Hlavní navigace

Postřehy z bezpečnosti: kyberšpionážní malware a chyba v GnuTLS

Martin Čmelík 10. 3. 2014

Dnes se podíváme na kyberšpionážní rootkit/malware, který po osm let unikal pozornosti, kritickou chybu v GnuTLS postihující prakticky každý linuxový systém, Remote Access Tool schopný sestavit Android malware dle požadavků, scam kampaň na Facebooku, která infikovala již dva miliony lidí a mnoho dalšího.

Podobně jako jsme v předminulém dílu Postřehů informovali o kritické chybě při zpracování SSL/TLS spojení umožňující MitM útok, se zjistilo, že prakticky stejnou chybou trpí i světově používaná knihovna GnuTLS. GnuTLS především na Linuxu využívají stovky  (cca 350) aplikací a tím tak všechny z nich mohly přijmout spojení jako validní, i když bylo modifikované útočníkem. Velice nepříjemná zpráva i vzhledem k tomu, že chyba je v knihovně přes deset let. Přes deset let jste mohli slepě věřit šifrovanému spojení např. mezi vámi a bankou a přitom někdo na cestě mohl odposlouchávat data. Většina distribucí již uvolnila patch opravující chybu.

Ve výsledku se jedná o hloupou programátorskou chybu, která v případě Applu souvisí se špatnou návratovou boolean hodnotou a v případě GnuTLS špatným návratovým chybovým kódem. Zdrojový kód je podle Dave Wreskiho (Guardian Digital) tak komplikovaný, že by mohl chybu nalézt jen velmi malý počet programátorů a doufá, že aplikace pro softwarovou analýzu kódu budou v budoucnosti schopné podobné chyby odhalit. Z vlastní zkušenosti vím, že ani ty nejdražší komerční produkty neodhalí zdaleka všechno, ale určitě je dobré je používat, protože vám ušetří tisíce hodin práce a upozorní na věci, které byste určitě přehlédli. OpenSSL touto chybou naštěstí netrpí. Na Wikipedii naleznete pěkné porovnání SSL knihoven.

Výzkumníci německé společnosti G Data Software objevili podle nich jeden z nejsofistikovanějších špionážních malwarů/rootkitů s názvem Uroburos (podle řetězce: Ur0bUr()sGotyOu#). Podle výzkumníků existuje již tři roky a byl vytvořen v Rusku. Sestává se primárně ze dvou částí: ovladače a šifrovaného virtuálního souborového systému (NTFS a FAT). Ovladač je velmi komplexní a obsahuje techniky znesnadňující jeho detekci (pomocí inline patchingu). Komunikuje prostřednictvím P2P sítě mezi dalšími infikovanými počítači a pokud má alespoň jeden z nich přístup k Internetu, tak funguje jako prostředník mezi C&C serverem a ostatními počítači. Podle analýzy stojí za vývojem Uroburos stejný tým, který vyvinul malware Agent.BTZ použitý při jednom z největších kybernetických útoků proti vojenským systémům USA v roce 2008 (Operation Buckshot Yankee), protože ověřuje jeho přítomnost v systému.

V návaznosti na předchozí příspěvek společnost BAE zveřejnila studii o kyberšpionážním malwaru s názvem SNAKE, kde Uroburos byl součástí většího balíku, který existuje již osm let. Snake dokáže infiltrovat Windows XP, 7 i 8.x a používá pokročilé metody k eskalaci práv, skrývání své komunikace ve webové provozu uživatele a obcházení bezpečnostních funkcí Windows. Tento malware je aktivní převážně v Evropě.

Zdá se, že během evolučního vývoje dostal rootkit již několik názvů: Agent.BTZ, Red October, Turla, Uroburos, Snake, …

Naše postřehy

RAT (Remote Access Tool/Trojan) je malware využívaný nejčastěji pro vzdálené ovládání počítače oběti a její šmírování pomocí mikrofonu a webové kamery. Nyní se nově tento druh malwaru objevil na Android zařízeních a uživatel si ho může stáhnout spolu s regulérní aplikací/hrou z Google Play storu. Jednou z nich byla Parental Control, ve které objevil malware-kit Dendroid Marc Rogers ze společnosti Lookout Mobile vyvíjející antimalware software. Dendroid je softwarový balík schopný sestavit malware na míru vaším požadavkům, během pár kliknutí. Obsahuje velkou řadu funkcí od sledování uživatele (volání, SMS, historie prohlížeče, zadaná hesla, …), infikování ostatních aplikací až po sestavení kompletní C&C infrastruktury a obcházení googlovského detektoru podezřelých aplikací, který scanuje nové aplikace před publikováním na Google Play Store. To vše za pouhých 300 dolarů!

Podle zprávy společnosti Kaspersky síť Tor obsahuje odhadem na 900 hidden/Darknet služeb, botnetů, C&C serverů a několik černých trhů podobných již zrušenému Silk Road. V dnešní době čím dál více malwaru využívá Tor síť, aby tak skryl identitu, spojení a cílový C&C server. Příkladem budiž trojský kůň a banker Zeus využívající Tor, Sefnit botnet, keylogger ChewBacca, či backdoor Torec na platformě Android. Jsou to jen počátky a klienta Tor sítě nijak zvlášť neskrývají, nicméně je vidět jakým směrem se vývoj malwaru v dnešní době ubírá.

Toto úterý bude Microsoft opravovat chybu v Internet Explorer 9 a 10, kterou podle zprávy FireEye využívali útočníci během operace SnowMan, útočící na vojenské veterány s cílem získat vládní informace z jejich počítačů. Exploit a trojský kůň byly umístěny na oficiálním webu veteránů v iFramu. Flash exploit se spustil a využil use-after-free chyby (CVE-2014–0322) k úspěšnému infikování počítače.

Microsoft a jeho Bugbounty program pro obcházení ASLR a DEP bezpečnostních ochran budí velký zájem. Hlavní motivací bude jistě odměna ve výši 100 000 dolarů. Komu jde o bezpečnost, a přesto má/musí mít na svém systému OS Windows, by si měl určitě nainstalovat produkt EMET (Enhanced Mitigation Experience Toolkit) rozšiřující ochranu proti útokům. Dokáže detekovat a zastavit útoky obcházející či využívající ASLR, DEP, Export Address Table Filtering, Heapspray Allocation a pět různých ROP (Return Oriented Programming) metod.

Každý z vývojářů aplikací pro iOS by si měl přečíst poslední aktualizaci dokumentu popisující bezpečnost iOS. V dokumentu se seznámíte se všemi možnostmi ochrany proti útokům, které v sobě systém iOS 7 integruje, sandboxing aplikací, HW akceleraci šifrovacích algoritmů, bezpečné bootování zařízení, možnosti síťové bezpečnosti a ochrany proti zcizení. Komu se nechce číst celý dokument, může nalézt pět nejhlavnějších věcí shrnutých v tomto článku.

Nová scam kampaň na Facebooku infikovala již dva miliony uživatelů. Jedná se kampaň s názvem “Watch naked video of friends”, která vypadá jako přidaná někým z vašich přátel. Po kliknutí na odkaz jste přesměrováni na stránku oznamující, že váš Flash player nefunguje správně a je třeba ho reinstalovat. Místo něj si však do počítače nainstalujete malware. Ten poté instaluje rozšíření do vašeho prohlížeče pro další šíření scamu a pro přístup k vaším fotkám.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

13. 3. 2014 9:15

Peter (neregistrovaný)

Mňa by skôr zaujímalo či mala daná chyba podobnú cenu pre útočníka ako dsa-1571 (CVE-2008-0166) ktorá mala akože odstrániť varovanie z Valgrind. Holt, sponzoring.

10. 3. 2014 18:13

hmm,
teraz neviem ci sa mam tesit ze to nebol taky primitivny strojovo odhalitelny bug ako v probleme iOS kniznic, alebo ci mam byt smutny ze to bol zlozity semanticky bug a na vyhladanie podobnych maskrt bude treba vela ludskych zdrojov...


Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka