Hlavní navigace

Postřehy z bezpečnosti: vánoční nadělení aneb nejen Log4j

20. 12. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Zatímco všichni před vánoci balí dárky, IT pracovníci svorně kontrolují, zda nemají v systému nezáplatovaný framework Log4j, který by mohl zneužít třeba nový ransomware BlackCat, navržený téměř k dokonalosti, a nadělit jim pěkné starosti.

Log4j

Poslední dobou nedá správcům, ale ani útočníkům spát zranitelnost objevená v Log4j, což je logovací framework, který používá Java. Mnoho už bylo napsáno, tak jen ve stručnosti: chyba umožňuje vzdálené spouštění kódu. Oprava byla vydána rychle ale Java je obsažená téměř všude a nebude jednoduché aktualizovat veškerá zranitelná zařízení.

Záhy po vydání opravy byl objeven další problém tentokrát vedoucí k útokům typu DoS. Samozřejmě netrvalo dlouho a útočníci začali chyby zneužívat. Například ransomware Khonsari. Útok má klasický scénář, nejprve pomocí zranitelnosti kompromitují zařízení, zašifrují soubory a požadují výkupné. Podle ESETu je Česká republika na osmém místě v počtu pokusů o zneužití zranitelnosti, na prvním místě Japonsko následované Spojenými státy a Polskem.

ALPHV BlackCat

Nový ransomware, nezvykle napsaný v jazyce Rust, se objevil na ruských hackerských fórech. Jedná se o velmi propracovaný kousek fungující na principu RasS. Kdy provozovatelé poskytují veškerý komfort při krádežích dat, šifrování souborů, vymáhání výkupného a podobně. Za to si samozřejmě účtují podíl na uskutečněných transakcích.

Ransomware se ovládá z příkazové řádky a konfiguraci má uloženou v JSON. Pokud má útočník k dispozici přihlašovací údaje domény Windows, umí se rozšířit i na okolní zařízení. Před samotným šifrováním ukončí programy, které by mu mohly práci komplikovat.

Informace o výkupném jsou předem nakonfigurovány a každá oběť má unikátní stránku Tor, kde se může přesvědčit o ukradených datech, dozví se informace o výkupném a dokonce nabízí access-token pro přístup k soukromému chatu, aby při vyjednávání nikdo nepovolaný nerušil. Podle tvůrců je multiplatformní a otestován na Windows od verze 7, ESXI, Debian, Ubuntu, ReadyNAS, Synology. Expert na ransomware Michael Gillespie analyzoval ransomware a nenalezl žádné slabiny. Pokud oběti nereagují na krádež dat nebo zašifrované soubory, jako další metodu používají vydírání DDos útokem až do zaplacení výkupného.

TinyNuke

Ve Francii znovu ožil bankovní malware TinyNuke. Ten byl na vrcholu v roce 2018, od té doby se jen zřídka objevil v drobných kampaních. Útočníci klasicky rozesílají e-maily s odkazy na údajné faktury, dodací listy a podobně. Malware se zaměřuje jak na krádeže údajů, tak na instalaci dalšího škodlivého softwaru.

Anubis

Další nebezpečí pro naše účty představuje nová odnož bankovního trojanu Anubis Android. Tento malware se objevil v Google Play na konci července, maskuje se jako aplikace pro správu účtů od francouzské telekomunikační společností Orange SA a cílí na zákazníky téměř 400 finančních institucí, virtuálních platebních platforem a peněženek s kryptoměnami. Jako správný bankovní trojan sbírá data o používání a maskuje komunikaci s bankou, aby získal potřebné přihlašovací údaje.

Karakurt

Nová skupina záškodníků vystupující pod jménem Karakurt je zodpovědná za řadu krádeží dat a vyděračských útoků. Zvláštností je, že se snaží co nejvíce upravit své taktiky a nástroje cílové organizaci. Podle dostupných analýz se zaměřují spíše na získávání kompromitujících a důležitých dat a následnému vydírání, než na instalaci škodlivých nástrojů.

Spectra

Výzkumníci v oblasti kybernetické bezpečnosti objevili novou techniku útoku proti čipům kombinujícím různé bezdrátové technologie jako je Wi-Fi, Bluetooth a LTE. Zranitelnost nazvaná „Spectra“ umožňuje pomocí Wi-Fi pozorovat Bluetooth pakety a tím odhadovat úhozy na klávesnici. Naopak pomocí Bluetooth je možné získat přihlašovací údaje k Wi-Fi sítím, se kterými čip pracuje.

Zranitelnosti v Lenovo

Služba ImControllerService kterou požívá Lenovo ve svých noteboocích Yoga a ThinkPad, obsahuje zranitelnost, která umožňuje lokálnímu uživateli zvýšit oprávnění. Druhá zranitelnost TOCTOU (time-of-check to time-of-use) je zneužívána k zastavení procesu načítání a nahrazení ověřeného pluginu škodlivým souborem DLL, který se následně spustí s vysokými oprávněními.

root_podpora

Tato služba obstarává správu napájení systému, optimalizaci systému, aktualizace ovladačů a aplikací, a proto se nedoporučuje její zakázání. Oprava byla vydána 17. listopadu.

Blbinka


Autor: meme

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.