S3 Ep125: Όταν το υλικό ασφαλείας έχει τρύπες ασφαλείας [Ήχος + Κείμενο]

Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.

ΖΥΜΗ.   Ransomware, περισσότερα ransomware και ευπάθειες TPM.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.   Χιόνι και χιονόνερο, Νταγκ.

Ήταν λοιπόν μια κρύα βόλτα στο στούντιο.

Χρησιμοποιώ εισαγωγικά αέρα… όχι για «βόλτα», για «στούντιο».

Δεν είναι πραγματικά στούντιο, αλλά είναι *μου* στούντιο!

Ένας μικρός μυστικός χώρος στο Sophos HQ για την ηχογράφηση του podcast.

Και είναι υπέροχο και ζεστό εδώ μέσα, Νταγκ!

---

ΖΥΜΗ.   Εντάξει, αν κάποιος ακούει… περάστε για μια περιοδεία. Ο Paul θα χαρεί να σας ξεναγήσει στο μέρος.

Και είμαι τόσο ενθουσιασμένος για Αυτή η εβδομάδα στην ιστορία της τεχνολογίας, Παύλος.

Αυτή την εβδομάδα, στις 06 Μαρτίου 1992, ο αδρανής ιός του τομέα εκκίνησης Michelangelo εμφανίστηκε στη ζωή, αντικαθιστώντας τομείς των σκληρών δίσκων των θυμάτων του.

Σίγουρα αυτό σήμαινε το τέλος του κόσμου για τους υπολογιστές παντού, καθώς τα μέσα ενημέρωσης σκόνταψαν για να προειδοποιήσουν τους ανθρώπους για την επικείμενη καταστροφή;

Ωστόσο, σύμφωνα με την έκθεση του συνεδρίου Virus Bulletin του 1994, και παραθέτω:

Ο Paul Ducklin, ένας ενεργητικός και διασκεδαστικός ομιλητής, πιστεύει ακράδαντα ότι, από πολλές απόψεις, η προσπάθεια εκπαίδευσης που έγινε τόσο από τις εταιρείες όσο και από τα μέσα ενημέρωσης έχασε τον στόχο της..

Παύλο, ήσουν εκεί, φίλε!

---

ΠΑΠΙΑ.   Ήμουν, Νταγκ.

Κατά ειρωνικό τρόπο, η 6η Μαρτίου ήταν η μία μέρα που ο Μιχαήλ Άγγελος δεν ήταν ιός.

Όλες τις άλλες μέρες, απλά εξαπλώθηκε σαν πυρκαγιά.

Αλλά στις 06 Μαρτίου, είπε, «Αχα! Είναι ημέρα ωφέλιμου φορτίου!»

Και σε έναν σκληρό δίσκο, θα περνούσε από τα πρώτα 256 κομμάτια, τις πρώτες 4 κεφαλές, 17 τομείς ανά κομμάτι… που ήταν λίγο πολύ η «κάτω αριστερή γωνία», αν θέλετε, κάθε σελίδας των περισσότερων σκληρών δίσκων σε χρήση ΕΚΕΙΝΗ ΤΗΝ ΠΕΡΙΟΔΟ.

Έτσι, θα χρειαζόταν περίπου ένα κομμάτι 8.5 MByte από τον σκληρό σας δίσκο.

Όχι μόνο χάλασε πολλά δεδομένα, αλλά κατέστρεψε πράγματα όπως τους πίνακες κατανομής αρχείων.

Έτσι, μπορούσατε να ανακτήσετε ορισμένα δεδομένα, αλλά ήταν μια τεράστια και αβέβαιη προσπάθεια για κάθε συσκευή που θέλατε να δοκιμάσετε και να ανακτήσετε.

Είναι τόσο δουλειά για τον δεύτερο υπολογιστή όσο και για τον πρώτο, για τον τρίτο υπολογιστή όσο και για τον δεύτερο… πολύ, πολύ δύσκολο να αυτοματοποιηθεί.

Ευτυχώς, όπως λέτε, ήταν πολύ υπερβολικό στα μέσα ενημέρωσης.

Στην πραγματικότητα, καταλαβαίνω ότι ο ιός αναλύθηκε για πρώτη φορά από τον αείμνηστο Roger Riordan, ο οποίος ήταν διάσημος Αυστραλός ερευνητής κατά των ιών τη δεκαετία του 1990, και τον συνάντησε τον Φεβρουάριο του 1991.

