![S3 Ep113: Взлом ядра Windows – мошенники, которые обманули Microsoft [Аудио + Текст] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113: Pwning ядра Windows — мошенники, которые обманули Microsoft [Аудио + текст]")
ЗАГРУЗКА ЯДРА WINDOWS
Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.
С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.
Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.
ПРОЧИТАЙТЕ СТЕНОКРИФИК
ДУГ. Беспроводное шпионское ПО, скимминг кредитных карт и изобилие исправлений.
Все это и многое другое в подкасте Naked Security.
[МУЗЫКАЛЬНЫЙ МОДЕМ]
Добро пожаловать в подкаст, все.
Я Дуг Аамот; он Пол Даклин.
Павел, как дела?
УТКА. Я в порядке, Даг.
Холодно, но хорошо.
ДУГ. У нас тоже морозы, и все болеют… но для вас это декабрь.
Говоря о декабре, нам нравится начинать шоу с нашего Эта неделя в истории технологий сегмент.
У нас есть захватывающая новость на этой неделе – 16 декабря 2003 года закон о CAN-SPAM был подписан тогдашним президентом США Джорджем Бушем-младшим.
Бэкроним для контроль за нападением нежелательной порнографии и маркетинга, CAN-SPAM считался относительно беззубым по таким причинам, как отсутствие требования согласия получателей на получение маркетинговой электронной почты и запрет на подачу иска против спамеров.
Считалось, что к 2004 году менее 1% спама фактически соответствовало Закону.
УТКА. Да, это легко сказать задним числом…
…но, как шутили некоторые из нас в то время, мы посчитали, что они назвали это CAN-SPAM, потому что это *именно* то, что вы могли бы сделать. [СМЕХ]
ДУГ. «Вы МОЖЕТЕ спамить!»
УТКА. Думаю, идея заключалась в следующем: «Давайте начнем с очень мягкого подхода».
[WRY TONE] Так что, по общему признанию, это было не так уж и много.
ДУГ. [СМЕЕТСЯ] В конце концов мы доберемся до этого.
К слову о плохом и худшем…
…Microsoft Patch вторник – здесь не на что смотреть, если не считать подписанный вредоносный драйвер ядра?!
УТКА. Ну, на самом деле несколько — команда Sophos Rapid Response обнаружила эти артефакты во время столкновений, которые они проводили.
Не только Sophos — по крайней мере, еще две исследовательские группы по кибербезопасности перечислены Microsoft как недавно наткнувшиеся на эти вещи: драйверы ядра, которые фактически получили цифровую печать одобрения Microsoft.
У Microsoft теперь есть рекомендации, в которых обвиняются мошеннические партнеры.
Действительно ли они создали компанию, которая притворялась, что производит аппаратное обеспечение, особенно для того, чтобы присоединиться к программе драйверов с намерением проникнуть через хитроумные драйверы ядра?
Или они подкупили компанию, которая уже была частью программы, чтобы поиграть с ними?
Или взломали ли они компанию, которая даже не осознавала, что использовалась как средство для того, чтобы сказать Microsoft: «Эй, нам нужно создать этот драйвер ядра — вы его сертифицируете?»…
Проблема с сертифицированными драйверами ядра, конечно, заключается в том, что они должны быть подписаны Microsoft, а поскольку подписание драйверов является обязательным в Windows, это означает, что если вы можете подписать драйвер ядра, вам не нужны взломы или уязвимости или эксплойты, чтобы иметь возможность загрузить один как часть кибератаки.
Вы можете просто установить драйвер, и система скажет: «Ну что ж, подписано. Следовательно, его можно загрузить».
И, конечно же, вы можете причинить гораздо больше вреда, находясь внутри ядра, чем когда вы «просто» администратор.
Примечательно, что вы получаете инсайдерский доступ к управлению процессами.
Как администратор, вы можете запустить программу, которая говорит: «Я хочу убить программу XYZ», которая может быть, скажем, антивирусом или инструментом для поиска угроз.
