9 Февраля, 2018

Security week 3: вор у вора биткойны украл, здесь мог быть ваш троян, десять дней без компьютеров

Лаборатория Касперского

 
 
Новость
 
Недавно в поле зрения ИБ-исследователей попали владельцы прокси-сервиса для Tor, которые грабили своих пользователей и вымогателей. Дело в том, что этот Tor-прокси сервис часто использовался жертвами криптовирусов, неспособными или не готовыми разбираться с установкой браузера Tor. Именно через этот сервис они заходили на .onion сайт злоумышленников. Некоторые вымогатели даже указывали в записках о выкупе ссылку для прямого захода через этот прокси-сервис — как говорится, все для клиента. Вот только при загрузке страниц адрес кошелька вымогателей тихонько менялся на посторонний.

Операторы Onion.top втайне прочесывали страницы дарк-веба, загруженные через их портал, в поисках адресов биткойн-кошельков, а потом подменяли их. Судя по тому, что для разных страниц правила подмены различаются, их настраивали вручную, для каждого шифровальщика отдельно. Владельцам сервиса удалось украсть как минимум немногим более 2,2 биткойна.

Самое интересное, что выплыла эта схема благодаря объявлению самих вымогателей, которые призывали жертв не пользоваться услугами ненадежного сервиса Onion.top. Теперь обиженные шантажисты принимают и другие меры против этого беспримерного коварства: например, настоятельно рекомендуют пользоваться исключительно браузером Tor, или разбивают адрес кошелька тегами, чтобы его сложнее было автоматически найти на странице.
 
 
Здесь мог быть ваш троян
 
Новость на русском , Подробности на английском
 
Преступная группировка Zirconium создала сеть из 28 фальшивых медиаагентств, чтобы совершенно законно скупать место на обычных рекламных площадках и показывать ничего не подозревающим пользователям рекламу, которая сама собой перенаправляет их на мошеннические страницы. В 2017 году реклама Zirconium закупила как минимум миллион просмотров с десктопных браузеров.

Полученный в результате редиректа трафик Zirconium перепродавала разным нечистоплотным личностям для всяческих махинаций (в основном покупатели баловались фейковыми сообщениями о вирусах, призывами обновить какой-нибудь плеер и прочими стандартными трюками для распространения вредоносного ПО и прочих форм отъема денег у населения). Сама же компания сосредоточилась на том, чтобы создавать его с наименьшими затратами и рисками. Избежать обнаружения долго помогала технология принудительного перенаправления, настроенная так, чтобы срабатывать не всегда, а выборочно — по ряду признаков механизм вычислял возможных ИБ-исследователей и не запускал для них редирект.

К вопросу снижения затрат группа подошла креативно: создала в помощь себе и своим клиентам-злоумышленникам собственную рекламную сеть и запутанную юридическую структуру из подставных компаний — в общем, организовала целую полулегальную бизнес-модель. И дело пошло!

Все фирмы существовали только на страницах в соцсетях. Создавались они по простому, но беспроигрышному шаблону: у каждой отдельные домены, у каждой профиль директора в LinkedIn со стоковой фотографией за рабочим столом, а еще — какой-нибудь бложик или Twitter с типовыми ванильными цитатами про поддержку, корпоративную философию и клиентоориентированность… нувыпонели. Исследователи обнаружили 28 подставных компаний, 20 из которых успели проявить себя на преступной ниве, а еще 8 ждали в резерве.

Подставным компаниям Zirconium удалось установить деловые отношения с 16 крупными медиаплощадками. Деньги, вырученные злоумышленниками, поступают на счет фирм с сейшельскими адресами, которые связаны и с другими сетевыми преступлениями. Такой вот цифровой клан Сопрано. Вполне возможно, что именно так — организованно и по-деловому — выглядит будущее распространения вредоносного ПО.
 
 
Есть ли жизнь после NotPetya
 
Новость
 
Зловред NotPetya — давно не новость, о его атаке в июне 2017 г. не слышал разве что глухой. Но даже спустя полгода компании продолжают подсчитывать ущерб, подводить итоги и делиться с коллегами и широкой публикой тем, как они пережили кризис. Некоторым организациям недостаточное внимание к собственной безопасности стоило практически всей IT-инфраструктуры. Недавно логистическая компания Maersk, через которую проходит чуть ли не 20% всех морских перевозок в мире поделилась своей болью. По словам ее гендиректора, восстанавливать пришлось 4 тыс. серверов, 25 тыс. компьютеров и 2,5 тыс. приложений.

Всего на эти работы у Maersk ушло 10 дней. И эти 10 дней в компании не было никакого электронного учета, вообще. При этом корабли продолжали заходить в порты каждые 15 минут, и с каждого приходилось разгружать от 10 до 20 тыс. контейнеров. Причем все контейнеры нужно было принять, проверить, учесть и найти им место — без помощи компьютеров. Можно представить, какой дым коромыслом стоял в компании в это время! Но справились они молодцом: производительность упала всего на 1/5. Более чем достойный результат. Жаль только, что этот героизм вообще понадобился.

С другой стороны, история Maersk — это обнадеживающий пример: если датчане смогли обойтись без компьютеров, может, и для остального человечества еще не все потеряно. Может быть, когда наши электронные рабы восстанут, и нам придется вырубить пробки, мир погрузится в хаос совсем ненадолго. А потом на помощь придут скромные герои с калькуляторами, амбарными книгами и логарифмическими линейками.
 
 
Древности
 
Семейство «Stone»
 
Вирусы семейства очень опасны, заражают первые физические секторы дисков: Boot-сектор флоппи-диска и MBR винчестера. Состоят из двух частей. Первая часть содержит тело вируса и хранится в первом физическом секторе диска, вторая содержит первоначальный сектор зараженного диска и занимает один из редко используемых секторов: на винчестере — сектор между MBR и первым BOOT-сектором, а на флоппи-диске — один из секторов, отведенных под корневой каталог. Например, вирус «Stone-a» записывается в последний сектор корневого каталога 360K дискет.

Ранние версии вируса сохраняют на диск свою вторую часть по фиксированным адресам: для флоппи-диска 1/0/3 (головка/трек/сектор), для винчестера — 0/0/7. При этом никаких проверок не производится, поэтому вирус может уничтожить часть информации на диске (на флоппи-диске — один из секторов FAT или корневого каталога, на винчестере — один из секторов FAT).

Флоппи-диски инфицируются при чтении с них (int 13h, ah = 2), винчестер — при загрузке DOS с зараженного флоппи-диска. Вирусы семейства перехватывают int 13h.
 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.