Топ новини

  • 10 тактики, с които хакерите се опитват да ви прилъжат да отворите заразени файлове

    За да разпространят злонамерения софтуер, хакерите създават спам кампании, маскирани под формата на имейли за фактури, покани, информация за плащане, информация за доставка, гласови съобщения и др. В тези имейли обикновено са включени прикачени файлове на Word и Excel или връзки към тях, които при отваряне и активиране на макросите ще инсталират опасен/зловреден софтуер на компютъра на жертвата.

    По подразбиране, макросите са забранени в MS Office, и поради тази причина от жертвата се изисква да кликне върху бутоните „Активиране на редактирането“ (Enable Editing) или „Активиране на съдържанието“ (Enable Content), за да разреши изпълнението им. Това, разбира се, не трябва да правите!

    НЕ активирайте макросите на прикачените файлове!
    НЕ активирайте макросите на прикачените файлове!

    За да прилъжат потребителите да щракнат върху тези бутони обаче хакерите използват различни тактики.

    Една от тях е прикачване на Word и Excel файлове с видимо „счупени“ текстове и/или изображения. Хакерите визуализират предупреждения, че има проблем с показването на документа и приканват потребителите да кликнат на бутоните за Активиране на съдържанието или Активиране на редактирането, за да видят „правилната“ визуализация на съдържанието.

    Комбинациите от текст и изображения в тези злонамерени прикачени файлове се наричат ​​„документни шаблони“. По-долу са представени различни шаблони на документи, които са били използвани в кампании за изпращане на нежелана поща (SPAM) за някои от по-широко разпространените инфекции със зловреден софтуер.

    Трябва да се отбележи, че тези т.нар. „темплейти“  могат да се използват и със зловреден софтуер, различен от тези, описани по-долу. Освен това, тук ще видите само примери за по-често срещаните темплейти, а в реалния живот може да с сблъскате с много други, подобни на тях.

    BazarLoader

    BazarLoader е злонамерен софтуер, таргетиращ различни по вид и размер компании, разработен от групата, която стои зад създаването на троянския кон TrickBot. Когато бъде инсталиран, хакерите използват BazarLoader / BazarBackdoor за отдалечен достъп до вашия компютър, който след това се експлоатира за компрометирането и на останалата част от фирмената мрежа.

    След инфектирането на мрежата с BazarLoader, най-често се стига до заразяване с криптовируса Ryuk, който криптира начин цялата информация и искаа откуп за декрептирането й.

    Фишинг имейлите, които разпространяват BazarBackdoor, обикновено съдържат връзки към предполагаеми документи, хоствани в Google Docs и Google Sheets. При зареждането им, се вижда предупреждение за „проблем с визуализацията“ и подканване за изтегляне на документа. След клик обаче всъщност не изтегляте какъвто и да било документ, а изпълним файл, който инсталира Bazar Loaded, както е показано по-долу.

    Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .
    Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .

    Dridex

    Dridex е усъвършенстван троянски кон, разполагащ с най-различни непрекъснато актуализирани модули. Забелязан е като инструмент, таргетиращ банкови институции, за първи път през 2014 г.

    След заразяване с Dridex, той ще изтегли различни модули, които могат да се използват за кражба на пароли, осигуряване на отдалечен достъп до компютър или извършване на други злонамерени дейности.

    Когато Dridex компрометира мрежата, това обикновено води до криптиране с BitPaymer или други криптовируси, свързани с групата.

    Предполага се, че и друг известен криптовирус като WastedLocker е свързан с Dridex, но една компания за киберсигурност не е напълно съгласна с тези твърдения.

    За разлика от други кампании за разпространение на злонамерен софтуер, групировката Dridex обикновено използва по-стилизирани шаблони за документи, които показват малко или замъглено съдържание и ви подканват да щракнете върху „Активиране на съдържанието“, за да го видите по-добре.

    Например в шаблона по-долу се посочва, че документът е трудно четим, защото е създаден на по-стара версия на Microsoft Office Word.

    Dridex: шаблон „примерен остарял Word файлов формат“.
    Dridex: шаблон „примерен остарял Word файлов формат“.

    Dridex използва и по-стилизирани шаблони за документи, представящи се за информация за доставка от DHL и UPS.

    Dridex: шаблон „Фалшива информация за доставка от DHL.
    Dridex: шаблон „Фалшива информация за доставка от DHL.

    Разбира се няма как да се пропусне „класиката“ в жанра, а именно –  фактури за плащане. Първоначално те са трудно четими, докато не щракнете върху „Активиране на редактирането“, за да го видите “правилно”.

    Dridex: шаблон „фалшива фактура от Intui
    Dridex: шаблон „фалшива фактура от Intui

    Както можете да видите от примерите по-горе, от Dridex обичат да използват изображения на вградени документи с фирмени лога и бланки, за да подмамят потребителите да активират макросите.

    Emotet

    Emotet е най-широко разпространеният зловреден софтуер чрез фишинг имейли, съдържащ злонамерени Word или Excel документи. Веднъж инсталиран, Emotet ще открадне имейла на жертвата и ще използва заразения компютър, за да изпрати спам към други получателите от цял свят.

    Потребителите, заразени с Emotet, в крайна сметка ще бъдат след това отново заразени с троянски коне като TrickBot и QakBot. И двата вида троянски коне се използват за кражба на пароли, бисквитки, файлове и водят до компрометиране на цялата мрежа на организацията.

    След инфектиране на мрежата с TrickBot, най-вероятно ще се използват криптовирусите Ryuk или Conti за криптиране на информацията. Засегнатите машини с инсталиран QakBot могат да бъдат инфектирани от криптовируса ProLock.

    За разлика от Dridex, Emotet не използват изображения на действителни документи в техните темплейти. Вместо това те включват широка гама от шаблони, които показват предупредително поле, че документът не може да се визуализира правилно, и че потребителите трябва да кликнат върху „Активиране на съдържанието“, за да го прочетат.

    Например шаблонът „Red Dawn“, показан по-долу, гласи, че „Този ​​документ е защитен“ и след това ви подканва да разрешите съдържанието (Enable content), за да го прочетете.

    Emotet: шаблон „Този документ е защитен. 
    Emotet: шаблон „Този документ е защитен.

    Следващият шаблон гласи, че не може да бъде отворен правилно, тъй като е създаден на „iOS устройство“.

    Emotet: шаблон „Създаден на iOS устройство. 
    Emotet: шаблон „Създаден на iOS устройство.

    Според този шаблон, документът е създаден на „Windows 10 Mobile“, което е странно съобщение, при положение че Windows 10 Mobile е спрян от известно време.

    Emotet: Шаблон „Създаден на Windows 10 mobile
    Emotet: Шаблон „Създаден на Windows 10 mobile

    Това може би е един от най-легитимно изглеждащите шаблони, твъдейки че документът е в „Защитен изглед“ и потребителят трябва да кликне върху „Активиране на редактирането“, за да го визуализира правилно.

