S3, эпизод 125: Когда в оборудовании безопасности есть дыры в безопасности [аудио + текст]

S3, эпизод 125: Когда в оборудовании безопасности есть дыры в безопасности [аудио + текст]

Отметка времени: 9 марта 2023 г., 1:58
S3 Ep125: Когда в оборудовании безопасности есть дыры в безопасности [Аудио + Текст] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.
by Пол Даклин

У ВАС ДОЛЖЕН БЫТЬ ЭТОТ ЧИП! ДАЖЕ ЕСЛИ В НЁМ ЕСТЬ ОШИБКИ!

Воспоминания о Микеланджело (вирус, а не художник). Ошибки утечки данных в TPM 2.0. Программы-вымогатели бюст, программы-вымогатели предупреждениеи советы по борьбе с программами-вымогателями.

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.

Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.

ПРОЧИТАЙТЕ СТЕНОКРИФИК

ДУГ.   Программы-вымогатели, еще программы-вымогатели и уязвимости TPM.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Павел, как дела сегодня?

УТКА.   Снег и мокрый снег, Дуг.

Так что это была холодная поездка в студию.

Я использую воздушные кавычки… не для «поездки», для «студии».

На самом деле это не студия, а *моя* студия!

Небольшое секретное место в штаб-квартире Sophos для записи подкаста.

И здесь так мило и тепло, Даг!

ДУГ.   Хорошо, если кто-то слушает… зайдите на экскурсию; Пол будет рад показать вам это место.

И я так взволнован Эта неделя в истории технологий, Павел.

На этой неделе, 06 марта 1992 года, бездействующий вирус загрузочного сектора Michelangelo ожил, перезаписав сектора жестких дисков своих жертв.

Наверняка это означало конец света для компьютеров повсюду, поскольку средства массовой информации спотыкались о самих себя, чтобы предупредить людей о надвигающейся гибели?

Однако, согласно отчету конференции Virus Bulletin 1994 года, и я цитирую:

Пол Даклин, энергичный и интересный оратор, твердо убежден, что усилия по обучению, предпринимаемые как корпорациями, так и средствами массовой информации, не достигли своей цели..

Пол, ты был там, мужик!

УТКА.   Я был, Дуг.

По иронии судьбы, 6 марта было единственным днем, когда Микеланджело не был вирусом.

Все остальные дни он просто распространялся как лесной пожар.

Но 06 марта пошло: «Ага! День полезной нагрузки!»

А на жестком диске он будет проходить через первые 256 дорожек, первые 4 головки, 17 секторов на дорожку… что, если угодно, было «нижним левым углом» каждой страницы большинства используемых жестких дисков. в это время.

Таким образом, это займет около 8.5 МБ на вашем жестком диске.

Он не только уничтожил много данных, но и разрушил такие вещи, как таблицы размещения файлов.

Таким образом, вы могли восстановить некоторые данные, но это были огромные и неопределенные усилия для каждого отдельного устройства, которое вы хотели попытаться восстановить.

Для второго компьютера столько же работы, сколько и для первого, для третьего компьютера столько же, сколько и для второго… очень, очень сложно автоматизировать.

К счастью, как вы говорите, это было очень сильно разрекламировано в СМИ.

На самом деле, насколько я понимаю, вирус был впервые проанализирован покойным Роджером Риорданом, который был известным австралийским исследователем антивирусов в 1990-х годах, и на самом деле он столкнулся с ним в феврале 1991 года.

И он болтал со своим приятелем, кажется, об этом, и его приятель сказал: «О, 6 марта, это мой день рождения. А вы знали, что это еще и день рождения Микеланджело?

Потому что я думаю, что люди, родившиеся 6 марта, могут просто знать, что…

Конечно, это было такое модное и крутое название… и через год, когда оно успело распространиться и, как вы говорите, часто затаилось, вот тогда оно и вернулось.

Она не поразила миллионы компьютеров, как, казалось, опасались средства массовой информации и как любил говорить покойный Джон Макафи, но это слабое утешение для тех, кто пострадал, потому что вы практически потеряли все.

Не совсем все, но вам придется заплатить целое состояние, чтобы вернуть часть из них… возможно, не полностью, возможно, ненадежно.

И плохо было то, что она распространялась на гибких дисках; и потому что он распространяется в загрузочном секторе; и потому что в те дни почти каждый компьютер загружался с флоппи-дисковода, если в нем просто оказался диск; и потому что даже в противном случае пустые дискеты имели бы загрузочный сектор, и любой код в нем мог бы работать, даже если бы все это приводило к сообщению «Несистемный диск или ошибка диска, замените и повторите попытку»…

… к тому времени было уже слишком поздно.

