S3 Ep140: Så du tror, ​​du kender ransomware?

S3 Ep140: Så du tror, ​​du kender ransomware?

Tidsstempel: 22. juni 2023 kl. 12
S3 Ep140: So you think you know ransomware? PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by Paul Ducklin

LYT OG LÆR

Gee Whiz BASIC (sandsynligvis). Tror du kender ransomware? Megaupload, 11 år efter. ASUS advarer om kritiske routerfejl. Flyt det kaos del III.

Ingen lydafspiller nedenfor? Hør efter direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro og outro musik af Edith Mudge.

Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.

LÆS TRANSCRIPTET

DOUG.  Routerproblemer, Megaupload i megaproblemer og mere MOVEit-kaos.

Alt det og mere på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det?

AND.  Bare en disambiguation for vores britiske og Commonwealth engelske lyttere, Doug...

DOUG.  "Router." [UDTALES UK-STYLE SOM 'ROOTER', IKKE US-STYLE SOM 'ROWTER']

AND.  Du mener vel ikke træbearbejdningsværktøjerne?

DOUG.  Ingen! [griner]

AND.  Du mener de ting, der lader skurke bryde ind i dit netværk, hvis de ikke bliver rettet i tide?

DOUG.  Ja!

AND.  Hvor opførselen af ​​det, vi ville kalde en 'ROOTER' gør med dit netværk mere som hvad en 'ROWTER' ville gøre ved kanten af ​​dit bord? [griner]

DOUG.  Nemlig! [griner]

Det kommer vi til inden længe.

Men først vores Denne uge i teknisk historie segment.

Paul, denne uge, den 18. juni, helt tilbage i 1979: et stort skridt fremad for 16-bit computing, da Microsoft udrullede en version af sit BASIC-programmeringssprog til 8086-processorer.

Denne version var bagudkompatibel med 8-bit processorer, hvilket gjorde BASIC, som havde været tilgængelig for Z80 og 8080 processorerne, og som allerede var fundet på omkring 200,000 computere, en pil i de fleste programmørers kogger, Paul.

AND.  Hvad skulle blive til GW-BASIC!

Jeg ved ikke, om dette er sandt, men jeg bliver ved med at læse, at GW-BASIC står for "GEE WHIZZ!" [griner]

DOUG.  Ha! [LATTER]

AND.  Jeg ved ikke, om det er sandt, men jeg kan godt lide at tro, det er det.

DOUG.  Okay, lad os komme ind på vores historier.

Inden vi når til ting, der er i nyhederne, er vi glade, nej begejstrede, for at annoncere det første af tre afsnit af Tror du, du kender Ransomware?

Dette er en 48-minutters dokumentarserie fra dine venner på Sophos.

"The Ransomware Documentary" - helt ny videoserie fra Sophos, der starter nu!

Den første episode, kaldet Oprindelsen af ​​cyberkriminalitet, er nu tilgængelig til visning på https://sophos.com/ransomware.

Afsnit 2, som hedder Jægere og jaget, vil være tilgængelig den 28. juni 2023.

Afsnit 3, våben og krigere, falder den 5. juli 2023.

Tjek det ud på https://sophos.com/ransomware.

Jeg har set det første afsnit, og det er fantastisk.

Det besvarer alle de spørgsmål, du måtte have om oprindelsen af ​​denne plage, som vi bliver ved med at bekæmpe år efter år, Paul.

AND.  Og det er meget fint med i, hvad almindelige lyttere vil vide, er mit yndlingsordsprog (håber jeg ikke har forvandlet det til en kliche nu), nemlig: De, der ikke kan huske historien, er dømt til at gentage den.

Vær ikke den person! [griner]

DOUG.  Okay, lad os holde os til emnet kriminalitet.

Fængselsstraf for to af de fire Megaupload-stiftere.

Krænkelse af ophavsret, der er tale om her, Paul, og omkring et årti undervejs?

Megaupload-duoen skal endelig i fængsel, men Kim Dotcom kæmper videre...

AND.  Ja.

Husk i sidste uge, da jeg omskrev den joke om: "Åh, ved du, hvordan busser er? Ingen kommer i evigheder, og så kommer der tre på én gang?” [LATTER]

Men jeg var nødt til at omtale det til "to ankommer på én gang"...

