Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis

В этом выпуске Константин Гончаров рассказывает о взломе смартфонов Nexus 5x, новых вымогателях и… других вымогателях.

Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis

Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis

Комбинация стандартных инструментов разработчика и пары недокументированных возможностей позволяет взломать телефоны Nexus 5X — работающие на «чистом» Android смартфоны, выпускаемые компанией LG. Об этом сообщает лаборатория X-Force компании IBM (новость, исследование), естественно, уже после того, как Google закрыла уязвимость патчем на этой неделе.

Судя по всему, уязвимость возможно было эксплуатировать с уникальной комбинацией прошивки и загрузчика. Для эксплуатации требуются физический доступ к смартфону либо довольно хитрая и непрактичная манипуляция компьютером, к которому подключается Nexus.

Если завладеть телефоном, все просто и надежно. Заходите в меню загрузчика в режиме fastboot, подключаетесь по USB. Далее через интерфейс adb отдаете команду fastboot oem panic — а это приводит к сохранению полного дампа памяти. Этот дамп также можно вытащить с устройства, а в нем, в свою очередь, открытым текстом хранится пароль доступа к телефону.

Все, можно перезагружаться, вводить украденный пароль и дальше делать все, что душе угодно. Интересен еще один потенциальный вектор атаки — через «вредоносный» USB-зарядник, правда, на практике это возможно не во всех случаях. В IBM не наблюдают примеров эксплуатации атаки, так что дыру закрыли раньше, чем ею могли бы воспользоваться.

Но сценарий использования здесь хорошо укладывается в каноны какого-нибудь шпионского сериала: под покровом темноты меняем штатную зарядку на подготовленную и получаем полный доступ к устройству. Вопрос в том, сколько еще открытий чудных готовят нам современные устройства. Это вам не разъем для наушников, тут все серьезно.

Все выпуски сериала доступны по тегу.

Троян-вымогатель Cry прикидывается несуществующим госагентством, использует Imgur и Google Maps

Новость. Исследование на сайте BleepingComputer.

Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis

Троянец Cry не поражает количеством жертв (пока исследователи зарегистрировали около 8 тысяч заражений), но интересен методами коммуникации с командным сервером и попытками сбора данных, которые для сбора дани, в общем-то, не требуются.

Метод заражения также неизвестен (в Trend Micro предполагают использование эксплойт-пака), но вот что происходит после него. Как обычно, на рабочем столе троянец-вымогатель оставляет открытку пользователю с инструкциями по оплате и требует 1,1 биткойна (около $625). Отправка информации о зараженной системе на сервер происходит необычно. Данные отправляются по UDP сразу на 4 тысячи IP-адресов — очевидно, с целью затруднить выявление реального C&C-сервера.

Кроме того, данные и пересылаются нестандартным образом. Информация внедряется в картинку в формате PNG, которая заливается на хостинг изображений Imgur. После заливки троянец получает от сервиса уникальный идентификатор изображения, и вот он уже рассылается по тысячам адресов. Этот метод используется параллельно с прямой отправкой данных.

Вторым интересным побочным эффектом деятельности троянца Cry является использование API Google Maps. С помощью стандартных функций Windows запрашивается информация о близлежащих точках доступа Wi-Fi, по которым через Google определяется примерное местоположение жертвы. Пока неясно, зачем вымогателям эта информация: исследователи предполагают, что в будущем угрожать жертвам смогут более таргетированно, с указанием адреса и телефона. Милым штрихом является страница «техподдержки» в HTML-открытке, через которую жертвы атаки могут высказать все, что думают об организаторах.

В массовой атаке на Linux-серверы обвинили небезопасные настройки кеширующего ПО Redis

Новость. Предыдущая новость. Исследование Duo Labs.

На прошлой неделе пользователи форума BleepingComputer обсуждали странные атаки на Linux-серверы: жертвы обнаруживали полное отсутствие файлов веб-сервера и текстовый файл со ссылкой на требование выкупа. По ссылке сообщалось, что владельцы серверов стали жертвой вымогателя Fairware, и выдвигалось требование по оплате в размере 2 биткойнов. Довольно быстро стало понятно, что веб-сайты удалялись целиком, под корень и без возможности восстановления, так что выкуп был бы лишь дополнительной тратой времени и денег. А вот причина взлома серверов была неясна — предполагалось, что имел место перебор паролей для доступа по SSH.

Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis

Картинка по запросу «брутфорс»

Исследователи из Duo Labs считают, что брутфорс SSH ни при чем. Виной всему могло быть небезопасное внедрение софта Redis — ПО для кеширования данных. Речь идет не об уязвимости, а именно о неправильной конфигурации (возможной, впрочем, по дефолту в старых версиях), которая позволяет удаленно настраивать программное обеспечение. В идеале такая конфигурация должна происходить только с доверенных хостов, но возможны исключения. Таких исключений в Duo Labs насчитали около 18 тысяч, пройдясь по Сети специализированным поисковиком Shodan.

Из них предположительно атаке могли подвергнуться 13 тысяч хостов (считали по уникальному SSH-ключу), хотя не все в итоге стали жертвами вандализма. А метод атаки оказался достаточно простым: если есть возможность удаленной конфигурации Redis, через нее можно подкинуть на сервер SSH-ключ и по нему уже вполне респектабельно зайти в систему с правами root. Остальное — дело техники. Такой вот нехороший вымогатель. Кстати, этот прошлогодний пост на «Хабре» намекает, что проблема не новая.

Что еще произошло:

Эксперты «Лаборатории» делятся информацией о новом мобильном банковском троянце Gugi.

Еще одна пачка патчей для уязвимостей в Android.

Массовая утечка паролей к сервисам Rambler — почти 100 млн записей.

Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish

Древности:

«Perfume»

Резидентный очень опасный вирус, стандартно поражает .COM-файлы (COMMAND.COM поражается при старте вируса). Создает свою TSR-копию, ничего не изменяя в блоках MCB, чем может вызывать зависание системы. Периодически стирает случайные секторы на диске «A:». При 80-й попытке заражения уже инфицированного файла начинает какой-то диалог с оператором (в моем образце вируса текст стерт). Перехватывает int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 78.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.