S3 Ep125: Când hardware-ul de securitate are găuri de securitate [Audio + Text]

Nu există player audio mai jos? Asculta direct pe Soundcloud.

DOUG.   Ransomware, mai multe ransomware și vulnerabilități TPM.

Toate acestea și multe altele pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci azi?

---

RAȚĂ.   Zăpadă și lapoviță, Doug.

Așa că a fost o călătorie rece în studio.

Folosesc ghilimele... nu pentru „călătorie”, pentru „studio”.

Nu este chiar un studio, dar este studioul *meu*!

Un mic spațiu secret la sediul Sophos pentru înregistrarea podcastului.

Și este minunat și cald aici, Doug!

---

DOUG.   Bine, dacă ascultă cineva... treci pe aici pentru un tur; Paul va fi bucuros să vă arate locul.

Și sunt atât de încântat de Săptămâna aceasta în istoria tehnologiei, Paul.

Săptămâna aceasta, pe 06 martie 1992, virusul inactiv al sectorului de boot Michelangelo a luat viață, suprascriind sectoare ale hard disk-urilor victimelor sale.

Cu siguranță acest lucru a însemnat sfârșitul lumii pentru computerele de pretutindeni, deoarece mass-media s-a împiedicat de ea însăși pentru a avertiza oamenii cu privire la moartea iminentă?

Cu toate acestea, conform raportului conferinței Buletinul Virus din 1994 și citez:

Paul Ducklin, un vorbitor energic și distractiv, crede cu fermitate că, în multe privințe, efortul de educare făcut atât de corporații, cât și de mass-media și-a ratat ținta..

Paul, ai fost acolo, omule!

---

RAȚĂ.   Am fost, Doug.

În mod ironic, 6 martie a fost singura zi în care Michelangelo nu a fost un virus.

În toate celelalte zile, pur și simplu s-a răspândit ca un incendiu.

Dar pe 06 martie s-a spus: „Aha! Este ziua sarcinii utile!”

Și pe un hard disk, trecea prin primele 256 de piese, primele 4 capete, 17 sectoare pe pistă... care era aproape „colțul din stânga jos”, dacă doriți, al fiecărei pagini a majorității hard disk-urilor utilizate. în acel moment.

Deci, ar fi nevoie de aproximativ o bucată de 8.5 MB din hard disk.

Nu numai că a distrus o mulțime de date, ci a distrus lucruri precum tabelele de alocare a fișierelor.

Deci ai putea recupera unele date, dar a fost un efort uriaș și incert pentru fiecare dispozitiv pe care doreai să îl încerci și să îl recuperezi.

Este la fel de multă muncă pentru al doilea computer precum a fost pentru primul, pentru al treilea computer ca și pentru al doilea... foarte, foarte greu de automatizat.

Din fericire, după cum spuneți, a fost foarte mult suprapublicat în mass-media.

De fapt, am înțeles că virusul a fost analizat pentru prima dată de regretatul Roger Riordan, care a fost un celebru cercetător antivirus australian în anii 1990 și, de fapt, l-a dat peste el în februarie 1991.

Și el vorbea cu un prieten de-al său, cred, despre asta, iar prietenul lui a spus: „O, 6 martie, asta e ziua mea de naștere. Știai că este și ziua lui Michelangelo?”

Pentru că bănuiesc că oamenii care sunt născuți pe 6 martie s-ar putea întâmpla să știe că...

Bineînțeles, era un nume atât de trendy și cool... și un an mai târziu, când a avut șansa să se răspândească și, după cum spuneți, deseori stă latent, atunci a revenit.

Nu a lovit milioane de computere, așa cum mass-media părea să se teamă și așa cum îi plăcea să spună regretatul John McAfee, dar asta este un confort rece pentru oricine a fost lovit, pentru că ai pierdut aproape totul.

Nu chiar totul, dar avea să te coste o mică avere să obții o parte din ea înapoi... probabil incomplet, probabil nesigur.