Итак, если вы просто по ошибке оставили диск в дисководе, то при включении питания на следующее утро, когда вы увидите это сообщение «Несистемный диск или ошибка диска» и подумаете: «О, я вытащу дискету выключить и перезагрузить загрузку с жесткого диска»…

… к тому времени вирус уже был на вашем жестком диске и распространялся на каждую имевшуюся у вас дискету.

Таким образом, даже если у вас был вирус, а затем вы его удалили, если вы не просмотрели весь свой корпоративный запас дискет, там должна была быть Тифозная Мэри, которая могла снова занести его в любое время.

ДУГ.   Есть увлекательная история.

Я рад, что вы были там, чтобы помочь очистить его немного!

И давайте немного почистим еще кое-что.

Этот доверенный платформенный модуль… иногда вызывает споры.

Что происходит, когда код, необходимый для защиты вашей машины, сам по себе жертвами, Павел?

Серьезная безопасность: уязвимости TPM 2.0 — ваши сверхзащищенные данные находятся под угрозой?

УТКА.   Если вы хотите понять всю эту штуку с TPM, которая звучит как отличная идея, верно… есть эта маленькая дочерняя плата, которую вы вставляете в крошечный слот на вашей материнской плате (или, может быть, она предварительно встроена), и у нее есть одна крошечный маленький специальный сопроцессорный чип, который просто выполняет основные криптографические операции.

Безопасная загрузка; цифровые подписи; надежное хранилище для криптографических ключей… так что это неплохая идея.

Проблема в том, что вы можете себе представить, что, поскольку это такое крошечное маленькое устройство, и в него только что вставили этот основной код, конечно, его довольно легко разобрать и сделать простым?

Ну, только спецификации доверенного платформенного модуля, или TPM… у них в совокупности: 306 страниц, 177 страниц, 432 страницы, 498 страниц, 146 страниц и большой плохой мальчик в конце, «Часть четвертая: Поддерживающие процедуры — Код», где есть ошибки, 1009 страниц PDF, Дуг.

ДУГ.   [СМЕЕТСЯ] Просто почитайте!

УТКА.   [ВЗДЫХ] Просто небольшое чтение.

Итак, работы много. и много места для багов.

А последние… ну, довольно много из них было отмечено в последних исправлениях, но два из них на самом деле получили номера CVE.

Есть CVE-2023-1017 и CVE-2023-1018.

И, к сожалению, это ошибки, уязвимости, которые могут быть обнаружены (или достигнуты) с помощью команд, которые может использовать обычная программа пользовательского пространства, например, что-то, что может запустить системный администратор или вы сами, просто для того, чтобы попросить TPM сделать что-то надежно для вас.

Таким образом, вы можете делать такие вещи, как, например, «Эй, иди и принеси мне несколько случайных чисел. Иди и создай мне криптографический ключ. Уйдите и проверьте эту цифровую подпись».

И хорошо, если это делается в отдельном маленьком процессоре, с которым не может возиться ни процессор, ни операционная система — отличная идея.

Но проблема в том, что в коде пользовательского режима, который говорит: «Вот команда, которую я вам представляю»…

… к сожалению, распутывание параметров, которые передаются для выполнения нужной функции — если вы заминируете способ доставки этих параметров в TPM, вы можете обмануть его либо для чтения дополнительной памяти (переполнение буфера при чтении), либо хуже того, переписывая вещи, которые принадлежат следующему парню, так сказать.

Трудно понять, как эти ошибки можно использовать для таких вещей, как выполнение кода на TPM (но, как мы много раз говорили: «Никогда не говори никогда»).

Но совершенно очевидно, что когда вы имеете дело с чем-то, что, как вы сказали в начале, «вам нужно это, чтобы сделать ваш компьютер более безопасным. Все дело в криптографической корректности»…

… идея утечки даже двух байтов чужих ценных секретных данных, о которых никто в мире не должен знать?

Идея утечки данных, не говоря уже о переполнении буфера записи в таком модуле, действительно вызывает беспокойство.

Так вот что нужно пропатчить.

И, к сожалению, в документе об ошибках не сказано: «Вот ошибки; вот как вы их исправляете».

Есть только описание ошибок и описание того, как вы должны изменить свой код.

Так что, по-видимому, каждый будет делать это по-своему, а затем эти изменения отфильтруются обратно в центральную эталонную реализацию.

Хорошая новость заключается в том, что существует программная реализация TPM [libtpms] для людей, которые запускают виртуальные машины… они уже посмотрели и придумали некоторые исправления, так что это хорошее место для начала.

