Olympiáda v Londýne zvýšila výskyt podvodných webov a produktov, svetlo sveta uzrel PoC malware infikujúceho bios a firmware ďalších periférií, podľa odborníkov hrozia botnety zložené zo smerovačov, ale objavil sa aj nový trojan pre MAC OSX. Prehľad aktualít uplynulého týždňa vo svete IT bezpečnosti.
Letné Olympijské hry v Londýne lákajú aj kybernetických podvodníkov. Podľa spoločnosti TrendMicro najnovšie sa snažia užívateľov nalákať na online stream videa priamo z Londýna. Okrem videa sa objavujú aj podvody s lístkami, či bonusovými informáciami. Útočníkom však v skutočnosti ide o získanie čísla kreditnej karty, prípadne uhradenie platby cez PayPal, alebo zbieranie e-mailových adries. Treba byť preto obozretný.
Zdroj: computerworld.com
Bezpečnostný expert Jonathan Brossard vytvoril proof-of-concept (POC) hardvérového backdoora s názvom Rakshasa. Jeho úlohou je nahradiť bios počítača. Môže tak ovládnuť operačný systém a dokonalo po sebe zahladiť stopy. POC bol predstavený na konferenciách Defcon i BlackHat. Okrem infekcie biosu jeho nahradením, dokáže malware infikovať aj PCI firmware ďalších periférnych zariadení napr. sieťových kariet, CD-ROM mechaník a pod. Rakshasa bol postavený na open-source softvéri, nahrádza bios výrobcu kombináciou alternatív Coreboot a SeaBIOS. Pri sieťových kartách ide o firmware iPXE. Malware je tak univerzálne použiteľný. Prejavy malware nemusia byť pozorovateľné žiadnym spôsobom. Identifikácia tohto malware je veľmi zložitá. Jediná pomoc pri takejto infekcii je vypnúť počítač a manuálne reflashovať firmware v biose a na perifériách, čo však vyžaduje špeciálnu výbavu a patričné vedomosti. Ak by sa tak stalo pri zapnutom PC, backdoor sa obnoví. Ide tak o veľmi závažnú hrozbu.
Zdroj: computerworld.com
Bezpečnostný odborník Michael Coppola poukázal na to, ako môžu byť pomerne jednoduchým spôsobom infikované routery v domácnostiach, či malých kanceláriách. Počas konferencie Defcon prezentoval spôsob ako možno využiť backdoora vo firmware od výrobcu zariadenia. Proces backdooringu routerov zautomatizoval pomocou nástroja Router Post-Exploitation Framework (rpef), ktorý je funkčný len pre konkrétne modely, no do budúcna sa predpokladá rozšírenie zoznamu podporovaných zariadení. V súčasnosti ide o modely: Netgear WGR614, WNDR3700 a WNR1000; Linksys WRT120N; TRENDnet TEW-651BR a TEW-652BRP; D-Link DIR-601 a Belkin F5D7230-4. Tento nástroj môže byť pri podporovaných zariadeniach využitý ako root bind shell, network sniffer, alebo botnet klient riadený prostredníctvom IRC (Internet Relay Chat). Existuje niekoľko spôsobov ako nájsť a infikovať vzdialene podporované modely routerov. Zariadenia je možné skenovať (rozsahy tisícok IP adries), pokiaľ je dostupná ich administrácia na diaľku, u mnohých fungujú štandardné výrobcom nakonfigurované prístupové údaje. Často sa dá použiť prípadne aj hrubá sila. Druhou možnosťou je využiť postup, ktorý sme spomínali nedávno. Jedná sa o zneužitie zložitých JavaScript kódov a HTML5 pre webové rozhrania routerov. Veľa rozhraní nie je odolných voči útokom CSRF. Odborníci zo spoločnosti TrendMicro v roku 2011 objavili v Latinskej Amerike malware zameriavajúci sa na routery spoločnosti D-Link. Išlo o útok hrubou silou a malware sa odstránil reštartom zariadenia. Coppolov útok je však voči reštartu routera imúnny.
Zdroj: computerworld.com
Pred dvoma týždňami nadobudlo mnoho používateľov služby DropBox podozrenie z narušenia bezpečnosti ich zdieľaných dát. Dôvodom bolo šírenie nevyžiadanej elektronickej pošty z e-mailových adries, ktoré používali pre túto službu. Spoločnosť oznámila, že za bezpečnostný incident môže konkrétny zamestnanec. Ten použil svoje osobné heslo k istému projektovému dokumentu s obsahom e-mailových adries niekoľkých používateľov služby na inom, žiaľ, už napadnutom webe. DropBox postihnutých užívateľov kontaktoval a vydal prehlásenie, v ktorom avizuje ďalšie vyšetrovanie, ale aj prijatie nových bezpečnostných opatrení pre zamedzenie podobnej situácie do budúcnosti.
Zdroj: krebsonsecurity.com
Bezpečnostný blog Intego informoval o objavení nového trojana určeného pre systémy MAC OSX. Nesie názov Crisis a je funkčný na verziách OSX 10.6 a 10.7 - Snow Leopard a Lion. Ide o dropper, ktorý po spustení vytvorí v systéme backdoor. V závislosti na oprávneniach účtu, kde bol Trojan spustený inštaluje ďalšie komponenty.
Ak dropper beží na systéme s oprávnením správcu, bude využije rootkit techniky na „ukrytie sa“ v systéme. V oboch prípadoch – správca aj užívateľ vytvorí celý rad súborov a priečinkov na dokončenie svojich úloh. Konkrétne 17 súborov, keď je spustený s oprávnením Správca, 14 súborov, keď je spustený bez týchto oprávnení. Backdoor kontaktuje IP adresu 176.58.100.37 každých 5 minút a čaká na inštrukcie. Trojan je vytvorený tak, aby sa komplikoval pokusy o reverzné inžinierstvo, čo sťažuje jeho analýzu. Tento druh malware je bežný pre platformu Windows, avšak na MAC OSX ide o zriedkavejší jav. Intego uvádza, že vzorku našli na webe VirusTotal, takže hrozba sa zatiaľ zrejme nevyskytuje v reálnom prostredí.
Zdroj: intego.com