android
Комбинация стандартных инструментов разработчика и пары недокументированных возможностей позволяет взломать телефоны Nexus 5X — работающие на «чистом» Android смартфоны, выпускаемые компанией LG. Об этом сообщает лаборатория X-Force компании IBM (новость, исследование), естественно, уже после того, как Google закрыла уязвимость патчем на этой неделе.
Судя по всему, уязвимость возможно было эксплуатировать с уникальной комбинацией прошивки и загрузчика. Для эксплуатации требуются физический доступ к смартфону либо довольно хитрая и непрактичная манипуляция компьютером, к которому подключается Nexus.
Если завладеть телефоном, все просто и надежно. Заходите в меню загрузчика в режиме fastboot, подключаетесь по USB. Далее через интерфейс adb отдаете команду fastboot oem panic — а это приводит к сохранению полного дампа памяти. Этот дамп также можно вытащить с устройства, а в нем, в свою очередь, открытым текстом хранится пароль доступа к телефону.
Все, можно перезагружаться, вводить украденный пароль и дальше делать все, что душе угодно. Интересен еще один потенциальный вектор атаки — через «вредоносный» USB-зарядник, правда, на практике это возможно не во всех случаях. В IBM не наблюдают примеров эксплуатации атаки, так что дыру закрыли раньше, чем ею могли бы воспользоваться.
Google выпустили патч для Nexus 5X, исключающий возможность слить данные с устройства при помощи дампа памяти: https://t.co/kDEIgsir6W
— Kaspersky Lab (@Kaspersky_ru) September 6, 2016
Но сценарий использования здесь хорошо укладывается в каноны какого-нибудь шпионского сериала: под покровом темноты меняем штатную зарядку на подготовленную и получаем полный доступ к устройству. Вопрос в том, сколько еще открытий чудных готовят нам современные устройства. Это вам не разъем для наушников, тут все серьезно.
Все выпуски сериала доступны по тегу.
Троян-вымогатель Cry прикидывается несуществующим госагентством, использует Imgur и Google Maps
Новость. Исследование на сайте BleepingComputer.
Троянец Cry не поражает количеством жертв (пока исследователи зарегистрировали около 8 тысяч заражений), но интересен методами коммуникации с командным сервером и попытками сбора данных, которые для сбора дани, в общем-то, не требуются.
Метод заражения также неизвестен (в Trend Micro предполагают использование эксплойт-пака), но вот что происходит после него. Как обычно, на рабочем столе троянец-вымогатель оставляет открытку пользователю с инструкциями по оплате и требует 1,1 биткойна (около $625). Отправка информации о зараженной системе на сервер происходит необычно. Данные отправляются по UDP сразу на 4 тысячи IP-адресов — очевидно, с целью затруднить выявление реального C&C-сервера.
Кроме того, данные и пересылаются нестандартным образом. Информация внедряется в картинку в формате PNG, которая заливается на хостинг изображений Imgur. После заливки троянец получает от сервиса уникальный идентификатор изображения, и вот он уже рассылается по тысячам адресов. Этот метод используется параллельно с прямой отправкой данных.
Как обычно, собрали все самое интересное за неделю в одном итоговом посте: https://t.co/KRiVUodYEM pic.twitter.com/H4Gv186q0f
— Kaspersky Lab (@Kaspersky_ru) September 5, 2016
Вторым интересным побочным эффектом деятельности троянца Cry является использование API Google Maps. С помощью стандартных функций Windows запрашивается информация о близлежащих точках доступа Wi-Fi, по которым через Google определяется примерное местоположение жертвы. Пока неясно, зачем вымогателям эта информация: исследователи предполагают, что в будущем угрожать жертвам смогут более таргетированно, с указанием адреса и телефона. Милым штрихом является страница «техподдержки» в HTML-открытке, через которую жертвы атаки могут высказать все, что думают об организаторах.
В массовой атаке на Linux-серверы обвинили небезопасные настройки кеширующего ПО Redis
Новость. Предыдущая новость. Исследование Duo Labs.
На прошлой неделе пользователи форума BleepingComputer обсуждали странные атаки на Linux-серверы: жертвы обнаруживали полное отсутствие файлов веб-сервера и текстовый файл со ссылкой на требование выкупа. По ссылке сообщалось, что владельцы серверов стали жертвой вымогателя Fairware, и выдвигалось требование по оплате в размере 2 биткойнов. Довольно быстро стало понятно, что веб-сайты удалялись целиком, под корень и без возможности восстановления, так что выкуп был бы лишь дополнительной тратой времени и денег. А вот причина взлома серверов была неясна — предполагалось, что имел место перебор паролей для доступа по SSH.
Картинка по запросу «брутфорс»
Исследователи из Duo Labs считают, что брутфорс SSH ни при чем. Виной всему могло быть небезопасное внедрение софта Redis — ПО для кеширования данных. Речь идет не об уязвимости, а именно о неправильной конфигурации (возможной, впрочем, по дефолту в старых версиях), которая позволяет удаленно настраивать программное обеспечение. В идеале такая конфигурация должна происходить только с доверенных хостов, но возможны исключения. Таких исключений в Duo Labs насчитали около 18 тысяч, пройдясь по Сети специализированным поисковиком Shodan.
Из них предположительно атаке могли подвергнуться 13 тысяч хостов (считали по уникальному SSH-ключу), хотя не все в итоге стали жертвами вандализма. А метод атаки оказался достаточно простым: если есть возможность удаленной конфигурации Redis, через нее можно подкинуть на сервер SSH-ключ и по нему уже вполне респектабельно зайти в систему с правами root. Остальное — дело техники. Такой вот нехороший вымогатель. Кстати, этот прошлогодний пост на «Хабре» намекает, что проблема не новая.
Что еще произошло:
Эксперты «Лаборатории» делятся информацией о новом мобильном банковском троянце Gugi.
Еще одна пачка патчей для уязвимостей в Android.
Массовая утечка паролей к сервисам Rambler — почти 100 млн записей.
Древности:
«Perfume»
Резидентный очень опасный вирус, стандартно поражает .COM-файлы (COMMAND.COM поражается при старте вируса). Создает свою TSR-копию, ничего не изменяя в блоках MCB, чем может вызывать зависание системы. Периодически стирает случайные секторы на диске «A:». При 80-й попытке заражения уже инфицированного файла начинает какой-то диалог с оператором (в моем образце вируса текст стерт). Перехватывает int 21h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 78.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Советы