И эта программа может сопротивляться закрытию, потому что, предполагая, что она также находится на уровне администратора, ни один процесс не может претендовать на первенство над другим.
Но если вы находитесь внутри операционной системы, именно операционная система занимается запуском и завершением процессов, поэтому вы получаете гораздо больше возможностей для уничтожения таких вещей, как программное обеспечение безопасности…
…и, по-видимому, эти мошенники именно этим и занимались.
В «истории, повторяющейся», я помню, много лет назад, когда мы исследовали программное обеспечение, которое мошенники использовали для завершения программ безопасности, у них обычно были списки от 100 до 200 процессов, которые они хотели убить: операционная система процессы, антивирусные программы от 20 разных поставщиков и тому подобное.
И на этот раз, я думаю, было 186 программ, которые их драйвер должен был убить.
Так что немного позор для Microsoft.
К счастью, теперь они исключили этих мошенников из своей программы для разработчиков и внесли в черный список по крайней мере все известные сомнительные драйверы.
ДУГ. Так это еще не все, что было раскрыто во вторник патчей.
Были также некоторые нулевые дни, некоторые ошибки RCE и другие подобные вещи:
Вторник исправлений: 0-day, ошибки RCE и любопытная история подписанного вредоносного ПО
УТКА. Да.
К счастью, ошибки нулевого дня, исправленные в этом месяце, не были так называемыми RCE или удаленное выполнение кода отверстия.
Таким образом, они не давали злоумышленникам прямого маршрута для того, чтобы просто проникнуть в вашу сеть и запустить все, что им вздумается.
Но в DirectX была ошибка драйвера ядра, которая позволяла тому, кто уже был на вашем компьютере, в основном рекламировать себя как обладающего полномочиями уровня ядра.
Так что это немного похоже на использование собственного подписанного драйвера — вы *знаете*, что можете его загрузить.
В этом случае вы используете ошибку в доверенном драйвере, который позволяет вам делать что-то внутри ядра.
Очевидно, что именно такие вещи превращают кибератаку, которая уже стала плохой новостью, в нечто очень и очень худшее.
Так что вы определенно хотите исправить это.
Интересно, что это относится только к самой последней сборке, то есть 2022H2 (вторая половина года это то, что означает H2) в Windows 11.
Вы определенно хотите убедиться, что у вас есть это.
И была интригующая ошибка в Windows SmartScreen, который, по сути, является инструментом фильтрации Windows, который, когда вы пытаетесь загрузить что-то, что может быть или опасно, выдает вам предупреждение.
Итак, очевидно, если мошенники нашли: «О, нет! У нас есть эта вредоносная атака, и она работала очень хорошо, но теперь Smart Screen блокирует ее, что мы собираемся делать?»…
…или они могут убежать и построить совершенно новую атаку, или они могут найти уязвимость, которая позволяет им обойти Smart Screen, чтобы предупреждение не всплывало.
Именно это и произошло с CVE-2022-44698, Дуглас.
Итак, нулевые дни.
Как вы сказали, в миксе есть некоторые ошибки удаленного выполнения кода, но ни одна из них, как известно, не встречается в дикой природе.
Если вы заплатите против них, вы опередите мошенников, а не просто догоните их.
ДУГ. Хорошо, давайте остановимся на теме патчей…
…и мне нравится первая часть этого заголовок.
Он просто говорит: «Apple все исправляет»:
УТКА. Да, я не мог придумать способ перечислить все операционные системы в 70 символов или меньше. [СМЕХ]
Поэтому я подумал: «Ну, это буквально все».
И проблема в том, что в прошлый раз, когда мы писали об обновлении Apple, это было только iOS (iPhone) и только iOS 16.1.2:
Apple выпускает обновление безопасности для iOS, которое молчит больше, чем когда-либо
Итак, если бы у вас была iOS 15, что бы вы делали?
Вы были в группе риска?
Вы собирались получить обновление позже?
На этот раз новости о последнем обновлении наконец-то вышли в свет.