…og ikke før havde jeg sagt det, før den tredje ankom. [LATTER]

Og dette er ude af New Zealand, eller Aotearoa, som det alternativt kaldes.

Megaupload var en berygtet tidlig såkaldt "file locker"-tjeneste.

Det er ikke "fillås" som i ransomware, der låser dine filer.

Det er "arkivskab" som et fitnessrum... stedet i skyen, hvor du uploader filer, så du kan få dem senere.

Den tjeneste blev fjernet, primært fordi FBI i USA fik en ordre om fjernelse og påstod, at dens primære formål faktisk ikke var så meget at være en mega *upload* tjeneste som at være en mega *download* tjeneste, forretningsmodellen hvoraf var baseret på at tilskynde til og tilskynde til krænkelse af ophavsret.

Den primære grundlægger af denne virksomhed er et velkendt navn: Kim Dotcom.

Og det er virkelig hans efternavn.

Han ændrede sit navn (jeg tror, ​​han oprindeligt var Kim Schmitz) til Kim Dotcom, skabte denne tjeneste, og han har netop kæmpet mod udlevering til USA og fortsætter med at gøre det, selvom Aotearoa-domstolene har afgjort, at der ikke er nogen grund til, at han kan ikke udleveres.

En af de fire andre, en fyr ved navn Finn Batato, døde desværre af kræft sidste år.

Men to af de andre personer, der var primus motorerne for Megaupload-tjenesten, Mathias Ortmann og Bram van der Kolk...

…de kæmpede mod udlevering (du kan forstå hvorfor) til USA, hvor de potentielt stod over for store fængselsdomme.

Men til sidst så de ud til at have indgået en aftale med domstolene i NZ [New Zealand/Aotearoa] og med FBI og Justitsministeriet i USA.

De indvilligede i at blive retsforfulgt i NZ i stedet for at erkende sig skyldige og at bistå de amerikanske myndigheder i deres igangværende efterforskning.

Og de endte med fængselsstraffe på henholdsvis 2 år 7 måneder og 2 år 6 måneder.

DOUG.  Dommeren i den sag havde nogle interessante observationer, følte jeg.

AND.  Jeg tror, ​​du har ret, Doug.

Især at det ikke var et spørgsmål om, at retten sagde: "Vi accepterer det faktum, at disse massive megaselskaber over hele verden tabte milliarder og milliarder af dollars."

Faktisk sagde dommeren, at man skal tage disse påstande med et gran salt, og citerede beviser, der tyder på, at man ikke bare kan sige, at alle, der downloadede en piratkopieret video, ellers ville have købt originalen.

Så man kan ikke summere de pengemæssige tab på den måde, som nogle af megakorpsene kan lide at gøre det.

Ikke desto mindre, sagde han, gør det det ikke rigtigt.

Og endnu vigtigere sagde han: "Du gjorde virkelig også ondt på de små fyre, og det betyder lige så meget."

Og han citerede sagen om en indie-softwareudvikler fra Sydøen i NZ, som havde skrevet til retten for at sige: "Jeg bemærkede, at piratkopiering gjorde et stort indhug i min indkomst. Jeg fandt ud af, at jeg 10 eller 20 gange måtte appellere til Megaupload for at få fjernet krænkende indhold; det tog mig meget tid at gøre det, og det gjorde aldrig den mindste forskel. Så jeg siger ikke, at de er helt ansvarlige for, at jeg ikke længere kunne leve af min virksomhed, men jeg siger, at jeg gjorde alt for at få dem til at tage de ting ned, som de sagde, at de ville gøre det, men det virkede aldrig."

Det kom faktisk frem et andet sted i dommen... som er på 38 sider, så den er ret lang læst, men den er meget læsbar, og jeg synes den er meget værd at læse.

Dommeren sagde især til de tiltalte, at de måtte bære ansvaret for, at de indrømmede, at de ikke ønskede at blive for hårde over for krænkere af ophavsret, fordi "Vækst er hovedsageligt baseret på krænkelse."

Og han bemærkede også, at de udtænkte et fjernelsessystem, der grundlæggende, hvis der var flere URL'er til at downloade den samme fil...