ДУГ.   Прекрасный.

А пока обратитесь к поставщикам оборудования и узнайте, есть ли у них какие-либо обновления для вас.

УТКА.   Да.

ДУГ.   Мы перейдем… к первым дням программ-вымогателей, которые изобиловали вымогательством, а затем все усложнилось с «двойным вымогательством».

И куча людей только что была за участие в схеме двойного вымогательства, что не может не радовать!

В Германии и Украине задержаны подозреваемые в вымогательстве DoppelPaymer

УТКА.   Да, это банда вымогателей, известная как DoppelPaymer. («Двойник» означает двойной на немецком.)

Так что идея в том, что это двойной удар.

Там они шифруют все ваши файлы и говорят: «Мы продадим вам ключ дешифрования. И, кстати, на тот случай, если вы думаете, что ваши резервные копии подойдут, или на тот случай, если вы думаете о том, чтобы сказать нам пропадать и не платить нам деньги, просто имейте в виду, что мы также украли все ваши файлы в первую очередь. ”

«Итак, если вы не заплатите, и вы *сможете* расшифровать самостоятельно, и вы *сможете* спасти свой бизнес… мы утечем ваши данные».

Хорошей новостью в данном случае является то, что некоторые подозреваемые были допрошены и арестованы, а многие электронные устройства были изъяты.

Так что, хотя это, если хотите, слабое утешение для людей, которые когда-то пострадали от атак DoppelPaymer, это означает, по крайней мере, что правоохранительные органы не просто сдаются, когда кибербанды, кажется, опускают головы.

По всей видимости, только в Соединенных Штатах они получили до 40 миллионов долларов в качестве шантажа.

И они, как известно, преследовали Университетскую клинику в Дюссельдорфе в Германии.

Если у программ-вымогателей низкий уровень…

ДУГ.   Серьезно!

УТКА.   …не то, чтобы это хорошо, что кого-то бьют, но мысль о том, что вы на самом деле уничтожаете больницу, особенно учебную больницу?

Я полагаю, что это самое низкое из низких, не так ли?

ДУГ.   И у нас есть несколько советов.

Только потому, что эти подозреваемые были арестованы: Не отключайте защиту.

УТКА.   Нет, на самом деле Европол признает, что, по их словам, «Согласно сообщениям, Doppelpaymer с тех пор переименовывается [в банду вымогателей] под названием «Grief»».

Итак, проблема в том, что когда вы арестовываете некоторых людей в кибербанде, вы, возможно, не находите все серверы…

…если вы захватите серверы, вы не обязательно сможете работать в обратном направлении от отдельных лиц.

Это делает вмятину, но это не означает, что программы-вымогатели закончились.

ДУГ.   И по этому поводу: Не зацикливайтесь только на программах-вымогателях.

УТКА.   В самом деле!

Я думаю, что такие банды, как DoppelPaymer, ясно дают понять это, не так ли?

К тому времени, как они придут зашифровать ваши файлы, они их уже украдут.

Таким образом, к тому времени, когда вы действительно получите часть программы-вымогателя, они уже выполнили N других элементов киберпреступности: взлом; осмотр вокруг; возможно, откроют пару лазеек, чтобы они могли вернуться позже, или продадут доступ следующему парню; и так далее.

ДУГ.   Что согласуется со следующим советом: Не ждите, пока оповещения об угрозах появятся на панели управления.

Возможно, это легче сказать, чем сделать, в зависимости от зрелости организации.

Но помощь есть!

УТКА.   [СМЕЕТСЯ] Я думал, ты упомянешь Управляемое обнаружение и реагирование Sophos на мгновение там, Дуг.

ДУГ.   Я пытался не продавать его.

Но мы можем помочь!

Там есть помощь; дайте нам знать.

УТКА.   Грубо говоря, чем раньше вы туда доберетесь; чем раньше вы заметите; тем активнее ваша превентивная защита…

…тем меньше вероятность того, что какие-либо мошенники смогут дойти до атаки программ-вымогателей.

И это может быть только хорошо.

ДУГ.   И последний по порядку но не по значимости: Никакого суждения, но не платите, если можете этого избежать.

УТКА.   Да, я думаю, мы обязаны сказать это.

Потому что заплатив средства для следующей волны киберпреступности, конечно, по-крупному.

А во-вторых, вы можете не получить то, за что платите.

ДУГ.   Что ж, перейдем от одного преступного предприятия к другому.

И вот что происходит, когда преступное предприятие использует каждый Инструмент, техника и процедура в книге!

