セキュリティウィーク37：Bug-bugzilla、Carbanac backing、C＆C釣り

情報セキュリティの分野のニュースに基づいたシリーズの新しいエピソード：



-Bugzillaを再度ハッキングすると、パスワードは複雑であるだけでなく、一意でなければならないことを思い出します。

-金融機関からの数億ドルの窃盗を担当するCarbanakキャンペーンは、ヨーロッパとアメリカで見られました。

-スパイ活動のコマンドサーバーを「見つけるのが非常に難しい」レベルから「現場の風を探す」レベルに移行する方法に関するラボの研究



Seagate WiFiドライブ、パッチ、フィッシング、および過去の音楽ウイルスの非公開telnetも同様です。 ルールを思い出してください。Threatpostニュースサイトの編集委員会は、3つの最も重要なニュースを毎週選択します。そこには、拡張された容赦ないコメントが追加されています。 シリーズのすべてのエピソードはここで見つけることができます 。



前の問題からの調査を要約すると、ほとんどの場合、ルーターは2年ごとに更新されます（31％がこのオプションを選択しました）。 28％はルーターを更新していません。 調査には210人が参加しました。 みんなありがとう！



Bugzilla Bug Trackerのハッキング

ニュース 。 攻撃に関するFAQ 。



第34週の問題では、脆弱性に関する情報の責任ある開示のトピックを取り上げ、発見されたバグに関する情報を開示することが可能な場合と推奨できない場合の例を示しました。 Mozillaのバグトラッカーをハッキングするという話は、脆弱性情報を開示するのがいつ価値があるかを示しています。 そうですね、彼らはまだ修理していません。 8月に、統合されたPDFビューアーの脆弱性をカバーするFirefoxブラウザー用のパッチがリリースされました。 エクスプロイトの被害者になり、インシデントを報告したユーザーのおかげで発見されました。攻撃のソースは「準備された」広告バナーであり、結果は盗まれた個人データでした。



パッチをリリースする過程ですでに、バグが新しいものではないことが開発者に明らかになったと思います。 Bugzillaシステムには、一般公開されていない部分ではありますが、すでに彼に関する情報がありました。 不正アクセスの疑いがあり、先週確認されました。 そのような「ハッキング」はありませんでした。彼らは単に特権ユーザーを識別し、別のリソースのハッキングされたデータベースからパスワードを見つけました。これはBugzillaのパスワードと一致しました。











その結果、攻撃者は2014年9月から、おそらく9月13日、つまり2年から「秘密のバグ」にアクセスできました。 この期間中、調査の結果リリースされた非常に詳細なFAQによると、クラッカーは53の重大な脆弱性を含む185のバグに関する情報にアクセスできました。 このリストにある43個の脆弱性は、不正アクセスを取得した時点ですでにクローズされています。 残りの10個のうち2個の脆弱性はパッチの1週間前に「漏えい」し、5個は理論的には1週間から1か月で悪用される可能性があります。 残りの3つの脆弱性は、パッチのリリースの131、157、および335日前に悪用される可能性があります。 これはこのハッキングに関する最悪のニュースですが、Mozillaの開発者は実際には「これらの脆弱性が悪用されたという証拠はありません」。 50を超えるバグのうち、実際には1つだけが関与していました。



一般的に、この物語の教訓は理解可能であり、ここで私は確かに装甲車に乗り込み、有益な宣言をしたい。 ご列席の皆様！ ともだち！ 各リソースに固有のパスワードを使用してください！」 しかし、すべてがそれほど単純なわけではありません。このような作業スキームでは、パスワードマネージャーを使用することがほぼ必須になります。 また、パスワードをお持ちの場合でも、積極的に使用するすべてのリソースのパスワードを慎重かつ辛抱強く変更する必要があります。 そして理想的には-一般的には。 一方、データによると、パスワードマネージャーを常に使用しているユーザーはわずか7％です。 Habrの聴衆と比較するのは興味深いので、投稿の最後に別の投票を行います。



Carbanakの新しいバージョンが米国とヨーロッパを攻撃

ニュース 。 「実験室」の2月の研究 。 新しいCSIS 研究 。



「強盗」の研究に関する2月の発表を引用します。



「攻撃者は自分の口座に資金を振り込み、残高を操作して、多くのセキュリティシステムがこれに気付かないようにすることができました。 国内の銀行システムを完全に制御することができなければ、そのような操作を開始することは不可能でした。 そのため、侵入後、ビデオ録画など、銀行のインフラストラクチャの構造に関する情報を収集するためにさまざまな方法が使用されました。







法執行機関との協力のおかげで、金融機関に対する複雑で多段階の攻撃であるCarbanakの被害は10億ドルと推定され、100人以上の被害者、つまり大企業が発生しました。 しかし、これは2月で、8月末に、デンマークの会社CSISの研究者がCarbanakの新しい修正を発見しました。 新しいバージョンと古いバージョンの違いはわずかです。特に、管理サーバーに接続するためにドメイン名の代わりに固定IPアドレスが使用されます。 しかし、データを盗むために使用されるプラグインは、「研究所」の2月の研究で言及されたものと似ています。



