S3 Ep125: Når sikkerhedshardware har sikkerhedshuller [Lyd + tekst]

S3 Ep125: Når sikkerhedshardware har sikkerhedshuller [Lyd + tekst]

Tidsstempel: 9. marts 2023 kl. 1
S3 Ep125: When security hardware has security holes [Audio + Text] PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by Paul Ducklin

DU SKAL HAVE DENNE CHIP! SELVOM DET HAR BUGS!

Erindringer om Michelangelo (virussen, ikke kunstneren). Datalækage fejler ind TPM 2.0. Ransomware buste, ransomware advarsel, og anti-ransomware råd.

Ingen lydafspiller nedenfor? Hør efter direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro og outro musik af Edith Mudge.

Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.

LÆS TRANSCRIPTET

DOUG.   Ransomware, mere ransomware og TPM-sårbarheder.

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

AND.   Sne og slud, Doug.

Så det var en kold tur ind i studiet.

Jeg bruger luft-citater... ikke for "ride", for "studie".

Det er egentlig ikke et studie, men det er *mit* studie!

En lille hemmelig plads på Sophos HQ til optagelse af podcasten.

Og det er dejligt og varmt herinde, Doug!

DOUG.   Okay, hvis nogen lytter... kig forbi for en rundvisning; Paul vil med glæde vise dig rundt på stedet.

Og jeg er så spændt på Denne uge i teknisk historie, Paul.

Denne uge, den 06. marts 1992, sprang den slumrende Michelangelo-bootsektor-virus til live og overskrev dele af ofrenes harddiske.

Det betød vel verdens undergang for computere overalt, da medierne snublede over sig selv for at advare folk om forestående undergang?

Men ifølge Virus Bulletin-konferencens rapport fra 1994, og jeg citerer:

Paul Ducklin, en energisk og underholdende foredragsholder, er overbevist om, at indsatsen for at uddanne både virksomheder og medier på mange måder har misset sit mål..

Paul, du var der, mand!

AND.   Det var jeg, Doug.

Ironisk nok var den 6. marts den ene dag, hvor Michelangelo ikke var en virus.

Alle andre dage spredte det sig simpelthen som en steppebrand.

Men den 06. marts lød det: "Aha! Det er nyttelast-dag!"

Og på en harddisk ville den gå gennem de første 256 spor, de første 4 hoveder, 17 sektorer pr. spor... hvilket stort set var "nederste venstre hjørne", hvis du vil, på hver side af de fleste harddiske i brug på det tidspunkt.

Så det ville tage omkring 8.5 MByte ud af din harddisk.

Det zappede ikke kun en masse data, det ødelagde ting som filallokeringstabellerne.

Så du kunne gendanne nogle data, men det var en enorm og usikker indsats for hver enkelt enhed, du ville prøve at gendanne.

Det er lige så meget arbejde for den anden computer, som det var for den første, for den tredje computer, som det var for den anden... meget, meget svært at automatisere.

Heldigvis, som du siger, var det meget overhypet i medierne.

Faktisk er min forståelse, at virussen først blev analyseret af den afdøde Roger Riordan, som var en berømt australsk antivirusforsker i 1990'erne, og han stødte faktisk på den i februar 1991.

Og han snakkede med en ven af ​​ham, tror jeg, om det, og hans kammerat sagde: "Åh, den 6. marts, det er min fødselsdag. Vidste du, at det også er Michelangelos fødselsdag?"

For jeg gætter på, at folk, der er født den 6. marts, måske lige ved det...

Selvfølgelig var det sådan et trendy og sejt navn... og et år senere, da det havde haft chancen for at sprede sig og, som du siger, ofte lå i dvale, så kom det tilbage.

Det ramte ikke millioner af computere, som medierne så ud til at frygte, og som afdøde John McAfee kunne lide at sige, men det er kold trøst for enhver, der blev ramt, for man mistede stort set alt.

