9 Января, 2018

Security Week 52: Telegram и крысиный король, очередные майнеры, масштабный брутфорс Wordpress

Лаборатория Касперского
 
Новость на русском , подробнее на английском
Обнаружен новый зловред, причисляемый к семейству Remote Access Trojan, который нашедшие его специалисты назвали Telegram-RAT. От аналогичного ему крысиного поголовья он отличается тем, что активно использует публичные облачные сервисы: API для ботов Telegram в качестве HTTPS-канала связи и Dropbox для хранения боевой нагрузки.

Впрочем, зверек вообще попался на удивление шустрый и сообразительный. Живое доказательство того, что даже из готовых кирпичиков можно собрать нечто остроумное. Распространяется он вполне стандартно — авторы применяют банальный фишинг и приснопамятную уязвимость CVE-2017-11882, ту самую, которую Microsoft залатала еще в ноябре. Зато потом события развиваются интереснее: троян загружает с Dropbox «боевую нагрузку» по ссылке, замаскированной с сокращающего URL сервиса, укорачивающего ссылки. Файл (к слову, администраторы Dropbox его уже удалили) представляет собой 16-мегабайтный бинарник, куда втиснут сам код, все необходимые для его исполнения библиотеки и даже интерпретатор Python. Большой размер файла убаюкивает подозрительность некоторых антивирусов, и те пропускают его без нареканий.

А дальше начинает работать крысиная магия. Чтобы превратить добропорядочный компьютер в Щелкунчика, злоумышленник использовал публично доступный код зловреда RAT-via-Telegram с небольшими изменениями. Перед началом атаки хакер заранее создал собственный бот Telegram и встроил его токен в файл конфигурации RAT. После развертывания клиента TelegramRAT можно играть в крысиного короля, общаясь с зараженными машинами по каналу бота и отправляя им свою августейшую волю в формате простых команд. Поскольку передача вредоносного трафика идет, благодаря Telegram, по протоколу SSL, большинство антивирусных средств грызуна не берут.

Команды дают злоумышленнику возможность вгрызаться в разные части системы: делать скриншоты, исполнять вредоносные файлы, записывать аудио с микрофона, выключать компьютер… В общем, сильное колдунство.
 
 
Новая зараза через Facebook
 
Новость на русском , подробнее на английском
Telegram — не единственная служба мгновенных сообщений, которую можно поставить на службу злоумышленникам: Facebook Messenger снова стал разносчиком заразы.

Троян неоригинально спрятан в архив под названием video_хххх.zip, где xxxx — это не намек на контент для взрослых, а четырехзначный номер. Если пользователь по рассеянности запустит хранящийся в архиве экзешник, то схлопочет на свой компьютер Digmine — довольно примитивный зловред, который умеет только разговаривать с командным сервером и выполнять его инструкции. Пока что C&C отправляет Digmine пакет для установки майнера криптовалюты Monero и вредоносное расширение для Chrome.

Установившись, расширение отправляет всем контактам жертвы приватные сообщения с тем самым зараженным архивом. Правда, атака не сработает, если пользователь не хранит учетные данные Facebook в браузере. Эпидемия безопасна и для пользователей любых других браузеров, включая мобильные версии того же Chrome. Пользователи платформ помимо Windows тоже, разумеется, в безопасности.

Как только обнаружившие зловреда исследователи связались с Facebook, администраторы убрали вредоносные ссылки из всех сообщений пользователей — правда, ничто не мешает злоумышленникам поменять ссылку и начать по новой. Кроме того, Facebook предложил всем, кто подозревает, что их компьютер был заражен, бесплатное сканирование на вирусы. Грустноватый, но все-таки подарок на Новый год.
 
 
Цунами топит сайты Wordpress
 
Новость на русском , подробнее на английском
Впарить на компьютер, а лучше на сервер жертве майнер криптовалюты можно разными способами: взлет курса Monero добавляет соблазнов злоумышленникам всех мастей. Очевидно, наши следующие герои недели решили, что всякая там социальная инженерия — это несерьезно. То ли дело старый добрый брутфорс!

Мишенью на сей раз стали сайты WordPress: с прошлого понедельника их один за другим превращают в майнеры, взламывая простым перебором админских паролей. По всей видимости, атака проводится с одного ботнета, но большого и зубастого: более 10 тысяч IP-адресов, более 14 миллионов попыток ввода пароля в час на более чем 190 тысяч сайтов-мишеней.

На взломанные WordPress-сайты заливается вариация на тему зловреда Kaiten, он же Tsunami, который прячется на серверах, создавая свои копии с именами, взятыми у произвольного файла на сервере. Команды зловред получает через незашифрованные IRC-каналы. Как правило, разнообразием они не блещут: скачать откуда-то скрипт, после чего выполнять его как один из фоновых процессов. «Высокое начальство» велит зараженным компьютерам либо присоединяться к брутфорсу, либо майнить криптовалюту с помощью некой версии XMRig. Время от времени рабочая нагрузка перераспределяется, но ни один сервер не брутфорсит и не майнит одновременно. Это означает, что ботнет на самом деле гораздо больше, чем 10 тысяч машин задействованных в атаке. При переборе паролей применяются публично доступные списки логин-пароль, а также эвристические алгоритмы, учитывающие имя домена и содержимое атакующего сайта.

Ребята из Wordfence засекли восемь командных серверов (четыре из них с IP-адресами, принадлежащими французскому провайдеру облачных сервисов OVH). Также им удалось выйти на два криптокошелька, содержащих Monero больше чем на 100 тыс. долларов. Почти наверняка это не все: в большинстве случаев кошельки были зашифрованы.

Брутфорсовые атаки на WordPress исторически не слишком успешны, но тут, видно, звезды сошлись: с одной стороны, курс Monero взлетел вдвое, с другой — пятого декабря была опубликована свеженькая база c 1,4 млрд комбинаций логинов и паролей в виде незашифрованного текста. Как не попытать счастья?
 
 
Древности
 








Liberty
Резидентный опасный вирус. Поражает СОМ- и ЕХЕ-файлы при их выполнении. ЕХЕ-файлы поражает стандартно. При поражении COM-файла записывается в его конец, а в начало записывает 78h байт кода (расшифрование тела вируса и переход на него), старое начало файла шифрует и сохраняет внутри своего тела. Если при заражении расположенного на дискете файла не хватило свободного места, вирус инфицирует Boot-ceктop дискеты. Старый Boot-сектор и тело вируса записывает на 40-й трек дискеты (используется нестандартное форматирование), при этом может уничтожить информацию на дискетах размера 1М.

Память заражается либо при старте инфицированного СОМ-файла, либо при загрузке с инфицированного флоппи-диска.

Через некоторое время после загрузки с флоппи-диска вирус расшифровывает и выдает на экран, принтер и последовательные порты строку: «MAGIC MAGIC MAGIC MAGIC ....». При 10-й загрузке с флоппи-диска лечит его. Перехватывает прерывания 8, 10h, 13h, 14h, 17h, ICh, 21h. Содержит строки: «Liberty», «-MYSTIC — COPYRIGHT © 1989-2000, by SsAsMsUsEsL».
 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.