BOMBERuss

Компания Microsoft по ошибке рассекретила закрытые ключи для механизма безопасной загрузки SecureBoot, тем самым открыв злоумышленникам доступ к устройствам на базе ОС Windows, включая смартфоны и планшеты.

Secure Boot (защищенная загрузка или безопасная загрузка) – одна из функций UEFI, позволяющая бороться с руткитами и буткитами еще на предварительном этапе загрузки ОС. Протокол обеспечивает защиту загрузочной среды компьютера от вмешательства в загрузочные файлы путем контроля подписей загружаемых файлов на предмет их соответствия белому списку ключей, зашитых в UEFI как доверенные. Одним из последствий такой защиты является невозможность установки альтернативной операционной системы. В некоторых системах и устройствах, например, Windows RT и Windows Phone функция SecureBoot не может быть деактивирована пользователем.

Внимание общественности на уязвимость обратили независимые исследователи MY123 и Slipstream. По их словам, атакующий с правами администратора или физическим доступом к устройству может не только отключить функцию SecureBoot и установить любую операционную систему, но и загрузить руткиты и буткиты. Проблема связана с политикой безопасной загрузки, используемой SecureBoot.

Как отметили исследователи, Microsoft не сможет отозвать все утекшие ключи, потенциально оставляя бэкдор для ФБР и АНБ США, который может быть использован для разблокировки устройств под управлением Windows, фигурирующих в уголовных делах.

В июле и августе Microsoft выпустила патчи MS16-094 и MS16-100, устраняющие уязвимость в Secure Boot, однако первое обновление оказалось неадекватным, а второе неполным. Предполагается, что третье обновление станет доступно в сентябре нынешнего года.

Пруф http://www.securitylab.ru/news/483339.php

11 августа пользователь «Хабрахабра» под ником kromm рассказал, что с помощью недоработки в системе перевода средств на сайте «Тинькофф банка» можно определить баланс любой выпущенной компанией карты, зная только её номер. Спустя несколько часов после публикации «Тинькофф банк» закрыл ошибку.

Теперь «Тинькофф банк» решил официально запустить программу Bug Bounty, которая предусматривает выплаты хакерам, которые находят уязвимости в системах компаний и передают информацию о них в сами организации, не выкладывая публично. В ближайшее время этот проект будет официально запущен на площадке HackerOne, которой уже пользуются «ВКонтакте», «Одноклассники» и другие российские компании.

Полностью совершенных технологий не бывает. Даже у самых опытных тестировщиков может замылиться глаз, поскольку они работают с привычным для них интерфейсом. Не секрет, что это порой может привести к «мертвым зонам» или к не своевременно выявленным ошибкам. Безопасность наших сервисов и данных наших клиентов – приоритет для нас, и мы рады будем использовать опыт других специалистов в области безопасности, как это уже сейчас делают крупнейшие мировые ИТ-компании.

— «Тинькофф банк»

Сумма выплат будет зависеть от критичности уязвимости и того, в каком сервисе она будет обнаружена.

«Мы сейчас разрабатываем конкретные критерии, однако сейчас можно утверждать, что сумма будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей», — добавили в компании.

Представители банка добавили, что ранее уже сотрудничали с «белыми» хакерами, однако теперь решили запустить публичную программу.

https://vc.ru/n/tinkoff-hackerone

Эксперты «Лаборатории Касперского» обнаружили ранее неизвестный вид атаки в сентябре 2015 года. Подозрительный модуль находился в системе в качестве исполняемой библиотеки, загруженной в память контроллера домена в сети под управлением Microsoft Windows. Библиотека была зарегистрирована как фильтр паролей для систем Windows и имела доступ к конфиденциальным данным в открытом виде. Эксперты провели расследование, в результате которого обнаружили следы деятельности ранее неизвестной кибергруппировки, ответственной за крупномасштабные атаки на ключевые государственные предприятия в нескольких странах, получившей название ProjectSauron. Выбор имени ProjectSauron для этой угрозы обусловлен тем, что авторы кода использовали слово «Sauron» в конфигурационных файлах.

Как оказалось, ProjectSauron — это наисложнейшая модульная платформа для кибершпионажа, использующая продвинутые методы сокрытия своего присутствия и извлечения собранных данных, что позволяет атакующим осуществлять продолжительные кампании. Технический анализ показал, что ее создатели «учились» у других организаторов АРТ-атак и сделали все возможное, чтобы не повторять их ошибок. Например, все вредоносные модули создаются специально «под конкретную жертву», что существенно уменьшает возможность их использования как индикаторов компрометации для любой другой жертвы.

В арсенале ProjectSauron присутствуют решения для атак на все современные ОС Microsoft Windows – как x64, так и x86. Также были обнаружены заражения как Windows XP x86, так и Windows 2012 R2 Server Edition x64. Версий ProjectSauron для систем, отличных от ОС Windows, обнаружено не было.

С помощью собственных средств телеметрии сотрудники «Лаборатории Касперского» выявили, что жертвами ProjectSauron стали уже более 30 организаций в Российской Федерации, Иране и Руанде. Хакеры атаковали правительственные структуры, научно-исследовательские центры, вооруженные силы, провайдеров телекоммуникационных услуг и финансовые организации. Исследователи пишут, что в реальности стран и организаций, пострадавших от ProjectSauron, скорее всего, намного больше.

Эксперты полагают, что группировка действовала как минимум с июня 2011 года и по-прежнему проявляет активность в 2016 году. Хотя имеются основания полагать, что хакеры в значительной мере свернули свою деятельность, угроза по-прежнему активна во многих компьютерных системах. Также эксперты убеждены, что операции такого уровня сложности, нацеленные на кражу конфиденциальной и секретной информации, могли быть реализованы только при поддержке государства.

В ходе расследования было выявлено, что в арсенале злоумышленников присутствовало несколько интересных и необычных техник, в том числе:

- извлечение собранных данных и передача информации о статусе атаки в режиме реального времени с помощью DNS-запросов;

- установка имплантов (вредоносных модулей) с помощью легитимных скриптов обновления ПО;

- извлечение данных из физически изолированных сетей с помощью специально подготовленных USB-носителей, с размещением украденных данных в скрытой области, недоступной стандартным средствам операционной системы;

- реализация основной платформы и ее плагинов на базе модифицированного скриптового движка Lua. Применение компонентов Lua во вредоносном ПО встречается очень редко – до настоящего времени они были обнаружены лишь в APT Flame и Animal Farm.

В отчете специалисты «Лаборатории Касперского» называют ProjectSauron чрезвычайно «продвинутой» платформой, достигающей уровня сложности таких проектов, как Regin и Equation. Среди наиболее интересных и сложных особенностей платформы аналитики отметили следующие вещи:

- различные механизмы извлечения информации, включая передачу данных поверх известных протоколов;

- преодоление воздушных зазоров с помощью скрытых разделов на USB-накопителях, созданных специально для переноса данных;

- компрометация механизмов LSA для взятия под контроль контроллеров доменов Windows;

- использование модифицированного скриптового движка Lua для создания собственных вредоносных скриптов, позволяющих управлять всей вредоносной платформой с помощью языка высокого уровня.

Особенно интересно, что экспертам удалось зафиксировать несколько случаев, когда ProjectSauron успешно проникал в физически изолированные сети. В состав инструментария ProjectSauron входит специальный модуль, предназначенный для переноса данных из физически изолированных сетей в системы, подключенные к интернету. Для этого используются съемные USB-устройства. После взлома подключенных к интернету систем злоумышленники ожидают подключения USB-накопителя к зараженной машине. Такие USB-накопители форматируются особым образом, чтобы уменьшить размер основного раздела на USB-диске. Освобожденное пространство (несколько сот мегабайт) используется злоумышленниками для создания нового зашифрованного раздела, недоступного для стандартных средств ОС Windows. Этот раздел несет в себе собственную виртуальную файловую систему (virtual file system, VFS) с двумя основными директориями – «In» (Входящие) и «Out» (Исходящие).

Такой метод позволяет успешно обойти защиту, обеспечиваемую многими DLP-продуктами, потому что ПО, блокирующее подключение неизвестных USB-устройств на основании DeviceID, не способно предотвратить атаку или утечку данных в случае, когда используется один из одобренных USB-накопителей, известных системе.

Конечно, реализация таких дорогих кампаний по кибершпионажу требовала разветвленной и сложной инфраструктуры доменов и серверов, каждый из которых был предназначен для конкретной жертвы и повторно не использовался. «Лаборатория Касперского» выявила 28 доменов, связанных с 11 IP-адресами в США и нескольких странах Европы, которые имеют отношение к группе ProjectSauron. Эксперт пишут, что разнородность интернет-провайдеров, выбранных для кампаний ProjectSauron, показывает, что группировка делала все возможное, чтобы избежать проведения атак по одной схеме.

С подробным отчетам о ProjectSauron можно ознакомиться здесь (PDF). Кроме того, отдельно доступен технический анализ (PDF).Также свою версию отчета представила компания Symantec, найти его можно здесь.

Исследователи из ZeroFox решили продемонстрировать, что хотя нейронные сети и машинное обучение еще не пользуются популярностью в мире киберкриминала, в скором времени это изменится. Чтобы доказать свою теорию, эксперты создали инструмент SNAP_R, а затем опробовали его в деле.

«Прицельный фишинг в основном требует ручной работы, и это занимает десятки минут для каждой отдельной цели, — объясняет Сеймур. — Наш подход не менее точен и автоматизирован, так что может применяться в больших масштабах».

Результаты SNAP_R действительно впечатляют: обыкновенный направленный фишинг срабатывает примерно в 5-10% случаев. SNAP_R, в свою очередь, обманывает людей с куда большим процентом успеха: машинное обучение позволило SNAP_R автоматически создавать сообщения, на которые жертвы «покупались» почти в 40% случаев. В качестве эксперимента исследователи создали бота в Twitter, которым управлял SNAP_R. Затем машину «натравили» на пользователей. SNAP_R убедил почти треть жертв, которым он писал фишинговые сообщения, кликнуть по потенциально вредоносным ссылкам. К счастью, ничего по-настоящему вредоносного по ссылкам исследователей не располагалось.

С докладом (PDF), описывающим эти достижения, исследователи выступили на Black Hat в Лас-Вегасе, рассказав, что в скором будущем машинное обучение может помочь злоумышленникам значительно увеличить размах своих операций.

Некоторые твиты бота

По словам исследователей, SNAP_R может работать двумя способами. Первый метод использует те же техники обучения ИИ, которые применяют компании вроде Google, когда стремятся научить свою систему понимать и интерпретировать язык. Для этого SNAP_R натренировали на двух миллионах твиттер-сообщений, научив машину самостоятельно составлять реалистичные твиты. Второй метод имеет более узкую направленность. В данном случае SNAP_R указывают конкретную цель, после чего машина изучает недавние твиты своей будущей жертвы, ее стиль, и использует цепь Маркова. В результате SNAP_R генерирует сообщения, похожие на сообщения своей жертвы. Это повышает шансы того, что пользователь заинтересуется посланием бота (ведь оно близко ему по интересам) и кликнет по ссылке.

Пример сообщения от бота

SNAP_R умеет определять, с кем из подписчиков жертва общается чаще и охотнее всего, умеет вычленять из разговоров наиболее интересные и «горячие» для жертвы темы, умеет использовать хештеги. Также программа просматривает профиль жертвы, в поисках ключевых слов, к примеру «CEO», и обращает внимание на количество подписчиков и иные факторы.

Но специалисты ZeroFox не просто рассказали о своей разработке, они опубликовали наиболее последнюю версию SNAP_R в открытом доступе. Свой поступок исследователи объяснили просто: публикация SNAP_R должна помочь другим специалистам в области информационной безопасности изучить атаки такого рода и выработать эффективные способы защиты от них.

Исследователи не говорят о том, что уже завтра злоумышленники начнут применять алгоритмы машинного обучения. Однако они убеждены, что использование подобных техник становится всё проще и доступнее, к тому же в наши дни в социальных медиа вовсе необязательно писать правильно и грамотно. «Культура в Twitter очень щадящая, совсем не нужно иметь идеальный английский и грамматику», — говорит Талли. Так что даже если машина допускает ошибки, большинство жертв в социальных сетях этого попросту не замечают.

Пруф

Скачать SNAP_R можно тут (zip)