Федералы предупреждают о правильном буйстве программ-вымогателей Royal, которые охватывают всю гамму TTP

УТКА.   Это из СНГА - США Агентство кибербезопасности и безопасности инфраструктуры.

И в этом случае, в бюллетене AA23 (это в этом году) тире 061A-для-альфа, они говорят о банде под названием Royal Ransomware.

Роял с большой буквы, Дуг.

Плохая сторона этой банды заключается в том, что их инструменты, методы и процедуры кажутся «включающими все необходимое для текущей атаки».

Они рисуют очень широкой кистью, но и атакуют очень глубокой лопатой, если вы понимаете, о чем я.

Это плохие новости.

Хорошая новость заключается в том, что вам предстоит очень многому научиться, и если вы отнесетесь ко всему этому серьезно, у вас будет очень широкая профилактика и защита не только от атак программ-вымогателей, но и от того, о чем вы упоминали ранее в сегменте Doppelpaymer: «Не делайте этого». Не зацикливайтесь на программах-вымогателях».

Беспокойство обо всех других вещах, которые ведут к этому: кейлоггинг; кража данных; бэкдор имплантация; кража пароля.

ДУГ.   Хорошо, Пол, давайте резюмируем некоторые выводы из рекомендаций CISA, начиная со следующего: Эти мошенники взламывают систему, используя проверенные методы.

УТКА.   Они делают!

Статистика CISA говорит о том, что именно эта банда использует старый добрый фишинг, который преуспел в 2/3 атак.

Когда это не работает, они ищут неисправленные вещи.

Кроме того, в 1/6 случаев они все еще могут войти, используя RDP… старые добрые RDP-атаки.

Потому что им нужен только один сервер, о котором вы забыли.

А также, между прочим, CISA сообщила, что, оказавшись внутри, даже если они не использовали RDP, кажется, что они все еще обнаруживают, что у многих компаний довольно либеральная политика в отношении доступа по RDP * внутри* их сети.

[СМЕЕТСЯ] Кому нужны сложные сценарии PowerShell, когда вы можете просто подключиться к чужому компьютеру и проверить его на своем собственном экране?

ДУГ.   Оказавшись внутри, преступники стараются избегать программ, которые явно могут быть обнаружены как вредоносное ПО.

Это также известно как «жить за счет земли».

УТКА.   Они не просто говорят: «Хорошо, давайте воспользуемся программой PsExec от Microsoft Sysinternal, и давайте воспользуемся одним из популярных сценариев PowerShell.

У них есть множество инструментов, позволяющих делать множество различных весьма полезных вещей, от инструментов, которые узнают IP-адреса, до инструментов, которые не дают компьютерам спать.

Все инструменты, которые хорошо информированный системный администратор вполне может иметь и регулярно использовать.

И, грубо говоря, эти мошенники приносят только одну часть чистого вредоносного ПО, и это то, что делает окончательный скремблирование.

Кстати, не забывайте, что если вы являетесь преступником-вымогателем, вам даже не нужно приносить свой собственный набор инструментов для шифрования.

Вы можете, если хотите, использовать такую ​​программу, как, скажем, WinZip или 7-Zip, которая включает в себя функцию «Создать архив, переместить файлы» (что означает удалить их, как только вы поместите их в архив), «и зашифровать их паролем».

Пока мошенники — единственные люди, которые знают пароль, они все еще могут предложить продать его вам обратно…

ДУГ.   И просто добавить немного соли на рану: Прежде чем шифровать файлы, злоумышленники пытаются усложнить вам путь к восстановлению.

УТКА.   Кто знает, создали ли они новые секретные учетные записи администратора?

Умышленно установленные глючные сервера?

Намеренно удалили исправления, чтобы они знали, как вернуться в следующий раз?

Оставили кейлоггеры лежать позади, где они активируются в какой-то момент в будущем и заставят ваши проблемы начаться снова и снова?

И они делают это, потому что в их интересах то, что когда вы восстанавливаетесь после атаки программы-вымогателя, вы не восстанавливаетесь полностью.

ДУГ.   Хорошо, у нас есть несколько полезных ссылок внизу статьи.

Одна ссылка, которая позволит вам узнать больше о Управляемое обнаружение и реагирование Sophos [MDR], и еще один, который ведет вас к Сценарий активного противника, который является произведением, составленным нашим собственным Джоном Широм.

Некоторые выводы и идеи, которые вы можете использовать, чтобы лучше укрепить свою защиту.

Знай своего врага! Узнайте, как злоумышленники проникают в…

УТКА.   Это похоже на мета-версию отчета CISA «Royal ransomware».