Και κουβέντιαζε με ένα φίλο του, πιστεύω, γι' αυτό, και ο φίλος του είπε, «Ω, 6 Μαρτίου, αυτά είναι τα γενέθλιά μου. Ξέρατε ότι είναι και τα γενέθλια του Μιχαήλ Άγγελου;»

Επειδή υποθέτω ότι οι άνθρωποι που είναι γεννημένοι στις 6 Μαρτίου μπορεί να ξέρουν ότι…

Φυσικά, ήταν ένα τόσο μοντέρνο και κουλ όνομα… και ένα χρόνο αργότερα, όταν είχε την ευκαιρία να εξαπλωθεί και, όπως λέτε, συχνά ήταν αδρανής, τότε ήταν που επέστρεψε.

Δεν χτύπησε εκατομμύρια υπολογιστές, όπως φαινόταν να φοβούνται τα μέσα ενημέρωσης, και όπως ήθελε να λέει ο αείμνηστος John McAfee, αλλά αυτό είναι ψυχρή άνεση για όποιον χτυπήθηκε, γιατί έχασες σχεδόν τα πάντα.

Όχι ακριβώς τα πάντα, αλλά θα σου κόστιζε μια μικρή περιουσία για να πάρεις ένα μέρος από αυτό πίσω… μάλλον ελλιπώς, μάλλον αναξιόπιστα.

Και το κακό με αυτό ήταν ότι επειδή εξαπλώθηκε σε δισκέτες? και επειδή εξαπλώθηκε στον τομέα των εκκίνησης? και επειδή εκείνες τις μέρες σχεδόν κάθε υπολογιστής θα εκκινούσε από τη μονάδα δισκέτας, αν απλώς τύχαινε να υπήρχε ένας δίσκος σε αυτόν. και επειδή ακόμη και διαφορετικά οι κενές δισκέτες είχαν έναν τομέα εκκίνησης και οποιοσδήποτε κωδικός θα εκτελούσε, ακόμα κι αν το μόνο που οδηγούσε ήταν ένα μήνυμα τύπου «Σφάλμα δίσκου ή δίσκου εκτός συστήματος, αντικαταστήστε και δοκιμάστε ξανά»…

…τότε ήταν πολύ αργά.

Έτσι, εάν μόλις άφησες έναν δίσκο στη μονάδα κατά λάθος, τότε όταν ενεργοποιήσατε το επόμενο πρωί, μέχρι να δείτε αυτό το μήνυμα "Σφάλμα δίσκου ή δίσκου εκτός συστήματος" και σκεφτήκατε, "Ω, θα σκάσω τη δισκέτα έξω και επανεκκίνηση εκκίνησης από τον σκληρό δίσκο”…

…μέχρι τότε, ο ιός ήταν ήδη στον σκληρό σας δίσκο και θα εξαπλωνόταν σε κάθε δισκέτα που είχατε.

Έτσι, ακόμα κι αν είχατε τον ιό και μετά τον αφαιρούσατε, αν δεν περάσατε από ολόκληρο το εταιρικό σας απόθεμα δισκέτας, θα υπήρχε μια Typhoid Mary εκεί έξω που θα μπορούσε να τον επαναφέρει ανά πάσα στιγμή.

---

ΖΥΜΗ.   Υπάρχει μια συναρπαστική ιστορία.

Χαίρομαι που ήσασταν εκεί για να το βοηθήσετε να καθαριστεί λίγο!

Και ας καθαρίσουμε λίγο κάτι άλλο.

Αυτή η μονάδα αξιόπιστης πλατφόρμας… μερικές φορές αμφιλεγόμενη.

Τι συμβαίνει όταν ο κωδικός που απαιτείται για την προστασία του μηχανήματος είναι ο ίδιος ευάλωτες, Παύλος;

Σοβαρή ασφάλεια: TPM 2.0 vulns – κινδυνεύουν τα εξαιρετικά ασφαλή δεδομένα σας;

---

ΠΑΠΙΑ.   Αν θέλετε να καταλάβετε όλο αυτό το TPM, που ακούγεται σαν μια υπέροχη ιδέα, σωστά… υπάρχει αυτό το μικροσκοπικό πράγμα θυγατρικής που συνδέετε σε μια μικροσκοπική μικρή υποδοχή στη μητρική σας πλακέτα (ή ίσως είναι προ-ενσωματωμένη) και έχει μία μικροσκοπικό μικρό ειδικό τσιπ συνεπεξεργαστή που κάνει ακριβώς αυτό το βασικό κρυπτογραφικό υλικό.

Ασφαλής μπότα. ψηφιακές υπογραφές? ισχυρή αποθήκευση για κρυπτογραφικά κλειδιά… επομένως δεν είναι εγγενώς κακή ιδέα.

Το πρόβλημα είναι ότι θα φανταζόσασταν ότι, επειδή είναι μια τόσο μικροσκοπική συσκευή και μόλις έχει εισέλθει αυτός ο βασικός κώδικας, σίγουρα είναι πολύ εύκολο να το αφαιρέσετε και να το κάνετε απλό;

Λοιπόν, μόνο οι προδιαγραφές για το Trusted Platform Module ή TPM… έχουν συλλογικά: 306 σελίδες, 177 σελίδες, 432 σελίδες, 498 σελίδες, 146 σελίδες, και το μεγάλο κακό παιδί στο τέλος, το "Μέρος Τέταρτο: Υποστηρικτικές Ρουτίνες - Code», όπου βρίσκονται τα σφάλματα, 1009 σελίδες PDF, Doug.

---

ΖΥΜΗ.   [ΓΕΛΙΑ] ας διαβάσουμε λίγο!

---

ΠΑΠΙΑ.   [Αναστεναγμούς] Λίγη ελαφριά ανάγνωση.

Άρα, υπάρχει πολλή δουλειά. και πολλά μέρη για σφάλματα.

Και οι πιο πρόσφατες… καλά, υπάρχουν αρκετά που σημειώθηκαν στην τελευταία λάθη, αλλά δύο από αυτά πήραν πραγματικά αριθμούς CVE.

Υπάρχει το CVE-2023-1017 και το CVE-2023-1018.

Και δυστυχώς, είναι σφάλματα, ευπάθειες, που μπορούν να γαργαληθούν (ή να προσεγγιστούν) με εντολές που μπορεί να χρησιμοποιήσει ένα κανονικό πρόγραμμα χώρου χρήστη, όπως κάτι που μπορεί να εκτελέσετε ένας sysadmin ή εσείς οι ίδιοι, απλώς για να ζητήσετε από το TPM να κάνει κάτι με ασφάλεια για εσάς.

Έτσι, μπορείτε να κάνετε πράγματα όπως, πείτε, «Γεια, πήγαινε και φέρε μου τυχαίους αριθμούς. Πήγαινε και φτιάξε μου ένα κρυπτογραφικό κλειδί. Φύγετε και επαληθεύστε αυτήν την ψηφιακή υπογραφή."

Και είναι ωραίο αν αυτό γίνεται σε ξεχωριστό μικρό επεξεργαστή που δεν μπορεί να μπλέξει η CPU ή το λειτουργικό σύστημα – αυτή είναι μια υπέροχη ιδέα.

Αλλά το πρόβλημα είναι ότι στον κώδικα λειτουργίας χρήστη που λέει, "Αυτή είναι η εντολή που σας παρουσιάζω"…

...δυστυχώς, ξετυλίγοντας τις παραμέτρους που μεταβιβάζονται για να εκτελέσετε τη λειτουργία που θέλετε – εάν παγιδεύσετε τον τρόπο με τον οποίο αυτές οι παράμετροι παραδίδονται στο TPM, μπορείτε να το εξαπατήσετε είτε να διαβάσει επιπλέον μνήμη (υπερχείλιση ανάγνωσης buffer) είτε χειρότερα, αντικαθιστώντας πράγματα που ανήκουν στον επόμενο τύπο, λες.

Είναι δύσκολο να δούμε πώς αυτά τα σφάλματα θα μπορούσαν να αξιοποιηθούν για πράγματα όπως η εκτέλεση κώδικα στο TPM (αλλά, όπως έχουμε πει πολλές φορές, "Ποτέ μην λες ποτέ").

Αλλά είναι σίγουρα ξεκάθαρο ότι όταν έχετε να κάνετε με κάτι που, όπως είπατε στην αρχή, «Χρειάζεστε αυτό για να κάνετε τον υπολογιστή σας πιο ασφαλή. Όλα έχουν να κάνουν με την κρυπτογραφική ορθότητα”…

…η ιδέα ότι κάτι διαρρέει έστω και δύο byte από τα πολύτιμα μυστικά δεδομένα κάποιου άλλου που κανείς στον κόσμο δεν πρέπει να γνωρίζει;

Η ιδέα μιας διαρροής δεδομένων, πόσο μάλλον μιας υπερχείλισης εγγραφής buffer σε μια ενότητα όπως αυτή, είναι πράγματι αρκετά ανησυχητική.

Αυτό λοιπόν πρέπει να επιδιορθώσετε.

Και δυστυχώς, το εσφαλμένο έγγραφο δεν λέει, «Εδώ είναι τα σφάλματα. ορίστε πώς τα επιδιορθώνετε."

Υπάρχει απλώς μια περιγραφή των σφαλμάτων και μια περιγραφή του τρόπου με τον οποίο πρέπει να τροποποιήσετε τον κώδικά σας.

Οπότε προφανώς ο καθένας θα το κάνει με τον δικό του τρόπο και στη συνέχεια αυτές οι αλλαγές θα φιλτράρουν πίσω στην κεντρική υλοποίηση αναφοράς.

