Security Week 20: Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее

    WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

    Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

    Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес биткойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.

    Отличная бизнес-схема: ничего и делать не надо, просто поправили семпл и выпустили на волю, дальше он вормится по всему миру самостоятельно. EternalBlue + DoublePulsar и вперед, ничто их не остановит. Получается, жертвы этой волны не получат свои файлы назад даже после оплаты выкупа: ведь ключа для расшифровки файлов у владельцев кошелька нет. В принципе, это неплохой урок для любителей поддерживать бизнес рансомварщиков звонким биткойном, но ущерб от этого квази-воннакрая может быть очень серьезен.

    В аудиодрайверах HP нашли кейлоггер

    Такая вот новость. Аудиодрайвер Conexant, установленный на некоторых компьютерах производства Хьюлетта с Паккардом, пишет в лог все, что жмет на клавиатуре пользователь, а лог аккуратненько складывает в C:\Users\Public\MicTray.log. Ничего не шифрует при этом.

    Обычно безопасники больше всего ломают голову над вопросами «кто виноват» и «что делать», но в этот раз актуальнее вопрос «ЗАЧЕМ?!». Причина оказалась самая идиотская: разработчики таким образом на стадии отладки ловили баги при нажатиях горячих клавиш, да отключить забыли.

    Список моделей с такой «особенностью» весьма обширен:

    • HP EliteBook 820 G3 Notebook PC
    • HP EliteBook 828 G3 Notebook PC
    • HP EliteBook 840 G3 Notebook PC
    • HP EliteBook 848 G3 Notebook PC
    • HP EliteBook 850 G3 Notebook PC
    • HP ProBook 640 G2 Notebook PC
    • HP ProBook 650 G2 Notebook PC
    • HP ProBook 645 G2 Notebook PC
    • HP ProBook 655 G2 Notebook PC
    • HP ProBook 450 G3 Notebook PC
    • HP ProBook 430 G3 Notebook PC
    • HP ProBook 440 G3 Notebook PC
    • HP ProBook 446 G3 Notebook PC
    • HP ProBook 470 G3 Notebook PC
    • HP ProBook 455 G3 Notebook PC
    • HP EliteBook 725 G3 Notebook PC
    • HP EliteBook 745 G3 Notebook PC
    • HP EliteBook 755 G3 Notebook PC
    • HP EliteBook 1030 G1 Notebook PC
    • HP ZBook 15u G3 Mobile Workstation
    • HP Elite x2 1012 G1 Tablet
    • HP Elite x2 1012 G1 with Travel Keyboard
    • HP Elite x2 1012 G1 Advanced Keyboard
    • HP EliteBook Folio 1040 G3 Notebook PC
    • HP ZBook 17 G3 Mobile Workstation
    • HP ZBook 15 G3 Mobile Workstation
    • HP ZBook Studio G3 Mobile Workstation
    • HP EliteBook Folio G1 Notebook PC

    Не исключено, что кто-то давно это выяснил, и использует в своих гнусных целях. Реакция самих Conexant и HP на открытие была нулевая: когда Торстен Шредер из ModZero, обнаруживший проблему, попытался до них достучаться, ответа он не получил ни оттуда, ни оттуда. Пришлось ему опубликовать описание «уязвимости» и доказательство концепции, только после этого вендоры зашевелились.

    Но зашевелились как-то специфически: функция протоколирования клавиатуры в драйвере осталась, ее лишь отключили ключом в реестре. ModZero предлагают пользователям замечательных компьютеров HP не надеяться на обновления, а просто грохнуть экзешник C:\Windows\System32\MicTray64.exe, пожертвовав возможностями регулирования звука с кнопок, ну и сам лог, конечно же.

    Уязвимость в Chrome позволяет красть учетные данные

    Новость. Исследование. Если вы думаете, что Windows 10 с последними обновлениями и новейшая версия Chrome защитит вас от злобных эксплойтных сайтов, то… ну, вы поняли. Прекращайте так думать, ибо в DefenseCode придумали хитроумную атаку через самый популярный браузер.

    Суть причем не в программной ошибке, а в конфигурационной – по умолчанию Chrome без запроса разрешения скачивает с веб-сайтов файлы, которые считает безопасными. И все вроде бы ничего – он же их не запускает, – но в списке безопасных числятся SCF, командные файлы Explorer. Это текстовые файлы, содержащие две секции, в одной команда для исполнения при запуске, в другой путь к пиктограмме файла. И вот иконку Explorer пытается достать автоматически, снова не запрашивая пользователя. А ведь это может быть и сетевой путь, куда-нибудь в Интернет.

