セキュリティウィーク15：Huaweiのリークモデム、データ漏洩チャネルとしてのVirusTotal、MicrosoftはDridexからパッチ

他の人のバグに貪欲な人がいます。 ComsecurisのRalph-Philippe Weinmanは、ワイヤレスモデムの脆弱性を明らかにわずかに有効にしています。少なくとも2011年からこのトピックを掘り続け、穴あきチップセットのサプライヤーを容赦なく探し求めています。 ほぼ毎年、彼は新しいレポートを作成します。 今回、Huawei、またはむしろその娘HiSilicon Technologies がそれを手に入れました。 また、同社はキリンシリーズチップで実行されるHuawei H60 Linuxカーネルのソースコードを親切に公開し、 HuaweiスマートフォンにインストールされているセルラーモデムであるHiSilicon Balongのファームウェアをマージしました。



ここから始まった！ しかし、ここで何が起こったのかは確かではありませんが、ワインマンは急いで穴を探しました。 そして、もちろん、見つけて見せました。 そして、いくつの黒い帽子が見つかりましたが、何も言わなかったのですか？..修辞的な質問。 ただし、ソースコードはすでに古くなっていますが、Rand Corporationによると 、平均して7年間ソフトウェアに住んでいる脆弱性の検索を特に妨げるものではありません。 そして、人々の手にあるこのファームウェアの異なるバージョンを持つスマートフォンは暗闇です。 たとえば、2016年の第3四半期だけで、Huaweiは3,300万のHonorスマートフォンを販売しました。その半分はHiSilicon Balongを搭載しています。



Weinmanは、VxWorksに基づいたソースで大騒ぎして、組み込みのインタープリターCであるCシェルにアクセスする方法を開発しました。ただし、エクスポートされた関数を呼び出す以外に特別なことはできません。 しかしこれだけで、ワインマンはメモリダンプを削除し、その内容を変更し、新しいタスクを起動し、動的なカーネルモジュールをロードすることができました。 Infiltrate会議でのスピーチで、彼はAndroidには見えない外部からの接続を開始する方法を示しました。 Soooo、私のHonor 6cがゴミになっているようです。



Weinmanが説明する攻撃は、OpenLTEに基づいた偽の基地局を介して実行されます。この基地局は、モバイルオペレータの本当の塔のふりをし、LTEスタックのバッファをオーバーフローさせるスマートパケットをスマートフォンに送信します。 その結果、Androidがクラッシュし、デバイスが再起動し、新しい「ゲスト」、つまりバックドアが読み込まれます。



幸いなことに、これはまだLTEです。つまり、プライベートオペレータキーを所有していないか、SIMカードのキーを交換しなければ、BSは偽造できません。 ゴミからスマートフォンを取りに行きます。 しかし、これらは花にすぎません。ワインマンは、彼がまだ最もひどいことを言っていないと主張しています。 スノーデンのようにゴーリーで。 Huaweiにエラーを修正する機会を与えたいだけです。



話の教訓は、情報セキュリティの観点からオープンソースは、パッチを適用するのが簡単な場合に優れているということです。 スマートフォンでは、逆のことが行われます。デバイスが1年間ノックされた場合、更新を待つことはほとんどないでしょう。 したがって、ベンダーがソースコードを公開し、ハッカーの作業を促進することは価値がありません。



企業はマルチスキャナーを通じて機密データをマージします

SAS 2017のもう1つの怖いニュース。かつて、Swisscom AGのMarcus Nyceが、VirusTotalにロードされたサンプルにYaraを設定しました。 絶対に通常の職業であり、MalvariではなくPGPキーを検索するためのルールを作成したのは彼だけです。 彼らのとんでもない数を発見したマーカスは、機密データの兆候、グリーン、アンバー、レッドのレベルのTLPタグでルールを補足しました。



最初のキャッチは彼に衝撃を与えました：FBIからの60通の手紙、米国国土安全保障省からの情報の脅威に関する800通の警告、 3つの輸入ジャケット 、各種VPN資格情報、SSH秘密鍵、および多くの企業および政府の通信。 あなたは、これらすべてがVirusTotalのどこから来たのかと尋ねることができますか？ Taki Marcusは言うべきことを知っています。多くの企業がマルチスキャナーを無料のウイルス対策として使用し、そこに着信するすべてのドキュメントをダンプしています。 突然、マルウェアがそこに隠れていました。 面白いことは、サイバーインシデント調査に関する情報セキュリティ請負業者のレポートでさえ、サンプルの中に見つかったことです。



これまでのところそれほど怖くないようです：まあ、彼らはVirusTotalに注ぐすべてを大したことはありません。 ただし、サービスのユーザーのかなりの割合がこれらのサンプルをダウンロードできます。 そして、結局揺れます。 確認するために、研究者は「カナリア」トークン付きのMicrosoft Word文書をアップロードし、最初の2日間で米国、ドイツ、ロシア、ポーランドからのアクセスを記録しました。



これはすべてデータリークと呼ばれることはありません。多くの場合、データはマージされませんが、顧客と請負業者の情報は完全に下品です。 Neys氏によると、インドのITアウトソーシング業者は、特にこのプラクティスに夢中になりました。彼らはVirusTotalおよび同様のサービスにすべてをダンプします。 安いコーダーを雇って、あなたのデータを全世界に公開します...そして、黒人のデータブローカーがまだそのような満足できる給餌トラフを見つけていないと考えるのは単純でしょう。



マイクロソフトはお気に入りのドライバーを閉鎖しました

良いニュースと研究があります。 DridexだけがMS Officeのゼロデイ脆弱性を介してマシンに感染する習慣に陥りました。 文字通り、検出後3日。 ただし、このバグを介してDridexが取引された期間は不明です。 そして、後者はジューシーであると言わざるを得ない-それは任意のコードの実行を許可し、被害者はエクスプロイトを使用してドキュメントを開くことだけを要求された。 あなたは他に何も刈り取る必要はありません。あなたのコンピューターはすでに大規模な友好的なDridex植物ファミリーに受け入れられています。 その後、インターネット銀行に立ち入らない方がいいでしょう。 少し後で。



このエクスプロイトの仕組みは簡単です。 被害者は、OLE2linkオブジェクトが埋め込まれたRTFドキュメントを開きます。 Wordは、オブジェクトが指すインターネットに素直にクロールし、そこからHTAファイルをドラッグして、mshta.exeインタープリターにフィードします。 次に、HTA内のVBScriptがトロイの木馬をダウンロードしてインストールし、winword.exeを並行して閉じてから再度起動しますが、ドキュメントは異なります。 これは、OLE2linkによって作成されたWordからのメッセージをユーザーが見る時間がないようにするために必要です。





そして、はい、私はMicrosoftが穴を塞いだと言うのをほとんど忘れていましたが、どういうわけか完全にではありません。 さらに、この脆弱性はOffice 2016まで関連しています。一時的な解決策として、WordでRTFをブロックし、Microsoft Office Protected Viewを使用することが提案されています。 さて、またはすべてのドキュメントをVirusTotalに事前送信します（ジョーク:)。

古物

ディガー-1475



非危険な非居住ウイルス。 暗号化されています。 ディレクトリツリーをバイパスし、標準としてCOMおよびEXEファイルに書き込まれます。 「©DIGGER」というテキストが含まれています。 定期的に画面を上下逆さまにする小さな常駐プログラムを残します。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 64ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。