Postřehy z bezpečnosti: C&C server z nebes

Pavel Bašta 14. 9. 2015

V dnešním díle postřehů se podíváme na maskování C&C serverů pomocí únosu internetového připojení přes satelit, na zranitelnosti NAS disků Synology, dále na problém bezdrátových disků Seagate, na aplikaci tajně pořizující fotky uživatelů, na další problém uživatelů Ashley Madison a na řadu dalších událostí.

Skupina údajně ruských útočníků, známá jako Turla APT, zneužívá komerční satelity k ochraně svých C&C serverů. Tato skupina, která získala svůj název díky nechvalně známému malware Turla, zneužívá internetové připojení realizované přes satelity ke stažení citlivých dat z vládních, armádních, diplomatických a dalších napadených zdrojů tak, aby nedošlo k prozrazení umístění jejich command-and-control serverů.

Jak už to bývá, celé je to geniálně jednoduché. Skupina využívá toho, že provoz generovaný službami pro stahování internetových dat prostřednictvím satelitů není v podstatě nijak zabezpečen. Díky tomu mohou útočníci snadno zjistit IP adresu regulérního uživatele této služby na konkrétním satelitu. Útočníci následně instruují napadené počítače, aby získaná data odeslaly na zjištěnou IP adresu. Pak jim již stačí sledovat provoz přicházející pro tuto IP adresu a případně posílat přes jinou linku, umožňující upload, odpovědi na SYN pakety, případně další potřebná data. Protože každý satelit pokrývá obvykle rozsáhlou plochu, nemohou vyšetřovatelé obvyklým způsobem získat informaci o fyzickém umístění C&C serveru

Naše postřehy

Kdo má Synology NAS, ten by měl určitě co nejdříve záplatovat software Synology Video Station, ve kterém bylo nalezeno několik závažných zranitelností SQL injection a také zranitelnost command injection. Ta v nejhorší možné konstelaci (se zapnutou volbou „public share“) umožňuje spuštění libovolného příkazu vzdáleným útočníkem a navíc s právy roota. Doufejme, že žádného z uživatelů těchto NAS disků nepotká v dohledné době stejná katastrofa, k jaké došlo v několika případech v minulém roce. Tehdy útočníci využili již známou a záplatovanou zranitelnost k napadení systému ransomwarem cryptolocker.

NIST (National Institute of Standards and Technology) financuje několik startupových projektů, které pracují na bezdotykových čtečkách otisků prstů. Oficiálním důvodem má být urychlení celého procesu čtení otisků a obavy o hygienickou stránku věci. Osobně bych měl spíš obavy z možného zneužití takovéhoto zařízení, ať už ze strany zločinců, nebo ze strany různých vládních organizací.

Bezdrátové disky Seagate (Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage a LaCie FUEL) obsahují závažné zranitelnosti Direct Request (‚Forced Browsing‘), Unrestricted Upload of File with Dangerous Type a také nedokumentovanou službu telnet dostupnou s pomocí jména a hesla root. Za upozornění děkujeme uživateli s nickname Jenda.

Aplikace Adult Player pro Android slibovala pornografické materiály, místo toho tajně pořizovala fotografie uživatelů. Ty pak tento ransomware zobrazil na obrazovce telefonu spolu s požadavkem na zaplacení částky 500 dolarů.

Uživatelé seznamky Ashley Madison mají další problém. Během deseti dnů se podařilo cracknout více než 11 milionů uživatelských hesel. Členové skupiny CynoSure Prime se pustili do analýzy uniklého zdrojového kódu stránek. Tak zjistili, že část uživatelů má svůj loginkey vytvořen pomocí MD5. V proměnné loginkey je pak jak uživatelské jméno, tak heslo, ovšem obě jsou zde uloženy v podobě, kdy mají všechna písmena pozměněna na malá. I když jsou hesla tímto způsobem upravena, pomohlo to urychlit získávání hesel z uniklých hashů hesel, které byly vytvořeny pomocí funkce bcrypt a jejichž prolamování by bez této výpomoci bylo příliš náročné. Díky jejich práci se můžeme pokochat žebříčkem třiceti nejhorších hesel z Ashley Madison. Překvapí ještě někoho, že heslo 123456 používalo 120 511 uživatelů?

V řadě aplikací a her přímo v Google Play byl nalezen malware Android.Trojan.Mkero.A. Ten je znám již od roku 2014, ale toto je jeho první výskyt v oficiálním obchodu Google Play. Tento trojský kůň dokáže obejít CAPTCHA ochranu přeposláním obrázku on-line službě antigate.com, která během chvilky vrátí tomuto malware potřebný výsledek. Kromě toho umí také nalézt v SMS potřebný aktivační kód. Tento malware totiž slouží k přihlašování uživatelů k prémiovým službám, pochopitelně bez vědomí dotyčných uživatelů. Mezi aplikacemi v Google Play, které obsahovaly tento malware, byly dvě, které měly několik set tisíc stažení.

Devadesát jedna procent Američanů se údajně domnívá, že přínos přidání zadních vrátek do šifrovacích mechanismů omlouvá rizika s tím spojená. Snad je celý průzkum v duchu hesla „věřím pouze těm statistikám, které jsem sám zfalšoval“.

Ve zkratce

Pro pobavení

Ano, stejného efektu využívá i APT Turla.



Zdroj:www.clickhere.gr

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,38

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

Podnikatel.cz: Paušální daň: Sociální, zdravotní v jednom

Paušální daň: Sociální, zdravotní v jednom

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

DigiZone.cz: Panasonic v Praze uvedl TV pro rok 2016

Panasonic v Praze uvedl TV pro rok 2016

Podnikatel.cz: Etický kodex firmy nezachrání

Etický kodex firmy nezachrání

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

DigiZone.cz: Rádio Retro spouští stream o Karlu IV.

Rádio Retro spouští stream o Karlu IV.

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?