Это случаи, когда жертва не понимала, что злоумышленники были в ее сети, пока не стало слишком поздно, а затем звонила в службу быстрого реагирования Sophos и говорила: «О боже, мы думаем, что нас атаковала программа-вымогатель… но что еще произошло? ”

И это то, что мы на самом деле обнаружили в реальной жизни в ходе широкого спектра атак со стороны ряда мошенников, часто не связанных друг с другом.

Таким образом, это дает вам очень, очень широкое представление о диапазоне TTP (инструментов, методов и процедур), о которых вам нужно знать и от которых вы можете защищаться.

Потому что хорошая новость заключается в том, что, заставив мошенников использовать все эти отдельные методы, чтобы ни один из них не вызвал массовую тревогу сам по себе…

… вы даете себе шанс обнаружить их на ранней стадии, если только вы [A] знаете, где искать, и [B] можете найти для этого время.

ДУГ.   Очень хорошо.

И у нас есть комментарий читателя к этой статье.

Читатель Naked Security Энди спрашивает:

Как пакеты Sophos Endpoint Protection противостоят этому типу атак?

Я лично видел, насколько хороша защита файлов от программ-вымогателей, но если она отключена до начала шифрования, я полагаю, по большей части мы полагаемся на защиту от несанкционированного доступа?

УТКА.   Ну, я надеюсь, что нет!

Я надеюсь, что клиент Sophos Protection не скажет: «Ну, давайте запустим только крошечную часть продукта, предназначенного для вашей защиты, в виде салона «Последний шанс»… того, что мы называем CryptoGuard.

Это модуль, который говорит: «Эй, кто-то или что-то пытается зашифровать большое количество файлов способом, который может быть настоящей программой, но просто выглядит неправильно».

Так что, даже если это законно, это, вероятно, все испортит, но почти наверняка кто-то пытается причинить вам вред.

ДУГ.   Да, CryptoGuard похож на шлем, который вы надеваете, когда летаете над рулем своего велосипеда.

Все становится довольно серьезно, если CryptoGuard начинает действовать!

УТКА.   Большинство продуктов, в том числе Sophos в наши дни, имеют элемент защиты от несанкционированного доступа, который пытается сделать еще один шаг вперед, так что даже администратору приходится прыгать через обручи, чтобы отключить определенные части продукта.

Это усложняет его выполнение, а также усложняет автоматизацию, чтобы отключить его для всех.

Но надо подумать…

Если киберпреступники попадают в вашу сеть, и они действительно имеют «эквивалентность системного администратора» в вашей сети; если им удалось эффективно получить те же полномочия, что и ваши обычные системные администраторы (и это их истинная цель; это то, чего они действительно хотят)…

Учитывая, что системные администраторы, работающие с таким продуктом, как Sophos, могут настраивать, деконфигурировать и устанавливать параметры окружения…

…тогда, если жулики *являются* сисадминами, вроде как они уже победили.

И именно поэтому вам нужно найти их заранее!

Поэтому мы максимально усложняем задачу и обеспечиваем столько уровней защиты, сколько можем, в надежде попытаться остановить эту штуку еще до того, как она появится.

И пока мы об этом, Даг (я не хочу, чтобы это звучало как рекламный шпиль, но это просто особенность нашего программного обеспечения, которая мне нравится)…

У нас есть то, что я называю компонентом «активный противник противника»!

Другими словами, если мы обнаружим поведение в вашей сети, которое убедительно указывает на то, например, что ваши системные администраторы не совсем сделали бы или не совсем сделали бы так…

… «активный противник противник» говорит: «Знаете что? Прямо сейчас мы собираемся усилить защиту до более высоких уровней, чем вы обычно допускаете».

И это отличная функция, потому что это означает, что если мошенники все же проникнут в вашу сеть и начнут пытаться делать неблаговидные вещи, вам не нужно ждать, пока вы это заметите, а затем *решите: «Какие номера мы должны изменить?»

Дуг, это был довольно длинный ответ на, казалось бы, простой вопрос.

Но позвольте мне просто прочитать то, что я написал в своем ответе на комментарий к Naked Security:

Наша цель — постоянно быть начеку и вмешиваться как можно раньше, автоматически, безопасно и решительно — для всех видов кибератак, а не только программ-вымогателей.

ДУГ.   Ладно, хорошо сказано!

Большое спасибо, Энди, что прислал это.

Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или написать нам в социальных сетях: @NakedSecurity.

Это наше шоу на сегодня; большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам. До следующего раза, чтобы…

ОБА.   Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Отметка времени:

Больше от Голая Безопасность