Ikke helt alt, men det ville koste dig en mindre formue at få noget af det tilbage ... sandsynligvis ufuldstændigt, sandsynligvis upålideligt.

Og det dårlige ved det var, at fordi det spredte sig på disketter; og fordi det spredte sig i støvlesektoren; og fordi i de dage næsten alle computere ville starte fra diskettedrevet, hvis der blot tilfældigvis var en disk i den; og fordi selv ellers tomme disketter havde en opstartssektor og enhver kode derinde ville køre, selvom alt det førte til var en "Ikke-systemdisk eller diskfejl, udskift og prøv igen" slags besked...

…på det tidspunkt var det for sent.

Så hvis du lige efterlod en disk i drevet ved en fejl, så når du tændte næste morgen, da du så beskeden "Ikke-systemdisk eller diskfejl" og tænkte: "Åh, jeg slår disketten op. ud og genstart boot fra harddisken"...

…på det tidspunkt var virussen allerede på din harddisk, og den ville sprede sig til hver eneste diskette, du havde.

Så selvom du havde virussen, og så fjernede du den, hvis du ikke gik igennem hele din virksomheds stash af disketter, ville der være en Tyfus Mary derude, som kunne genindføre den til enhver tid.

DOUG.   Der er en fascinerende historie.

Jeg er glad for, at du var der for at hjælpe med at rydde lidt op!

Og lad os rydde op i noget andet.

Dette Trusted Platform Module... nogle gange kontroversielt.

Hvad sker der, når den nødvendige kode for at beskytte din maskine er sig selv sårbare, Paul?

Seriøs sikkerhed: TPM 2.0-vulns – er dine supersikre data i fare?

AND.   Hvis du vil forstå hele denne TPM-ting, som lyder som en god idé, ikke sandt... der er denne lille bitte datterboard-ting, som du sætter ind i en lille bitte slot på dit bundkort (eller måske er den forudindbygget), og den har en en lille, speciel coprocessor-chip, der bare laver disse centrale kryptografiske ting.

Sikker boot; digitale signaturer; stærk opbevaring til kryptografiske nøgler... så det er i sagens natur ikke en dårlig idé.

Problemet er, at du ville forestille dig det, fordi det er sådan en lillebitte enhed, og den har lige fået denne kernekode ind, så er det vel ret nemt at fjerne det og gøre det enkelt?

Nå, kun specifikationerne for Trusted Platform Module, eller TPM... de har tilsammen: 306 sider, 177 sider, 432 sider, 498 sider, 146 sider og den store dårlige dreng til sidst, "Del fire: Understøttende rutiner - Code”, hvor fejlene er, 1009 PDF-sider, Doug.

DOUG.   [griner] lidt let læsning!

AND.   [SUK] Bare lidt let læsning.

Så der er meget arbejde. og en masse plads til bugs.

Og de seneste … ja, der er en hel del, der blev noteret i den seneste errata, men to af dem fik faktisk CVE-numre.

Der er CVE-2023-1017 og CVE-2023-1018.

Og desværre er de fejl, sårbarheder, der kan kildes (eller nås) af kommandoer, som et normalt brugerrumsprogram kan bruge, som noget, som en sysadmin eller du selv kan køre, bare for at bede TPM'en om at gøre det. noget sikkert for dig.

Så du kan gøre ting som at sige: "Hej, gå hen og få mig nogle tilfældige tal. Gå og byg mig en kryptografisk nøgle. Gå væk og bekræft denne digitale signatur."

Og det er rart, hvis det er gjort i en separat lille processor, der ikke kan rodes med af CPU'en eller operativsystemet – det er en god idé.

Men problemet er, at i brugertilstandskoden, der siger: "Her er kommandoen, jeg præsenterer for dig"...

…uheldigvis optrævler de parametre, der sendes ind for at udføre den funktion, du ønsker – hvis du fælder den måde, disse parametre leveres til TPM'en på, kan du narre den til enten at læse ekstra hukommelse (et bufferlæseoverløb) eller værre, at overskrive ting, der hører til den næste fyr, sådan set.