Τα καλά νέα είναι ότι υπάρχει μια εφαρμογή TPM που βασίζεται σε λογισμικό [libtpms] για άτομα που τρέχουν εικονικές μηχανές… έχουν ήδη ρίξει μια ματιά και έχουν βρει κάποιες επιδιορθώσεις, οπότε αυτό είναι ένα καλό μέρος για να ξεκινήσετε.

---

ΖΥΜΗ.   Ωραίος.

Στο μεταξύ, επικοινωνήστε με τους προμηθευτές υλικού σας και δείτε εάν έχουν ενημερώσεις για εσάς.

---

ΠΑΠΙΑ.   Ναί.

---

ΖΥΜΗ.   Θα προχωρήσουμε… στις πρώτες μέρες του ransomware, που ήταν γεμάτες από εκβιασμούς και στη συνέχεια τα πράγματα έγιναν πιο περίπλοκα με τον «διπλό εκβιασμό».

Και ένα σωρό άνθρωποι έχουν μόλις πάει συνελήφθη σε ένα σχέδιο διπλού εκβιασμού, που είναι καλά νέα!

Συνελήφθησαν ύποπτοι ransomware DoppelPaymer στη Γερμανία και την Ουκρανία

---

ΠΑΠΙΑ.   Ναι, πρόκειται για μια συμμορία ransomware γνωστή ως DoppelPaymer. («Doppel» σημαίνει διπλασιαστεί στα γερμανικά.)

Οπότε η ιδέα είναι ότι πρόκειται για διπλή σύγκρουση.

Εκεί ανακατεύουν όλα τα αρχεία σας και λένε, «Θα σας πουλήσουμε το κλειδί αποκρυπτογράφησης. Και παρεμπιπτόντως, σε περίπτωση που πιστεύετε ότι τα αντίγραφα ασφαλείας σας θα κάνουν, ή απλώς σε περίπτωση που σκέφτεστε να μας πείτε να χαθούμε και να μην μας πληρώσετε τα χρήματα, απλά να γνωρίζετε ότι πρώτα έχουμε κλέψει όλα τα αρχεία σας. ”

"Λοιπόν, εάν δεν πληρώσετε και μπορείτε να * αποκρυπτογραφήσετε μόνοι σας και *μπορείτε* να σώσετε την επιχείρησή σας… θα διαρρεύσουμε τα δεδομένα σας."

Τα καλά νέα σε αυτή την υπόθεση είναι ότι ορισμένοι ύποπτοι ανακρίθηκαν και συνελήφθησαν και πολλές ηλεκτρονικές συσκευές κατασχέθηκαν.

Έτσι, παρόλο που αυτή είναι, αν θέλετε, ψυχρή παρηγοριά για τους ανθρώπους που υπέστησαν επιθέσεις DoppelPaymer την προηγούμενη μέρα, σημαίνει τουλάχιστον ότι οι αρχές επιβολής του νόμου δεν εγκαταλείπουν απλώς όταν οι κυβερνογκάνγκ φαίνεται να βάζουν κάτω το κεφάλι.

Προφανώς έλαβαν έως και 40 εκατομμύρια δολάρια σε πληρωμές εκβιασμού μόνο στις Ηνωμένες Πολιτείες.

Και επισκέφτηκαν το πανεπιστημιακό νοσοκομείο στο Ντίσελντορφ στη Γερμανία.

Αν υπάρχει χαμηλό σημείο στο ransomware…

---

ΖΥΜΗ.   Σοβαρά!

---

ΠΑΠΙΑ.   …όχι ότι είναι καλό που χτυπιέται κάποιος, αλλά η ιδέα ότι βγάζετε ένα νοσοκομείο, ιδιαίτερα ένα νοσοκομείο διδασκαλίας;

Υποθέτω ότι είναι το χαμηλότερο από τα χαμηλά, έτσι δεν είναι;

---

ΖΥΜΗ.   Και έχουμε μερικές συμβουλές.

Ακριβώς επειδή αυτοί οι ύποπτοι έχουν συλληφθεί: Μην ανακαλέσετε την προστασία σας.

---

ΠΑΠΙΑ.   Όχι, στην πραγματικότητα, η Europol παραδέχεται, σύμφωνα με τα λεγόμενά της, «Σύμφωνα με αναφορές, η Doppelpaymer μετονομάστηκε από τότε [ως συμμορία ransomware] που ονομάζεται «Grief».

Το πρόβλημα λοιπόν είναι ότι όταν καταρρίπτετε κάποιους ανθρώπους σε ένα cybergang, ίσως να μην βρείτε όλους τους διακομιστές…

…αν κατασχέσετε τους διακομιστές, δεν μπορείτε απαραίτητα να εργαστείτε αντίστροφα στα άτομα.

