Технологии безопасности

Сайт посвященный вопросам безопасности

Security Week 20: Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее

(adsbygoogle = window.adsbygoogle || []).push({});

WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес бикойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.

Отличная бизнес-схема: ничего и делать не надо, просто поправили семпл и выпустили на волю, дальше он вормится по всему миру самостоятельно. EternalBlue + DoublePulsar и вперед, ничто их не остановит. Получается, жертвы этой волны не получат свои файлы назад даже после оплаты выкупа: ведь ключа для расшифровки файлов у владельцев кошелька нет. В принципе, это неплохой урок для любителей поддерживать бизнес рансомварщиков звонким бикойном, но ущерб от этого квази-воннакрая может быть очень серьезен.

В аудиодрайверах HP нашли кейлоггер

Такая вот новость. Аудиодрайвер Conexant, установленный на некоторых компьютерах производства Хьюлетта с Паккардом, пишет в лог все, что жмет на клавиатуре пользователь, а лог аккуратненько складывает в C:UsersPublicMicTray.log. Ничего не шифрует при этом.

Обычно безопасники больше всего ломают голову над вопросами «кто виноват» и «что делать», но в этот раз актуальнее вопрос «ЗАЧЕМ?!». Причина оказалась самая идиотская: разработчики таким образом на стадии отладки ловили баги при нажатиях горячих клавиш, да отключить забыли.

Список моделей с такой «особенностью» весьма обширен:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC

Не исключено, что кто-то давно это выяснил, и использует в своих гнусных целях. Реакция самих Conexant и HP на открытие была нулевая: когда Торстен Шредер из ModZero, обнаруживший проблему, попытался до них достучаться, ответа он не получил ни оттуда, ни оттуда. Пришлось ему опубликовать описание «уязвимости» и доказательство концепции, только после этого вендоры зашевелились.

Но зашевелились как-то специфически: функция протоколирования клавиатуры в драйвере осталась, ее лишь отключили ключом в реестре. ModZero предлагают пользователям замечательных компьютеров HP не надеяться на обновления, а просто грохнуть экзешник C:WindowsSystem32MicTray64.exe, пожертвовав возможностями регулирования звука с кнопок, ну и сам лог, конечно же.

Уязвимость в Chrome позволяет красть учетные данные

Новость. Исследование. Если вы думаете, что Windows 10 с последними обновлениями и новейшая версия Chrome защитит вас от злобных эксплойтных сайтов, то… ну, вы поняли. Прекращайте так думать, ибо в DefenseCode придумали хитроумную атаку через самый популярный браузер.

Суть причем не в программной ошибке, а в конфигурационной – по умолчанию Chrome без запроса разрешения скачивает с веб-сайтов файлы, которые считает безопасными. И все вроде бы ничего – он же их не запускает, – но в списке безопасных числятся SCF, командные файлы Explorer. Это текстовые файлы, содержащие две секции, в одной команда для исполнения при запуске, в другой путь к пиктограмме файла. И вот иконку Explorer пытается достать автоматически, снова не запрашивая пользователя. А ведь это может и сетевой путь, куда-нибудь в Интернет.

И снова – что же тут опасного, раз Explorer просто пытается загрузить иконку, а не исполняет ее? Просто при этом он пытается авторизоваться на SMB-сервере и выдает ему логин пользователя, домен, и хэш пароля NTLMv2. Соответственно, хакер может попытаться расхэшить пароль (что для простого пароля занимает часы), просто авторизоваться с этими данными на внешнем сервисе, использующем NTLMv2 – например, на сервере Exchange, – или же использовать их внутри взломанной сети, что полезно для повышения привилегий. Для пользователей Windows 8/10, логинящихся с помощью аккаунта Microsoft, это может привести к компрометации их учетных записей в OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live.

Защититься от подобной атаки можно, установив в настройках Chrome обязательный запрос на сохранение файла перед его загрузкой. Другие браузеры, как указывают в DefenseCode, SCF-файлы автоматически не загружают.

Древности

«V-944»

Нерезидентный опасный вирус. Стандартно поражает .COM-файлы текущего каталога и каталогов, отмеченных в COMSPEC. Перехватывает int 16h (клавиатура) и, в зависимости от вводимых с клавиатуры символов, запускает по 25-й строке экрана справа налево и обратно символ рожицы (ASCII 1). Движение рожицы сопровождается жужжанием. Достаточно жестко обходится с int 16h, может «завесить» систему. Снимает атрибут read-only, значение времени файла устанавливает в 62 секунды.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.