Det er svært at se, hvordan disse fejl kunne udnyttes til ting som kodekørsel på TPM'en (men, som vi har sagt mange gange, "Sig aldrig aldrig").

Men det er helt klart klart, at når du beskæftiger dig med noget, som du sagde i starten, "Du har brug for dette for at gøre din computer mere sikker. Det hele handler om kryptografisk korrekthed”...

… ideen om, at noget lækker endda to bytes af en andens dyrebare hemmelige data, som ingen i verden formodes at kende?

Ideen om et datalæk, endsige et buffer-skriveoverløb i et modul som det, er faktisk ret bekymrende.

Så det er det du skal lappe.

Og desværre siger errata-dokumentet ikke: "Her er fejlene; her er, hvordan du lapper dem."

Der er blot en beskrivelse af fejlene og en beskrivelse af, hvordan du skal ændre din kode.

Så formentlig vil alle gøre det på deres egen måde, og så vil disse ændringer filtreres tilbage til den centrale referenceimplementering.

Den gode nyhed er, at der er en softwarebaseret TPM-implementering [libtpms] for folk, der kører virtuelle maskiner... de har allerede set, og de har fundet nogle rettelser, så det er en godt sted at starte.

DOUG.   Dejlig.

I mellemtiden skal du tjekke med dine hardwareleverandører og se, om de har nogen opdateringer til dig.

AND.   Ja.

DOUG.   Vi vil gå videre ... til de tidlige dage med ransomware, som var fyldt med afpresning, og så blev tingene mere komplicerede med "dobbelt afpresning".

Og en flok mennesker har lige været anholdt i en dobbeltafpresningsordning, hvilket er godt nyt!

DoppelPaymer ransomware mistænkte arresteret i Tyskland og Ukraine

AND.   Ja, dette er en ransomware-bande kendt som DoppelPaymer. ("Doppel" betyder fordoble på tysk.)

Så tanken er, at det er en dobbeltmoral.

Det er her, de forvrider alle dine filer, og de siger: "Vi sælger dig dekrypteringsnøglen. Og forresten, bare hvis du tror, ​​at dine sikkerhedskopier vil gøre det, eller bare hvis du tænker på at bede os fare vild og ikke betale os pengene, skal du bare være opmærksom på, at vi også har stjålet alle dine filer først. ”

"Så, hvis du ikke betaler, og du *kan* dekryptere selv, og du *kan* redde din virksomhed... kommer vi til at lække dine data."

Den gode nyhed i denne sag er, at nogle mistænkte er blevet afhørt og anholdt, og mange elektroniske enheder er blevet beslaglagt.

Så selvom dette er, hvis du kan lide, kold trøst for folk, der blev udsat for DoppelPaymer-angreb tilbage i dag, betyder det i det mindste, at retshåndhævelsen ikke bare giver op, når cyberbander ser ud til at lægge hovedet ned.

De modtog tilsyneladende så meget som 40 millioner dollars i afpresningsbetalinger alene i USA.

Og de gik notorisk efter universitetshospitalet i Düsseldorf i Tyskland.

Hvis der er et lavpunkt i ransomware...

DOUG.   Helt seriøst!

AND.   …ikke at det er godt, at nogen bliver ramt, men tanken om, at man rent faktisk tager et hospital ud, især et undervisningshospital?

Det er vel det laveste af det lave, ikke?

DOUG.   Og vi har nogle råd.

Bare fordi disse mistænkte er blevet anholdt: Ring ikke tilbage til din beskyttelse.

AND.   Nej, faktisk indrømmer Europol, med deres ord, "Ifølge rapporter har Doppelpaymer siden omdøbt [som en ransomware-bande] kaldet 'Grief'."

Så problemet er, at når du buster nogle mennesker i en cybergang, finder du måske ikke alle serverne...

…hvis du beslaglægger serverne, kan du ikke nødvendigvis arbejde baglæns til individerne.

Det gør et indhug, men det betyder ikke, at ransomware er slut.

DOUG.   Og på det punkt: Fiksér ikke på ransomware alene.

AND.   Ja!

Jeg tror, ​​at bander som DoppelPaymer gør det helt klart, gør de ikke?

Da de kommer for at kryptere dine filer, har de allerede stjålet dem.

Så på det tidspunkt, hvor du faktisk får ransomware-delen, har de allerede gjort N andre elementer af cyberkriminalitet: indbruddet; det at se sig omkring; sandsynligvis åbne et par bagdøre, så de kan komme ind igen senere, eller sælge adgang til den næste fyr; og så videre.

DOUG.   Hvilket hænger sammen med det næste råd: Vent ikke på, at trusselsalarmer falder ind på dit dashboard.

Det er måske lettere sagt end gjort, afhængigt af organisationens modenhed.

Men der er hjælp at hente!

AND.   Jeg troede, du ville nævne Sophos Managed Detection and Response et øjeblik der, Doug.

DOUG.   Jeg prøvede ikke at sælge den.

Men vi kan hjælpe!

Der er noget hjælp derude; Lad os vide.

AND.   Løst sagt, jo tidligere du kommer dertil; jo tidligere du bemærker; jo mere proaktiv er din forebyggende sikkerhed...

…jo mindre sandsynligt er det, at nogen skurke vil være i stand til at komme så langt som et ransomware-angreb.

Og det kan kun være en god ting.

DOUG.   Og sidst men ikke mindst: Ingen dom, men betal ikke, hvis du overhovedet kan undgå det.

AND.   Ja, jeg synes, vi har en pligt til at sige det.

Fordi at betale op finansierer den næste bølge af cyberkriminalitet, helt sikkert.

Og for det andet får du måske ikke, hvad du betaler for.

DOUG.   Nå, lad os gå fra en kriminel virksomhed til en anden.

Og det er, hvad der sker, når en kriminel virksomhed bruger hver Værktøj, teknik og procedure i bogen!

Feds advarer om den rigtige Royal ransomware-ramfare, der kører spektret af TTP'er

AND.   Dette er fra CISA – USA Agentur for cybersikkerhed og infrastruktur.

Og i dette tilfælde, i bulletin AA23 (det er i år) bindestreg 061A-for-alpha, taler de om en bande kaldet Royal ransomware.

Royal med stort R, Doug.

Det dårlige ved denne bande er, at deres værktøjer, teknikker og procedurer ser ud til at være "op til og inklusive, hvad der er nødvendigt for det aktuelle angreb".

De maler med en meget bred pensel, men de angriber også med en meget dyb skovl, hvis du ved hvad jeg mener.

Det er de dårlige nyheder.

Den gode nyhed er, at der er frygtelig meget at lære, og hvis du tager det hele seriøst, vil du have en meget bred børsteforebyggelse og beskyttelse mod ikke kun ransomware-angreb, men hvad du tidligere nævnte i Doppelpaymer-segmentet: "Don' ikke bare fiksere på ransomware."

Bekymre dig om alle de andre ting, der fører op til det: keylogging; datatyveri; bagdør implantation; adgangskode tyveri.

DOUG.   Okay, Paul, lad os opsummere nogle af de ting, der kan tages fra CISA-rådet, begyndende med: Disse skurke bryder ind ved at bruge afprøvede og pålidelige metoder.

AND.   De gør!

CISAs statistikker tyder på, at netop denne bande bruger god gammel phishing, som lykkedes med 2/3 af angrebene.

Når det ikke virker godt, går de på udkig efter ulappede ting.

Også i 1/6 af tilfældene er de stadig i stand til at bruge RDP... gode gamle RDP-angreb.

For de har kun brug for én server, som du har glemt.

