Postřehy z bezpečnosti: Tor a dynamický patching souborů

Martin Čmelík 3. 11. 2014

V dnešním díle Postřehů se podívame na ruský Tor exit node, který dynamicky patchoval binární soubory, spyware instalovaný v telefonech Sony Xperia, analýzu SandWormu a ZxShellu, nabourání části sítě Bílého domu, další dvoufaktorovouu autentizaci služeb Googlu, nový projekt ShodanHQ a spoustu dalšího.

V Rusku byl odhalen Tor Exit Node, který dynamicky patchoval binární soubory stahované přes něj pomocí HTTP protokolu a vkládal do nich tak malware. Podobná funkce byla ukázána na jedné z přednášek konference DerbyCon a pro své účely napsal autor aplikaci BDFProxy (The Backdoor Factory framework Proxy). Útočný exit node byl odhalen pomocí nového modulu projektu exitmap (patchingCheck.py), který se používá právě na monitorování změn v Tor síti. Používejte vždy a všude HTTPS (bez SSLv3).

Naše postřehy

V polovině listopadu by měla proběhnout akce s názvem ZeroNights 2014. Návštěvníci se mohou těšit na přednášky o špionáži a deanonymizaci na internetu, popis chyb v aplikacích využívajících Message Queue nebo útok na moderní kryptografické algoritmy s využitím sledování spotřeby energie.

USB Armory – to je počítač velikosti flash disku sloužící k provozování a vyvíjení nejrůznějších aplikací. Andrea Barisani zmiňuje například úspěšné testy s provozem TORu na USB Armory pro potřeby Hacking in The Box.

Sony Xperia (s OS Android 4.4.2 a 4.4.4) obsahuje spyware Baidu posílající údaje o uživateli na servery v Číně. Aplikaci ani její soubory nelze z telefonu odstranit. Schopnosti této aplikace odpovídají běžným parametrům RAT (Remote Access Tool) a může tak o vás zjistit opravdu vše a poslat to na servery k analýze.

Velmi pěkný popis chyby CVE-2014–0257 v DCOM interface umožňující uniknout z Internet Explorer sandboxu.

Tři 0day exploity se šíří internetem jako mor a jsou aktivně využívány kyberzločinci. CVE-2014–4114 se nachází ve Windows OLE a postihuje prakticky všechny podporované verze Windows. Útočník úspěšnou exploitací může docílit spuštění kódu pod právy aktuálního uživatele. CVE-2014–4148 se nachází v procesu zpracování TrueType Font. I v tomto případě je rozsah postižených verzí Windows srovnatelný s podporovanými verzemi. A konečně CVE-2014–4113 umožňuje eskalovat práva.

Analýza SandWormu – jednoho z trojice aktuálně zneužívaných 0day exploitů pro Windows, konkrétně CVE-2014–4114. Tato chyba byla pravděpodobně využita Ruskem během kyberšpionážní kampaně mířící na NATO, Evropskou unii a telekomunikační a energetický sektor.

Mateusz Jurczyk (j00ru) přednášel na konfereni SECURE 2014 ve Varšavě o možnosti napadení počítače při analýze virového kódu díky chybám v použitých nástrojích. Při té příležitosti zveřejnil sadu chyb v celosvětově známém debuggeru Ida Pro. Přichází snad po období obrany doba, kdy bude malware běžně útočit na své narušitele?

Starší chyba CVE-2013–2729 postihující Adobe Reader a Acrobat se stala stěžejním kamenem při kampani kyber-kriminálníků cílících na bitcoinové stránky. Po otevření přílohy ve formě PDF souboru doručeného mailem dojde k vykonání exploitu a stažení varianty malware DYREZA.

11 let. Přesně tolik dostal údajný šéf jedné z nejsofistikovanějších kyberkriminálních skupin, Sergej Nikolajevič Čurikov. Jeho skupina vybrala z účtů 9 milionů dolarů přes 2100 automatů ve 280 městech po celém světě.

Pravděpodobně hackerská skupina Cyber Berkut stojí za útokem na elektronické billboardy v Kyjevě den před parlamentními volbami. Na těchto bilboardech byly následně vysílány děsivé fotografie vydávané za masakr způsobený ukrajinskou armádou v oblasti Luhanska a Donětska. Naštěstí se následně ukázalo, že snímky pochází z roku 1995 z oblasti Grozného v Čečensku. Snímky „bleskově využila“ ruská státní televize Kanal 1. To samo o sobě ukazuje na fakt, že Rusko pokračuje ve své snaze zkreslování skutečností a uvádění v omyl.

Na klasické PHP backdoory jsme si již za ty roky tak nějak všichni zvykli. Poměrně dost jich mohou zájemci nalézt například na Security-Portal.cz. Co ale takové ASP? Světe, div se! Situace je zde prakticky totožná jako v případě PHP, jen se o ní tak moc nemluví. V článku je popsána analýza jednoho zachyceného ASP backdooru.

Pravděpodobně v rámci ruské špionáže se podařilo neznámým hackerům nabourat do části sítě Bílého domu. K incidentu došlo někdy před dvěma až třemi týdny.

O tom, že ani dvoufaktorová autentizace není všemocná, vypovídá příběh z reálného života. Grant Blakeman popisuje, jak došlo ke kompromitaci jeho Instagram účtu pomocí Gmailu.

Podrobná analýza RAT (Remote Access Tool/Toolkit) ZxShell/Sensocode využívaného skupinou Group 72 při vysoce sofistikovaných útocích na vysoké hráče z řad letectví, obrany nebo médií.

Microsoft uvolnil one-click fix pro vypnutí SSLv3 ve všech podporovaných prohlížečích Internet Explorer. Důvodem tohoto počinu je nedávno objevená zranitelnost pojmenovaná Poodle.

Služba Samsungu “Find my Mobile” obsahovala CSRF chybu, díky které bylo (samozřejmě teoreticky) možné podsunout oběti odkaz na web, díky kterému si mohla oběť zablokovat vlastní mobil.

Google přidal další dvoufaktorovou autentizaci. Spolu s Google Authenticatorem je nyní možné použít i USB token s podporou protokolu U2F (Universal 2nd Factor) vydaný FIDO Aliancí. Samozřejmě je nutná podpora ze strany prohlížeče. Chrome U2F umí, u Firefoxu můžete trackovat bug 1065729. Jednoho krásného dne si třeba nebudeme muset pamatovat jediné heslo.

Nightmare je název distribuovaného fuzzingového řešení s webovým rozhraním napsaným v Pythonu. Ideální pro každého, kdo při hledání zranitelností dává přednost fuzzingu před manuální analýzou kódu. Doporučuje dvanáct z deseti agentů NSA.

widgety

Známý projekt ShodanHQ spustil novou službu: Industrial Control Systems je mapa všech detekovaných serverů v Internetu, které „ovládají svět kolem nás“. Jedná se o systémy ovládající klimatizace, světla v divadle, turbíny v elektrárnách.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Ošklivá zelenina s 10% slevou? Není to málo?

Ošklivá zelenina s 10% slevou? Není to málo?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip