Windows

  • Нова усъвършенствана атака използва Windows Defender, за да заобиколи EDR

    Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

    WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

    Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

    Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

    Атаката включва три основни фази:

    • атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
    • нападателят рестартира крайната точка, за да приложи новата политика;
    • при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

    Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

    • внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
    • прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
    • деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

    С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.

  • Хакерите използват ZIP файлове, за да заобикалят софтуерите за киберсигурност

    Хакерите атакуват машини с Windows, като маскират вирусите с разширението ZIP. По този начин те доставят зловредни товари в компресирани архиви, а решенията за сигурност не успяват да ги засекат. 

    Откритието е на компанията за киберсигурност Perception Point, която засича „троянски кон“ в архивен файл по време на анализ на фишинг атака. Прикаченият файл е маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt, за да автоматизира злонамерени задачи. 

    Атаката протича така: 

    • подготовка, при която нападателите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях; 
    • отделните файлове се обединяват в един свързан архив; 
    • въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория; 

    Следващата фаза на атаката разчита на начина, по който различните софтуери обработват архивите. В зависимост от поведението на конкретното приложение хакерите могат да прецизират стратегията си.  

    За да се защитите от подобна атака, използвайте решения за киберсигурност, които позволяват контролирано разархивиране на файлове. Но най-сигурно е винаги да подхождате с подозрение към имейлите с прикачени ZIP или други типове архиви. 

  • Microsoft: Актуализирайте вашия компютър незабавно

    Недостатъкът в защитата, известен като PrintNightmare, засяга услугата Windows Print Spooler.

    Експлоатиран от недоброжелатели, той може да се използва за инсталиране на програми, преглед и изтриване на данни или дори за създаване на нови потребителски акаунти с пълни потребителски права.

    Проблемът е ескалирал, след като компанията за киберсигурност Sangfor случайно публикува ръководство за експлоатация на уязвимостта, смятайки че описва стар и вече пачнат бъг. И така са отприщили Zero-day експлойт.

    Специалистите от CENTIO #CYBERSECURITY пуснаха материал в блога си, който описва как проблемът е набрал скорост и по-важното – дава насоки как да му противодействате. Прочетете повече ТУК.

  • Google разкрива усъвършенствана хакерска операция, насочена към Windows и Android устройства

    Изследователите по киберсигурност от екипа Project Zero на Google, специализирани в откриването на 0-day уязвимости, публикуваха доклад от шест части, в който подробно описват сложна хакерска операция, засечена в началото на 2020 г.

    Тя е насочена към собствениците на Android и Windows устройства. Атаките са извършени чрез два експлойт сървъра (единият, предназначен за Windows потребители, а другият – за Android), изпълняващи различни последователни експлойт събития (exploit chains) чрез т.нар. “Watering hole” метод за атака.

    И двата експлойт сървъра са използвали уязвимости в Google Chrome, за да осигурят нерегламентиран достъп до устройствата на жертвите. Веднъж получили входна точка посредством браузъра, хакерите инсталират експлойт на ниво ОС, за да получат по-голям контрол върху устройството на жертвата.

    Последователните експлойт събития включват комбинация от уязвимости, както от тип 0-day, така и n-day. 0-day се отнася за уязвимости, неизвестни за вендора към момента на експлоатиране, а n-day – за такива, които са били закърпени, но все още се наблюдава активното им експлоатиране.

    Какво съдържат експлойт сървърите

    • Четири „renderer“ грешки в Google Chrome, една от които все още не е била позната (0-day) на Google, когато е била открита от екипа на Project Zero
    • Два експлойта, които са специализирани в това, да избягват засичането им в облачно базирани среди (sandboxing) и които ескплоатират три 0-day уязвимости в Windows
    • Пакет за ескалиране на привилегиите (privilege escalation kit), съставен от публично известни n-day експлойти за по-стари версии на Android OS.

    0-day уязвимостите са закърпени през пролетта на 2020г

    • CVE-2020-6418 – Chrome Vulnerability in TurboFan (закърпен през Февруари 2020)
    • CVE-2020-0938 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1020 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1027 – Windows CSRSS Vulnerability (закърпен през Април 2020)

    Въпреки че на споменатите по-горе експлойт сървъри не са открити 0-day за Android, специалистите от Project Zero предполагат, че хакерите най-вероятно са имали достъп именно до такъв тип експлойт. Просто той не е бил хостнат на тези сървъри по времето на провеждане на изследването.

    Google: Последователните експлойт събития са сложни и добре разработени

    Google разкрива, че става дума за добре проектиран, сложен код, с разнообразие от нови методи за експлоатация, усъвършенствани и изчислени следексплоатационни техники и голям обем от антианализиращи и описващи защити.

    Не се предоставят други подробности за нападателите или профила на таргетираните жертви.

