Hlavní navigace

Postřehy z bezpečnosti: ve světle hodných červů

CSIRT.CZ

V dnešním dílu Postřehů se podíváme na „zatím” hodný červ Hajime, dále na další (z mnoha) nezabezpečených SOHO zařízení, exfiltraci dat pomocí DNS dotazů a senzorů světla nebo na to, jakým způsobem komunikují útočníci mezi sebou.

Byl objeven malware, který míří na stejné cíle a používá stejná jména a hesla jako Mirai. Jeho funkčnost se však trochu liší. Nemá (alespoň prozatím) funkcionalitu pro DDoS útok. A vlastně nemá schopnost provést jakýkoliv jiný útok. V tuto chvíli se pouze šíří a snaží se vyšachovat Mirai ze hry. 

Jeho jméno je Hajime a úplně poprvé byl objeven výzkumníky z Rapidity Networks na konci minulého roku. Na rozdíl od Mirai využívá místo command-and-control (C2) serverů peer-to-peer (P2P) protokoly, což značně komplikuje případné snahy o jeho vypnutí. Jediná jeho činnost kromě vlastního šíření je v tuto chvíli zobrazování informační zprávy na terminálu napadeného zařízení:

Just a white hat securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED.
Stay sharp!

V současné době se odhaduje, že počet zařízení v tomto botnetu se pohybuje kolem 150 000. Zda bude či nebude v budoucnu využíván k nekalé činnosti, nelze v tuto chvíli říci. Prozatím je jeho cíl jasný – vytlačit Mirai ze hry.

Naše postřehy

Známý výrobce audio techniky Bose čelí žalobě kvůli tajnému sbírání osobních informací svých zákazníků. Informace o preferované hudbě nebo oblíbených skladbách měl předávat třetím stranám. Problém se týká aplikace Bose Connect, která tyto informace údajně sbírá, aniž by s tím uživatel vyjádřil souhlas.

Tento týden si mezi výrobci domácích routerů vytáhl Černého Petra Linksys. Tao Sauvage publikoval výsledky svých testů zařízení ze série EA3500. Celkem se jemu a jeho kolegovi podařilo nalézt 10 zranitelností. Dvě z nich umožňují vzdálenému útočníkovi provést DoS zařízení posláním několika dotazů na specifické API. Útočník také může obejít přihlášení a získat tak zajímavé informace, jako verzi firmwaru, verzi linuxového jádra, seznam běžících procesů, seznam připojených USB zařízení nebo WPS PIN pro připojení přes Wi-Fi. Nepřihlášený útočník může také získat seznam připojených zařízení a jejich OS, přistupovat ke konfiguraci firewallu, číst konfiguraci FTP či získat informace o nastavení SMB serveru. V původním článku je také seznam všech zařízení, kterých se objevené zranitelnosti týkají.

Xavier Mertens rozebírá na webu SANS možnosti zneužívání DNS dotazů k exfiltraci dat. Konkrétně ukazuje, jak s využitím běžných shell utilitek odeslat soubor /etc/passwd v podobě DNS dotazů a na straně útočníka je zase poskládat zpět. Jako ochranu doporučuje sledovat logy DNS provozu a také velikost odesílaných dat.

Víte, jaké komunikační techniky používají útočníci mezi sebou pro vzájemnou domluvu? Jeden by řekl, že nejspíš nějaké vysoce sofistikované nástroje zaručující frajerskou anonymitu. Málokdo by si to tipnul, ale vypadá to, že až dvě třetiny útočníků říkají „ano“ Skypu. Což, řekněme si na rovinu, není nástroj, ve kterém byste se skryli před želízky. Nicméně je spolehlivý, dá se snadno nainstalovat a každý ho zná. Ukazuje to report společnosti Flashpoint, která procházela dark web fóra a zjišťovala jaké kontaktní údaje na sebe účastníci zanechávají – dělají to, protože tato diskuzní fóra mohou zmizet ze dne na den, včetně celé komunikační historie. Kromě toho používají často také Jabber a staré dobré ICQ (každé cca v 10 %), k jehož sympatiím možná přispěl i přechod pod ruského vlastníka v roce 2010.

Snímače okolního světla (ambient light sensor) mohou být zneužity ke krádeži dat z internetového prohlížeče. Nebo to alespoň tvrdí výzkumník Lukasz Olejnik

Senzory pro snímání okolního světla se staly již dávno běžnou součástí notebooků, smartphonů a tabletů, ve kterých jsou využívány k automatickému nastavení jasu displeje a přeneseně k optimalizaci spotřeby baterie. 

Některé prohlížeče jako např. Chrome a Firefox již v novějších verzích obsahují API vyvinuté konsorciem W3C (World Wide Web Consortium) umožňující webovým stránkám komunikaci se senzorem v uživatelově zařízení. Minulý měsíc tým Googlu navrhl, aby nebyl nutný ani explicitní souhlas uživatele s použitím světelného senzoru spolu s gyroskopem, magnetometrem a akcelometrem (stejně jako u mobilních aplikací, kde již tento souhlas potřeba není). 

Právě toto byl impuls pro výzkumníky Lukasze Olejnika a Artura Jance ke zveřejnění série ukázek, ze kterých je vidět možné zneužití senzorů např. pro výpis historie prohlížených stránek nebo vyčtení QR kódu. Je zjevné, že útočník by musel být poměrně dost odhodlaný, ale výzkumníci tak alespoň dali podnět k řešení týmům Firefoxu a Chrome.

Ve zkratce:

Zemřel jeden z tvůrců ARPAnetu

Ransomware nutí oběti hrát populární japonskou hru

Opravu kritické zranitelnosti vydal populární CMS Drupal

Záhadná bankovní loupež zanalyzovaná Kaspersky Labs

Google přestává věřit Symantecu coby certifikační autoritě

Shrnutí hrozeb a technik v kyberprostoru za 1. čtvrtletí 2017 (MalwareBytes)

Sledování SPAMu občas vede k zajímavým objevům

Malware krade data z řidičských průkazů

Spyware maskující se jako Android update slavil úspěch.

„Je-li to děravé vypněte to.” Řekli si tvůrci Brickerbotu.

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?
24. 4. 2017 15:30
koudy (neregistrovaný)

Security #101 - NIKDY, NIKDE neukládejte, neposílejte, neporovnávejte ani jinak nepracujte s "čistým" heslem (plain text) - v ideálním případě nepoužijete ani přihlašovací jméno, pouze hash z hesla, přihlašovacího jména a nějaké soli. (pak by to samozřejmě ani nemohlo být detekovatelné, že někdo jiný používá stejné heslo)

Pevně doufám, že to je jen vtip, ale pokaždé když vidím "byla ukradena hesla, která byla v DB uložena neHASHovaně", tak mě poleje studený pot.

24. 4. 2017 1:16
Kterýpak chytrý web... (neregistrovaný)

...používá tento tooltip k password políčku?

Nebo jde jen o skutečný vtípek?