Iar lucrul rău a fost că s-a răspândit pe dischete; și pentru că s-a răspândit în sectorul de boot; și pentru că în acele zile aproape fiecare computer ar porni de pe unitatea de dischetă dacă pur și simplu s-ar întâmpla să fie un disc în el; și pentru că, chiar și altfel, dischetele goale aveau un sector de pornire și orice cod ar rula acolo, chiar dacă tot ceea ce ducea a fost un fel de mesaj „Disc sau eroare de disc non-sistem, înlocuiți și încercați din nou”...

… până atunci era prea târziu.

Deci, dacă tocmai ați lăsat un disc în unitate din greșeală, atunci când ați pornit în dimineața următoare, când ați văzut acel mesaj „Eroare disc sau disc non-sistem” și v-ați gândit: „Oh, voi deschide discheta scoateți și reporniți boot-ul de pe hard disk”...

… până atunci, virusul era deja pe hard disk și se va răspândi pe fiecare dischetă pe care o aveai.

Așa că, chiar dacă ai avea virusul și apoi l-ai îndepărtat, dacă nu ai parcurge întregul depozit de dischete ale companiei, urma să existe o Mary Typhoid care l-ar putea reintroduce în orice moment.

---

DOUG.   Există o poveste fascinantă.

Mă bucur că ai fost acolo pentru a ajuta la curățarea lui un pic!

Și hai să curățăm altceva.

Acest modul de platformă de încredere... uneori controversat.

Ce se întâmplă atunci când codul necesar pentru a vă proteja mașina este însuși vulnerabil, Paul?

Securitate serioasă: vulni TPM 2.0 – sunt datele dumneavoastră super-securizate în pericol?

---

RAȚĂ.   Dacă vrei să înțelegi toată chestia asta cu TPM, care sună ca o idee grozavă, nu-i așa... există această placă mică pe care o conectezi într-un slot mic de pe placa ta de bază (sau poate este pre-încorporată) și are unul. cip mic de coprocesor special care face doar aceste lucruri criptografice de bază.

Încărcare sigură; semnături digitale; stocare puternică pentru cheile criptografice... deci nu este în mod inerent o idee rea.

Problema este că v-ați imagina asta, pentru că este un dispozitiv atât de mic și are doar acest cod de bază, cu siguranță este destul de ușor să-l dezlipiți și să îl faceți simplu?

Ei bine, doar specificațiile pentru Trusted Platform Module, sau TPM... au în mod colectiv: 306 de pagini, 177 de pagini, 432 de pagini, 498 de pagini, 146 de pagini și „Băiatul rău cel mare la sfârșit, „Partea a patra: Sprijinirea rutinelor – Code”, unde sunt bug-urile, 1009 pagini PDF, Doug.

---

DOUG.   [RÂDE] Lectură ușoară!

---

RAȚĂ.   Doar câteva lecturi ușoare.

Deci, este mult de lucru. și mult loc pentru bug-uri.

Și cele mai recente... ei bine, sunt destul de multe care au fost notate în ultima errată, dar două dintre ele au primit efectiv numere CVE.

Există CVE-2023-1017 și CVE-2023-1018.

Și, din păcate, sunt bug-uri, vulnerabilități, care pot fi gâdilate (sau atinse) de comenzi pe care le-ar putea folosi un program normal de spațiu de utilizator, cum ar fi ceva pe care un administrator de sistem sau tu însuți l-ai putea executa, doar pentru a cere TPM-ului să facă ceva sigur pentru tine.

Așa că poți face lucruri precum, să spui: „Hei, du-te și adu-mi niște numere aleatorii. Du-te și construiește-mi o cheie criptografică. Pleacă și verifică această semnătură digitală.”

Și este bine dacă acest lucru este făcut într-un mic procesor separat, cu care nu poate fi încurcat de procesor sau de sistemul de operare - aceasta este o idee grozavă.

Dar problema este că în codul modului utilizator care spune: „Iată comanda pe care ți-o prezint”...

… din păcate, dezvăluirea parametrilor care sunt transferați pentru a îndeplini funcția pe care o doriți - dacă capcana modul în care acești parametri sunt livrați către TPM, îl puteți păcăli fie pentru a citi memoria suplimentară (o depășire de citire a tamponului), fie mai rău, suprascriind lucruri care aparțin următorului tip, parcă.

