220.8
Rating
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex

«Лаборатория Касперского» corporate blogInformation Security
Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong – сотового модема, который стоит в смартфонах Huawei.

Что тут началось! Впрочем, что именно тут началось нам доподлинно не узнать, но Вайнман кинулся искать дыры. И, разумеется, нашел и показал. А сколько черных шляп нашли, но ничего не сказали?.. Риторический вопрос. Однако исходники уже несвежие, но это не особо мешает поиску уязвимостей, которые, если верить Rand Corporation, живут в софте в среднем по 7 лет. А смартфонов с разными версиями этой прошивки на руках у народа – тьма. Например, только за третий квартал 2016 года Huawei продала 33 миллиона смартфонов Honor, половина которых — с HiSilicon Balong на борту.

Порывшись в исходнике на основе VxWorks, Вайнман сумел разработать метод доступа к C-shell, встроенному интерпретатору C. Тот, правда, ничего особенного не дает делать, помимо вызова любых экспортированных функций. Но уже одно это позволило Вайнману снимать дамп памяти, модифицировать ее содержимое, запускать новые задачи, и загружать динамические модули ядра. В своем выступлении на конференции Infiltrate он продемонстрировал, как можно извне инициировать соединение, которое Android не увидит. Тааак, похоже, мой Honor 6c отправляется в помойку.

Атака, описанная Вайнманом, проводится через поддельную базовую станцию на основе OpenLTE, которая прикидывается реальной вышкой сотового оператора и отправляет на смартфон хитрые пакеты, переполняющие буфер в стеке LTE. В итоге Android крэшится, аппарат ребутится и заселяет на борт нового “постояльца” — бэкдора.

Теперь хорошая новость: это все еще LTE, то есть без обладания закрытым ключом оператора или без подмены ключа в SIM-карте БС не подделать. Пойду достану смартфон из помойки. Впрочем, это только цветочки: Вайнман утверждает, что САМОГО СТРАШНОГО он еще не рассказал. Ей-богу, как Сноуден. Просто хочет дать Huawei шанс исправить ошибки.

Мораль истории в том, что опен-сорс в аспекте информационной безопасности хорош там, где его легко пропатчить. А на смартфонах практика обратная: если вашему аппарату стукнул год, обновления вы, скорее всего, не дождетесь. Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.

Компании сливают конфиденциальные данные через мультисканеры
Еще одна страшная новость с нашего SAS 2017. Как-то раз Маркус Найс из Swisscom AG натравил Yara на семплы, загруженные в VirusTotal. Абсолютно нормальное занятие, вот только он составил правила для поиска не малвари, а PGP-ключей. Обнаружив несусветное их количество, Маркус дополнил правила признаками конфиденциальных данных – TLP-метками уровней GREEN, AMBER и RED.

Первый улов его потряс: 60 писем от ФБР, 800 оповещений об информационных угрозах от Министерства внутренней безопасности США, три куртки импортных, учетные данные для VPN в ассортименте, приватные ключи SSH, масса внутрикорпоративной и даже государственной переписки. Вы спросите, откуда все это взялось на VirusTotal? Таки Маркус знает что сказать: слишком многие компании используют мультисканер как халявный антивирус, скидывая туда ВСЕ входящие документы. Ну, знаете, вдруг там малварь притаилась. Самое смешное, что среди семплов нашлись даже отчеты ИБ-подрядчиков о расследованиях киберинцидентов.

Вроде бы пока не очень страшно: ну льют все, что льется, на VirusTotal, no big deal. Однако же немалая доля пользователей сервиса может эти семплы скачивать. И качает ведь. Исследователь для проверки залил документ Microsoft Word с «канарейкой»-токеном, и в первые же два дня зафиксировал доступ из США, Германии, России и Польши.

Все это иначе как утечкой данных не назовешь, причем зачастую сливаются не свои данные, а информация клиентов и подрядчиков, а это совсем уже неприлично. По словам Нейса, особенно эту практику полюбили индийские IT-аутсорсеры – валят на VirusTotal и ему подобные сервисы все подряд. Вот так наймешь себе немного дешевых кодеров, а они твои данные всему миру явят… И наивно было бы думать, что черные дата-брокеры еще не обнаружили такую сытную кормушку.

Microsoft закрыла любимый зеродей Dridex
Есть и хорошие новости, и исследования. Только Dridex повадился заражать машины через уязвимость нулевого дня в MS Office, как Microsoft его взяла и закрыла! Буквально за три дня после обнаружения. Неясно, правда, как давно Dridex промышлял через этот баг. А последний, надо сказать, был сочный – позволял выполнять произвольный код, причем от жертвы требовалось лишь открыть документ с эксплойтом. Больше ничего жать не надо, ваш компьютер уже приняли в большую дружную ботосемью Dridex. В интернет-банк после этого лучше и не заглядывать – расстроитесь. Чуть погодя.

Механика работы эксплойта незамысловата. Жертва открывает RTF-документ со встроенным объектом OLE2link. Ворд послушно лезет в Интернет, куда указывает объект, тащит оттуда HTA-файл и скармливает его интерпретатору mshta.exe. VBScript внутри HTA, в свою очередь, скачивает троянца и устанавливает его, параллельно закрывая winword.exe и запуская его заново, но уже с другим документом. Это нужно, чтобы пользователь не успел увидеть сообщение от Word, создаваемое OLE2link.


А, да, чуть не забыл сказать, что Microsoft дыру закрыла, но как-то не до конца: пока есть патч только для Microsoft Office 2010, да и то, требующий SP2. При этом уязвимость актуальна вплоть до Office 2016. В качестве временного решения предлагается заблокировать RTF в Word и использовать Microsoft Office Protected View. Ну или предварительно высылайте все документы на VirusTotal (шутка:).

Древности


«Digger-1475»

Неопасный нерезидентный вирус. Зашифрован. Обходит дерево каталогов и стандартно записывается в COM- и EXE-файлы. Содержит текст «© DIGGER». Оставляет небольшую резидентную программу, которая периодически переворачивает экран вверх ногами.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 64.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:klswTheSAS2017dridexhuaweibalongvirustotalLTE
Hubs: «Лаборатория Касперского» corporate blog Information Security
+25
7.7k 20
Comments 4
Application Security Researcher
Лаборатория КасперскогоМосква
Senior Security Services Analyst
Лаборатория КасперскогоМосква
Application Security Specialist
Лаборатория КасперскогоМосква
Application Security Specialist
Лаборатория КасперскогоМосква
Application Security Researcher
Лаборатория КасперскогоМосква

Information

Founded
Location
Россия
Website
www.kaspersky.ru
Employees
1,001–5,000 employees
Registered