    Emotet: шаблон „Защитен изглед. 
    Emotet: шаблон „Защитен изглед“.

    Следващият шаблон е малко по-интересен, тъй като казва на потребителите да приемат лицензионното споразумение на Microsoft, преди да могат да видят документа.

    Emotet: Шаблон „Приемане на лицензионното споразумение"
    Emotet: Шаблон „Приемане на лицензионното споразумение“

    Друг интересен шаблон се представя като съветник за активиране на Microsoft Office, който подканва потребителите да активират редактирането, за да завършат активирането на Office.

    Emotet: шаблон „активиране на MS Office.”
    Emotet: шаблон „активиране на MS Office.”

    Emotet също така е известен с това, че използва темплейт, който се представя за съветник за преобразуване на Microsoft Office.

    Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”
    Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”

    Както можете да се убедите от екранните снимки по-горе, вместо стилизирани шаблони на документи, Emotet използва общи предупреждения, за да се опита да убеди потребителите да активират макросите в прикачения файл.

    QakBot

    QakBot или QBot е също троянски кон, насочен основно към банковия сектор. Той се разпространява чрез фишинг кампaнии, съдържащи зловредни Microsoft Word документи като прикачени файлове.

    QakBot също съдържа различни модули и има способността да краде банкова информация, да инсталира друг зловреден софтуер или да осигури отдалечен достъп до заразената машина.

    Както други троянски коне, описани в тази статия, QakBot също си партнира с криптовируса ProLock, който е финалната фаза на атаката (криптиране на информацията).

    В сравнение с Emotet, SPAM кампаниите на QakBot използват по-стилизирани темплейти. Най-често използваният шаблон се представя, че е от DocuSign, както е показано по-долу.

    QakBot: шаблон “DocuSign.”
    QakBot: шаблон “DocuSign.”

    Другите шаблони имитират Microsoft Defender или екран за актуализация и активиране на Word, като този по-долу.

    QakBot: шаблон „Грешка при актуализация и активиране на Word. “
    QakBot: шаблон „Грешка при актуализация и активиране на Word. “

    Блокиране на изпълними прикачени файлове

    За да избегнете появата на гореописаните екранни снимки на вашият десктоп, никога не отваряйте прикачени файлове с разширение .vbs, .js, .exe, .ps1, .jar, .bat, .com или .scr. , тъй като тези разширения могат да изпълняват програми/команди на вашият компютър.

    Повечето имейл услуги като Office и Gmail блокират изпълнимите прикачени файлове, но злонамерените лица са намерили изход и от тази ситуация. Все по-често се наблюдава към SPAM имейлите да се добавя прикачен файл с парола, като самата парола е упомената в съобщението. По този начин съдържанието не се сканира/блокира и достига своята крайна цел.

    Примерен прикачен файл с .jar разширение.
    Примерен прикачен файл с .jar разширение.

    За съжаление, Microsoft реши да скрие разширенията на файловете по подразбиране, което позволява на злонамерените лица да подлъжат потребителите да отворят опасни (изпълними) файлове.

    Фишинг имейлите са едни от най-често използваните вектори за атака, целящи компрометирането на вътрешната инфраструктура. Причините за това са доста и въобще не са необясними: човешкият фактор е най-подценяваният, а също и най-лесно експлоатираният вектор в една инфраструктура. Докато на ниво сървъри и системи могат да се приложат различни и разнообразни мерки за сигурност, от гледна точка на човешкият ресурс доказано най-добрият подход са регулярните обучения на персонала.

    В повечето случаи обаче те липсват или ако ги има се силно подценени и са по-скоро фиктивни. Именно поради тази причина злонамерените лица използват SPAM съобщения и все повече се стремят да заблудят крайният потребител, като например добавянето на reCaptcha на техния фишинг сайт. След като компрометират машината и си осигурят достъп до вътрешната система, атакуването на важните и критични системи става много по-лесна и постижима задача. Примерите са не един или два.

    Някои общо валидни препоръки, с които може да намалите шанса да бъдете фишнати са:

    1. Имплементиране на решение, което да сканира входящата поща за зловредни прикачени файлове и за нежелана поща (SPAM).
    2. Добавяне на двуфакторна автентикация – По този начин дори някой от потребителите да си въведе потребителското име и паролата във фишинг страницата, те няма да свършат кой знае каква работа на злонамерените лица ако не е наличен вторият фактор за завършване на удостоверяването.
    3. НЕ отварайте и НЕ кликайте върху писма и линкове от непознати податели !
  • Лошият съсед – CVE-2020-16898

    Microsoft публикува информация относно критична уязвимост в IPv6 стака на всички модерни Windows операционни системи, оценена с впечатляващите 9.8 CVSSv3 базови точки. Тази уязвимост позволява отдалечено изпълнение на код (RCE) чрез специално изработени IPv6 пакети, без нападателят да има нужда да се автентикира.

    Уязвимостта е критична и несъмнено трябва да бъде пачната при първа възможност, но към момента на публикуване на тази статия, следва да се обърне внимание на няколко важни детайла:

    • Текущият proof-of-concept (PoC) експлойт, споделен с членовете на MAPP (Microsoft Active Protection Program), е изключително прост и 100% ефективен, но той не води до RCE, а само до незабавен BSOD (Blue Screen of Death). Т.е. тази уязвимост към момента може да бъде експлоатирана за осъществяване на DoS атаки. 

    • Уязвимостта се корени в проблеми с обработката на ICMPv6 Router Advertisement, които са част от ICMPv6 Neighbor Discovery “протокола”. За щастие такива пакети не се изпращат свободно в интернет и най-често биват филтрирани на ниво firewall/border router. При това положение, атакуващият най-вероятно ще се намира в локалния мрежов сегмент на жертвата.
    • “Лошият съсед” (Bad Neighbor) е прякорът на CVE-2020-16898, която има потенциал да се имплементира в саморазпространяващ се  зловреден код (червей). Засега постигането на BSOD е само върхът на айсберга: това е първата стъпка към осъществяването на успешен RCE, чрез навързване (chaining) на няколко уязвимости, което рано или късно ще се случи със сигурност.
    • Всъщност, според ветерани като Malware Jake,  едва ли ще се постигне RCE.

    Засегнатите операционни системи и версии са:

    • Windows 10 Version 1709 for 32-bit Systems
    • Windows 10 Version 1709 for ARM64-based Systems
    • Windows 10 Version 1709 for x64-based Systems
    • Windows 10 Version 1803 for 32-bit Systems
    • Windows 10 Version 1803 for ARM64-based Systems
    • Windows 10 Version 1803 for x64-based Systems
    • Windows 10 Version 1809 for 32-bit Systems
    • Windows 10 Version 1809 for ARM64-based Systems
    • Windows 10 Version 1809 for x64-based Systems
    • Windows 10 Version 1903 for 32-bit System
    • Windows 10 Version 1903 for ARM64-based Systems
    • Windows 10 Version 1903 for x64-based Systems
    • Windows 10 Version 1909 for 32-bit Systems
    • Windows 10 Version 1909 for ARM64-based Systems
    • Windows 10 Version 1909 for x64-based Systems
    • Windows 10 Version 2004 for 32-bit Systems
    • Windows 10 Version 2004 for ARM64-based Systems
    • Windows 10 Version 2004 for x64-based Systems
    • Windows Server 2019
    • Windows Server 2019 (Server Core installation)
    • Windows Server, version 1903 (Server Core installation)
    • Windows Server, version 1909 (Server Core installation)
    • Windows Server, version 2004 (Server Core installation)

    Как да се защитим

    Накратко: Calm down and patch!

    Приложете съответните пачове и си отворете по една студена бира за добре свършената работа.
    За тези от вас, които, по една или друга причина, не могат да приложат обновленията, съществува workaround: Изключете  ICMPv6 RDNSS чрез powershell команда и рестартирайте операционната система.

    netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

    За пълна видимост и регистриране на опити за експлоатация, вече има публикувани Suricata IDS/IPS правила.

    За най-актуална информация, препоръчваме да следите официалната статия със съвети от Microsoft.

    За да научите повече за тази уязвимост, препоръчваме да прочетете чудесните статии на McAffee и Rapid7:

    https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

    https://blog.rapid7.com/2020/10/14/there-goes-the-neighborhood-dealing-with-cve-2020-16898-a-k-a-bad-neighbor/

    А, ако ви се струва, че имате Deja Vu, не сте се объркали – Ping of Death.

     

  • Лице на заем или до какво може да доведе кражбата на биометрични данни

    Да, на теория да смените лицето си е възможно – след намеса на пластичен хирург, например. Но на практика, времето и парите, които ще ви отнеме тази смяна, са неоправдани Особено, ако се налагат, за да елиминирате последиците от немарливост от страна на администратора, на който сте ги поверили (търговец, доставчик на услуга и т.н.)

    Представете си следното: обаждате се на онлайн магазин, за да откажете поръчка, която не сте направили. По време на кореспонденцията, операторът ви изпраща снимка на лицето ви с въпрос: „Това вашето лице ли е?“. Трудно ще е да се оспори, че не вие сте направили измама при покупката. И съответно – трудно ще откажете поръчката на ваше име.

    Предвид казаното дотук, кражбата на самоличност и по-конкретно, кражбата на биометрични данни, придобиват съвсем ново измерение. А доставчиците в биометричното пространство знаят, че защитават наистина чувствителна информация, така че би трябвало да са изключително усърдни, за да не позволят това да се случи, нали?

    Министерството на вътрешната сигурност на САЩ наскоро стана жертва на подобен пробив, след който изтекоха снимки от паспорти на американски граждани. А за тях се предполага, че са добри в защитата на данните. Може би дори по-добри от повечето организации, които трябва да защитават биометрични данни. Какво остава за другите организации, с по-ниски компетенции?

    Зад всичко се крие псевдо маркетинговата фраза: Моля, покажете ни лицето си, за да можем да гарантираме защитата ви. Но след години работа в сферата на сигурността, научихме, че няма такова нещо като перфектна сигурност, а само по-високо или по-ниско ниво на защита.

    А записът за идентичност, който включва вашето лице, вероятно включва и много друга чувствителна информация. Едва ли има нужда да добавяте още данни, освен лицето си, за да изглеждате по-убедителни и достоверни. Това е една от причините медицинските досиета да са така примамлива цел за кражба на данни: все по-сигурно е, че във вашето здравно досие има информация само за вас, и то проверена и трудна за фалшифициране.

    Технологиите за разпознаване на лицева идентичност определено са във възход. Китай експериментира с такива, използвайки машинно самообучение, за да може да улови лице дори след пластична операция или покрито с предпазна маска. Много други страни също се присъединиха към битката.

    Сингапур въвежда документ за самоличност, базиран на лицето на гражданина.

    Сигурно бихте казали, че лицето ви може да бъде уловено и от нарастващия брой камери на публични места, така че каква може да се направи?

    Но ако биометричният ви профил, включващ лицето ви, може да се използва за цифрово взаимодействие с все по-голям брой бизнеси и организации, с които комуникирате, това може значително да разруши реалния ви живот.

    Един реален пример: служителка, която случайно е била обявена за мъртва поради компютърна грешка. Трябвали са й повече от 20 години, за да я поправи. Трябвало е да убеди своите доставчици на услуги, че не е мъртва. Не е било достатъчно, че тя разговаря по телефона с тях. Странна ситуация,  нали? Сега тя е вече е „призната“ за жива, но все още продължава  възстановяването на пенсията й, поради което тя все още  трябва да работи. Също така, някой е откраднал номера на социалната ѝ осигуровка (американският еквивалент на ЕГН), докато тя е била „мъртва“, след което е изтеглил кредит от нейно име.

    Трудно е да се докаже, че не си мъртъв. Също така е трудно да се докаже, че вашият профил, включващ лицето ви, не сте вие.

  • Цените на крадени акаунти падат. Защо трябва да се притесняваме от това?

    Цените на потребителски акаунти (комбинация от потребителско име и парола) намаляват през 2020 г. Тенденцията е притеснителна, защото това може да означава няколко неща – и нито едно от тях хубаво.

    Първо статистиката: цената на откраднати  данни за достъп до RDP (протоколът за отдалечен достъп до работни станции и сървъри) е спаднала до 16-25 USD при средно над 20 USD за цялата 2019 г.

    Според всички пазарни правила, това сигнализира за все по-голямо предлагане на данни за отдалечен достъп. Което пък предполага нарастване на броя на злонамерените атаки към корпоративни мрежи – вече забелязана тенденция, която сме коментирали нееднократно.

    Пандемията през 2020 г. накара все повече служители да работят от вкъщи и да се свързват към сървърите на организацията си или към работните си станции от разстояние чрез RDP. Всеки пропуск в защитата на RDP акаунт или сървър може да предостави на хакерите достъп до корпоративна мрежа, чрез откраднати или лесно пробити пароли.

    Основната причина за лесен достъп до идентификационни данни за вход в RDP е, че те са лошо защитени с често използвани и слаби пароли, както и с прости за отгатване потребителски имена като „администратор“. Единственото средство за противодействие от страна на корпорациите е засилването на киберзащитата им.

     

  • Ирански хакери са едни от първите които използват DNS-over-HTTPS (DoH) за зловредни цели

    Все по-често в сферата на информационната сигурност започва да се среща израза “DoH” : DNS-over-HTTPS.