Este greu de văzut cum ar putea fi exploatate aceste erori pentru lucruri precum executarea codului pe TPM (dar, așa cum am spus de multe ori, „Nu spune niciodată niciodată”).

Dar este clar că atunci când ai de-a face cu ceva care, așa cum ai spus la început, „Ai nevoie de asta pentru a-ți face computerul mai sigur. Totul ține de corectitudinea criptografică”…

...ideea ca ceva să scurgă chiar și doi octeți din prețioasele date secrete ale altcuiva pe care nimeni din lume nu ar trebui să le cunoască?

Ideea unei scurgeri de date, ca să nu mai vorbim de o depășire de scriere a tamponului într-un astfel de modul, este într-adevăr destul de îngrijorătoare.

Deci asta trebuie să patchezi.

Și, din păcate, documentul errata nu spune: „Iată erorile; iată cum le peticeți.”

Există doar o descriere a erorilor și o descriere a modului în care ar trebui să vă modificați codul.

Deci, probabil că fiecare o va face în felul său, iar apoi acele modificări se vor filtra înapoi la implementarea centrală de referință.

Vestea bună este că există o implementare TPM bazată pe software [libtpms] pentru oamenii care rulează mașini virtuale... s-au uitat deja și au venit cu câteva remedieri, așa că este o bun loc pentru a începe.

---

DOUG.   Minunat.

Între timp, consultați furnizorii dvs. de hardware și vedeți dacă au actualizări pentru dvs.

---

RAȚĂ.   Da.

---

DOUG.   Vom trece… la primele zile ale ransomware-ului, care erau pline de extorcare, iar apoi lucrurile s-au complicat cu „extorcare dublă”.

Și o grămadă de oameni tocmai au fost arestat într-o schemă de dublă extorcare, ceea ce este o veste bună!

Ransomware-ul DoppelPaymer suspectează arestat în Germania și Ucraina

---

RAȚĂ.   Da, aceasta este o bandă de ransomware cunoscută sub numele de DoppelPaymer. („Doppel” înseamnă dubla in germana.)

Deci, ideea este că este o dublură.

Este locul în care vă amestecă toate fișierele și vă spun: „Vă vindem cheia de decriptare. Și, apropo, în cazul în care credeți că backup-urile dvs. vor funcționa sau în cazul în care vă gândiți să ne spuneți să ne pierdem și să nu ne plătiți banii, trebuie doar să fiți conștienți că v-am furat și toate fișierele mai întâi. ”

„Așadar, dacă nu plătiți și *puteți* decripta singur și *vă puteți* salva afacerea... vă vom scurge datele.”

Vestea bună în acest caz este că unii suspecți au fost audiați și arestați, iar multe dispozitive electronice au fost confiscate.

Așa că, chiar dacă acesta este, dacă doriți, un confort rece pentru oamenii care au suferit atacuri DoppelPaymer pe vremuri, înseamnă că cel puțin forțele de ordine nu renunță doar când cibergangurile par să-și lase capul jos.

Se pare că au primit până la 40 de milioane de dolari în plăți de șantaj numai în Statele Unite.

Și au mers notoriu după Spitalul Universitar din Düsseldorf, Germania.

Dacă există un punct scăzut în ransomware...

---

DOUG.   Serios!

---

RAȚĂ.   … nu că ar fi bine să fie lovit cineva, dar ideea că de fapt scoți un spital, în special un spital didactic?

Bănuiesc că este cel mai mic dintre cei mai mici, nu-i așa?

---

DOUG.   Și avem câteva sfaturi.

Doar pentru că acești suspecți au fost arestați: Nu vă reduceți protecția.

---

RAȚĂ.   Nu, de fapt, Europol admite, în cuvintele lor, „Conform rapoartelor, Doppelpaymer și-a schimbat numele [ca o bandă de ransomware] numită „Doliu”.

Așa că problema este că, atunci când arunci niște oameni într-un cybergang, poate că nu găsești toate serverele...

…dacă confiscați serverele, nu puteți lucra neapărat înapoi la indivizi.

