...

пятница, 16 декабря 2016 г.

Security Week 50: социализация криптолокеров, аудит OpenVPN, уязвимость в ядре Linux

Только мы обсудили, что криптолокеры стали вредоносной темой года не за технологии атаки, а благодаря, скажем так, социальным аспектам проблемы, как пришла новость, это подтверждающая. Вымогатель Popcorn Time назван в честь перспективного, но зарубленного на взлете софта для удобного скачивания фильмов из торрентов. Лоренс Абрамс, владелец сайта BleepingComputer, обнаружил, что код трояна явно не дописан, из-за чего не всегда работает связь с командным центром.

Но главной особенностью трояна является альтернативный вариант расшифровки: жертве предлагается отправить друзьям ссылку, по которой, предположительно, скачивается такой же троян, и в случае если два адресата установят вредоносную программу, ключ отправителю будет предоставлен бесплатно (иначе требуют 1 BTC). Предположительно, так как сайт в сети Tor на момент анализа вредоносной программы был недоступен.

В общем, на практике конкретно эта схема работать вряд ли будет. Не стоит забывать и о том, что распространение вредоносных программ преследуется уголовным кодексом вне зависимости от намерений или необходимости срочно расшифровать рабочие документы. Но попытка интересная: дистрибуция вредоносного контента самими жертвами происходит часто, но жертвы обычно об этом не догадываются. А тут дилемма покруче, чем «платить или не платить выкуп». Очень хочется верить в то, что данная технология развития не получит.


Требование выкупа выглядит примерно так. Очень много букв.

Собраны средства на публичный аудит OpenVPN
Новость.

Известный специалист по криптографии Мэтью Грин проведет аудит ПО OpenVPN. Договоренность с Грином достигнута публичным VPN-сервисом Private Internet Access, который спонсирует работу. Примечательно, что 22 ноября сбор средств для такой же цели начал фонд Open Source Technology Improvement. После того, как было собрано более 30 тысяч долларов (в основном жертвовали другие VPN-сервисы), Private Internet Access совершил демарш и оплатил все из своего кармана.

Понятно, что операторы VPN-сервисов кровно заинтересованы как в надежности своих продуктов, так и в грамотном пиаре. Пока непонятно, как разрулится эта ситуация, но если аудита в итоге будет два, никто особо не расстроится. Грин планирует исследовать самую свежую версию OpenVPN 2.4, сейчас находящуюся в стадии Release Candidate, релиз ожидается в январе. Результаты аудита будут «в начале года», хотя, если судить по опыту аудита TrueCrypt, история может затянуться. Напомню, проверка TrueCrypt завершилась в прошлом году: была обнаружена пара мелких уязвимостей, но ни одна не затрагивает защищенность данных.

Закрыта уязвимость в ядре Linux
Новость. Описание и Proof of Concept. Коммит, исправляющий проблему.

Уязвимость, способная привести к локальному повышению привилегий, была обнаружена в модуле af_packet, и появилась она там достаточно давно — в августе 2011 года. Тем не менее, закрыта она была через 4 дня после того, как исследователь приватно зарепортил проблему. В proof of concept показано, как можно создать состояние гонки, и на примере Ubuntu 16.04 с ядром 4.4 был продемонстрирован запуск шелла с правами суперпользователя. Помимо десктопных устройств на Linux, проблема актуальна и для Android, с рядом ограничений. В ряде случаев эксплойт может вызвать зависание системы, а кроме того может быть использован для удаленного взлома сервера, в случае если до этого как-то удалось получить к нему доступ с ограниченными правами.

Что еще произошло:
Серьезная уязвимость в некоторых роутерах Netgear, эксплуатируется тривиально — достаточно кликнуть на подготовленную ссылку, находясь в локальной сети. Временно лечится выключением веб-интерфейса (что тоже можно сделать, кликнув подготовленную ссылку).

Интересное исследование майнинга новой криптовалюты Zcash на чужих мощностях, без ведома владельца. Интересен способ обнаружения: сам майнер де-факто вредоносной программой не является. Но выявить потенциально зараженные системы можно по правилу: «есть майнер, который притворяется другой программой».

Древности


Семейство «Azusa»

Очень опасные вирусы. Поражают Boot-секторы дискет и MBR винчестера. Boot-сектор сохраняют в последнем секторе дискеты, исходный MBR не сохраняют (содержат загрузчик в своем коде). Периодически «завешивают» COM- и LPT-порты. Перехватывают int 13h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 95.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (0)

    Let's block ads! (Why?)

    Комментариев нет:

    Отправить комментарий