Похоже, Даг, причина, по которой мы получили это обновление iOS 16.1.2, заключается в том, что существовал эксплойт, теперь известный как CVE-2022-42856, и это была ошибка в WebKit, механизме веб-рендеринга. внутри операционных систем Apple.
И, по-видимому, эта ошибка может быть вызвана просто заманиванием вас к просмотру какого-то содержимого-ловушки — того, что в торговле известно как установка на ходу, где вы просто смотрите на страницу, и в фоновом режиме устанавливается вредоносное ПО.
Теперь, судя по всему, найденный эксплойт работал только на iOS.
Вероятно, поэтому Apple не торопилась выпускать обновления для всех остальных платформ, хотя macOS (все три поддерживаемые версии), tvOS, iPadOS… все они действительно содержали эту ошибку.
Единственной системой, которая этого не сделала, была watchOS.
Таким образом, эта ошибка была практически во всем программном обеспечении Apple, но, насколько им было известно, ее можно было использовать только в iOS.
Но теперь, как ни странно, они говорят: «Только на iOS до 15.1», что заставляет задуматься: «Почему в таком случае они не выпустили обновление для iOS 15?»
Мы просто не знаем!
Может быть, они надеялись, что, если они выпустят iOS 16.1.2, некоторые люди на iOS 15 все равно обновятся, и это решит проблему для них?
Или, может быть, они еще не были уверены, что iOS 16 не уязвима, и было быстрее и проще выпустить обновление (для чего у них есть четко определенный процесс), чем провести достаточное тестирование, чтобы определить, что ошибка не может быть обнаружена. не может быть легко использован на iOS 16.
Мы, вероятно, никогда не узнаем, Дуг, но во всем этом есть довольно увлекательная предыстория!
Но на самом деле, как вы сказали, есть обновление для всех, у кого есть продукт с логотипом Apple.
Итак: Не откладывайте/Делайте это сегодня.
ДУГ. Давайте перейдем к нашим друзьям из Университета Бен-Гуриона… они снова вернулись к этому.
Они разработали шпионское ПО для беспроводных сетей. трюк с беспроводным шпионским ПО:
COVID-бит: беспроводная шпионская уловка с неудачным названием
УТКА. Да… я не уверен насчет имени; Я не знаю, что они там думали.
Они назвали это COVID-bit.
ДУГ. Немного странно.
УТКА. Я думаю, что мы все так или иначе были укушены COVID…
ДУГ. Может быть, это все?
УТКА. Ассоциация COV предназначен для обозначения скрытый, и они не говорят, что ID-bit обозначает.
Я догадывался, что это может быть «разглашение информации по крупицам», но тем не менее это увлекательная история.
Мы любим писать об исследованиях, которые проводит этот Департамент, потому что, хотя для большинства из нас они немного гипотетичны…
… они ищут способ нарушить сетевые воздушные зазоры, то есть создать безопасную сеть, которую вы намеренно отделяете от всего остального.
Так что для большинства из нас это не большая проблема, по крайней мере, дома.
Но то, на что они смотрят, это то, что *даже если вы физически изолируете одну сеть от другой*, а в наши дни вырвете все беспроводные карты, карты Bluetooth, карты ближней радиосвязи или перережете провода и сломаете следы цепи на печатной плате, чтобы остановить работу любого беспроводного соединения…
…есть ли еще способ, с помощью которого либо злоумышленник, получивший однократный доступ к защищенной области, либо коррумпированный инсайдер могут совершить утечку данных практически невозможно отследить?
И, к сожалению, оказывается, что полностью отгородить одну сеть компьютерного оборудования от другой намного сложнее, чем вы думаете.
Постоянные читатели знают, что мы уже писали о множестве вещей, которые эти ребята придумали раньше.
У них есть ГАИРОСКОП, где вы фактически переназначаете мобильный телефон. чип компаса в качестве низкочастотного микрофона.
ДУГ. [СМЕЕТСЯ] Я помню это:
УТКА. Потому что эти чипы достаточно хорошо чувствуют вибрации.