Face stricăciuni, dar nu înseamnă că ransomware-ul s-a terminat.

---

DOUG.   Și în acest punct: Nu vă fixați doar pe ransomware.

---

RAȚĂ.   Intr-adevar!

Cred că bande precum DoppelPaymer fac acest lucru foarte clar, nu-i așa?

Până când au venit să vă amestece fișierele, le-au furat deja.

Deci, în momentul în care obțineți efectiv partea ransomware, au făcut deja N alte elemente ale criminalității cibernetice: spargerea; privirea în jur; probabil că deschid câteva uși din spate, astfel încât să poată intra mai târziu, sau să vândă accesul următorului tip; și așa mai departe.

---

DOUG.   Care se încadrează în următorul sfat: Nu așteptați ca alertele de amenințare să apară în tabloul de bord.

Acest lucru este poate mai ușor de spus decât de făcut, în funcție de maturitatea organizației.

Dar există ajutor disponibil!

---

RAȚĂ.   [RÂDE] Credeam că o să menționezi Sophos Managed Detection and Response pentru o clipă acolo, Doug.

---

DOUG.   Am încercat să nu-l vând.

Dar noi putem ajuta!

Există ceva ajutor acolo; anunță-ne.

---

RAȚĂ.   Vorbind, cu cât ajungi mai devreme acolo; cu cât observați mai devreme; cu atât securitatea ta preventivă este mai proactivă...

… cu atât este mai puțin probabil ca orice escroc să poată ajunge până la un atac ransomware.

Și asta nu poate fi decât un lucru bun.

---

DOUG.   Și nu în ultimul rând: Fără judecată, dar nu plătiți dacă puteți evita.

---

RAȚĂ.   Da, cred că suntem obligați să spunem asta.

Pentru că plătirea fondurilor următorul val de criminalitate cibernetică, cu siguranță, la mare măsură.

Și în al doilea rând, este posibil să nu primești ceea ce plătești.

---

DOUG.   Ei bine, să trecem de la o întreprindere criminală la alta.

Și asta se întâmplă atunci când o întreprindere criminală folosește fiecare Instrument, tehnică și procedură in carte!

Feds avertizează cu privire la atacul corect al ransomware-ului Royal care rulează gama de TTP-uri

---

RAȚĂ.   Acesta este de la CISA – SUA Agenția de securitate cibernetică și infrastructură.

Și în acest caz, în buletinul AA23 (asta e anul acesta) liniuță 061A-for-alpha, ei vorbesc despre o bandă numită Royal ransomware.

Regal cu R mare, Doug.

Lucrul rău în legătură cu această bandă este că instrumentele, tehnicile și procedurile lor par să fie „până la și inclusiv tot ceea ce este necesar pentru atacul actual”.

Se pictează cu o pensulă foarte lată, dar atacă și cu o lopată foarte adâncă, dacă știi la ce mă refer.

Asta este vestea proastă.

Vestea bună este că sunt foarte multe de învățat și, dacă iei totul în serios, vei avea o prevenire și o protecție foarte largă nu doar împotriva atacurilor ransomware, ci și a ceea ce ai menționat mai devreme în segmentul Doppelpaymer: „Nu” nu te fixează doar pe ransomware.”

Fă-ți griji pentru toate celelalte lucruri care duc la asta: înregistrarea tastelor; furtul de date; implantare backdoor; furtul parolei.

---

DOUG.   Bine, Paul, haideți să rezumam câteva dintre concluziile din sfatul CISA, începând cu: Acești escroc intră folosind metode încercate și de încredere.

---

RAȚĂ.   Ei fac!

Statisticile CISA sugerează că această bandă folosește phishing vechi, care a reușit în 2/3 din atacuri.

Când asta nu funcționează bine, se duc să caute lucruri nepattchizate.

De asemenea, în 1/6 din cazuri, ei sunt încă capabili să folosească RDP... atacuri vechi RDP bune.

Pentru că au nevoie doar de un server de care ai uitat.

Și, de asemenea, apropo, CISA a raportat că, odată ce sunt înăuntru, chiar dacă nu au ajuns să folosească RDP, se pare că încă descoperă că multe companii au o politică mai liberală cu privire la accesul RDP * în interiorul* reţelei lor.

[RÂDE] Cine are nevoie de scripturi PowerShell complicate în care să te poți conecta la computerul altcuiva și să-l verifici pe propriul ecran?

---

DOUG.   Odată intrat, infractorii încearcă să evite programele care ar putea apărea în mod evident ca malware.

Acest lucru este cunoscut și sub denumirea de „a trăi din pământ”.

---

RAȚĂ.   Ei nu spun doar: „Ei bine, să folosim programul PsExec de la Microsoft Sysinternal și să folosim acest script PowerShell foarte popular.

Ei au o mulțime de instrumente, pentru a face orice număr de lucruri diferite care sunt destul de utile, de la instrumente care află numerele IP, la instrumente care opresc computerele să nu doarmă.

Toate instrumentele pe care un administrator de sistem bine informat le poate avea și le poate folosi în mod regulat.

Și, vorbind în mod vag, există doar un singur malware pur pe care acești escroci îl aduc și acestea sunt lucrurile care fac amestecul final.

Apropo, nu uitați că, dacă sunteți un criminal ransomware, nici măcar nu trebuie să vă aduceți propriul set de instrumente de criptare.

Puteți, dacă doriți, să utilizați un program precum, de exemplu, WinZip sau 7-Zip, care include o funcție pentru „Creați o arhivă, mutați fișierele înăuntru” (ceea ce înseamnă ștergeți-le odată ce le-ați pus în arhivă), „și criptați-le cu o parolă.”

Atâta timp cât escrocii sunt singurii oameni care cunosc parola, se pot oferi totuși să ți-o vândă înapoi...

---

DOUG.   Și doar pentru a adăuga puțină sare pe rană: Înainte de a amesteca fișierele, atacatorii încearcă să vă complice calea către recuperare.

---

RAȚĂ.   Cine știe dacă au creat noi conturi secrete de administrator?

Servere cu erori instalate în mod deliberat?

Peticele eliminate în mod deliberat, astfel încât să știe o modalitate de a reveni data viitoare?

A lăsat keylogger în urmă, unde se vor activa într-un moment viitor și vor face ca necazul să o ia de la capăt?

Și fac asta pentru că este foarte în avantajul lor că, atunci când vă recuperați dintr-un atac ransomware, nu vă recuperați complet.

---

DOUG.   Bine, avem câteva link-uri utile în partea de jos a articolului.

Un link care vă va duce să aflați mai multe despre Sophos Managed Detection and Response [MDR], și încă unul care te duce la Adversar activ Playbook, care este o piesă creată de propriul nostru John Shier.

Câteva concluzii și perspective pe care le puteți folosi pentru a vă consolida mai bine protecția.

Cunoaste-ti dusmanul! Aflați cum intră adversarii criminalității cibernetice...

---

RAȚĂ.   Este ca o meta-versiune a acelui raport CISA „Royal ransomware”.

Sunt cazuri în care victima nu și-a dat seama că atacatorii se aflau în rețeaua lor până când a fost prea târziu, apoi a sunat la Sophos Rapid Response și a spus: „Oh, naiba, credem că am fost loviti de ransomware... dar ce s-a mai întâmplat? ”

Și asta este ceea ce am găsit de fapt, în viața reală, într-o gamă largă de atacuri ale unei serii de escroci adesea fără legătură.

Așadar, vă oferă o idee foarte, foarte largă despre gama de TTP (instrumente, tehnici și proceduri) de care trebuie să fiți conștienți și de care vă puteți apăra.

Pentru că vestea bună este că, forțând escrocii să folosească toate aceste tehnici separate, astfel încât niciunul dintre ei să nu declanșeze o alarmă masivă de unul singur...

… îți dai o șansă de luptă să le vezi devreme, dacă [A] știi unde să cauți și [B] poți găsi timp să o faci.

---

DOUG.   Foarte bine.

Și avem un comentariu de cititor la acest articol.