    И снова – что же тут опасного, раз Explorer просто пытается загрузить иконку, а не исполняет ее? Просто при этом он пытается авторизоваться на SMB-сервере и выдает ему логин пользователя, домен, и хэш пароля NTLMv2. Соответственно, хакер может попытаться расхэшить пароль (что для простого пароля занимает часы), просто авторизоваться с этими данными на внешнем сервисе, использующем NTLMv2 – например, на сервере Exchange, – или же использовать их внутри взломанной сети, что полезно для повышения привилегий. Для пользователей Windows 8/10, логинящихся с помощью аккаунта Microsoft, это может привести к компрометации их учетных записей в OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live.

    Защититься от подобной атаки можно, установив в настройках Chrome обязательный запрос на сохранение файла перед его загрузкой. Другие браузеры, как указывают в DefenseCode, SCF-файлы автоматически не загружают.

    Древности


    «V-944»

    Нерезидентный опасный вирус. Стандартно поражает .COM-файлы текущего каталога и каталогов, отмеченных в COMSPEC. Перехватывает int 16h (клавиатура) и, в зависимости от вводимых с клавиатуры символов, запускает по 25-й строке экрана справа налево и обратно символ рожицы (ASCII 1). Движение рожицы сопровождается жужжанием. Достаточно жестко обходится с int 16h, может «завесить» систему. Снимает атрибут read-only, значение времени файла устанавливает в 62 секунды.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    Метки:
    «Лаборатория Касперского» 407,35
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 17
    • +3
      Пострадало множество крупных российских компаний. Наблюдается ли резкое возрастание спроса на ваши продукты?
      • 0
        установив в настройках Chrome обязательный запрос на сохранение файла перед его загрузкой

        Где именно в настройках это можно изменить?
        «Всегда указывать место скачивания» — файл всё равно начинает скачиватся во временную папку до выбора места.
        «Автоматическая загрузка» (в Настройках контента) отвечает только за скачивание нескольких файлов сразу.
        Среди chrome://flags/ ключей, которые как-то влияли бы на загрузку файлов я тоже не нашёл.
        Может плохо искал? Поправьте меня пожалуйста в этом случае.
        • +1
          Да, речь об этой опции. Дело в том, что Chrome во время загрузки, до сохранения в целевую директорию, ставит файлу расширение .tmp, поэтому файл не обрабатывается explorer.
        • +2
          Автор, за что так? Неужели на нормальном русском писать нельзя? Ну вот что это: «ресерчеры синкхольнули», «намыть себе копеечку», «дальше он вормится»? Я уж не говорю про опечатки. Ну и отдельное фи за «троянца», больше всего напоминает Горлума с его «хобитцами».
          • +8
            Если придираться к смыслу, то «троянец», конечно, неправильно — в том самом коне сидели вовсе не троянцы, а данайцы, но в кибербезопасности это вполне ходовая форма, причём уже давно.
            • 0
              причем слово «троянцы» — это изобретение ЛК.
            • 0
              Споры между приверженцами литературного языка и технического жаргона никогда не утихнут. Не буду в них вступать, простите. А вот за троянцев отвечу — именно так переводится слово trojan. К хоббитсам не имеет отношения, в употреблении отдельно от коня это житель Трои.
              Грамота.ру разрешает употребление слова «троянец» в смысле «троянский вирус».
            • +3
              Получается, жертвы этой волны не получат свои файлы назад даже после оплаты выкупа: ведь ключа для расшифровки файлов у владельцев кошелька нет.


              А жертвы оригинального (первой волны заражения) вируса разве получат/получили свои файлы назад?
              • 0
                Новость про декрипторы для WannaCry будет ждать следующей пятницы?
                • 0
                  Если вы запустили эту утилиту во время шифрования, она сможет залезть в память и вытащить ключ, это уже давно нашли. Если не успели, то не поможет.
                  • 0
                    По ссылке пишут, что ключ можно восстановить даже после шифрования, так как CryptReleaseContext не удаляет его из памяти.
                • 0
                  Даже самые «стойкие» и не «пробиваемые» защиты пасуют только перед одним: ЧЕЛОВЕЧЕСКИЙ ФАКТОР. У меня уже был инцидент с «пробным шаром» WannaCryptor, но… Даже обращение в отдел «К» не помогло (им вообще-то так всё до...)
                  • 0
                    Довольно познавательно.
                    Отдельное спасибо автору, за часть про Chrome, ибо сам пользуюсь.
                    • +1
                      Насчёт модифицированного червя — а что, так можно было? Чёрт, это же просто и гениально! Осталось собрать всех известных криптолокеров, и везде подменить номера кошельков. А дальше — дело техники.
                      Создатель(-и) wannacry после этого, видимо, озаботятся насчёт проверки целостности файла, или шифрования в коде программы номеров кошельков. А то, понимаешь, кул-хацкеры воруют честно наворованное награбленное!
                      • 0
                        Хакнули хакеров)
                        • 0
                          А может авторы криптора просто продали своё поделие ещё одним «ксакепам»?
                          • 0

                            А продавать то что?
                            Никто не будет покупать то, что можно сделать самому за 15 минут

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое