Postřehy z bezpečnosti: zástupce z Windows přináší malware

Pavel Bašta 29. 2. 2016

Dnes se podíváme na soubor zástupce s přilepeným malware, na nebezpečí bezdrátových myší a klávesnic, vrátíme se ke sporu Apple vs. FBI a zjistíme, jak to bylo s deanonymizací uživatelů sítě TOR.

Zajímavý příspěvek se objevil tento týden na fóru SANS ISC. Xavier Mertens v něm popisuje poslední spamovou kampaň. V té je uživatelům posílána příloha pojmenovaná faktura.rar. Útočníci zvolili starý kompresní algoritmus ACE, který má již období své největší popularity za sebou. Nicméně jak WinZIP, tak WinRAR si dokáží s tímto formátem stále poradit. To, že se jedná o starší formát, by mohlo pomoci protlačit soubor skrz běžné nízkoúrovňové filtry implementované v antispamových řešeních. Zajímavý je ale také obsah archivu, kterým je soubor s koncovkou .lnk, tedy klasický zástupce z Windows.

Argumenty příkazového řádku

Samotný zástupce odkazuje na příkazový řádek, kterému předává argumenty, jež se postarají o vytvoření dočasného souboru bwTFO.dll, který je pak spuštěn pomocí rundll32. Zajímavé je, že obsah souboru bwTFO.dll je přilepen k souboru faktura.lnk. Příkazem findstr je nalezen řetězec TvqQAA, kterým škodlivý kód začíná a pomocí certutil -decode je dekódován. Předpokládám, že by tato kampaň mohla mít slušnou úspěšnost, jak kvůli použití algoritmu ACE, tak i kvůli tomu, že většina uživatelů bude považovat soubor odkazu za neškodný. I když to není rozhodně poprvé, kdy byly soubory zástupců z Windows použity k šíření malware.

Naše postřehy

Pokud máte bezdrátovou myš a klávesnici některého z výrobců Logitech, Dell, HP, Lenovo, Microsoft, Gigabyte nebo AmazonBasics, pak byste měli vědět, že díky kombinaci různých zranitelností může útočník ovládnout váš počítač ze vzdálenosti až 100 metrů a dostat do něj třeba nějaký malware. Těžiště problému leží ve skutečnosti, že výrobci šifrují pouze komunikaci mezi donglem a klávesnicí, zatímco komunikace s myší je zpravidla nešifrovaná. Výzkumníci společnosti Bastille však nyní zjistili, že u zmíněných výrobců existují různé zranitelnosti, které mohou z uvedené skutečnosti těžit. První problém spočívá v neexistenci kontroly, zda obdržený paket odpovídá typu zařízení, které jej odeslalo. Jinými slovy, útočník může předstírat, že je myš, ale posílat informace o stisknutých klávesách. Ty pak kvůli neexistující kontrole budou předány donglem ke zpracování operačním systémem. Další problém spočívá v tom, že některé klávesnice sice používají pro přenos informací o stisknutých klávesách šifrování, ale nevyžadují ho. Útočník tedy může poslat vlastní stisky kláves a ty budou akceptovány. Poslední zranitelnost umožňuje obejít párovací mód donglu a spárovat novou klávesnici bez uživatelské interakce.

V USA vrcholily dohady o odemknutí iPhonu jednoho ze střelců, kteří v kalifornském San Bernardinu zastřelili 14 lidí. Těmto událostem se ostatně věnovaly už i poslední Postřehy. Soud nařídil společnosti Apple spolupracovat na odemčení tohoto iPhonu. Apple se bránil, neboť má nejspíš oprávněně obavu, že pokud dá jednou FBI nástroj pro odemčení iPhonu, bude to americká vláda zneužívat k dalším a dalším požadavkům. Tomu by odpovídala informace, že FBI chce ve skutečnosti již nyní od Applu odemknutí více než tohoto jednoho deklarovaného zařízení. Nelze se tedy ani divit, že Apple rozhodnutí soudu odmítl akceptovat. Jeho postoj podporují i další velké technologické společnosti, jako je Google, Facebook, nebo WhatsApp. Na druhou stranu jej za tento přístup kritizuje Bill Gates. A kromě něj například také prezidentský kandidát Donald Trump, který vyzval k bojkotu produktů společnosti Apple. Apple ale svůj boj nevzdává a to ani přes nepřízeň veřejného mínění a rozhodnutí napadne kvůli porušení ústavy USA. Apple také oznámil vývoj ještě lepšího zabezpečení budoucího iPhonu. A už také hledá vhodné spolupracovníky.

Ani v USA zjevně často levá ruka neví, co dělá pravá, a tak zatímco FBI bojuje s Applem a měla by ráda zadní vrátka minimálně pro šifrování a šifrovací nástroje, tak americká Federal Trade Commission (FTC) podala žalobu na společnost ASUS kvůli jejím věčně děravým routerům. :-) To zahrnuje různé problémy, počínaje výchozím jménem a heslem admin, či výchozím nastavením FTP přístupu bez hesla (které náš tým řešil v roce 2014 informováním uživatelů s touto špatnou konfigurací, přes různé zranitelnosti, jako heslo admina v obsahu stránky, a konče mysteriozním tlačítkem „Check for Upgrades“, které nedělalo nic. Výrobce se nakonec dohodl s FTC na pravidelných nezávislých bezpečnostních auditech. Pokud ASUS poruší dohodu, bude mu vystavena pokuta 16 000 dolarů za každé její porušení.

Už manažeři firem IG Farben nebo Siemens dobře věděli, že u velkých státních zakázek se po etických otázkách není radno pídit. Nelze se tak divit, že se nyní definitivně potvrdilo, že Carnegie Mellon University byla placena americkou vládou za výzkum techniky, která by umožnila odkrýt skutečnou identitu uživatelů sítě TOR. Přišlo se na to v souvislosti s probíhajícím vyšetřováním Briana Richarda Farrella, který má být údajným provozovatelem obchodu Silk Road 2.0. V souvislosti se sítí TOR ještě jedna zpráva, týkající se diskriminace uživatelů sítě TOR ze strany některých webových stránek. Je pravda, že důvodem může být prostě automatické zařazení IP adres do nějakého blacklistu, kvůli chování některých uživatelů sítě. Každopádně časté vyplňování CAPTCHA při používání TORu je dost otravné.

V diskuzi pod posledními Postřehy nás uživatel Martin upozornil na zranitelnost CVE-2016–2384. Chyba se týkala ovladače usb-midi v linuxovém jádru. Andrey Konovalov, který na chybu upozornil, emuloval s pomocí desky Facedancer21 zařízení Midiman s chybnými čísly endpointů v USB deskriptoru. Pokud měl k počítači pouze fyzický přístup, podařilo se mu takto způsobit pád systému, pokud měl i uživatelský účet, mohl spustit libovolný kód v ring-0.

Project Shield je nová služba, která má stránkám zabývajícími se například lidskými právy, nebo nezávislým zpravodajstvím nabídnout bezplatnou ochranu před DDoS útoky, založenou na reverzní proxy a cloudové platformě Google.

Ve zkratce

Pro pobavení

Ten okamžik, když si z Číny objednáte 1TB harddisk a zjistíte, že má jen 32 GB.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: CzechInvest pomůže startupům na hi-tech akce

CzechInvest pomůže startupům na hi-tech akce

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Vitalia.cz: Syfilis: To není „nemoc z lásky“

Syfilis: To není „nemoc z lásky“

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

120na80.cz: Pylová sezóna nejsilnějších alergenů končí

Pylová sezóna nejsilnějších alergenů končí

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

Vitalia.cz: Kedlubna, neobyčejná zelenina

Kedlubna, neobyčejná zelenina

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Root.cz: Čína má nejvýkonnější počítač světa

Čína má nejvýkonnější počítač světa

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

DigiZone.cz: Pevnost Boyard v září a česká

Pevnost Boyard v září a česká

DigiZone.cz: Fotbal na O2 TV Sport posiluje

Fotbal na O2 TV Sport posiluje

Lupa.cz: Kolín dá čipy na náměstí, do kontejnerů i dětem

Kolín dá čipy na náměstí, do kontejnerů i dětem