Og i øvrigt rapporterede CISA, at når de først er inde, selvom de ikke kom i gang med at bruge RDP, ser det ud til, at de stadig oplever, at mange virksomheder har en ret mere liberal politik om RDP-adgang * inde i* deres netværk.

[GRNER] Hvem har brug for komplicerede PowerShell-scripts, hvor du bare kan oprette forbindelse til en andens computer og tjekke det ud på din egen skærm?

DOUG.   Når de først er kommet ind, forsøger de kriminelle at undgå programmer, der åbenlyst kan dukke op som malware.

Det er også kendt som "at leve af jorden".

AND.   De siger ikke bare: "Åh jamen, lad os bruge Microsoft Sysinternals PsExec-program, og lad os bruge dette ene særlige populære PowerShell-script.

De har et vilkårligt antal værktøjer, til at gøre en række forskellige ting, der er ret nyttige, fra værktøjer, der finder ud af IP-numre, til værktøjer, der forhindrer computere i at sove.

Alle værktøjer, som en velinformeret sysadmin meget vel kan have og bruge regelmæssigt.

Og, løst sagt, er der kun én smule ren malware, som disse skurke bringer ind, og det er de ting, der gør den sidste forvirring.

Forresten, glem ikke, at hvis du er en ransomware-kriminel, behøver du ikke engang at medbringe dit eget krypteringsværktøj.

Du kunne, hvis du ville, bruge et program som f.eks. WinZip eller 7-Zip, der inkluderer en funktion til "Opret et arkiv, flyt filerne ind" (hvilket betyder at slette dem, når du har lagt dem i arkivet), "og krypter dem med en adgangskode."

Så længe skurkene er de eneste mennesker, der kender adgangskoden, kan de stadig tilbyde at sælge den tilbage til dig...

DOUG.   Og lige for at tilføje lidt salt til såret: Inden de scrambler filer, forsøger angriberne at komplicere din vej til genopretning.

AND.   Hvem ved, om de har oprettet nye hemmelige administratorkonti?

Forsætligt installeret buggy-servere?

Har du bevidst fjernet patches, så de ved, hvordan de kan komme tilbage næste gang?

Efterladt keyloggere liggende bagved, hvor de vil aktivere på et fremtidigt tidspunkt og få dine problemer til at starte forfra?

Og det gør de, fordi det er meget til deres fordel, at når du kommer dig efter et ransomware-angreb, kommer du ikke helt tilbage.

DOUG.   Okay, vi har nogle nyttige links nederst i artiklen.

Et link, som vil tage dig til at lære mere om Sophos Managed Detection and Response [MDR], og en anden, der fører dig til Aktiv modstander Playbook, som er et stykke sammensat af vores egen John Shier.

Nogle takeaways og indsigter, som du kan bruge til bedre at styrke din beskyttelse.

Kend din fjende! Lær, hvordan modstandere af cyberkriminalitet kommer ind...

AND.   Det er ligesom en metaversion af den CISA "Royal ransomware"-rapport.

Det er tilfælde, hvor offeret ikke var klar over, at angriberne var i deres netværk, før det var for sent, og derefter ringede til Sophos Rapid Response og sagde: "Åh, vi tror, ​​vi er blevet ramt af ransomware... men hvad skete der ellers? ”

Og det er det, vi faktisk fandt i det virkelige liv på tværs af en lang række angreb fra en række ofte ubeslægtede skurke.

Så det giver dig en meget, meget bred idé om rækken af ​​TTP'er (værktøjer, teknikker og procedurer), som du skal være opmærksom på, og som du kan forsvare dig imod.

Fordi den gode nyhed er, at ved at tvinge skurkene til at bruge alle disse separate teknikker, så ingen af ​​dem udløser en massiv alarm helt af sig selv...

…du giver dig selv en chance for at få øje på dem tidligt, hvis bare du [A] ved, hvor du skal lede, og [B] kan finde tid til at gøre det.

DOUG.   Meget godt.

Og vi har en læserkommentar til denne artikel.

Naked Security-læser Andy spørger:

Hvordan klarer Sophos Endpoint Protection-pakker sig mod denne type angreb?

Jeg har selv set, hvor god filransomware-beskyttelsen er, men hvis den er deaktiveret, før krypteringen begynder, er vi for det meste afhængige af Tamper Protection?

AND.   Nå, det håber jeg ikke!

Jeg ville håbe, at en Sophos Protection-kunde ikke bare ville sige: "Nå, lad os kun køre den lille del af produktet, der er der for at beskytte dig som den slags Last Chance-salon... det, vi kalder CryptoGuard.

Det er modulet, der siger, "Hey, nogen eller noget forsøger at kryptere et stort antal filer på en måde, der kan være et ægte program, men som bare ikke ser rigtigt ud."

Så selvom det er lovligt, vil det sandsynligvis ødelægge tingene, men det er næsten helt sikkert nogen, der forsøger at gøre din skade.

DOUG.   Ja, CryptoGuard er som en hjelm, du bærer, når du flyver over styret på din cykel.

Tingene er blevet ret alvorlige, hvis CryptoGuard er i gang!

AND.   De fleste produkter, inklusive Sophos i disse dage, har et element af Tamper Protection, som forsøger at gå et skridt videre, så selv en administrator er nødt til at springe gennem bøjler for at slå visse dele af produktet fra.

Dette gør det sværere overhovedet at gøre det, og sværere at automatisere, at slå det fra for alle.

Men du skal tænke over det...

Hvis cyberskurke kommer ind på dit netværk, og de virkelig har "sysadmin-ækvivalens" på dit netværk; hvis de har formået at få de samme beføjelser, som dine normale sysadmins har (og det er deres sande mål; det er det, de virkelig ønsker)...

I betragtning af at sysadmins, der kører et produkt som Sophos', kan konfigurere, dekonfigurere og indstille de omgivende indstillinger...

…så hvis skurkene *er* sysadmins, er det lidt som om de allerede har vundet.

Og derfor skal du finde dem på forhånd!

Så vi gør det så svært som muligt, og vi giver så mange lag af beskyttelse, som vi kan, forhåbentlig for at prøve at stoppe denne ting, før den overhovedet kommer ind.

Og lige mens vi er ved det, Doug (jeg vil ikke have, at det skal lyde som en salgsplan, men det er bare en funktion i vores software, som jeg hellere kan lide)...

Vi har, hvad jeg kalder en "aktiv modstandsmodstander"-komponent!

Med andre ord, hvis vi opdager adfærd på dit netværk, der stærkt antyder ting, for eksempel, som dine systemadministratorer ikke helt ville gøre, eller ikke helt ville gøre på den måde...

... "aktiv modstander modstander" siger, "Ved du hvad? Lige i øjeblikket vil vi øge beskyttelsen til højere niveauer, end du normalt ville tolerere."

Og det er en fantastisk funktion, fordi det betyder, at hvis skurke kommer ind på dit netværk og begynder at forsøge at gøre uheldige ting, behøver du ikke at vente, indtil du bemærker det og *derefter* beslutte, "Hvilke urskiver skal vi ændre?"

Doug, det var et ret langt svar på et tilsyneladende simpelt spørgsmål.

Men lad mig lige læse op, hvad jeg skrev i mit svar til kommentaren om Naked Security:

Vores mål er at være på vagt hele tiden og at gribe ind så tidligt, så automatisk, så sikkert og så beslutsomt som muligt – for alle former for cyberangreb, ikke kun ransomware.

DOUG.   Okay, godt sagt!

Mange tak, Andy, fordi du sendte det ind.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan slå os på socialt: @NakedSecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin, jeg er Doug Aamoth, minder dig om det. Indtil næste gang...

BEGGE.   Hold dig sikker!

[MUSIK MODEM]

Tidsstempel:

Mere fra Naked Security