Cititorul Naked Security Andy întreabă:

Cum se comportă pachetele Sophos Endpoint Protection împotriva acestui tip de atac?

Am văzut direct cât de bună este protecția fișierelor ransomware, dar dacă este dezactivată înainte de a începe criptarea, ne bazăm pe Protecția împotriva falsificării, cred, în cea mai mare parte?

---

RAȚĂ.   Ei bine, sper că nu!

Sper că un client Sophos Protection nu va spune doar: „Ei bine, haideți să rulăm doar o mică parte a produsului care este acolo pentru a vă proteja ca genul de salon Last Chance... ceea ce numim CryptoGuard.

Acesta este modulul care spune: „Hei, cineva sau ceva încearcă să amestece un număr mare de fișiere într-un mod care ar putea fi un program autentic, dar pur și simplu nu arată corect.”

Deci, chiar dacă este legitim, probabil că va încurca lucrurile, dar aproape sigur este cineva care încearcă să-ți facă rău.

---

DOUG.   Da, CryptoGuard este ca o cască pe care o porți când zbori peste ghidonul bicicletei.

Lucrurile au devenit destul de serioase dacă CryptoGuard intră în acțiune!

---

RAȚĂ.   Majoritatea produselor, inclusiv Sophos în zilele noastre, au un element de protecție împotriva manipulării, care încearcă să facă un pas mai departe, astfel încât chiar și un administrator trebuie să treacă peste cercuri pentru a opri anumite părți ale produsului.

Acest lucru face mai greu să o faci și mai greu de automatizat, dezactivarea pentru toată lumea.

Dar trebuie sa te gandesti la asta...

Dacă infractorii cibernetici intră în rețeaua dvs. și au cu adevărat „echivalența administratorului de sistem” în rețeaua dvs.; dacă au reușit să obțină efectiv aceleași puteri pe care le au administratorii tăi obișnuiți de sistem (și acesta este adevăratul lor scop; asta își doresc cu adevărat)...

Având în vedere că administratorii de sistem care rulează un produs precum cel Sophos pot configura, deconfigura și seta setările ambientale...

…atunci, dacă escrocii *sunt* administratori de sistem, este ca și cum ar fi câștigat deja.

Și de aceea trebuie să le găsești din timp!

Așa că facem totul cât mai greu posibil și oferim cât mai multe straturi de protecție, sperăm să încercăm să oprim acest lucru înainte de a intra.

Și chiar în timp ce ne ocupăm de asta, Doug (nu vreau să sune ca un schpiel de vânzări, dar este doar o caracteristică a software-ului nostru care îmi place mai degrabă)...

Avem ceea ce eu numesc o componentă „adversar activ”!

Cu alte cuvinte, dacă detectăm comportament în rețeaua dvs. care sugerează cu tărie lucruri, de exemplu, pe care administratorii dvs. de sistem nu le-ar face sau nu le-ar face chiar așa...

… „adversar activ” spune: „Știi ce? Momentan, vom crește protecția la niveluri mai ridicate decât ați tolera în mod normal.”

Și aceasta este o caracteristică grozavă, deoarece înseamnă că, dacă escrocii intră în rețeaua dvs. și încep să încerce să facă lucruri neplăcute, nu trebuie să așteptați până când observați și *apoi* decideți: „Ce cadrane vom schimba?”

Doug, acesta a fost un răspuns destul de lung la o întrebare aparent simplă.

Dar permiteți-mi să citesc ce am scris în răspunsul meu la comentariul despre Naked Security:

Scopul nostru este să fim vigilenți tot timpul și să intervenim cât mai devreme, cât mai automat, cât mai sigur și cât se poate de hotărât - pentru tot felul de atacuri cibernetice, nu doar pentru ransomware.

---

DOUG.   Bine, bine spus!

Mulțumesc foarte mult, Andy, pentru că ai trimis asta.

Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @NakedSecurity.

Acesta este spectacolul nostru de astăzi; multumesc mult pentru ascultare.

Pentru Paul Ducklin, eu sunt Doug Aamoth, reamintindu-ți. Până data viitoare, să...

---

AMBII.   Rămâi în siguranță!

[MODEM MUZICAL]