セキュリティウィーク35：個人的なものはなく、ビジネスだけ

情報セキュリティニュースの業界（それを呼ぶことができる場合）は、テレビのスターに関する黄色の報道のレベルに達することはめったにありませんが、常に一定の感覚を待っています。 そのため、昨年Threatpostで最も人気のあったニュースは、 PNG形式の脆弱性に関するかなり普通のメモでした。 そして、脆弱性ではなく、画像メタデータ内の悪意のあるコードを隠すための技術です。 なんで？ 誰か（私たちではない）は、理解せずに、「猫と一緒に写真をダウンロードするだけで感染することができます!! 11」と発表しました。



もちろん、世界中の何百万台ものコンピューターを最小限の労力で感染させることができるスーパーホールを見つけたら、喜んでそれについて書きますが、これまでのところそのようなことは予想されていません。 Windows XPマシンを単にインターネットに接続して30分待つだけで感染する可能性があったSlammerワームの時代以来、多くの時間が経過し、理由もなく、現代のソフトウェア（今のところ）は提供されていません。 でも、何かが起こることを望んでいます！ 誰もが息をのむようになり、あなたはもはやそのように生きることができないことを確実にし、コンピューター、電話、冷蔵庫の安全性で何かをする必要があります。 そうでなければ、彼らはすべて、いくつかの邪悪なマニアの要請で突然カボチャに変わることができます。 全世界が危険にさらされています！ マンマミヤ！ スパンキングマドンナ！ Ributtati alleta affies pietra con solo card and penna per arkivire e condividere information！



エヘム。 （たとえば、同じ冷蔵庫や他のIoTで）安全性の重大な失敗は依然として可能ですが、それを待つべきではありません。 私たちが待っている間、あなたは完全に日常的なギャップを見ることができます。 苦悩と特別な天才なしで、いつものようにビジネス。 今日の重要なニュースの選択：ITの非常にありふれた脆弱性を悪用する方法に関する3つのトピック。 ルールを思い出してください。Threatpostニュースサイトの編集委員会は、3つの最も重要なニュースを毎週選択します。そこには、拡張された容赦ないコメントが追加されています。 シリーズのすべてのエピソードはここで見つけることができます 。



Neutrinoエクスプロイトキットを配信するために使用されたWordpressハッキングされたサイト

ニュース 。 ZScalerスタディ。



このニュースは2つの部分に分けられます。 1つ目は、Wordpressエンジン上の約数千のサイトとブログであり、非常に脆弱です。 2つ目は、エクスプロイトキットディストリビューターがそれをどのように使用するか、ユーザーにどのように感染するか、どのようにお金を稼ぐかについてです。



まずWordpressについて。 これは、最新のWebベースのWindowsです。 非常に人気のあるエンジン、開発されたプラグインシステム、サイバー犯罪者の注目を集めています。 それに関連するニュースの背景を見てください。 今年はそれだけではありません。



ゼロデイプラグインの脆弱性

問題は 、（それほどではない）乱数ジェネレーターにあります。これにより、理論的には、パスワードを変更するためのトークンを推測できます

プラグインでのSQLインジェクション

プラグインにもある別のSQL インジェクション 。

XSSもプラグインに含まれています。

Wordpress自体のゼロデイ 、コメントによるJavaScriptの実装。 バージョン4.2.1でパッチを適用。

2つのプラグインの脆弱性

Wordpress自体の XSS は 、バージョン4.2.3で閉じられました。

3 つのプラグインの 3つの脆弱性。











まあ、そのようなもの。 Zscalerの研究者は、Wordpressバージョン4.2以下で脆弱なサイトの大規模なハッキングを発見しました。 今年4月にバージョン4.2がリリースされました。これは、1年以上サイトを更新していない人にとっては悪いことを示唆しています。 これらのサイトをハッキングすると、攻撃者はiframeを導入し、Neutrinoエクスプロイトパックをインストールしました。システムに侵入した後、あらゆる種類のマックが被害者のコンピューターに配信されました。 合計で、このようなゾンビサイトは2.5千以上ありました。インターネット上では少しですが、数万人の人々に頭痛を与えるのに十分です。