…de beholdt en kopi af filen, og hvis du klagede over URL'en, ville de fjerne *den URL*.

DOUG.  Ah ha!

AND.  Så man skulle tro, at de havde fjernet filen, men de ville efterlade filen der.

Og han beskrev det som følger: "Du vidste og havde til hensigt, at fjernelser ikke ville have nogen væsentlig effekt."

Hvilket er præcis, hvad denne indie Kiwi-softwareudvikler havde hævdet i sin erklæring til retten.

Og de må bestemt have tjent mange penge ud af det.

Hvis du ser på billederne fra det kontroversielle raid på Kim Dotcom tilbage i 2012...

…han havde denne enorme ejendom, og alle disse flashbiler med mærkelige nummerplader [bilmærker] som GOD , GUILTY, som om han forventede noget. [griner]

Fjernelse af megaupload skaber overskrifter og bølger, da Mr Dotcom ansøger om kaution

Så Kim Dotcom kæmper stadig for sin udlevering, men disse to andre har besluttet, at de vil få det hele overstået.

Så de erklærede sig skyldige, og som nogle af vores kommentatorer har påpeget om Naked Security, "Golly, for hvad det ser ud til, at de gjorde, da du læste dommen igennem i detaljer, lyder det, at deres dom var let."

Men måden det blev beregnet på, er, at dommeren regnede ud, at han mente, at de maksimale straffe, de skulle få under Aotearoa-loven, skulle være omkring 10 år.

Og så regnede han med, baseret på det faktum, at de erklærede sig skyldige, at de ville samarbejde, at de ville betale $10 millioner tilbage, og så videre og så videre, at de skulle få 75 % rabat.

Og min forståelse er, at det betyder, at de vil lægge denne frygt for, at de vil blive udleveret til USA, fordi min forståelse er, at justitsministeriet har sagt, "OK, vi lader dommen og domsafsigelsen ske i et andet land ."

Mere end ti år efter, og stadig ikke slut!

Du må hellere sige det, Doug...

DOUG.  Yesss!

Det vil vi holde øje med.

Tak skal du have; Lad os gå videre.

Hvis du har en ASUS-router, har du muligvis nogle opdateringer at lave, selvom det er en ret uklar tidslinje her for nogle ret farlige sårbarheder, Paul.

ASUS advarer routerkunder: Patch nu, eller bloker alle indgående anmodninger

AND.  Ja, det er ikke utroligt klart, hvornår disse patches udkom til de forskellige mange modeller af router, der er anført i vejledningen.

Nogle af vores læsere siger: "Nå, jeg gik og kiggede; Jeg har en af ​​disse routere, og den er på listen, men der er ingen patches *nu*. Men jeg fik nogle patches for et stykke tid siden, der så ud til at løse disse problemer... så hvorfor den rådgivning *nu*?"

Og svaret er: "Vi ved det ikke."

Bortset fra, måske, at ASUS har opdaget, at skurkene er på disse?

Men det er ikke kun, "Hej, vi anbefaler, at du lapper."

De siger, at du skal lappe, og hvis du ikke vil eller er i stand til det, så "anbefaler kraftigt at (hvilket dybest set betyder 'du havde bedre') deaktivere tjenester, der er tilgængelige fra WAN-siden af ​​din router for at undgå potentielle uønskede indtrængen."

Og det er ikke kun din typiske advarsel, "Åh, sørg for, at din administrationsgrænseflade ikke er synlig på internettet."

De bemærker, at det, de mener med at blokere indgående anmodninger, er, at du skal deaktivere dybest set *alt*, der involverer routeren, der accepterer, at den udefra starter en netværksforbindelse...

...herunder fjernadministration, portvideresendelse (uheld, hvis du bruger det til spil), dynamisk DNS, eventuelle VPN-servere, og hvad de kalder porttriggering, som jeg formoder er portbankning, hvor du venter på en bestemt forbindelse og kun når du se den forbindelse tænder du så en tjeneste lokalt.

Det er altså ikke kun webanmodninger, der er farlige her, eller at der måske er en eller anden fejl, der lader nogen logge ind med et hemmeligt brugernavn.

Det er en hel række af forskellige typer netværkstrafik, som hvis den kan nå din router udefra, kan sænke din router, ser det ud til.

Så det lyder frygtelig presserende!

DOUG.  De to største sårbarheder her...

…der er en national sårbarhedsdatabase, NVD, som scorer sårbarheder på en skala fra et til ti, og begge disse er 9.8/10.

Og så er der en hel masse andre, der er 7.5, 8.1, 8.8... en hel masse ting, der er ret farlige her. Paul.

AND.  Ja.

"9.8 KRITISK", alt med store bogstaver, er den slags ting, der betyder [HVISKE], "Hvis skurkene finder ud af dette, vil de være over det hele som et udslæt."

Og det, der måske er det mærkeligste ved de to 9.8/10-badness-score vulns, er, at en af ​​dem er CVE-2022-26376, og det er en fejl i HTTP-unescaping, som dybest set er, når du har en URL med sjove tegn i, som, mellemrum…

…du kan ikke lovligt have et mellemrum i URL'en; du skal sætte %20 i stedet dens hexadecimale kode.

Det er ret grundlæggende for at behandle enhver form for URL på routeren.

Og det var en fejl, der blev afsløret, som du kan se på nummeret, i 2022!

Og der er en anden i den såkaldte Netatalk-protokol (der giver support til Apple-computere), som var sårbarheden, Doug, CVE-2018-1160.

DOUG.  Det var længe siden!

AND.  Det var!

Det blev faktisk rettet i en version af Netatalk, som jeg tror var version 3.1.12, som udkom den 20. december *2018*.

Og de advarer kun om "du skal have den nye version af Netatalk" lige nu, for det ser det ud til, at også det kan udnyttes via en slyngelpakke.

Så du behøver ikke en Mac; du behøver ikke Apple-software.

Du har bare brug for noget, der taler Netatalk på en skør måde, og det kan give dig vilkårlig hukommelses skriveadgang.

Og med en fejlscore på 9.8/10, må du antage, at det betyder "fjern udefrakommende stikker ind i en eller to netværkspakker, overtager din router fuldstændigt med rodniveauadgang, rædsel for fjernudførelse af kode!"

Så hvorfor tog det dem så lang tid at advare folk om, at de havde brug for at få rettet denne fem år gamle fejl...

…og hvorfor de faktisk ikke havde rettelsen til den fem år gamle fejl for fem år siden, er ikke forklaret.

DOUG.  OK, så der er en liste over routere, som du bør tjekke, og hvis du ikke kan patche, skal du gøre alt det "blokere for alle indgående ting".

Men jeg tror, ​​vores råd ville være patch.

Og mit yndlingsråd: Hvis du er programmør, skal du rense dine inputs, tak!

AND.  Ja, Little Bobby Tables er dukket op igen, Doug.

Fordi en af ​​de andre fejl, der ikke var på 9.8-niveauet (dette var på 7/10- eller 8/10-niveauet) var CVE-2023-28702.

Det er dybest set fejlen af ​​MOVEit-typen igen: Ufiltrerede specialtegn i web-URL-input kan forårsage kommandoinjektion.

Så det lyder som en ret bred pensel for cyberkriminelle at male med.

Og der var CVE-2023-31195, der fangede min opmærksomhed, under dække af en Session kapring.

Programmørerne satte, hvad der i det væsentlige er autentificeringstoken-cookies... de magiske strenge, der, hvis browseren kan feed dem tilbage i fremtidige anmodninger, beviser for serveren, at tidligere i sessionen, at brugeren loggede ind, havde det rigtige brugernavn, den rigtige adgangskode , den rigtige 2FA-kode, uanset hvad.

Og nu bringer de dette magiske "adgangskort".

Så det er meningen, at du skal tagge disse cookies, når du indstiller dem, så de aldrig bliver transmitteret i ukrypterede HTTP-anmodninger.

På den måde gør det det meget sværere for en skurk at kapere dem... og det glemte de at gøre!

Så det er en anden ting for programmører: Gå og gennemgå, hvordan du indstiller virkelig vigtige cookies, dem, der enten har private oplysninger i dem eller har autentificeringsoplysninger i dem, og sørg for, at du ikke lader dem være åbne for utilsigtet og nem eksponering.

DOUG.  Jeg markerer dette (mod min bedre vidende, men dette er den anden af ​​to historier indtil videre) som en, vi vil holde øje med.

AND.  Jeg tror, ​​du har ret, Doug, for jeg ved ikke rigtig hvorfor, i betragtning af at for nogle af routerne var disse patches allerede dukket op (omend senere end du måske ville have)... hvorfor *nu*?

Og jeg gætter på, at den del af historien måske stadig skal frem.

DOUG.  Det viser sig, at vi absolut ikke *ikke* kan holde øje med denne MOVEit-historie.

Så hvad har vi i denne uge, Paul?

MOVEit mayhem 3: "Deaktiver HTTP- og HTTPS-trafik med det samme"

AND.  Nå, desværre for Progress Software, så kom den tredje bus med det samme. [LATTER]

Så, bare for at opsummere, var den første CVE-2023-34362, hvilket var, da Progress Software sagde: "Åh nej! Der er en nul-dag – vi vidste virkelig ikke om dette. Det er en SQL-injektion, et kommandoindsprøjtningsproblem. Her er lappen. Men det var en nul-dag, og vi fandt ud af det, fordi ransomware-skurke, afpresningsskurke, aktivt udnyttede dette. Her er nogle indikatorer for kompromis [IoCs]."

Så de gjorde alle de rigtige ting, så hurtigt de kunne, når de vidste, at der var et problem.

Så gik de hen og gennemgik deres egen kode og regnede med: "Ved du hvad, hvis programmørerne lavede den fejl ét sted, lavede de måske nogle lignende fejl i andre dele af koden."

Og det førte til CVE-2023-35036, hvor de proaktivt lappede huller, der var som den originale, men så vidt de vidste, fandt de dem først.

Og se og se, så var der en tredje sårbarhed.

Denne er CVE-2023-35708, hvor det ser ud til, at den person, der fandt den, helt sikkert udmærket vidste, at Progress Software var fuldstændig åben for ansvarlig afsløring og hurtig reaktion...

…besluttede alligevel at blive offentlig.

Så jeg ved ikke, om du kalder det "'fuld afsløring" (jeg tror, ​​det er det officielle navn for det), "uansvarlig afsløring" (jeg har hørt det omtalt sådan af andre hos Sophos) eller "slippe 0-dag for sjov”, hvilket er sådan jeg tænker på det.

Så det var lidt ærgerligt.

Og så sagde Progress Software: "Se, nogen droppede denne 0-dag; vi vidste ikke om det; vi arbejder på patchen. I denne lille mellemperiode skal du bare slukke for din webgrænseflade (vi ved, at det er besværligt), og lad os færdiggøre at teste patchen."

Og inden for omkring et døgn sagde de: "Godt, her er plasteret, sæt det nu på. Så, hvis du vil, kan du tænde din webgrænseflade igen."

Så jeg synes, alt i alt, selvom det er et dårligt udseende for Progress Software for at have fejlene i første omgang...

…hvis dette nogensinde skulle ske for dig, så er det efter min mening en ret sjov måde at gøre det på at følge deres form for svar!

DOUG.  Ja, vi har ros til Progress Software, inklusive vores kommentar for denne uge til denne historie.

Adam kommenterer:

Det ser ud til at gå hårdt for MOVEit på det seneste, men jeg bifalder dem for deres hurtige, proaktive og tilsyneladende ærlige arbejde.

De kunne teoretisk have forsøgt at holde det hele stille, men i stedet har de været ret på forhånd om problemet, og hvad der skal gøres ved det.

Det får dem i det mindste til at se mere troværdige ud i mine øjne...

…og jeg tror, ​​det er en følelse, der også deles med andre, Paul.

AND.  Det er det ihvertfald.

Vi har også hørt det samme på vores sociale mediekanaler: at selvom det er beklageligt, at de havde fejlen, og alle ville ønske, at de ikke gjorde det, så er de stadig tilbøjelige til at stole på virksomheden.

Faktisk kan de være tilbøjelige til at stole mere på virksomheden, end de var før, fordi de tror, ​​at de holder hovedet koldt i en krise.

DOUG.  Meget godt.

Okay, tak, Adam, fordi du sendte det ind.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @nakedsecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...

BEGGE.  Hold dig sikker!

[MUSIK MODEM]

Tidsstempel:

Mere fra Naked Security