S3 Ep125: Ko ima varnostna strojna oprema varnostne luknje [zvok + besedilo]

Ni zvočnega predvajalnika spodaj? poslušaj neposredno na Soundcloudu.

DOUG.   Izsiljevalska programska oprema, več izsiljevalske programske opreme in ranljivosti TPM.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, kako si danes?

---

RACA.   Sneg in žled, Doug.

Torej je bila vožnja v studio hladna.

Uporabljam zračne narekovaje ... ne za "vožnjo", za "studio".

To res ni studio, je pa *moj* studio!

Mali skrivni prostor na sedežu Sophosa za snemanje podcasta.

In tukaj je lepo in toplo, Doug!

---

DOUG.   V redu, če kdo posluša ... ustavite se na ogled; Paul vam bo z veseljem razkazal kraj.

In tako sem navdušena nad Ta teden v zgodovini tehnologije, Paul.

Ta teden, 06. marca 1992, je mirujoči virus zagonskega sektorja Michelangelo oživel in prepisal sektorje trdih diskov svojih žrtev.

Zagotovo je to pomenilo konec sveta za računalnike povsod, saj so se mediji spotaknili vase, da bi ljudi opozorili na bližajočo se pogubo?

Vendar glede na poročilo konference Virus Bulletin iz leta 1994 in citiram:

Paul Ducklin, energičen in zabaven govorec, je trdno prepričan, da so prizadevanja podjetij in medijev za izobraževanje v mnogih pogledih zgrešila svoj cilj..

Paul, bil si tam, človek!

---

RACA.   Bil sem, Doug.

Ironično je, da je bil 6. marec edini dan, ko Michelangelo ni bil virus.

Vse ostale dni se je preprosto širil kot požar.

Toda 06. marca je šlo: »Aha! Tovorni dan je!«

In na trdem disku bi šel skozi prvih 256 skladb, prve 4 glave, 17 sektorjev na skladbo ... kar je bil skoraj "spodnji levi kot", če želite, vsake strani večine trdih diskov v uporabi takrat.

Torej bi iz vašega trdega diska vzeli približno 8.5 MB velik kos.

Ne samo, da je zaprl veliko podatkov, uničil je stvari, kot so tabele za dodeljevanje datotek.

Tako bi lahko obnovili nekaj podatkov, vendar je bil to velik in negotov napor za vsako posamezno napravo, ki ste jo želeli poskusiti obnoviti.

Za drugi računalnik je toliko dela kot za prvega, za tretji računalnik kot za drugega … zelo, zelo težko ga je avtomatizirati.

Na srečo, kot pravite, je bilo to v medijih zelo razglašeno.

Pravzaprav je, kolikor razumem, virus prvi analiziral pokojni Roger Riordan, ki je bil slavni avstralski protivirusni raziskovalec v devetdesetih letih prejšnjega stoletja, nanj pa je dejansko naletel februarja 1990.

In klepetal je s svojim prijateljem, mislim, o tem, in njegov prijatelj je rekel: »Oh, 6. marec, to je moj rojstni dan. Ali ste vedeli, da je to tudi Michelangelov rojstni dan?«

Ker domnevam, da ljudje, ki so rojeni 6. marca, morda slučajno vedo, da ...

Seveda je bilo tako trendovsko in kul ime ... in leto kasneje, ko se je imelo priložnost razširiti in, kot pravite, pogosto mirovati, se je takrat vrnilo.

Ni udaril na milijone računalnikov, kot se je zdelo, da so se bali mediji in kot je rad rekel pokojni John McAfee, ampak to je hladna tolažba za vsakogar, ki je bil prizadet, saj ste izgubili skoraj vse.

Ne ravno vse, vendar bi vas stalo malo bogastvo, da bi nekaj od tega dobili nazaj ... verjetno nepopolno, verjetno nezanesljivo.