さらに進みます。 エクスプロイトパックは、悪名高いハッキングチームからのデータ盗難中に漏洩したAdobe Flashの脆弱性を悪用します。 攻撃者は、助けを借りて被害者のマシンで任意のコードを実行できるようになり、Cryptowall cryptolockerを配信します。Cryptowallcryptolockerは、1年以上稼働しており、データの復号化に最大500ドルの支払いが必要なランサムウェアです。









すべてのファイルは私たちのものです。 ランサムウェアの詳細 。



さて、今、数年前に職人にターンキーのウェブサイトストアを注文し、そこにあるエンジンを完全に認識していない中小企業の所有者の立場に身を置いてください。 一部のYahooでバナーを介して悪意のあるコードをドラッグするのに比べて、これはゴミですが、これらのサイトの数百は数百万ドルの損失（まあ、誰と利益）を生み出します。 安全保障の観点から、異常なことは何も起こらず、アメリカは発見されなかった。 非常に小さなイベントが多数あります。サイトの1つのエンジン（またはそのプラグイン）で常に脆弱性が発見されています。 誰かがこれらのサイトをハッキングしてエクスプロイトパックを導入し、他の誰かが穴で取引する疑わしいビジネスに従事している企業のデータを使用してこのパックを作成します。 誰かが古いバージョンのFlashを使用し、他の誰かが重要なファイルへのアクセスを失った人々からお金を集めます。 それとは別に、特に興味深いものは何もありませんが、全体としては少なくとも暗いように見えます。



興味深いことに、研究者は以前、Neutrinoエクスプロイトキットから、この悲しいランキングの現在のリーダーであるAnglerに損害を与えるトラフィックが増加していることに気付いていましたが、当初は理由がわかりませんでした。 つまり、純粋に金銭的なことに加えて、これらのすべての操作の背後にある人々は、明確化-担当者である種の解体をしました。



Githubディドス再び

ニュース 。 前のニュース 。



ソフトウェアの脆弱性の数を減らすことは実際には簡単です。 プログラマがコーディングすることを禁止するのに十分です。 疑わしい方法ですが、GitHub DDoS攻撃の機能を一時的に混乱させ、誰かがやろうとしていたようです。 ニュースは実にまあまあです。攻撃は朝早くから始まり、3時間後に発見され、撃退されました。 一般的に、退屈。 なぜニュースが注目されたのですか？ 実際、今年の3月にGitHubはほぼ1週間、最も強力なディドの下にいました。 当然のことながら、誰もが8月のニュースに古典的な方法で反応しました。











その3月の攻撃は興味深いものでした。 当時、専門家は悪意のあるトラフィックが中国の人気検索エンジンである百度と何らかの形で関係していると十分に感じていました。 Googleのメインページにiframeが表示され、ユーザーを被害者のウェブサイトにリダイレクトしたかのようです。 この方法で誰でもドロップできますが、不可能です。 不可能ですよね？ おそらく、バイドゥは3月の攻撃のせいではありませんでしたが、「現在」は中国のユーザーによる検索エンジンへの訪問のどこかに付けられていました。



しかし、何とどのように-意見はここで異なります。 それが標準的な方法であるかどうか-まあ、私たちはユーザーに感染し、人気のあるサイトに入るときに余分なスクリプトを手に取ります。 どちらの方法もより複雑です-グレートファイアウォールが通常のインターネットと中国語の間を通過する場所で置換が行われました。 この場合、中国国外の中国のリソースにアクセスする人は、攻撃者の不本意な共犯者であることが判明します。サーバーからの応答には、被害者のコンピューターからGitHubプロジェクトの特定のページに「ブレイク」するスクリプトが追加されます。



そして非常に具体的です。攻撃を受けているのは、偉大なファイアウォールと国で禁止されているコンテンツへのアクセスを迂回することを目的とした2つのプロジェクトでした。 このタイプの攻撃は、元の名前であるMan-on-the-Sideを思い付きました。 この話から結論は1つだけです。HTTPSはクールです。