CSISによると、新しいCarbanakオプションの目標は、ヨーロッパと米国の大企業向けです。



Turla APT：衛星インターネットを使用したC＆Cの非表示

ニュース 。 前のニュース。 研究



Turlaのサイバースパイ活動は、Kaspersky Labを含むいくつかのセキュリティ企業によって長い間調査されてきました。 昨年、被害者のコンピューターに感染し、情報を収集し、管理サーバーにデータを送信する方法に関する詳細な調査を公​​開しました。 この比較的複雑なキャンペーンの各段階では、多くのツールが使用されます-ゼロデイ脆弱性、感染したWebサイト、タスクと情報の重要性に応じて使用されるさまざまなデータ収集モジュール、プロキシおよびコマンド＆コントロールサーバーの複雑なネットワークを使用した感染ドキュメントによるスピアフィッシング。 ボトムライン（昨年8月現在）：主にヨーロッパと中東の45か国で数百人の犠牲者。



今週、研究所の専門家であるStefan Tanaseは、データが管理サーバーに転送されるときの攻撃の最終段階のより詳細な調査の結果を公開しました 。 Turlaは、他のAPTクラスの攻撃と同様に、多くの方法を使用して情報を収集します（防弾ホスティングなど）。 しかし、特定のホスティング上の特定のサーバーが情報のエンドポイントになると、法執行機関による没収（およびプロバイダーによる単純な切断）の確率は、ゼロ、つまり構築されないプロキシチェーンの数とは著しく異なります。



これは、衛星インターネットが救助に来るところです。 長所：サーバーは、衛星のカバレッジエリア内のどこにでもインストールできます（また、別の場所に簡単に移動できます）。 短所：最小のまともな幅の双方向の運河を借りることは非常に高価であり、再び、紙の道で簡単に追跡されます。 そのため、当社の専門家が発見したデータ配信方法論では、チャネルレンタルはまったく必要ありません。



「 サテライトフィッシング 」のようなものがあります。サテライト端末でわずかに変更されたソフトウェアが、特定の加入者向けではないデータパケットを破棄せずに収集する場合です。 その結果、「漁師」は、自分を対象としていないファイルやWebページ、そして実際にはあらゆるデータを受け取ります。 これは、データストリームが暗号化されていない場合の1つの条件下で機能します。 Turla攻撃は、ほぼ同じ方法を使用しますが、1つの説明があります：トラフィックを聞くとき、被害者のIPを特定する必要があります-衛星インターネット端末の合法かつ疑いのない所有者であり、感染したマシンがこのIPにデータを送信するように強制します。



この場合、通常のシステムでは閉じられている特別なポートが通信に使用され、これらのポートに到着したデータパケットは、被害者のネットワーク機器によって単に破棄されます。 しかし、トラフィックを聞く人は、自分の位置を明らかにすることなく、このデータを傍受できます。



古い無線電話は音声通信をまったく暗号化しておらず、これらの周波数で受信するデバイスを購入することはできないと予想していたことを覚えています。 当初はそうでしたが、すぐに全波ラジオが隅々で販売され始め、1ペニーかかりました。 「Turlaメソッド」を使用してデータを受信および処理するためのキットにまだ数千ドルを費やす必要があるため、類推はかなり緊張しています。 しかし要点は、衛星インターネットシステムには、サイバー犯罪者が使用する「固有の」脆弱性があるということです。 これをどうするかはあまり明確ではありません。



その結果、Turlaコマンドサーバーのおおよその位置は、衛星オペレーターのカバレッジエリアと一致します。











さらにトレースが失われます。



他に何が起こった：

XMPPを介してコマンドサーバーと通信するAndroid用の別のランサムウェアトロイの木馬が見つかりました 。 チャットや他のIMは長い間PCでマルウェアを使用して作業を調整しているため、ニュースは再び確認します。モバイルの脅威はデスクトップの脅威と同様に、より高速にのみ発生します。



Google Chrome の重大な脆弱性の定期的なパッチ （バージョン45に更新）。



「ワイヤレス」ハードドライブで、シーゲイトはTelnetオープンアクセスとハードコード化されたルートパスワードの甘いペアを見つけました 。 ニュースは重要ですが、このトピックについてはルーターに関連して前回詳しく説明しました。 結論：WiFiを配布するすべてのものに対して、特に慎重に保護する必要があります。 そして今、WiFiはカメラによってさえ配られています。



古物：

「マノウォー273」



常駐の無害なウイルス。デフォルトでは、実行時にCOMファイルとEXEファイルに感染します（COMMAND.COMファイルはLehighアルゴリズムに感染しています）。 「ダークロード、召喚！ マノウォー。」



「鉄の乙女」



非常駐の非常に危険なウイルスは、デフォルトで現在のディレクトリのCOMファイルに感染します。 1990年8月以降、現在の時刻に応じて、ディスク上の2つのランダムセクターを消去できます。 「IRON MAIDEN」というテキストが含まれています。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 70.75ページ。



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。