    В блога на Project Zero са налични още доклади по темата

    Публикувани са и други доклади, свързани с „infinity bug“ в Google Chrome, който е използван при атаките, последователните експлойт събития, съответно при Chrome, Android, Windows, както и следексплоатационни техники, използвани отново при Android устройствата.

    Предоставените доклади ще осигурят възможност на други вендори в областта на информационната сигурност да идентифицират подобни атаки срещу своите клиенти и да проследят и други сходни действия, извършени от същите злонамерени лица.

    Препоръки

    Разгледаната атака е поредното доказателство, че хакерите продължават да усъвършенстват и подобряват своите тактики, техники и процедури (TTPs).

    Екипът на FreedomOnline.bg препоръчва винаги да използвате последната налична версия както на ниво ОС/фърмуер, така и на инсталираните програми/апликации. По този начин ще се предпазите от експлоатиране на вече известни уязвимости (n-day).

    Внимавайте също така какво инсталирате на вашето устройство и какъв достъп разрешавате. За разлика от n-day, където един пач (patch) би елиминирал уязвимостта, при 0-day това само по себе си не е достатъчно, а са необходими мерки от типа на многопластова защита (defence-in-depth) и защитни механизми, които биха идентифицирали подозрително и нехарактерно поведение на устройствата.

  • Не отлагайте да актуализирате вашия Windows

    Ако се случва да отлагате инсталирането на актуализации на Windows, защото ви се струват досадни, не си го позволявайте с последната: Microsoft пусна корекция на грешка, която може да срине системата ви, като се свърже с неправилно оформен път на файл. На теория, хакер би могъл да използва проблема, за да уязви вашия компютър само с отварянето на една папка.

    За ваше удобство, програмите имат достъп до файловите пътища. Поставете например път на файл в Google Chrome и той ще задейства Windows Explorer или ще отвори PDF във вашата система. Но ако пътят до файла не е оформен с правилно определени атрибути, той би сринал Windows, като доведе до BSOD (син екран на смъртта).

    Хакери могат да се възползват от грешката и да сриват Windows всеки път, когато влезете в акаунта си. Освен, че е възможно методът да бъде използван за прикриване на други действия, той може да попречи на администраторите да проследят друга зловредна дейност. Хакерите дори могат да задействат дистанционно пътя, елиминирайки възможността за системно администриране.

    Последната актуализация на Windows решава проблема и ще защити вашия компютър от тази конкретна критична грешка. Приложете ъпдейта и не давайте възможност на хакерите да злоупотребят със системата си.

  • Microsoft: Хакерите на SolarWinds са имали достъп до нашия сорс код

    Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

    Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

    Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

    Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

  • Криптовирусът RansomEXX прескача от Windows на Linux

    Ransomware тормози потребителите на Windows от години. В последно време той се променя и адаптира, за да може да компрометира и Linux сървъри. А вече е регистриран криптовирус, който прескача от Windows на Linux.

    Засечен е нов троянец, наречен RansomEXX, който първоначално заразява Windows система и след това я използва за вход към набелязана Linux машина. Става дума за изключително таргетирани атаки: Всяка проба от кода, която изследователи от Касперски са проучили, е съдържала името на атакуваната организация. Сред жертвите е и Konica Minolta.

    RansomEXX не е непознат – той атакува Windows от лятото на 2020 г. Еволюцията на зловредния код обаче е новост: Това е може би първият случай, при който криптовирус прескача между различни операционни системи.

    Ransomware е изключително печеливш бизнес. Твърди се, че операторите на Ryuk заплахи са спечелили 34 млн. USD само от една успешна атака. Kиберпрестъпната група REvil казва, че прави над 100 млн. USD годишно от платени откупи. При това положение е най-логично да очакваме, че „пазарното развитие“ на криптовирусите ще продължи.

    Препоръки:

    • Провеждайте редовни обучения на целия персонал, с фокус върху киберсигурността
    • Въведете в организацията си най-подходящата комбинация от решения за киберзащита, по възможност, основана на препоръка от професионалист
    • Прилагайте редовно ъпдейти на системите, за да елиминирате налични уязвимости, които могат да се окажат входна точка за кибератака
    • Прилагайте принципа най-необходимия достъп (least privilege)
    • Управлявайте паролите си, като, по възможност, използвате мениджъри на пароли и двуфакторна автентикация
  • Ботнетът Emotet атакува с нов злонамерен шаблон за Windows Update

    Ботнетът Emotet използва нов злонамерен прикачен файл, който се представя за съобщение от Windows Update и ви приканва да актуализирате Microsoft Word.

    Emotet е зловреден софтуер, която се разпространява чрез фишинг имейли, съдържащи злонамерени документи на Word или Excel. Тези документи използват макроси за изтегляне и инсталиране на троянския кон Emotet на компютъра на жертвата. Веднъж заразен, този компютър започва да разпраща спам и-мейли и в крайна сметка може да доведе до рансъмуер-атака в мрежата на жертвата.