    Създаден за сигурност

    Какво представлява DoH ? Накратко – по дизайн, DNS протоколът изпраща заявките в чист вид (plaintext). Така, ако злонамерено лице прихване DNS заявката, ще може да прочете нейното съдържание и оттам да предприеме други зловредни действия. Това, разбира се, представлява сериозен риск.

    Вместо да изпрати DNS заявката на порт 53, DoH криптира заявките като ги „маскира“ като WEB трафик на порт 443 (HTTPS). По-този начин DNS трафика не се различава от стандартния HTTPS трафик и съответно съдържанието му остава нечетимо за трета страна (ISP доставчик, зловредно лице по средата на комуникацията – MiTM и т.н.).

    През Февруари Firefox разреши DoH да бъде включен по подразбиране за потребителите си в САЩ. За повече информация тук.

    Не само позитиви

    Както всяко нещо, така и DoH има своите предимства и недостатъци. Предимствата са, че предотвратява някои опасни DNS атаки и може да се каже че повишава поверителността (единствено DoH доставчика ще има видимост върху DNS заявките).

    Дотук добре, на пръв поглед всичко е наред и не би трябвало да има някакъв проблем. От гледна точка на специалистите по киберсигурност обаче, това представлява сериозна пречка за засичане на зловредна дейност в мрежата. Причината: голяма част от зловредните кодове в наши дни използва именно DNS, за да извършват своите зловредни дейности (обръщане към  CnC сървър, свързване и сваляне на зловредни файлове и т.н.).

    Системи за сигурност като IDS на практика стават неизползваеми за следене на DNS трафик, защото за тях това ще бъде стандартен криптиран трафик изпратен на порт 443.

    Хакерската групировка от Иран Oilrig е една от първите, които се възползваха от това „предимство“ на DoH, имплементирайки го в своите атаки.

    Иноватори

    По време на уеб семинар Висенте Диас, анализатор на зловреден софтуер за производителят на антивирусни програми Kaspersky спомена, че използването на DoH за зловредни дейности е започнало през май тази година. Тогава групата OilRig е добавила нов инструмент към своя хакерски арсенал и е започнала да използва нова програма, наречена DNSExfiltrator като част от инструментариума си за проникване в хакнатите мрежи.

    Както подсказва името му, инструментът може да прехвърля информация между две точки, използвайки класически DNS заявки, но може да използва и по-новия DoH протокол.

    Според Диас, Oilrig, известни също като APT34, използват DNSExfiltrator за събиране на откраднатата информация от вътрешната мрежа и след това я изпращат към управляван от тях сървър.

    Причината за използването на DoH като канал за ексфилтрация е именно възможността да изпълняват зловредни действия без да бъдат забелязани от наличните инструменти за сигурност.

    OILRIG и DNS като метод на ексфилтрация

    Фактът, че Oilrig бяха една от първите APT групи, които внедриха DoH, също не е изненада.

    В исторически план групата и преди се е занимавала с DNS-базирани техники за ексфилтрация. Преди да премине към използването на инструмента с отворен код DNSExfiltrator, групата използваше специално написан инструмент поне от 2018 г., наречен DNSpionage. Това се твърди в няколко доклада на Talos, NSFOCUS и Palo Alto Networks.

    Отново през май от Kaspersky споменаха, че Oilrig ексфилтрира данни, използвайки DoH, към домейни свързани с COVID-19.

    През същия месец Reuters съобщиха за таргетирана фишинг кампания, организирана от неидентифицирани ирански хакери. Тя е била насочена към персонала на фармацевтичния гигант Gilead. Случайно или не, по това време организацията обяви, че започва работа върху варианти за лечение на COVID-19. Не е ясно обаче дали става въпрос за едни и същи инциденти.

    Различни доклади свързват повечето ирански APT групи с Ислямският революционен гвардейски корпус или накратко „Пасдаран“, което е най-високото военно образувание на Иран.

    Вместо заключение

    Ако сте краен потребител, определено използването на DoH би повишило вашата сигурност и поверителност, особено ако го имплементирате не само на ниво приложение (напр. браузър, операционна система и т.н.), а за цялата мрежа. От Cloudflare са изготвили наръчник на тази тема, който може да прочетете тук.

    Не по същия начин стоят нещата, ако вие сте човекът, който отговаря за сигурността на цялата инфраструктура, било то в ролята на IT администратор, специалист по мрежова и информационна сигурност и т.н. Помислете добре дали искате да имплементирате DoH във вашата мрежа.

    Да, от една страна ще получите „благинките“ описани по-горе, но заслужава ли си цената? А тя не е изобщо малка за преглъщане – видимостта върху DNS заявките на цялата мрежа. Все още наличните инструменти за сигурност не могат да предоставят 100% видимост на DoH заявките, което, като се вземе предвид нарастващата популярност на този протокол, определено ще се промени в бъдеще.

    От SANS са написали подробен доклад на тема „Методи за увеличаване на видимостта при използването на DoH” , който много добре описва ситуацията към текущия момент.

  • Как се хаква бизнес? С невнимателен администратор и обява в LinkedIn

    Невнимателен системен администратор, хванал се на LinkedIn фишинг, е станал причина за успешна атака срещу фирма, свързана с криптовалути (точното име и дейност не се споменава в анализа на F-Secure). Автори на тактиката за пробива са Lazarus Group (на тази организация се приписва глобалната атака, при която през 2017 г. криптовируса WannaCry за броени дни порази стотици хиляди компютри в над 150 държави по света).

    Механика на атаката

    Хакерите са получили достъпа до системите на компанията-жертва чрез обява за работа в LinkedIn. Тя е изпратена до личния профил на системен администратор в професионалната социална мрежа. Обявата е била от името на блокчейн компания, търсеща нов сисадмин с набор от умения, точно като на получателя за съобщението.

    Обявата е включвала Microsoft Word документ, уж „защитен“ съгласно действащите в ЕС правила на GDPR. Отварянето на документа е активирало макрос, който е свалил зловреден код на устройството на потребителя и оттам се е разпространил върху цялата компания.

    За обирането на портфейлите с криптовалута на жертвата е използвана модифицирана версия на Mimikatz

    Една организация е толкова уязвима, колкото уязвимо е най-слабото й звено. В информационната сигурност най-уязвими са хората и хакерите много добре разбират това.

    А сега, накъде, Lazarus Group?

    Според анализаторите от F-Secure, групата ще продължи атаките си към организации, работещи с криптовалута, докато има изгода от това. Не се изключва възможността хаковете да разширят обхвата си и към самите доставчици – „копачите“ на криптовалута.

    За мистериозната Lazarus Group се предполага, че стои зад атаки срещу банки от Югоизточна Азия и Европа през последните няколко години (сред най-значителните е тази срещу Централната банка на Бангладеш, при която бяха източени 81 млн. USD през 2016 г.). Явно, че свързваната със Северна Корея групировка диверсифицира дейността и портфейла си.

    Позицията на LinkedIn

    „Нашите екипи използват разнообразни автоматизирани технологии, комбинирани с обучен екип от анализатори, за да предпазят членовете ни от всякакви видове измамници. Прилагаме нашите политики, които са много ясни: създаването на фалшив акаунт или измамна дейност с цел въвеждане в заблуждение или лъжа на нашите членове е нарушение на Общите ни условия.“ (свободен превод)

  • DSP – Ахилесовата пета на съвременните смартфони

    Смартфоните се използват от над 3 млрд. потребители в световен мащаб и отдавна са се превърнали в неразделна част от ежедневието ни. Тъй като мобилният пазар расте непрестанно, производителите на мобилни устройства се надпреварват един друг в предлагането на нови функционалности и възможности, с цел да предоставят по-иновативни технологии в устройствата си спрямо конкуренцията.

    За да подкрепят този неуморен стремеж към иновации, те често разчитат на трети страни да осигурят необходимия хардуер и софтуер за продуктите си. Едно от най-разпространените такива решения са DSP чиповете (Digital Signal Processor).

    Какво представлява DSP технологията на човешки език?

    DSP (Digital Signal Processor) е система на чип, състояща се от хардуер и софтуер, проектирана да оптимизира функционирането и употребата на смартфоните, като част от отговорностите ѝ са:

    • Зареждане – управлява функцията „бързо зареждане“
    • Мултимедия и визуализация – например Augmented Reality (технология, която добавя виртуални елементи към реалния свят, използвайки камерата на смартфона – използва се при филтрите на Snapchat, в играта Pockemon Go и други).
    • Обработка на изображения и видео с високо качество
    • Изчисления, свързани с невронни мрежи (лицево разпознаване)
    • Различни аудио функции – например стрийм на аудио, видео и гласови данни.

    Казано на кратко, DSP е завършен компютър на един чип – и почти всеки съвременен телефон включва поне един от тези чипове. Предимството му е, че позволява мобилното устройство да обработва набор от данни с висока производителност и ниска консумация на енергия.

    Прекалено хубаво, за да е истина?

    До тук DSP чиповете създават представата, че са отговорни за супер силите на съвременните смартфони, но на каква цена идва това? От икономическа гледна точка, позволяват на производителите да предоставят на потребителя най-иновативните и мощни решения. Погледнато от технически аспект обаче, те представляват допълнително звено, подлежащо на атака.

    Тук идва “тънкият момент” – тъй като дизайнът, кодът и като цяло технологията зад DSP чиповете може да бъде изключително сложна, производителите на крайния продукт могат да унаследят уязвимости, за които никой не подозира. Може да си ги представим като черните кутии в самолетите – никой не знае какво точно има вътре, включително и какви уязвимости.

    От Сheck Point провеждат проучване по темата, наречено неслучайно “Ахил”, в което извършват обширен преглед на сигурността на DSP чиповете на един от водещите производители – Qualcomm Technologies. Чиповете (Snapdragon) на Qualcomm са разпространени в устройства, съставляващи над 40% от пазара на мобилни телефони, включително Google, Samsung, LG, Xiaomi, OnePlus и други.

    Над 400 сегмента уязвим код

    В тествания DSP чип са открити повече от 400 сегмента уязвим код и тези уязвимости биха могли да окажат следното въздействие върху потребителите:

    • Нападателите могат да превърнат телефона в перфектния шпиониращ инструмент, без да се изисква никакво взаимодействие с потребителя – информацията, която може да бъде извлечена от телефона, включва снимки, видеоклипове, запис на разговори, данни от микрофона в реално време, данни за местоположението и т.н.
    • Атакуващите имат възможността да спрат цялостното функциониране на смартфона – отказвайки достъп на потребителя до данните на телефона (включително снимки, видеоклипове, контакти и т.н.) се извършва целенасочена атака тип отказ-от-услуга (denial-of-service).
    • Зловреден софтуер или друг злонамерен код могат напълно да прикрият дейностите си и да не могат да бъдат отстранени.

    Check Point не дава технически подробности за уязвимостите и как те могат да бъдат експлоатирани, докато не станат достъпни за крайните потребители пачове, с които да могат да се защитят. Уязвимостите на DSP чиповете са номерирани – CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209.

    Вектори на атака и опасностите за крайният потребител

    Уязвимостите могат да бъдат експлоатирани, когато потребителят изтегли видео или друго медийно съдържание, което се обработва от чипа. Жертвите могат да бъдат атакувани и чрез инсталиране на злонамерени приложения, които не питат за никакви права, но същевременно имат достъп до всичко.

    Оттам нападателите могат да следят местоположението, да подслушват аудио в реално време, да достъпват и свалят снимки и видеоклипове от устройството.

    Как да се предпазим?

    В изявление служителите на Qualcomm заявяват, че работят усърдно по разрешаването на проблема и предоставянето на подходящи смекчаващи мерки, като засега няма доказателства уязвимостта да е реално експлоатирана от хакери. Също така насърчават крайните потребители да актуализират своите устройства веднага щом пачовете станат налични и да инсталират приложения само от надеждни места като например Google Play Store. Междувременно, от Check Point препоръчват организациите да защитят корпоративните данни на мобилните си устройства, като използват решения за мобилна сигурност.

  • Glupteba използва почти всеки трик за киберпрестъпления, за който някога сте чували, а вероятно и още няколко

    Glupteba е зловреден код от тип зомби или бот. Дотук нищо необичайно – той се управлява чрез команди от престъпниците (оператори на command & control инфраструктура).

    Интересното при него е, че освен да бъде инструмент за отдалечен контрол , Gluptebа включва в себе си следните “екстри”:

    • Rootkit. Glupteba разполага с разновидни драйвери за ядрото (kernel) на Windows. Rootkits на ниво kernel са по-рядко срещани, защото са по-сложни за писане и често привличат внимание към себе си. Въпреки това, ако се имплантират успешно, rootkits могат да помогнат на заплахите да „летят под радара“ и по този начин да прикрият злонамерени файлове и процеси от наличните инструменти за информационна сигурност.
    • Изключване на наличната антивирусна защита. Glupteba има модул, който прави всичко възможно да изключи Windows Defender и след това редовно проверява, за да се увери, че не се е включил отново. Той също така по списък търси и терминира други инструменти за сигурност, включително 3rd party антивирусен софтуер и програми за мониторинг на системата. Целта – пълно неведение от страна на потребителя и администратора за случващото се върху заразените системи.
    • Червей. Glupteba използва два различни варианта на ETERNALBLUE, за да се саморазпространи в мрежата и до всяка машина, която е достъпна и уязвима.
    • Инструмент за атакуване на рутери. Glupteba включва в себе си различни експлойти за компрометиране на домашни и малки корпоративни рутери , така машината на жертвата става отправна точка за атакуване на хостове в други мрежови сегменти и интернет. Той използва една от тези добре известни атаки за хакване на уязвими рутери, преобразувайки ги в мрежови прокси сървъри, които след това да използват като нови отправни точки за бъдещи атаки. Този подход представя злощастната жертва да изглежда като нападател и да се показва като привиден източник на киберпрестъпна дейност.
    • Крадене на информация от браузъра. Glupteba краде информация от Chrome, Firefox, Yandex и Opera – и я изпраща към престъпниците. Файловете на браузъра често съдържат чувствителна информация като история за достъпваните URL адреси, бисквитки за удостоверяване, логин информация и дори пароли, които не могат да бъдат достъпни чрез код изпълняван в браузъра, като например JavaScript. По този начин хакерите заобикалят всички защити на браузъра, като го атакуват отвън, там където няма контрол.
    • Копачка за криптовалути – Наред с всички останали зловредни дейности, Glupteba може да действа като секретно средство за управление на два различни инструмента за копаене на криптовалути. Т.нар. криптомайнъри са законни, ако ги използвате с изричното разрешение на лицето, което плаща сметките за ток (защото криптомайнърите консумират значително количество електроенергия – за справка, наскоро в България бяха разкрити ферми за криптовалути, откраднали ток за 2.5 млн. лв. за 6 месеца). По този начин вие плащате сметките за ток, а печалбите отиват единствено и само при хакерите.

    Но това не е всичко

    Най-интересната част, описана в репорта, е именно начина на комуникация на Glupteba с управляващите го хакери: блокчейн технологията Bitcoin. Както вероятно сте запознати, зомбитата или ботовете не са много полезни, ако не могат да направят т.нар. „call home” (обратна връзка към контролирания от хакерите сървър), за да получат следващата си вълна от инструкции.

    Подробно описание и списък от вградени злонамерени команди, които хакерите могат да задействат, например update-data и upload-file, може да откриете в доклада на Sophos. Но също така, както при повечето ботове са включени и общи команди за изтегляне и стартиране на нов зловреден софтуер.

    Това означава, че дори да знаете всички трикове , на които е способен Glupteba, не можете да се предвиди какъв друг зловреден код може да бъде изтеглен и стартиран. Сървърите за управление и контрол (command & control) на заразените машини (ботове), по-известни като C2 сървъри или CnC, могат да бъдат открити и блокирани във всеки един момент, така че зомби-зловредният софтуер често съдържа в себе си резервен метод за свързване отново към CnC инфраструктурата, който в повечето случаи изглежда като “невинен” източник на обновления (updates).

    За да се превключи от един CnC съврър към други, принципно не се изискват много усилия, необходимо е само да се изпратят новите домейни и/или IP адреси. Престъпниците са доста креативни и използват услуги като Twitter, Reddit и Pastebin, както и други публично достъпни услуги за съхранение на съобщения.

    Време е за блокчейн!

    Glupteba се възползва от факта, че всяка една Bitcoin транзакция се записва именно в Bitcoin блокчейна, който е публичнодостъпен списък на всички транзакции и е достъпен през повечето публични мрежи.

    Всъщност, една транзакция на Bitcoin може да бъде не само финансова, защото може да съдържа поле наречено “RETURN” или по-известно като “OP_RETURN”, което на практика е коментар с дължина до 80 знака.

    Нека започнем със списък на всички хешове за транзакции на биткойн (леко редактирани), свързани с един от биткойн портфейлите, използвани като скрит източник на съобщения от Glupteba.

    Показаният тук номер на портфейла е извлечен от зловредния софтуер от SophosLabs.

    Командния ред съдържащ bx по-долу е популярен и полезен инструмент за изследване на Bitcoin блокчейн-а:

    $ bx fetch-history 15y7...qNHXRtu5wzBpXdY5mT4RZNC6 | awk '$1 == "hash" { print $2 }'
    dfef43552fc953ff14ca7b7bb....b79e8409b5638d4f83b1c5cec0abc3d
    98987c05277c97b06edfc030c....07e74334c203075ec27b44b3cc458bf
    717da8bea87d02ef62b1806cf....7e01f0267718f0351f9ae1592e02703
    20b37b655133491b94a8021ab....0266d15331a14caf10570b6623a86e4
    fa9cd0622535cf6c9ff449510....c5d526d5794d9d98ba5d6469a97be2c
    0d83cbc74a12a9f130fcead23....d5d56cf769c6c0a4cf1cebbf9e97e4a
    a7fb3bb04b82922923e8359f8....3db69bd2863ec88b98f9c69a37212ad
    52ee10617c1fc3e25922b146a....7daefdc3c3d5421b0387a737e46b396
    f29cbbb96de80dbc7e5236c98....3da6f8118bb356f537ce0317f7ab10c
    6a3a720ab97511528309fbf64....f37bc25d95d45d3408540174daad786
    8bf7acc56aab4b87d73a85b46....1486f0a764fd0a5f13e2d79e0a14625
    3bd54c0832cc411f5299064e4....c11ab05c1a4aff62fa323c068e88945
    1e1c0249bb22d1fcfb596e4fb....df7ab3bf627e25a2fe9530eb3dce476
    51899ffeadf5d0d605d5122c3....5b82baa15a4fa6b203abf59731c158f
    8a7c43d0bbf01cdf3bb28de48....6e339a063251fce30cb83ae50c2096a
    55e8fe62bcc41ec465c3f1f28....f5d82443a15a30d88fefc3f55ad2f29

    Ако извлечем подробностите за всяка от тези транзакции, можем да видим кои включват OP_RETURN данни.

    $ bx fetch-tx 55e8fe62bcc41ec465c3f1f28....f5d82443a15a30d88fefc3f55ad2f29
    {
      hash 98987c05277c97b06...1ce207e74334c203075ec27b44b3cc458bf
      inputs
      {
        input
        {
    [ . . . . . . . . . ] 
        output
        {
          script "return [18fe788a52d7aa57808d801d0f8f7cd39e1a...9f986b877befce0c2f558f0c1a9844833ac702cb3eba6e]"
    [ . . . . . . . . . ]     
          value 0
        }
      }
    [ . . . . . . . . . ]

    Байтовете данни OP_RETURN, показани по-горе, са тайното съобщение.

    За да го декриптирате ви е необходим 256-битов ключ за дешифриране AES, който е кодиран в Glupteba (можете да намерите ключовете в подробния репорт, изготвен от SophosLabs) и трябва да знаете, че данните, върнати в blockchain, се състоят от:

    First 12 bytes  = AES-256-GCM initialisation vector
    Last 16 bytes  = AES-256-GCM authentication tag
    Bytes in between = Encrypted message (bytes from 0f8f7cd3.. to ..877befce)

    Декриптирайте данните от блоковия код, за да обърнете криптирането AES-256-GCM и ще разкриете скритото съобщение.

    Този вид „скриване на информация точно пред очите“ често се нарича стеганография.

    Примерни псевдокодове, за да придобиете представа :

    > cipher = newcipher('AES-256-GCM')
    > cipher.key = d8727a0e..d66503cf        // extracted by SophosLabs
    > cipher.iv = 18fe788a52d7aa57808d801d     // GCM mode needs an IV
    > cipher.tag = 0c2f558f0c1a9844833ac702cb3eba6e // GCM mode needs a message hash
    > plain = cipher:decrypt(0f8f7cd39e1a...9f986b877befce)
    > print('secret message is: ',plain)
    secret message is: venoco___ol.com        // see report for full IoC list
    // this is a new C&C server to move to

    По този начин Glupteba прикрива имената на използваните от него CnC сървъри.

    Колко е опасен в действителност ?

    Лошата новина е, че благодарение на многото и разнообразни модули за самозащита, Glupteba разполага със също толкова трикове, чрез които да прикрие своята активност от системите за сигурност.

    От друга страна, тази сложност прави зловредния софтуер по-малко надежден и по ирония на съдбата по-предразположен към задействане на аларми в системи за следене за зловредна дейност и аномалии. Всъщност, някои трикове за програмиране на ниско ниво, които използва, включително rootkits на ниво Windows kernel (ядро), не само не работят на последните версии на Windows, но и често привличат вниманието към себе си от начина, по който се държат, което понякога води дори и до срив на системата – BSOD.

    Също така, Glupteba разчита на множество експлойти, за които има излезли патчове от преди месеци или дори години – включително за атаките, които използва срещу рутерите – така че една патчната системата е много по-малко вероятно да се зарази.

    И накрая, основният механизъм за заразяване, който е известен към този момент за разпорастренение на Glupteba в една мрежа (ако приемем, че машините имат нужните патчове за предотвратяване на ETERNALBLUE) е използване на т.нар. „кракнат софтуер“.

    Например:

    Вместо да инсталира и активира Adobe Illustrator, този крак инсталира Glupteba
    Вместо да инсталира и активира Adobe Illustrator, този крак инсталира Glupteba

    Вместо да инсталира и активира Adobe Illustrator, този крак инсталира Glupteba.

    Как да се предпазим :

    • Инсталирайте наличните патчове за сигурност СЕГА, проверявайте РЕДОВНО за новоизлезли такива – Това включва патчове за вашата операционна система, приложенията, които използвате и всички устройства в мрежата като рутери, IoT, сървъри и т.н.
    • Използвайте добър антивирусен софтуер с вграден модул за уеб филтриране. Голяма част от злонамерения софтуер, включително ботовете, се сваля на няколко части от Интернет. Дори и да бъдете ударени от т.нар. „първи етап“ на атаката от зловреден софтуер, все още можете да неутрализирате хакерите, ако спрете свалянето на същинската част от кода (payload).
    • Стойте далеч от пиратски/нелегален софтуер. Да приемем, че човекът, който е готов да открадне софтуер като Adobe Illustrator и да раздава инструменти за неговото „безплатно“ ползване (кракване), също е готов да приема пари от злонамерени лица, за да имплантира злонамерен софтуер в същия този „безплатно кракнат“ софтуер.
  • ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

    Освен с пандемията от COVID-19, 2020 може да остане в историята като годината с най-висок отчетен брой DDoS атаки. Една от причините: нова техника за амплификация (буквално: раздуване) на обема на DDoS атаките и респективно: пораженията, които могат да нанесат те. Методът е улеснен от уязвимости в мрежови протоколи.

    Малко статистика

    По данни на NETSCOUT (компания, която предоставя статистика за DDoS активността в реално време), DDoS атаките растат със заплашителни темпове от началото на 2020 г. През април компанията публикува пост със заглавие „Най-черният месец в цифри„. Тогава бяха отчетени около 864 хил. атаки за периода 11 март – 11 април, най-високата бройка, засичана някога. За сравнение, предходния пик беше през ноември 2019 г. – около 751 хил. атаки.

    Месец по-късно, за периода 11 април – 11 май са отчетени още повече – 929 хил. атаки.  А причината не е само в COVID-19.

    Как се „раздува“ DDoS?

    Методът е прост. Към даден уязвим сървър се изпращат заявки. Нападателите обаче подправят (spoof) източника на всяка заявка – така отговорът за грешка от страна на сървъра ще се върне не към реалния източник на заявката, а към потенциалната жертва.

    Резултатът: претоварване на мрежата/устройствата на жертвата.

    Причините:

    • размерът на отговора е в пъти по-голям от самите заявки. За пример: да позвъните в ресторант, да поръчате от всичко и да кажете: обадете се на съседа, за да продиктувате поръчката. Съседът ви може да слуша дълго обяснението на ресторанта, което ще блокира телефона му.
    • обемът на фалшивите заявки може да е огромен. Представете си ботмрежа от хиляди компютри, изпращаща заявки към даден сървър.

    Колко опустошителни всъщност са тези атаки може да прочетете тук.

    Кои са засегнатите протоколи

    Нападателите могат да се възползват от  широк набор протоколи за такъв тип атака – например DNS, SSDP и NTP. Но в този случай атаките са по-интересни и използват протоколи като: Apple Remote Desktop’s (ARD), Apple Remote Management Service (ARMS), Web Service Dynamic Discovery (WS-DD) и Constrained Application Protocol (CoAP). Обикновено организациите пренебрегват заплахите от тези протоколи и точно затова те са толкова опасни.

    Протоколът CoAP позволява свързването на IoT устройства и комуникацията помежду им. Функционира с методи, подобни на GET и PUT  при HTTP. За разлика от HTTP обаче, CoAP е UDP базиран, което го прави податлив на атаки с подмяна на IP адреси и амплификация на пакети.

    Атакуващият изпраща малък UDP пакет до IoT устройството, което в зависимост от зададените параметри в заявката, изпраща като отговор пакет с по-големи размери. В контекста на DDoS атаките, таргетиращи този протокол, съотношението между големината на заявката и отговора, се нарича коефициент на увеличение. При извършване на DDoS атака чрез амплификация и отразяване (amplification and reflection) средният коефициент на увеличение за CoAP е 34.

    Другият често експлоатиран протокол е WS-DD, той се използва за локализиране на IoT устройства в локалната мрежа. За разлика от CoAP, той е и UDP И TCP базиран, но атаките работят по подобен начин, възползвайки се от уязвимостите в UDP протокола, като изпращат пакет с подправен IP адрес.  Според сигнала на ФБР, нападателите експлоатиращи този протокол, достигат атаки с размери по-големи от 350 гигабита в секунда.

    Конкретно срещу Apple

    Зачестиха и злоупотребите с ARD. Това е приложение за отдалечен достъп при Apple компютрите, което се използва от университети и предприятия за управление на голям брой Apple продукти. Когато ARD е активиран, услугата ARMS, извършваща комуникацията, слуша на порт 3283 (UDP) за входящи команди от отдалечени устройства на Apple. Миналия октомври атакуващите, експлоатирали ARMS при извършване на DDoS усилващи атаки, са успяли да достигнат коефициент на усилване „35.5:1“.

    ФБР също така споменава за уязвимост в Jenkins – платформа с отворен код, използвана за автоматизиране на задачи. Тази уязвимост също може да бъде използвана за DDoS атаки, въпреки че все още не е известна злоупотреба с нея. И все пак, рискът съществува, като в този случай трафика на атаката може да се увеличи до 100 пъти.

    Какво да направите, за да се защитите

    Обикновено стратегията за защита при тези видове атаки би изисквала деактивиране на  протоколите, с които се злоупотребява. Деактивирането на ARMS, WS-DD и CoAP би довело до загуба на функционалността, производителността и цялостната свързаност на бизнеса. Малко вероятно е производителите на устройства да деактивират тези функции, защото това би повлияло на качеството на предлаганите услуги за потребителя.

    Вместо това ФБР насърчава организациите да обединят усилия с местния интернет доставчик за извършване на контрол на мрежовия трафик, създаване на процедура за реакция в случай на отказ на услуга, промяна на потребителските имена и пароли, зададени по подразбиране за всички мрежови устройства, и добавяне на други допълнителни мерки за сигурност. Специалистите по сигурността също така трябва да конфигурират защитните стени на мрежата, за да блокират неоторизирани IP адреси и да деактивират пренасочването на портовете.

    Сигналът на ФБР идва след няколко мащабни DDoS атаки от тази година. Amazon Web Services съобщи, че е ударен от DDoS атака с 2.3 терабита в секунда (293 млн. пакета в секунда) през февруари, най-голямата DDoS атака регистрирана някога. През юни Akamai блокира DDoS атака, генерираща 809 млн. пакета в секунда срещу голяма европейска банка, и друга атака с 1.44 терабита за секунда (достигаща 385 млн. пакети в секунда) срещу уеб хостинг доставчик. Cloudflare също се бори с атака през юни, която достигна максималния брой от 754 млн. пакета в секунда.

    По материала работиха: Кристиян Цанков и Стелиана Козарева 

  • Как уебсайт може да се използва като средство за атака

    Забравени лендинг страници (landing pages), които редица компании използват, могат да бъдат използвани като средство за атака. Как? Като се „отвлекат“ DNS записите им. Но да започнем отначало.

    Какво е landing страница? Обикновено, става въпрос за сайтове, създадени с определена еднократна цел: например, за маркетингови кампании и промоции, игри и т.н. След като сайтът изпълни предназначението си – например, след като кампанията или играта приключи, обикновено бива премахнат или забравен. Именно те са най-честите жертви на този вид атака според Зак Едуардс (Zach Edwards), американски специалист по киберсигурност, който пръв повдигна въпроса в Twitter.

    Как работи атаката

    За да се улесни използването на такъв тип уеб сайтове с кратък живот, доставчиците на хостинг услуги предлагат автоматични DNS записи. Например – temp-1234.hostco.example.  Така клиентът има възможност да създаде CNAME запис за своят истински домейн и да насочи потребителите си към временният сайт:

    julyoffer.example.com: alias (CNAME record) -> temp-1234.hostco.example (cache for 5 mins)

    След като микросайтът вече не ви е необходим, вие спирате да плащате абонамента си за него. Облачната компания го рециклира и го предоставя на друг потребител. Но, както се оказва, без непременно да е изтрила надлежно и по правилен начин всички DNS записи от него. Точно такива микросайтове търсят хакерите.

    Произволно търсене?

    За сравнение, ако някога сте ползвали нов предплатен телефонен номер, без съмнение се е случвало да получавате досадни обаждания от непознати. При това, не от приятели на предишния абонат, а от измамници, които имат номера „отнякъде“.

    За разлика от телефонните номера обаче, където самите цифри са по-скоро произволни, поддомейните са тясно свързани с вашата марка – тя обичайно се съдържа в името им и приканва посетителите да й се доверят.

    В случаите, проследявани от Едуардс, изглежда, че мошениците са използвали  закрити поддомейни, съдържащи легитимни DNS записи, за да генерират надеждни URL адреси за кампании, разпространяващи измами и зловреден софтуер.

    Атаките са известни като „отвличане на DNS записи“ (DNS hijacks) – хакерите всъщност не превземат самия сайт или уеб сървър, а просто променят „указателите в интернет“, които насочват към него.

    Всичко тръгва от DNS протокола

    Както вероятно знаете, DNS (Domain Name System) е глобалната база данни, която автоматично превръща име на домейн, към който браузърът се е обърнал, от удобното за потребителя google.com например, в съответния компютърен IP номер (в случая 64.233.191.255), необходим за изпращане и получаване на мрежови пакети в интернет.

    Резултатът от преобразуването се запазва в кешa на DNS-сървъра, така че той да може да продължи да го използва за известно време, без да се налага да търси отново всяко изображение или скрипт, нужни при преглед на съответната уеб страница. Периодът, за който информацията в DNS кеша се счита за актуална, се нарича „време-на-живот“ или TTL (Time-To-Live).

    Повечето доставчици на cloud услуги поддържат своите DNS кеш TTL доста кратки, колкото да помогнат на услугите им да се адаптират по-бързо към промени в натоварването на мрежата.

    Изглежда обаче, че за хакерите това кратко време е достатъчно, за да „отвлекат“ сайта ви, чрез подмяна на DNS записи и пренасочване на потребителите ви, където пожелаят.

    Атаката е трудна за откриване: На практика нищо на вашия сървър не се променя и нито една защитна система, която ползвате, засича признаци на неоторизиран достъп. Просто посетителите изведнъж спират да пристигат на вашия сайт и започват да виждат нечие друго съдържание, а именно – това на хакерите.

    Какво да направите?

    • Ако сте доставчик на хостинг услуги, помислете дали създаването на временни облачни имена да има уникален префикс или суфикс или да не позволявате те да се прехвърлят към друг потребител с месеци или дори години, ако е възможно.
    • Проверявайте вашите DNS записи за излишни такива, които биха могли да бъдат „отвлечени“. Деактивирайте всички микросайтове, веднага щом приключите с тяхното използване.
    • Разберете какви DNS предпазни мерки предлага вашият хостинг доставчик. Също така помислете за включване на опция, наречена „Премахване на DNS запис“.
Back to top button