Postřehy z bezpečnosti: kyberšpionážní malware a chyba v GnuTLS

Martin Čmelík 10. 3. 2014

Dnes se podíváme na kyberšpionážní rootkit/malware, který po osm let unikal pozornosti, kritickou chybu v GnuTLS postihující prakticky každý linuxový systém, Remote Access Tool schopný sestavit Android malware dle požadavků, scam kampaň na Facebooku, která infikovala již dva miliony lidí a mnoho dalšího.

Podobně jako jsme v předminulém dílu Postřehů informovali o kritické chybě při zpracování SSL/TLS spojení umožňující MitM útok, se zjistilo, že prakticky stejnou chybou trpí i světově používaná knihovna GnuTLS. GnuTLS především na Linuxu využívají stovky  (cca 350) aplikací a tím tak všechny z nich mohly přijmout spojení jako validní, i když bylo modifikované útočníkem. Velice nepříjemná zpráva i vzhledem k tomu, že chyba je v knihovně přes deset let. Přes deset let jste mohli slepě věřit šifrovanému spojení např. mezi vámi a bankou a přitom někdo na cestě mohl odposlouchávat data. Většina distribucí již uvolnila patch opravující chybu.

Ve výsledku se jedná o hloupou programátorskou chybu, která v případě Applu souvisí se špatnou návratovou boolean hodnotou a v případě GnuTLS špatným návratovým chybovým kódem. Zdrojový kód je podle Dave Wreskiho (Guardian Digital) tak komplikovaný, že by mohl chybu nalézt jen velmi malý počet programátorů a doufá, že aplikace pro softwarovou analýzu kódu budou v budoucnosti schopné podobné chyby odhalit. Z vlastní zkušenosti vím, že ani ty nejdražší komerční produkty neodhalí zdaleka všechno, ale určitě je dobré je používat, protože vám ušetří tisíce hodin práce a upozorní na věci, které byste určitě přehlédli. OpenSSL touto chybou naštěstí netrpí. Na Wikipedii naleznete pěkné porovnání SSL knihoven.

Výzkumníci německé společnosti G Data Software objevili podle nich jeden z nejsofistikovanějších špionážních malwarů/rootkitů s názvem Uroburos (podle řetězce: Ur0bUr()sGotyOu#). Podle výzkumníků existuje již tři roky a byl vytvořen v Rusku. Sestává se primárně ze dvou částí: ovladače a šifrovaného virtuálního souborového systému (NTFS a FAT). Ovladač je velmi komplexní a obsahuje techniky znesnadňující jeho detekci (pomocí inline patchingu). Komunikuje prostřednictvím P2P sítě mezi dalšími infikovanými počítači a pokud má alespoň jeden z nich přístup k Internetu, tak funguje jako prostředník mezi C&C serverem a ostatními počítači. Podle analýzy stojí za vývojem Uroburos stejný tým, který vyvinul malware Agent.BTZ použitý při jednom z největších kybernetických útoků proti vojenským systémům USA v roce 2008 (Operation Buckshot Yankee), protože ověřuje jeho přítomnost v systému.

V návaznosti na předchozí příspěvek společnost BAE zveřejnila studii o kyberšpionážním malwaru s názvem SNAKE, kde Uroburos byl součástí většího balíku, který existuje již osm let. Snake dokáže infiltrovat Windows XP, 7 i 8.x a používá pokročilé metody k eskalaci práv, skrývání své komunikace ve webové provozu uživatele a obcházení bezpečnostních funkcí Windows. Tento malware je aktivní převážně v Evropě.

Zdá se, že během evolučního vývoje dostal rootkit již několik názvů: Agent.BTZ, Red October, Turla, Uroburos, Snake, …

Naše postřehy

RAT (Remote Access Tool/Trojan) je malware využívaný nejčastěji pro vzdálené ovládání počítače oběti a její šmírování pomocí mikrofonu a webové kamery. Nyní se nově tento druh malwaru objevil na Android zařízeních a uživatel si ho může stáhnout spolu s regulérní aplikací/hrou z Google Play storu. Jednou z nich byla Parental Control, ve které objevil malware-kit Dendroid Marc Rogers ze společnosti Lookout Mobile vyvíjející antimalware software. Dendroid je softwarový balík schopný sestavit malware na míru vaším požadavkům, během pár kliknutí. Obsahuje velkou řadu funkcí od sledování uživatele (volání, SMS, historie prohlížeče, zadaná hesla, …), infikování ostatních aplikací až po sestavení kompletní C&C infrastruktury a obcházení googlovského detektoru podezřelých aplikací, který scanuje nové aplikace před publikováním na Google Play Store. To vše za pouhých 300 dolarů!

Podle zprávy společnosti Kaspersky síť Tor obsahuje odhadem na 900 hidden/Darknet služeb, botnetů, C&C serverů a několik černých trhů podobných již zrušenému Silk Road. V dnešní době čím dál více malwaru využívá Tor síť, aby tak skryl identitu, spojení a cílový C&C server. Příkladem budiž trojský kůň a banker Zeus využívající Tor, Sefnit botnet, keylogger ChewBacca, či backdoor Torec na platformě Android. Jsou to jen počátky a klienta Tor sítě nijak zvlášť neskrývají, nicméně je vidět jakým směrem se vývoj malwaru v dnešní době ubírá.

Toto úterý bude Microsoft opravovat chybu v Internet Explorer 9 a 10, kterou podle zprávy FireEye využívali útočníci během operace SnowMan, útočící na vojenské veterány s cílem získat vládní informace z jejich počítačů. Exploit a trojský kůň byly umístěny na oficiálním webu veteránů v iFramu. Flash exploit se spustil a využil use-after-free chyby (CVE-2014–0322) k úspěšnému infikování počítače.

Microsoft a jeho Bugbounty program pro obcházení ASLR a DEP bezpečnostních ochran budí velký zájem. Hlavní motivací bude jistě odměna ve výši 100 000 dolarů. Komu jde o bezpečnost, a přesto má/musí mít na svém systému OS Windows, by si měl určitě nainstalovat produkt EMET (Enhanced Mitigation Experience Toolkit) rozšiřující ochranu proti útokům. Dokáže detekovat a zastavit útoky obcházející či využívající ASLR, DEP, Export Address Table Filtering, Heapspray Allocation a pět různých ROP (Return Oriented Programming) metod.

Každý z vývojářů aplikací pro iOS by si měl přečíst poslední aktualizaci dokumentu popisující bezpečnost iOS. V dokumentu se seznámíte se všemi možnostmi ochrany proti útokům, které v sobě systém iOS 7 integruje, sandboxing aplikací, HW akceleraci šifrovacích algoritmů, bezpečné bootování zařízení, možnosti síťové bezpečnosti a ochrany proti zcizení. Komu se nechce číst celý dokument, může nalézt pět nejhlavnějších věcí shrnutých v tomto článku.

widgety

Nová scam kampaň na Facebooku infikovala již dva miliony uživatelů. Jedná se kampaň s názvem “Watch naked video of friends”, která vypadá jako přidaná někým z vašich přátel. Po kliknutí na odkaz jste přesměrováni na stránku oznamující, že váš Flash player nefunguje správně a je třeba ho reinstalovat. Místo něj si však do počítače nainstalujete malware. Ten poté instaluje rozšíření do vašeho prohlížeče pro další šíření scamu a pro přístup k vaším fotkám.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“