    В предишни свои прояви Emotet маскираше спам кампаниите си като фактури, информация за доставка, информация за COVID-19, информация за здравето на президента Тръмп, автобиографии или поръчки за покупка.

    Повече за злонамерените шаблони и прикачени файлове, както и някои препоръки как да се предпазите от тях, може да прочетете тук.

  • Лошият съсед – CVE-2020-16898

    Microsoft публикува информация относно критична уязвимост в IPv6 стака на всички модерни Windows операционни системи, оценена с впечатляващите 9.8 CVSSv3 базови точки. Тази уязвимост позволява отдалечено изпълнение на код (RCE) чрез специално изработени IPv6 пакети, без нападателят да има нужда да се автентикира.

    Уязвимостта е критична и несъмнено трябва да бъде пачната при първа възможност, но към момента на публикуване на тази статия, следва да се обърне внимание на няколко важни детайла:

    • Текущият proof-of-concept (PoC) експлойт, споделен с членовете на MAPP (Microsoft Active Protection Program), е изключително прост и 100% ефективен, но той не води до RCE, а само до незабавен BSOD (Blue Screen of Death). Т.е. тази уязвимост към момента може да бъде експлоатирана за осъществяване на DoS атаки. 

    • Уязвимостта се корени в проблеми с обработката на ICMPv6 Router Advertisement, които са част от ICMPv6 Neighbor Discovery “протокола”. За щастие такива пакети не се изпращат свободно в интернет и най-често биват филтрирани на ниво firewall/border router. При това положение, атакуващият най-вероятно ще се намира в локалния мрежов сегмент на жертвата.
    • “Лошият съсед” (Bad Neighbor) е прякорът на CVE-2020-16898, която има потенциал да се имплементира в саморазпространяващ се  зловреден код (червей). Засега постигането на BSOD е само върхът на айсберга: това е първата стъпка към осъществяването на успешен RCE, чрез навързване (chaining) на няколко уязвимости, което рано или късно ще се случи със сигурност.
    • Всъщност, според ветерани като Malware Jake,  едва ли ще се постигне RCE.

    Засегнатите операционни системи и версии са:

    • Windows 10 Version 1709 for 32-bit Systems
    • Windows 10 Version 1709 for ARM64-based Systems
    • Windows 10 Version 1709 for x64-based Systems
    • Windows 10 Version 1803 for 32-bit Systems
    • Windows 10 Version 1803 for ARM64-based Systems
    • Windows 10 Version 1803 for x64-based Systems
    • Windows 10 Version 1809 for 32-bit Systems
    • Windows 10 Version 1809 for ARM64-based Systems
    • Windows 10 Version 1809 for x64-based Systems
    • Windows 10 Version 1903 for 32-bit System
    • Windows 10 Version 1903 for ARM64-based Systems
    • Windows 10 Version 1903 for x64-based Systems
    • Windows 10 Version 1909 for 32-bit Systems
    • Windows 10 Version 1909 for ARM64-based Systems
    • Windows 10 Version 1909 for x64-based Systems
    • Windows 10 Version 2004 for 32-bit Systems
    • Windows 10 Version 2004 for ARM64-based Systems
    • Windows 10 Version 2004 for x64-based Systems
    • Windows Server 2019
    • Windows Server 2019 (Server Core installation)
    • Windows Server, version 1903 (Server Core installation)
    • Windows Server, version 1909 (Server Core installation)
    • Windows Server, version 2004 (Server Core installation)

    Как да се защитим

    Накратко: Calm down and patch!

    Приложете съответните пачове и си отворете по една студена бира за добре свършената работа.
    За тези от вас, които, по една или друга причина, не могат да приложат обновленията, съществува workaround: Изключете  ICMPv6 RDNSS чрез powershell команда и рестартирайте операционната система.

    netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

    За пълна видимост и регистриране на опити за експлоатация, вече има публикувани Suricata IDS/IPS правила.

    За най-актуална информация, препоръчваме да следите официалната статия със съвети от Microsoft.

    За да научите повече за тази уязвимост, препоръчваме да прочетете чудесните статии на McAffee и Rapid7:

    https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

    https://blog.rapid7.com/2020/10/14/there-goes-the-neighborhood-dealing-with-cve-2020-16898-a-k-a-bad-neighbor/

    А, ако ви се струва, че имате Deja Vu, не сте се объркали – Ping of Death.

     

  • Windows Power Toys: Направете Windows 10 по ваш вкус с безплатно open source приложение

    Последен ъпдейт на 26 юли 2020 в 17:16 ч.