Κάνει ένα βαθούλωμα, αλλά δεν σημαίνει ότι το ransomware έχει τελειώσει.

---

ΖΥΜΗ.   Και σε αυτό το σημείο: Μην κολλάτε μόνο στο ransomware.

---

ΠΑΠΙΑ.   Πράγματι!

Νομίζω ότι συμμορίες όπως η DoppelPaymer το κάνουν ξεκάθαρο, έτσι δεν είναι;

Μέχρι να έρθουν να ανακατέψουν τα αρχεία σας, τα έχουν ήδη κλέψει.

Έτσι, από τη στιγμή που θα αποκτήσετε πραγματικά το μέρος του ransomware, έχουν ήδη κάνει N άλλα στοιχεία της εγκληματικότητας στον κυβερνοχώρο: την εισβολή. το κοίταγμα τριγύρω? Πιθανότατα ανοίγει μερικές κερκόπορτες για να μπορέσουν να επιστρέψουν αργότερα ή να πουλήσουν πρόσβαση στον επόμενο τύπο. και ούτω καθεξής.

---

ΖΥΜΗ.   Το οποίο συνδυάζεται με την επόμενη συμβουλή: Μην περιμένετε να εμφανιστούν ειδοποιήσεις για απειλές στον πίνακα ελέγχου σας.

Αυτό είναι ίσως πιο εύκολο να ειπωθεί παρά να γίνει, ανάλογα με την ωριμότητα του οργανισμού.

Αλλά υπάρχει διαθέσιμη βοήθεια!

---

ΠΑΠΙΑ.   [ΓΕΛΙΑ] Νόμιζα ότι θα το αναφέρεις Sophos Managed Detection and Response για μια στιγμή εκεί, Νταγκ.

---

ΖΥΜΗ.   Προσπαθούσα να μην το πουλήσω.

Μπορούμε όμως να βοηθήσουμε!

Υπάρχει κάποια βοήθεια εκεί έξω. Ενημέρωσέ μας.

---

ΠΑΠΙΑ.   Χαλαρά μιλώντας, όσο νωρίτερα φτάσετε εκεί. όσο νωρίτερα παρατηρήσετε? τόσο πιο προληπτική είναι η προληπτική σας ασφάλεια…

…τόσο λιγότερο πιθανό είναι οι απατεώνες να μπορέσουν να φτάσουν μέχρι και μια επίθεση ransomware.

Και αυτό μπορεί να είναι μόνο καλό.

---

ΖΥΜΗ.   Και τελευταίο αλλά όχι λιγότερο σημαντικό: Χωρίς κρίση, αλλά μην πληρώσετε αν μπορείτε να το αποφύγετε.

---

ΠΑΠΙΑ.   Ναι, νομίζω ότι είμαστε υποχρεωμένοι να το πούμε αυτό.

Γιατί η καταβολή κεφαλαίων προωθεί το επόμενο κύμα εγκλήματος στον κυβερνοχώρο, σίγουρα.

Και δεύτερον, μπορεί να μην πάρεις αυτό που πληρώνεις.

---

ΖΥΜΗ.   Λοιπόν, ας περάσουμε από τη μια εγκληματική επιχείρηση στην άλλη.

Και αυτό συμβαίνει όταν μια εγκληματική επιχείρηση χρησιμοποιεί κάθε Εργαλείο, τεχνική και διαδικασία στο βιβλίο!

Οι ομοσπονδιακοί προειδοποιούν για τη σωστή λυσσαλέα λύσσας Royal Royal που εκτελεί τη γκάμα των TTP

---

ΠΑΠΙΑ.   Αυτό είναι από την CISA – ΗΠΑ Υπηρεσία Ασφάλειας στον Κυβερνοχώρο και Ασφάλεια Υποδομών.

Και σε αυτήν την περίπτωση, στο δελτίο AA23 (αυτό είναι φέτος) παύλα 061A-for-alpha, μιλούν για μια συμμορία που ονομάζεται Royal ransomware.

Royal με κεφαλαίο R, Doug.

Το κακό με αυτή τη συμμορία είναι ότι τα εργαλεία, οι τεχνικές και οι διαδικασίες τους φαίνονται «μέχρι και ό,τι είναι απαραίτητο για την τρέχουσα επίθεση».

Βάφουν με πολύ φαρδύ πινέλο, αλλά επιτίθενται και με πολύ βαθύ φτυάρι, αν καταλαβαίνετε τι εννοώ.

Αυτά είναι τα άσχημα νέα.

Τα καλά νέα είναι ότι υπάρχουν πολλά να μάθετε, και αν τα πάρετε όλα στα σοβαρά, θα έχετε πολύ ευρεία πρόληψη και προστασία από επιθέσεις ransomware, αλλά και από αυτό που αναφέρατε στο τμήμα Doppelpaymer νωρίτερα: "Μην" μην προσηλώνεστε απλώς στο ransomware."

Ανησυχείτε για όλα τα άλλα πράγματα που οδηγούν σε αυτό: keylogging? κλοπή δεδομένων? εμφύτευση κερκόπορτας? κλοπή κωδικού πρόσβασης.

---

ΖΥΜΗ.   Εντάξει, Paul, ας συνοψίσουμε μερικές από τις συμβουλές της CISA, ξεκινώντας με: Αυτοί οι απατεώνες εισβάλλουν χρησιμοποιώντας δοκιμασμένες και αξιόπιστες μεθόδους.

---

ΠΑΠΙΑ.   Το κάνουν!

Τα στατιστικά της CISA δείχνουν ότι η συγκεκριμένη συμμορία χρησιμοποιεί παλιό καλό phishing, το οποίο πέτυχε τα 2/3 των επιθέσεων.

Όταν αυτό δεν λειτουργεί καλά, ψάχνουν για μη επιδιορθωμένα πράγματα.

Επίσης, στο 1/6 των περιπτώσεων, εξακολουθούν να μπορούν να εισέλθουν χρησιμοποιώντας RDP… παλιές καλές επιθέσεις RDP.

Επειδή χρειάζονται μόνο έναν διακομιστή που έχετε ξεχάσει.

Και επίσης, παρεμπιπτόντως, η CISA ανέφερε ότι, όταν μπουν στο εσωτερικό, ακόμα κι αν δεν άρχισαν να χρησιμοποιούν το RDP, φαίνεται ότι εξακολουθούν να διαπιστώνουν ότι πολλές εταιρείες έχουν μια μάλλον πιο φιλελεύθερη πολιτική σχετικά με την πρόσβαση στο RDP * εντός* του δικτύου τους.

[ΓΕΛΙΑ] Ποιος χρειάζεται πολύπλοκα σενάρια PowerShell όπου μπορείτε απλώς να συνδεθείτε στον υπολογιστή κάποιου άλλου και να το ελέγξετε στη δική σας οθόνη;

---

ΖΥΜΗ.   Μόλις μπουν, οι εγκληματίες προσπαθούν να αποφύγουν προγράμματα που μπορεί προφανώς να εμφανιστούν ως κακόβουλο λογισμικό.

Αυτό είναι επίσης γνωστό ως «ζω από τη γη».

---

ΠΑΠΙΑ.   Δεν λένε απλώς, «Ω, καλά, ας χρησιμοποιήσουμε το πρόγραμμα PsExec του Microsoft Sysinternal και ας χρησιμοποιήσουμε αυτό το συγκεκριμένο δημοφιλές σενάριο PowerShell.

Έχουν οποιονδήποτε αριθμό εργαλείων, για να κάνουν πολλά διαφορετικά πράγματα που είναι αρκετά χρήσιμα, από εργαλεία που βρίσκουν αριθμούς IP, έως εργαλεία που εμποδίζουν τους υπολογιστές να μην αδρούν.

Όλα τα εργαλεία που ένας καλά ενημερωμένος sysadmin μπορεί να διαθέτει και να χρησιμοποιεί τακτικά.

Και, χαλαρά μιλώντας, υπάρχει μόνο ένα κομμάτι καθαρού κακόβουλου λογισμικού που εισάγουν αυτοί οι απατεώνες, και αυτό είναι το υλικό που κάνει την τελική σύγχυση.

Παρεμπιπτόντως, μην ξεχνάτε ότι αν είστε εγκληματίας ransomware, δεν χρειάζεται καν να φέρετε τη δική σας εργαλειοθήκη κρυπτογράφησης.

Θα μπορούσατε, αν θέλετε, να χρησιμοποιήσετε ένα πρόγραμμα όπως, ας πούμε, το WinZip ή το 7-Zip, το οποίο περιλαμβάνει μια δυνατότητα «Δημιουργία αρχείου, μετακίνηση των αρχείων μέσα», (που σημαίνει ότι θα τα διαγράψετε μόλις τα τοποθετήσετε στο αρχείο). "και κρυπτογραφήστε τα με κωδικό πρόσβασης."

Εφόσον οι απατεώνες είναι οι μόνοι που γνωρίζουν τον κωδικό πρόσβασης, μπορούν ακόμα να προσφέρουν να τον πουλήσουν πίσω σε εσάς…

---

ΖΥΜΗ.   Και μόνο για να προσθέσουμε λίγο αλάτι στην πληγή: Πριν από την κρυπτογράφηση αρχείων, οι εισβολείς προσπαθούν να περιπλέξουν την πορεία σας προς την ανάκτηση.

---

ΠΑΠΙΑ.   Ποιος ξέρει αν έχουν δημιουργήσει νέους μυστικούς λογαριασμούς διαχειριστή;

Εσκεμμένα εγκατεστημένοι διακομιστές buggy;

Αφαιρέθηκαν σκόπιμα τα patches ώστε να γνωρίζουν έναν τρόπο να επιστρέψουν την επόμενη φορά;

Αριστερά keylogger που βρίσκονται πίσω, όπου θα ενεργοποιηθούν κάποια μελλοντική στιγμή και θα κάνουν το πρόβλημά σας να ξεκινήσει από την αρχή;

Και το κάνουν αυτό γιατί είναι πολύ προς όφελός τους ότι όταν ανακτάτε από μια επίθεση ransomware, δεν ανακτάτε πλήρως.

---

ΖΥΜΗ.   Εντάξει, έχουμε μερικούς χρήσιμους συνδέσμους στο κάτω μέρος του άρθρου.

Ένας σύνδεσμος που θα σας οδηγήσει να μάθετε περισσότερα Sophos Managed Detection and Response [MDR], και ένα άλλο που σας οδηγεί στο Οδηγός ενεργού αντιπάλου, το οποίο είναι ένα κομμάτι που συνέταξε ο δικός μας John Shier.

Μερικές προτάσεις και πληροφορίες που μπορείτε να χρησιμοποιήσετε για να ενισχύσετε καλύτερα την προστασία σας.

Να γνωρίζεις τον εχθρό σου! Μάθετε πώς μπαίνουν οι αντίπαλοι του εγκλήματος στον κυβερνοχώρο…

---

ΠΑΠΙΑ.   Αυτό είναι σαν μια μετα-έκδοση της έκθεσης «Royal ransomware» της CISA.

Είναι περιπτώσεις όπου το θύμα δεν συνειδητοποίησε ότι οι επιτιθέμενοι βρίσκονταν στο δίκτυό τους μέχρι που ήταν πολύ αργά, στη συνέχεια τηλεφώνησε στο Sophos Rapid Response και είπε: «Ω, Γκόλλυ, πιστεύουμε ότι χτυπηθήκαμε από ransomware… αλλά τι άλλο έγινε; ”

Και αυτό είναι που βρήκαμε στην πραγματικότητα, στην πραγματική ζωή, σε ένα ευρύ φάσμα επιθέσεων από μια σειρά συχνά άσχετων απατεώνων.

Έτσι, σας δίνει μια πολύ, πολύ ευρεία ιδέα για το εύρος των TTP (εργαλείων, τεχνικών και διαδικασιών) που πρέπει να γνωρίζετε και από τα οποία μπορείτε να αμυνθείτε.

Γιατί τα καλά νέα είναι ότι αναγκάζοντας τους απατεώνες να χρησιμοποιήσουν όλες αυτές τις ξεχωριστές τεχνικές, έτσι ώστε κανένας από αυτούς να μην πυροδοτήσει έναν τεράστιο συναγερμό μόνος του…

… δίνετε στον εαυτό σας μια ευκαιρία να τα εντοπίσετε νωρίς, αν μόνο εσείς [A] ξέρετε πού να ψάξετε και ο [B] μπορεί να βρει τον χρόνο να το κάνει.

---

ΖΥΜΗ.   Πολύ καλό.

Και έχουμε ένα σχόλιο αναγνώστη για αυτό το άρθρο.

Ο αναγνώστης του Naked Security Andy ρωτά:

Πώς συσσωρεύονται τα πακέτα Sophos Endpoint Protection έναντι αυτού του τύπου επίθεσης;

Έχω δει από πρώτο χέρι πόσο καλή είναι η προστασία αρχείων ransomware, αλλά αν είναι απενεργοποιημένη πριν ξεκινήσει η κρυπτογράφηση, βασιζόμαστε στην Προστασία από παραβίαση, υποθέτω, ως επί το πλείστον;

---

ΠΑΠΙΑ.   Λοιπόν, ελπίζω όχι!

Ελπίζω ότι ένας πελάτης της Sophos Protection δεν θα έλεγε απλώς, «Λοιπόν, ας τρέξουμε μόνο το μικροσκοπικό μέρος του προϊόντος που υπάρχει για να σας προστατεύσει ως το είδος του Last Chance saloon… αυτό που ονομάζουμε CryptoGuard.

Αυτή είναι η ενότητα που λέει, "Γεια, κάποιος ή κάτι προσπαθεί να ανακατέψει έναν μεγάλο αριθμό αρχείων με τρόπο που μπορεί να είναι ένα γνήσιο πρόγραμμα, αλλά απλά δεν φαίνεται σωστό."

Έτσι, ακόμα κι αν είναι νόμιμο, πιθανότατα θα μπερδέψει τα πράγματα, αλλά είναι σχεδόν βέβαιο ότι κάποιος προσπαθεί να κάνει το κακό σας.

---

ΖΥΜΗ.   Ναι, το CryptoGuard είναι σαν ένα κράνος που φοράτε καθώς πετάτε πάνω από το τιμόνι του ποδηλάτου σας.

Τα πράγματα έχουν γίνει αρκετά σοβαρά αν το CryptoGuard ξεκινήσει τη δράση!

---

ΠΑΠΙΑ.   Τα περισσότερα προϊόντα, συμπεριλαμβανομένου του Sophos αυτές τις μέρες, έχουν ένα στοιχείο προστασίας από παραβίαση που προσπαθεί να πάει ένα βήμα παραπέρα, έτσι ώστε ακόμη και ένας διαχειριστής πρέπει να περάσει μέσα από κρίκους για να απενεργοποιήσει ορισμένα μέρη του προϊόντος.

Αυτό καθιστά πιο δύσκολο να το κάνεις καθόλου, και πιο δύσκολο να αυτοματοποιηθεί, να το απενεργοποιήσεις για όλους.

Πρέπει όμως να το σκεφτείς…

Εάν εισέλθουν οι κυβερνοαπατεώνες στο δίκτυό σας και έχουν πραγματικά "ισοδυναμία sysadmin" στο δίκτυό σας. αν έχουν καταφέρει να αποκτήσουν αποτελεσματικά τις ίδιες εξουσίες που έχουν οι κανονικοί σας sysadmin (και αυτός είναι ο πραγματικός τους στόχος, αυτό θέλουν πραγματικά)…

Δεδομένου ότι οι sysadmin που εκτελούν ένα προϊόν όπως το Sophos μπορούν να διαμορφώσουν, να αποδιαμορφώσουν και να ορίσουν τις ρυθμίσεις περιβάλλοντος…

…τότε, αν οι απατεώνες *είναι* sysadmin, είναι σαν να έχουν ήδη κερδίσει.

Και γι' αυτό πρέπει να τα βρείτε εκ των προτέρων!

Έτσι, το κάνουμε όσο το δυνατόν πιο δύσκολο και παρέχουμε όσα περισσότερα επίπεδα προστασίας μπορούμε, ελπίζουμε να προσπαθήσουμε να σταματήσουμε αυτό το πράγμα πριν καν μπει.

Και ενώ το συζητάμε, Doug (δεν θέλω αυτό να ακούγεται σαν schpiel πωλήσεων, αλλά είναι απλώς ένα χαρακτηριστικό του λογισμικού μας που μου αρέσει περισσότερο)…

Έχουμε αυτό που αποκαλώ συστατικό «ενεργό αντίπαλο»!

Με άλλα λόγια, αν εντοπίσουμε συμπεριφορά στο δίκτυό σας που υποδηλώνει έντονα πράγματα, για παράδειγμα, που οι sysadmins σας δεν θα έκαναν ή δεν θα έκαναν με αυτόν τον τρόπο…

…"ενεργός αντίπαλος" λέει, "Ξέρεις τι; Απλώς αυτή τη στιγμή, θα αυξήσουμε την προστασία σε υψηλότερα επίπεδα από αυτά που θα ανεχτείτε κανονικά».

Και αυτό είναι ένα εξαιρετικό χαρακτηριστικό γιατί σημαίνει ότι, εάν οι απατεώνες μπουν στο δίκτυό σας και αρχίσουν να προσπαθούν να κάνουν ανεπιθύμητα πράγματα, δεν χρειάζεται να περιμένετε μέχρι να το παρατηρήσετε και *μετά* να αποφασίσετε, "Τι καντράν θα αλλάξουμε;"

Νταγκ, αυτή ήταν μια μακρά απάντηση σε μια φαινομενικά απλή ερώτηση.

Αλλά επιτρέψτε μου να διαβάσω τι έγραψα στην απάντησή μου στο σχόλιο στο Naked Security:

Στόχος μας είναι να είμαστε συνεχώς προσεκτικοί και να επεμβαίνουμε όσο πιο νωρίς, αυτόματα, όσο πιο ασφαλή και αποφασιστικά μπορούμε – για κάθε είδους κυβερνοεπιθέσεις, όχι μόνο για ransomware.

---

ΖΥΜΗ.   Εντάξει, καλά τα λες!

Ευχαριστώ πολύ, Andy, που το έστειλες.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας επισκεφτείτε στα social: @NakedSecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας θυμίζω. Μέχρι την επόμενη φορά, για να…

---

ΚΑΙ ΤΑ ΔΥΟ.   Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]