Hlavní navigace

Postřehy z bezpečnosti: (ne)přizpůsobiví hackeři

CESNET CERTS

V dnešním díle postřehů se podíváme na skupinu (ne)přizpůsobivých hackerů měnících techniky útoků, potenciální zranitelnosti 4G/5G sítí, Apple ID hesla v ohrožení a další zajímavosti z bezpečnosti.

Změna techniky útoku skupiny FIN7

Finančně motivovaná skupina FIN7 APT (také známá jako Carbanak nebo Anunak) nedávno změnila techniku útoku a implementovala novou metodu skrývání malwaru. Skupina, která byla aktivní od konce roku 2015, byla od začátku roku 2017 velmi aktivní. Fin7 se zaměřovala na osoby spolupracující s Komisí pro cenné papíry a burzy (SEC) s novými zadními vrátky využívající PowerShell zvanými POWERSOURCE. V dubnu hackerská skupina přijala nové phishingové techniky a využila skryté soubory zástupců (soubory LNK) ke kompromitaci cílů.

Hackeři používali malware bez souborů, ale aby se vyhnuli detekci, tak od té doby přešli k používání CMD souborů namísto LNK. V dokumentech, které byly nedávno zveřejněny, se zdá, že FIN7 přecházel od používání OLE vložených LNK souborů k OLE vloženým CMD souborům. Při spuštění CMD soubor zapíše JScript do souboru tt.txt pod domovským adresářem aktuálního uživatele. Dávkový soubor poté zapíše sám sebe do souboru pp.txt rovněž v domovském adresáři uživatele. Potom za použití JScriptu spustí WScript na daný soubor a JScript kód začne číst soubor pp.txt, kde přeskočí první čtyři řádky a ostatní řádky vyhodnotí vždy po přeskočení prvního znaku na řádku. Výsledkem obou formátů souborů CMD a LNK je spuštění kódu, ale posun k používání CMD souborů indikuje touhu uniknout autorům detekčních nástrojů.

Hackeři FIN7 také provedli několik změn v technice ukrývání jejich zadních vrátek, HALFBAKED, která se v průběhu let neustále zlepšovala. Během posledního roku došlo ke zlepšení schopností a snížení možnosti detekce. V minulosti různé stupně HALFBAKED používaly kódování base64 v řetezcovém poli zvaném srcTxt. Útočník nyní skrývá jméno a pokračuje rozdělováním řetězce base64 do více řetězců v poli. ICEBRG objevil, že zadní vrátka HALFBAKED nyní obsahují vestavěný příkaz getNK2, který byl navržen tak, aby načítal seznam cílových adres e-mailových klientů Microsoft Outlook. Přítomnost tohoto příkazu naznačuje, že skupina FIN7 má za cíl zahájit phishingové útoky v organizaci oběti.

Zranitelné 4G/5G sítě

Internet věcí (IoT) představuje mnoho nových příležitostí a přináší nové výzvy. Není ale ekonomické velký počet zařízení připojit tradiční síťovou kabeláží a mnohdy uvažované zařízení podporuje pouze bezdrátové připojení. Mnoho zařízení IoT pro spotřebitele využívá sítě Wi-Fi, což přináší bezpečnostní problémy. Největší útoky typu DoS zneužívají spotřebitelská zařízení IoT (Mirai Botnet) a v řadě případů jsou lidé špehováni prostřednictvím svých nezabezpečených webových kamer. Zatímco Wi-Fi je široce používána v domácnostech, tak není příliš použitelná ve velkých komerčních instalacích jako ve výrobě, energetice nebo chytrých městech.

V poslední době se v komerčním prostředí IoT stávají infrastrukturní volbou také sítě 4G/5G, které přestože jsou spravovány odborníky, obsahují zranitelnosti neočekávaně zvyšující rizika. Tyto sítě spoléhají na tzv. EPC (Extended Packet Core), které využívá protokol GTPv2 (General Tunneling Protocol version 2), který umožňuje kombinovat hlasové a datové komunikační kanály. V tom byly objeveny nejnovější chyby. Samo o sobě v protokolu není žádné šifrování zahrnuté, takže se zabezpečením a ověřováním spoléhá na jiné aplikace.

Společnost Positive Technologies předpovídá tři různé potenciální zranitelnosti:

  1. Únik informací: s přístupem k síti zjištění informací o dalších uzlech (umístění, verze firmwaru apod.).
  2. Odmítnutí služby: GTP se používá k vytvoření izolovaného komunikačního kanálu, ve kterém je však kombinována komunikace několika uživatelů a je možné, aby jeden uživatel odpojil tunel pro všechny uživatele.
  3. Kompletní převzetí: mnoho zařízení IoT běží s jednoduchou implementací IP protokolu či zranitelným systémem. V těchto zařízeních mohou existovat dosud neobjevené zranitelnosti a nedostatek šifrované izolace znamená, že jsou vzdáleně přístupné a možná vzdáleně zranitelné.

Podobně jako u ostatních bezdrátových protokolů, jako je WiFi a Bluetooth, EPC není ve své podstatě bezpečné. Pokud se budete muset spoléhat na tyto topologie pro zabezpečenou komunikaci, musíte využít další bezpečnostní prvky. Jako vždy musíte být zodpovědní za svou vlastní bezpečnost.

Hesla Apple ID v ohrožení

Felix Krause, vývojář iOSu a zakladatel Fastlane.Tools, ukázal, že je téměř nemožné rozpoznat phishingový útok, který vysvětluje, jak může zlomyslná aplikace pro iOS ukrást vaše heslo Apple ID pro přístup k vašemu iCloud účtu a datům.

Aplikace pro iOS může používat UIAlertController pro zobrazení falešných dialogových oken pro uživatele, což napodobuje vzhled a pocit z oficiálního dialogu systému Apple. Proto je pro útočníka snadnější přesvědčit uživatele, aby bez jakéhokoli podezření dali svá hesla Apple ID. Vývojář se rozhodl při demonstraci útoku z bezpečnostních důvodů nezobrazit zdrojový kód vyskakovacího okna.

Jako ochrana před takovými phishingovými útoky je doporučeno stisknout tlačítko Domů, když se zobrazí taková podezřelá pole. Pokud se po stisknutí zavře jak aplikace pod dialogovým oknem, tak samotné dialogové okno, pak se jednalo o phishingový útok. Pokud dialog a aplikace stále existují, je to oficiální systémové dialogové okno společnosti Apple. Rovněž je doporučováno vždy použít dvoufaktorovou autentizaci.

Ve zkratce

FLIR Thermal Camera Exploit

Nový trojan v útocích na Střední východ

FormBook malware

Říjnová záplata od Microsoftu

Znepokojující únik dat

OnePlus tajně shromažďuje data

Špionážní hry

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?