У них есть LANTENNA, с помощью которой вы передаете сигналы в проводную сеть, находящуюся внутри защищенной зоны, а сетевые кабели фактически действуют как миниатюрные радиостанции.
Они пропускают ровно столько электромагнитного излучения, что вы можете уловить его за пределами охраняемой зоны, поэтому они используют проводную сеть в качестве беспроводного передатчика.
И у них была штука, которую они в шутку назвали ФАНСМИТТЕРОМ, когда вы говорите: «Ну, мы можем сделать звуковую сигнализацию? Очевидно, что если мы просто проиграем мелодии через динамик, например [звуки набора номера] бип-бип-бип-бип-бип, это будет довольно очевидно».
Но что, если мы будем варьировать загрузку процессора, чтобы вентилятор то ускорялся, то замедлялся, — могли бы мы использовать изменение скорости вентилятора почти как своего рода сигнал семафора?
Можно ли использовать компьютерный вентилятор для слежки за вами?
И в этой последней атаке они подумали: «Как еще мы можем превратить что-то внутри почти каждого компьютера в мире, что-то, что кажется достаточно невинным… как мы можем превратить его в очень, очень маломощную радиостанцию?»
И в данном случае они смогли сделать это с помощью блока питания.
Они смогли сделать это на Raspberry Pi, на ноутбуке Dell и на различных настольных ПК.
Они используют собственный блок питания компьютера, который в основном выполняет очень, очень высокочастотную коммутацию постоянного тока, чтобы нарезать постоянное напряжение, обычно для его уменьшения, сотни тысяч или миллионы раз в секунду.
Они нашли способ добиться утечки электромагнитного излучения — радиоволн, которые они могли улавливать на расстоянии до 2 метров мобильным телефоном…
…даже если в этом мобильном телефоне все беспроводные устройства отключены или даже удалены из устройства.
Уловка, которую они придумали, заключается в следующем: вы переключаете скорость, с которой он переключается, и вы обнаруживаете изменения в частоте переключения.
Представьте, если вам нужно более низкое напряжение (если вы хотите, скажем, сократить 12 В до 4 В), прямоугольная волна будет включена в течение одной трети времени и выключена в течение двух третей времени.
Если вы хотите 2 В, вам нужно соответствующим образом изменить соотношение.
И оказывается, современные процессоры изменяют как свою частоту, так и напряжение, чтобы управлять питанием и перегревом.
Таким образом, изменив загрузку ЦП на одно или несколько ядер в ЦП — просто увеличивая количество задач и уменьшая задачи со сравнительно низкой частотой, от 5000 до 8000 раз в секунду, — они смогли получить режим переключения. источник питания для *переключения режимов переключения* на этих низких частотах.
И это генерировало очень низкочастотное радиоизлучение от цепей или любого медного провода в блоке питания.
И они смогли обнаружить эти излучения с помощью радиоантенны, которая была не более сложной, чем простая проволочная петля!
Итак, что вы делаете с проволочной петлей?
Ну, представь, Дуг, что это кабель для микрофона или кабель для наушников.
Вы подключаете его к аудиоразъему 3.5 мм и подключаете к мобильному телефону, как к наушникам…
ДУГ. Wow.
УТКА. Вы записываете звуковой сигнал, генерируемый проводной петлей, потому что звуковой сигнал в основном является цифровым представлением очень низкочастотного радиосигнала, который вы уловили.
Они могли извлекать из него данные со скоростью от 100 бит в секунду при использовании ноутбука до 200 бит в секунду с Raspberry Pi и до 1000 бит в секунду с очень низкой частотой ошибок, начиная с настольные компьютеры.
Вы можете получать такие вещи, как ключи AES, ключи RSA и даже небольшие файлы данных с такой скоростью.
Я подумал, что это увлекательная история.
Если вы управляете защищенной областью, вы определенно хотите идти в ногу со всем этим, потому что, как гласит старая поговорка, «Атаки становятся только лучше или умнее».
ДУГ. И более низкая техника. [СМЕХ]
Все цифровое, за исключением того, что у нас есть эта аналоговая утечка, которая используется для кражи ключей AES.
Это увлекательно!
УТКА. Просто напоминание о том, что вам нужно подумать о том, что находится по ту сторону защищенной стены, потому что «с глаз долой совершенно точно не обязательно из сердца вон».
ДУГ. Что ж, это прекрасно вписывается в нашу последняя история – то, что находится вне поля зрения, но не ускользает из виду:
Скимминг кредитных карт — долгий и извилистый путь сбоя в цепочке поставок
Если вы когда-либо создавали веб-страницу, вы знаете, что вы можете поместить туда код аналитики — небольшую строку JavaScript — для Google Analytics или подобных компаний, чтобы увидеть, как обстоят дела с вашей статистикой.
В начале 2010-х существовала бесплатная аналитическая компания Cockpit, и люди размещали этот код Cockpit — эту небольшую строчку JavaScript — на своих веб-страницах.
Но Cockpit закрылся в 2014 году, и доменное имя перестало действовать.
А затем, в 2021 году, киберпреступники подумали: «Некоторые сайты электронной коммерции все еще позволяют запускать этот код; они все еще вызывают этот JavaScript. Почему бы нам просто не купить доменное имя, а затем мы можем внедрить все, что захотим, на эти сайты, которые до сих пор не удалили эту строку JavaScript?»
УТКА. Да.
Что может пойти не так, Даг?
ДУГ. [СМЕЕТСЯ] Точно!
УТКА. Семь лет!
У них была бы запись во всех их журналах испытаний, говорящая: Could not source the file cockpit.js (или что там было) from site cockpit.jp, я думаю, что это было.
Так вот, как вы говорите, когда жулики снова засветили домен, и начали выкладывать туда файлы, чтобы посмотреть, что будет…
… они заметили, что множество сайтов электронной коммерции просто слепо и счастливо потребляли и выполняли код JavaScript мошенников в веб-браузерах своих клиентов.
ДУГ. [LUAGHING] «Эй, мой сайт больше не выдает ошибку, он работает».
УТКА. [НЕВЕРОЯТНО] «Должно быть, они это исправили»… для особого понимания слова «исправлено», Даг.
Конечно, если вы можете внедрить произвольный JavaScript в чью-то веб-страницу, то вы можете заставить эту веб-страницу делать все, что захотите.
И если, в частности, вы ориентируетесь на сайты электронной коммерции, вы можете установить, по сути, шпионский код для поиска определенных страниц, на которых есть определенные веб-формы с определенными именованными полями на них…
…например, номер паспорта, номер кредитной карты, CVV, что бы это ни было.
И вы можете просто высосать все незашифрованные конфиденциальные данные, личные данные, которые вводит пользователь.
Он еще не прошел процесс шифрования HTTPS, поэтому вы вытягиваете его из браузера, шифруете HTTPS *самостоятельно* и отправляете в базу данных, управляемую мошенниками.
И, конечно же, вы можете активно изменять веб-страницы по мере их поступления.
Таким образом, вы можете заманить кого-то на веб-сайт — тот, который является *правильным* веб-сайтом; это веб-сайт, на который они уже заходили, и которому они знают, что могут доверять (или думают, что могут доверять).
Если на этом сайте есть веб-форма, которая, скажем, обычно запрашивает у них имя и номер счета, ну, вы просто вставляете пару дополнительных полей, и учитывая, что человек уже доверяет сайту…
… если вы назовете имя, удостоверение личности и [добавьте] дату рождения?
Очень вероятно, что они просто впишут дату своего рождения, потому что думают: «Полагаю, это часть их проверки личности».
ДУГ. Этого можно избежать.
Вы могли бы начать с просмотр ссылок на цепочку поставок в Интернете.
УТКА. Да.
Может быть, раз в семь лет будет начало? [СМЕХ]
Если вы не ищете, то вы действительно являетесь частью проблемы, а не частью решения.
