706
yahoo.com 662824
outlook.com 158033
icloud.com 93557
aol.com 77929
live.com 75164
hotmail.co.uk 63992
comcast.net 26435
web.de 24999
ymail.com 23881
mail.ru 23851
google.ca 20984
seznam.cz 17693
wp.pl 16875
gmx.de 16500
msn.com 15472
googlemail.com 14818
live.co.uk 14800
me.com 14614
yahoo.co.uk 14601
abv.bg 14538
hotmail.fr 14040
rocketmail.com 13263
mail.com 13036
hotmail.ca 11457
live.nl 11094
yahoo.ca 10702
live.ca 9986
o2.pl 9260
hotmail.de 8992
windowslive.com 8910
att.net 8899
live.se 8551
sbcglobal.net 8436
yopmail.com 7938
hotmail.it 7243
verizon.net 7121
yahoo.de 6994
aim.com 6855
trbvm.com 6831
yandex.ru 6785
hotmail.se 6595
mvrht.net 6200
live.dk 5959
cox.net 5741
btinternet.com 5480
live.com.au 5454
hotmail.es 5322
yandex.com 5259

BlankMediaGames przyznało także, że w naruszeniu tym nie ujawniono numerów kart kredytowych użytkowników.

Źródło:
thehackernews.com

blog.dehashed.com

Czytaj więcej...

1 sty 2019

Kalendarium - przegląd wydarzeń z 2018 roku

0




2018 rok już za nami, dlatego zdecydowaliśmy się przypomnieć naszym czytelnikom ważne wydarzenia dotyczące służb specjalnych oraz branży IT, tworząc mini kalendarium 2018 roku:


Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift