BOMBERuss

Брешь нашел сотрудник Check Point Роман Заикин (Roman Zaikin). Эксплуатировать проблему было очень легко. Оказалось, что достаточно получить доступ к идентификатору сообщения — параметру «message_id», который присваивается каждому сообщению мессенджера. Заикин обнаружил, что узнать ID можно обратившись к URL facebook.com/ajax/mercury/thread_info.php. Узнав ID, злоумышленник мог изменить содержание сообщения и отправить подмену на сервер Facebook. Собеседник не заметит изменений, так как не получит никакого уведомления об изменении контента. Видеодемонстрацию атаки можно увидеть ниже.

«С этой уязвимостью киберпреступники способны изменять весь поток сообщений в чате без ведома пользователя. Более того, хакер может применять техники автоматизации, чтобы обходить решения защиты и вносить правки в чат в течение длительного времени»,

объясняет Василий Дягилев, глава представительства CheckPoint Software Technologiesв России и СНГ.

https://youtu.be/QRksIURxnks

Брешь позволяла атакующим подменить историю сообщений в рамках мошеннических кампаний. К примеру, хакер мог заявить, что достиг (ложной) договоренности с жертвой, или изменить условия этой договоренности. Также злоумышленники могли обманом заставить пользователя открыть вредоносную ссылку или файл. Исследователи отмечают, что уязвимость позволяла постоянно обновлять адрес командного сервера во вредоносной ссылке, тем самым обеспечивая распространение фишинговой атаки. Из-за этого решения по безопасности не могли обнаружить и заблокировать вредоносный контент.

Кроме того, изменение или сокрытие важной информации в чате Facebook могло иметь даже правовые последствия. Сообщения в чатах могут быть использованы в качестве доказательств в ходе судебных расследований, поэтому уязвимость давала злоумышленникам возможность скрыть улики преступления или даже ложно обвинить невиновного человека.

Разработчики Facebook уже устранили проблему, хотя сообщение в официальном блоге почему-то гласит, что уязвимость распространялась только на приложение для Android:

«Согласно результатами нашего собственного расследования, простая ошибка в конфигурации приложения Messenger для Android привела к возникновению данной малоопасной проблемы. Уязвимость уже исправлена».

Российская компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам, исследовала влияние возможных сбоев в работе сетей операторов связи на глобальную доступность национальных сегментов сети интернет. Доступность — возможность оператора получать пакеты данных от других операторов. Необходимым условием доступности является наличие префиксов оператора в таблице маршрутизации других операторов связи. Если префиксов нет, пакеты оператору отправить невозможно.

Компания провела исследование национальных сегментов 236 стран мира — всех, где работает интернет. В результате исследования был составлен рейтинг стран, который отражает степень зависимости доступности национальных сегментов интернета от сбоев в работе отдельных операторов.

Топ-10 стран по устойчивости национальных сегментов сети интернет

*Максимальная доля сетей нац. сегмента, теряющих глобальную доступность при отказе 1-го оператора

Расчёт данного показателя для каждой исследуемой страны был сделан по следующей методике:

На первом этапе на основе данных Maxmind была составлена карта cетевых префиксов операторов, на которой анонсируемые префиксы были распределены по национальным сегментам сети интернет.

На втором этапе с использованием системы моделирования работы глобального интернета Qrator.Radar (собственная разработка Qrator Labs), для каждого оператора был сделан расчёт степени влияния отказа его работы на конкретный национальный сегмент: был проведен анализ того, какое число префиксов национального сегмента при этом потеряет глобальную доступность в интернете.

Далее для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента префиксов заданного национального сегмента. Данные операторы перечислены во втором столбце таблиц, приведённых ниже.

*Максимальная доля сетей нац. сегмента, теряющих глобальную доступность при отказе 1-го оператора

«На глобальную доступность национального сегмента сети интернет влияет состояние рынка страны. Чем выше зрелость рынка и степень его диверсифицированности (в частности, чем больше операторов среднего размера имеют доступ к трансграничному переходу), тем стабильнее работа всего национального сегмента», — объяснил Александр Лямин, генеральный директор Qrator Labs.

Благодаря отсутствию государственной монополии в прошлые годы в России сформировалась разветвлённая инфраструктура: в стране более тысячи операторов связи, десятки которых подключены к зарубежным сетям. Гендиректор Технического центра интернет Алексей Платонов подтвердил, что доступ к трансграничным переходам имеют от 20 до 30 российских операторов, «поэтому наш рынок вполне можно считать защищённым». Собственные физические каналы имеют игроки федерального масштаба, а остальные операторы арендуют каналы до крупнейших телехаусов Европы.

Большое количество трансграничных переходов, однако, беспокоит российские власти. Сейчас Минкомсвязи обсуждает поправки к закону «О связи», направленные на обеспечение целостности и устойчивости рунета. Среди поправок — пункт о необходимости обязать владельцев всех автономных систем, обменивающихся трафиком с зарубежными сетями, «установить технические средства контроля трансграничного трафика».

Кроме того, обсуждается запрет на присоединение региональных сетей к зарубежным. Это «может привести к деградации связности и устойчивости на уровне топологии», говорит консультант «ПИР-Центра» Олег Демидов.