ДУГ. Вы могли бы также, о, я не знаю ... проверьте свои журналы?
УТКА. Да.
Опять же, раз в семь лет может быть запуск?
Позвольте мне просто сказать то, что мы уже говорили в подкасте, Даг…
…если вы собираетесь собирать журналы, которые никогда не просматриваете, *просто не пытайтесь их собирать*.
Перестаньте себя обманывать и не собирайте данные.
Потому что, на самом деле, лучшее, что может случиться с данными, если вы их собираете, а не смотрите на них, — это то, что не те люди не получат их по ошибке.
ДУГ. Затем, конечно же, регулярно выполняйте тестовые транзакции.
УТКА. Должен ли я сказать: «Раз в семь лет — это начало»? [СМЕХ]
ДУГ. Конечно, да… [WRY] это может быть достаточно регулярным, я полагаю.
УТКА. Если вы занимаетесь электронной коммерцией и ожидаете, что пользователи будут посещать ваш веб-сайт, привыкать к определенному внешнему виду и доверять ему…
…тогда вы обязаны проверить правильность внешнего вида и поведения.
Регулярно и часто.
Легко как то.
ДУГ. ОК отлично.
И поскольку шоу начинает сворачиваться, давайте послушаем одного из наших читателей об этой истории.
Ларри комментирует:
Пересмотреть ссылки на цепочку поставок в Интернете?
Хотелось бы, чтобы Epic Software сделала это до того, как отправила баг отслеживания Meta всем своим клиентам.
Я убежден, что есть новое поколение разработчиков, которые думают, что разработка заключается в том, чтобы находить фрагменты кода в любом месте в Интернете и некритически вставлять их в свой рабочий продукт.
УТКА. Если бы только мы не разрабатывали такой код…
…куда вы идете: «Я знаю, я буду использовать эту библиотеку; Я просто скачаю его с этой фантастической страницы GitHub, которую я нашел.
О, для этого нужна целая куча других вещей!?
О, смотри, он может автоматически удовлетворять требованиям… ну, давайте тогда так и сделаем!»
К сожалению, вы должны *владеть своей цепочкой поставок*, а это значит понимать все, что в нее входит.
Если вы думаете о ведомости материалов программного обеспечения [SBoM], проезжая часть, где вы думаете: «Да, я перечислю все, что я использую», недостаточно просто перечислить первый уровень вещей, которые вы используете.
Вы также должны знать и уметь документировать и знать, что можете доверять всему, от чего эти вещи зависят, и так далее, и тому подобное:
У маленьких блох есть меньшие блохи На спинах, чтобы их кусать А у меньших блох есть меньшие блохи И так до бесконечности.
* Вот как * вы должны преследовать свою цепочку поставок!
ДУГ. Хорошо сказано!
Хорошо, большое спасибо, Ларри, за этот комментарий.
Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.
Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @NakedSecurity.
Это наше шоу на сегодня; большое спасибо, что выслушали.
Для Пола Даклина я Дуг Аамот, напоминаю вам, до следующего раза, чтобы…
ОБА. Оставайтесь в безопасности!
[МУЗЫКАЛЬНЫЙ МОДЕМ]
- 0 день
- Apple
- Университет Бен-Гуриона
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- iOS
- Kaspersky
- вредоносных программ
- Mcafee
- Microsoft
- Голая Безопасность
- Голый Подкаст Безопасности
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Подкаст
- политикой конфиденциальности.
- снятие пены
- цепочками поставок
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
- Zero Day
![S3 Ep117: Криптокризис, которого не было (и прощание навсегда с Win 7) [Аудио + Текст]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: Криптокризис, которого не было (и прощание навсегда с Win 7) [Аудио + Текст]")
![S3, серия 97: Твой iPhone взломали? Откуда вам знать? [Аудио + текст] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/08/iph-1200-300x156.png "S3 Ep97: Ваш iPhone взломали? Откуда вы знаете? [Аудио + текст]")