    Ако искате да направите Windows наистина изцяло по ваш вкус, отговорът не е само в системните настройки. Решението е пакет с приложения, създаден от Microsoft, и наличен за сваляне, безплатно от GitHub. Ето част от екстрите, с които ще разполагате, след като се запознаете с този текст:

    • Как да подреждате автоматизирано различни отворени прозорци според типа им
    • Как да преглеждате текстови файлове, без да се налага да ги отваряте
    • Как да промените клавишните комбинации по подразбиране в операционната система
    • Как да преименувате повече от един файл едновременно

    Fancy Zones

    Fancy Zones е инструмент, който позволява да подреждаме различните отворени прозорци на определени места, които ние дефинираме.

    По принцип, в Windows можете да преместите един прозорец на няколко места на екрана: отгоре, отдолу, вляво или вдясно използвайки клавишната комбинация Windows Key + Arrow Keys.

    С Fancy Zones можем да зададем различна зона на екрана използвайки вече готовите темплейти.

    Или да начертаем конкретни зони с Custom Layout Creator

    Инструментът също така предоставя възможност да събираме определени зони, да запълним свободното място между тях или да променяме големината и разположението им на екрана.

    Може да преместим прозорец във вече обозначена зона, като използваме комбинацията Left Shift + Left Mouse Button. При използването ѝ, зоните се показват на екрана и тази, върху която искаме да се сложи прозореца, се обозначава с червен цвят по подразбиране.

    Shortcut Guide

    Shortcut Guide ни позволява да видим различните клавишни комбинации които използват Windows бутона. За целта, единствено задържаме Windows Key за една секунда, след което се появява менюто, показващо ни всички клавишни комбинации.

    Power Rename

    Power Rename ни позволява да редактираме имената на голям брой файлове наведнъж. Имаме възможност да задаваме много различни аргументи при използване на самият инструмент, като например ^example, който ще маркира всеки файл който започва с example и ще ни позволи да го редактираме.

    Като цяло инструментът е изключително сложен, но Microsoft са ни предоставили много подробни инструкции в Github хранилището на Power Rename, както и малко демо под формата на видео, което показва какво представлява инструмента.

    Preview Pane 

    Preview Pane е технология, която ни показва предварителен преглед на маркирани от нас файлове. Ако, например, не желаем да отваряме 20 различни текстови документа или снимки един по един, с Preview Pane можем директно да ги разгледаме още във File Explorer.

    Може да намерите source кода на проекта в Github хранилището, ако се интересувате как точно е направено.

    Image Resizer

    Image Resizer работи подобно на Power Rename с идеята, че позволява да редактираме много файлове наведнъж. Конкретно, в Image Resizer имаме възможността да редактираме измеренията на избрани от нас снимки. Това, което прави инструмента изключително полезен, са и допълнителните опции, с които идва. Например, да създаваме вече предефинирани размери, които можем да запазим за по-късно или дори да увеличим, или намалим размера на снимките с даден процент.

    Keyboard Manager

    Keyboard Manager или KBM ни позволява да променяме функцията на клавишните ни комбинации или дори да предефинираме отделни клавиши. Например, можем да променим командата за копиране на файлове Ctrl + C на Ctrl + D. Или, когато напишем латинско Z да излиза З на кирилица. За жалост, поне засега, инструментът няма възможността да презаписва комбинация от клавиши върху един бутон, например ако искаме да преместим Ctrl + C -> C или Ctrl + V -> V

    Способностите на KBM първоначално може да изглеждат сравнително прости, но те ни позволяват да персонализираме клавиатурата си и дори начина, по който работим с нея.

    Освен това поддържа и допълнителни макро бутони като тези при Razer клавиатурите. Може да намерите официалния FaQ за инструмента в Github.

    Power Toy Run

    Последното приложение в този пакет е Power Toys Run. Може да го отворим чрез клавишна комбинация Alt + Space. Той представлява търсачка, с която може да търсим различни документи, приложения, или дори да го използваме като калкулатор за много по-бързи калкулации като събиране, умножение и т.н.

    Други възможности на инструмента са например:

    • С клавишната комбнация Ctrl + Shift + Enter можем да отворим приложение като администратор.
    • С Ctrl + Shift + E можем да отворим директорията, в която се намира приложението
    • Ctrl + C ни позволява да копираме директорията директно от Power Toy Run.

    Инструментът е най-новият в пакета и има малки проблеми, за които може да прочетете отново в Github.

    В заключение

    Пакетът с инструменти, които Microsoft ни предоставят безплатно, е много полезен и смятам, че всеки може да намери нещо за себе си в него.

    Лично за мен Shortcut Guide, File Explorer Preview и Power Toys Run са модулите които могат най-много могат да ни улесняат работата с Windows. Може да намерите всички инструменти, заедно с тяхната документация, в официалната страница на Microsoft в Github.

Back to top button