データ漏洩の原因として認識されているアメリカのホテルチェーン

ニュース 。



法務に関するニュースですが、重要です。 7年前、ウィンダムホテルチェーンのインフラストラクチャは、後に1,000万ドル以上請求されたクレジットカードを含む60万人のゲストのデータを盗むことによってハッキングされました。 彼らはそれを非常に簡単に分解しました。ホテルの1つで脆弱なコンピューターを見つけ、それを使ってネットワーク管理者のパスワードを取得しました。



技術的な観点から見ると、このようなハッキングは完全に失敗したように見えます-まあ、顧客データですが、なぜクレジットカード番号をオープンな形で保存するのですか？ 連邦取引委員会はウィンダムに腹を立て、会社が独自のプライバシー契約を履行していないと非難しています。 彼らは「産業標準」に従って顧客データを保護することを約束しました-ファイアウォール、暗号化があります-そしてしませんでした。 ハッキングの詳細から判断すると、そこにはファイアウォールも暗号化もありませんでした。 パスワードは、ネットワークを見るコンピューターでデフォルトに設定され、監査は行われず、「雨の日」計画もありませんでした。 FTCは会社にペナルティを課そうとしましたが、裁判の本質は委員会がそうする権利があるかどうかでした。 そのため、多くの反復を行った後、おそらくそうだと判断しました。



興味深いトピック。 会社が高度な持続的脅威攻撃と呼ばれるものを使用すると仮定します。つまり、非常に長い時間不正アクセスを許可するある種の高度なハッキング技術を使用するとします。 ここではすべてが明確です。会社はあらゆる保護対策を講じましたが、回避されたため、何もできません。 インフラストラクチャ自体がすべての風にさらされていたため、攻撃が一度も進んでおらず、非常に持続的だった場合、これは間違っています。 このような裁判所の判決は、コンプライアンスの観点から米国企業に頭痛の種を追加します-データ保護要件への準拠。 このような要件は、クレジットカードの処理などに最もよく使用されますが、明らかに個人データを処理する他のケースにも拡張されます。



保護技術と技術がどこかで作成されている場合、それらは確かに法廷にはありませんが、それは良いかもしれません。 裁判所では、いわば、言語は完璧です。 その他。 データを暗号化する必要があります。 「バックアップを作成する必要があります」など、平凡に聞こえます。 ただし、暗号化する必要があります。



ちなみに、顧客の被害が大きかったターゲットは、証券委員会が罰金を科さないことに決めました 。



他に何が起こった：

アメリカの科学者はGoogle Playで40万件のアプリケーションをスキャンし、そのうち7.6％が潜在的に危険であると認識されました。 これは、Google Playからのみアプリケーションをダウンロードすると、感染する可能性は0.15％であるというGoogle自身の声明とは多少異なります。 ただし、科学者には直接的な手法があります。コードを分析し、非標準のコードが見つかった場合は、潜在的に危険なコードで記述します。



ロシアでは、暗号化ロッカーはメールで送信されます。 これはニュースではありません。ニュースは、銀行に存在するとされる債務に関する偽のメッセージを使用するようになったことです。



Appleは、システムの時間制限を無視して、アプリケーションがバックグラウンドでもユーザーを監視できるようにする脆弱性を解決しました。 このようなバグのあるアプリケーションをApple Storeのモデレーターのパチンコを通してドラッグすることは、純粋に悪意のあるアプリケーションよりもはるかに簡単であることは注目に値します。



古物：

「デンズク」

非常に危険なウイルス、長さ-9セクター。 フロッピーディスクにアクセスすると、フロッピーディスクのブートセクターに感染します（int 13h、ah = 2,3,4,5）。 ウイルスの2番目の部分がディスクに保存されると、チェックは実行されないため、ウイルスはディスク上の一部の情報（トラック40にある）を破壊できます。



int 9と13hをフックします。 ウォームブート中に大きな文字で表示されると、「Den Zuk」という名前が表示されます。 感染したディスクのラベルを「YC1ERP」に変更します。 破壊的な機能はありませんが、感染したディスクの40トラックの情報を破壊する可能性があるため、非常に危険です。 「Welcome to the Club-The HackerS-Hackin 'All The Time」、「The HackerS」というテキストが含まれています。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 99ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。