Пример некоторых стран показывает, к чему приводит контроль государства над внешними каналами связи. В этих государствах сбой одного-единственного оператора связи приведёт практически к полной недоступности местного сегмента интернета. Так, в случае проблем у оператора «Узбектелеком» окажутся недоступными 97,32% сетей национального сегмента Узбекистана. В Сирии в случае отказа в работе оператора Syrian Telecom окажутся недоступными 94,7% сетей национального сегмента. В Туркменистане проблемы у «Туркментелекома» приведут к недоступности 90,4% местных сетей, сбой «Белтелекома» в Беларуси отключит от интернета 86,4% местных сетей.

Специалисты компании FireEye обратили внимание на появление новой разновидности Angler, одного из наиболее распространённых эксплойт-китов для Windows. Она успешно обходит защиту последней версии разработанного Microsoft пакета EMET, эксплуатирует уязвимости во Flash и Silverlight и доставляет троян-вымогатель TeslaCrypt.

EMET (Enhanced Mitigation Experience Toolkit) — это бесплатное приложение Microsoft. Оно сводит воедино все настройки безопасности Windows и может быть использовано в качестве дополнительного уровня защиты от вредоносных программ в дополнение к файрволлу и антивирусу. Исследователи неоднократно предупреждали, что EMET небезупречен, и его можно обмануть. Теперь создатели Angler продемонстрировали это на практике.

Экслойты Angler, изученные специалистами FireEye, используют подпрограммы, встроенные в компонент Flash Player под названием Flash.ocx и относящуюся к Silverlight динамическую библиотеку Coreclr.dll для вызова функций управления памятью VirtualProtect и VirtualAlloc. Это позволяет им обойти и защиту памяти DEP, и эвристики, основанные на проверке адресов возврата.

EAF, один из компонентов EMET, призван затруднить доступ к таблицам адресов функций Windows API для шелл-кода. Другой компонент, EAF+, следит за тем, чтобы адреса на стеке вызовов не выходили за разумные пределы, замечает расхождение между указателем стека и указателем фрейма и проверяет обращения к таблицам адресов библиотек KERNEL32, NTDLL и KERNELBASE и к заголовкам исполняемых файлов некоторых модулей. Однако новым эксплойтам Angler ни EAF, ни EAF+ не помеха.

Защита от методов возвратно-ориентированного программирования (ROP), которую обеспечивает EMET, тоже не срабатывает, потому что эти эксплойты обходятся без них.

Специалисты FireEye признают, что простого и быстрого решения этой проблемы нет, и рекомендуют организациям вовремя обновлять программное обеспечение. Это поспособствует сокращению числа уязвимостей и уменьшит поле деятельности для эксплойтов.

Сразу ряд исследователей обратили внимание на появление нового шифровальщика Black Shades, который атакует как англоговорящих, так и русскоязычных пользователей. Вымогатель изменяет расширения файлов на .silent, и просит за расшифровку данных всего $30. В исходниках вредоноса были найдены строки вроде «Hacked by Russian Hackers in Moscow Tverskaya Street», а также обнаружен простой способ защиты от Black Shades.

Из твиттера http://twitter.com/malwareforme/status/735518949148786689/ph...

Первым Black Shades, еще две недели тому назад, заметил независимый исследователь, известный под псевдонимом Jack (@Malwareforme). Ранее Jack первым обнаружил червя-вымогателя ZCryptor, о котором Microsoft предупредила пользователей спустя несколько дней.

Подробно изучить нового шифровальщика взялись эксперты Bleeping Computer.

Требование выкупа:

От других криптовымогателей Black Shades отличают две вещи. Во-первых, зловред вымогает у своих жертв на удивление небольшой выкуп, всего $30, которые можно уплатить посредством Bitcoin или PayPal. Во-вторых, в исходном коде вредоноса обнаружились странные вставки. Исследователи предполагают, что хакеры добавили загадочные комментарии и использовали обфускацию нарочно, чтобы поиздеваться нам теми, кому доведется анализировать код их малвари.

Кодировку злоумышленники использовали простую, при помощи обычного base64 исследователи сумели расшифровать их «послания». К примеру, строка

расшифровывается как «YoxcnnotcrackthisAlgorithmynare>idiot<», то есть «ТебеневзломатьэтотАлгортимты>идиот<».

Еще одна строка:

оказалась фразой на русском языке: «вы не можете взломать меня я очень жесткий». Судя по всему, русский язык не является родным для авторов малвари, так как «я очень жесткий», это явная попытка переложить на русский оборот «very hard».

Text5 расшифровывается как «Hacked by Russian Hackers in Moscow Tverskaya Street», и этот пассаж вряд ли нуждается в переводе.

Text6 расшифровывается как «youaresofartocrackMe».

Если говорить непосредственно о работе Black Shades, вредонос действует достаточно стандартно. Исследователи полагают, что малварь распространяется под видом фальшивых кряков, патчей и видеороликов. Будучи установлен на машину жертвы, Black Shades первым делом удаляет теневые копии, используя команду cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet.

Затем должен начаться процесс шифрования данных с применением алгоритма AES-256, но перед его стартом малварь проверяет две вещи. Сначала, чтобы определить IP-адрес пользователя, Black Shades обращается к сайту http://icanhazip.com. Также, чтобы проверить соединение с интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно открыть файл hosts (c:\windows\system32\drivers\etc\hosts) и добавить в него строку 127.0.0.1 www.icanhazip.com. Если малварь не сумеет соединиться с icanhazip.com, она аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа шифровальщика прервется, не успев начаться.

Исследователи полагают, что авторы малвари, вероятнее всего, устранят этот недочет в следующих версиях Black Shades. Но пока данный трюк может быть полезен, особенно в свете того, что взломать шифрование Black Shades пока не удалось.