In slaba stvar pri tem je bila, ker se je širil na disketah; in ker se je razširil v zagonskem sektorju; in ker bi se v tistih časih skoraj vsak računalnik zagnal z disketnega pogona, če bi bil v njem preprosto disk; in ker so tudi sicer prazne diskete imele zagonski sektor in bi se vsa koda v njem izvajala, tudi če bi vse to vodilo do sporočila vrste »Non-sistemski disk ali napaka diska, zamenjajte in poskusite znova« ...

… takrat je bilo že prepozno.

Torej, če ste pomotoma pustili disk v pogonu, potem ko ste ga naslednje jutro vklopili, ko ste zagledali sporočilo »Non-system disk or disk error« in pomislili: »Oh, disketo bom odstranil ven in znova zaženite zagon s trdega diska”…

… takrat je bil virus že na vašem trdem disku in se je razširil na vsako posamezno disketo, ki ste jo imeli.

Torej, tudi če ste imeli virus in ste ga nato odstranili, če niste pregledali celotnega korporativnega skladišča disket, bi se tam zunaj našel Typhoid Mary, ki bi ga lahko kadar koli znova vnesel.

---

DOUG.   Obstaja zanimiva zgodba.

Veseli me, da ste bili tam in pomagali malo počistiti!

Pa še nekaj malega pospravimo.

Ta Trusted Platform Module ... včasih sporen.

Kaj se zgodi, ko je koda, potrebna za zaščito vašega stroja, sama ranljivi, Paul?

Resna varnost: ranljivosti TPM 2.0 – ali so vaši super varni podatki ogroženi?

---

RACA.   Če želite razumeti celotno zadevo TPM, ki se sliši kot odlična ideja, kajne ... obstaja ta majhna stvar hčerinske plošče, ki jo priključite v majhno režo na matični plošči (ali pa je morda vnaprej vgrajena) in ima eno majhen majhen poseben koprocesorski čip, ki opravlja samo te osnovne kriptografske stvari.

Varen zagon; digitalni podpisi; močna shramba za kriptografske ključe ... tako da sama po sebi ni slaba ideja.

Težava je v tem, da bi si predstavljali, da jo je, ker je tako majhna naprava in ima samo to osnovno kodo, zagotovo enostavno odstraniti in narediti preprosto?

No, samo specifikacije za Trusted Platform Module ali TPM … skupaj imajo: 306 strani, 177 strani, 432 strani, 498 strani, 146 strani in velikega slabega fanta na koncu, »Četrti del: Podporne rutine – Koda«, kjer so hrošči, 1009 strani PDF, Doug.

---

DOUG.   [SMEH] Malo lahkotnega branja!

---

RACA.   [VZDIH] Samo nekaj lahkega branja.

Torej, dela je veliko. in veliko prostora za hrošče.

In zadnji… no, kar nekaj jih je bilo zabeleženih v zadnjih napakah, vendar sta dva dejansko dobila številki CVE.

Obstajata CVE-2023-1017 in CVE-2023-1018.

In na žalost so hrošči, ranljivosti, ki jih je mogoče požgečkati (ali doseči) z ukazi, ki bi jih lahko uporabil običajen program v uporabniškem prostoru, na primer nekaj, kar lahko zažene sistemski skrbnik ali vi sami, samo zato, da bi od TPM zahtevali, da stori nekaj varnega za vas.

Tako lahko počnete stvari, kot so: »Hej, pojdi in mi prinesi nekaj naključnih številk. Pojdi in mi sestavi kriptografski ključ. Pojdi stran in preveri ta digitalni podpis.«

In lepo je, če je to storjeno v ločenem majhnem procesorju, ki ga CPE ali operacijski sistem ne moreta motiti – to je odlična ideja.

Toda težava je v tem, da v kodi uporabniškega načina, ki pravi: "Tu je ukaz, ki vam ga predstavljam" ...

... na žalost razkrivanje parametrov, ki so posredovani za izvedbo funkcije, ki jo želite – če ujamete način, kako so ti parametri dostavljeni v TPM, ga lahko pretentate tako, da bere dodatni pomnilnik (prelivanje branja medpomnilnika) ali še huje, prepisovanje stvari, ki pripadajo naslednjemu tipu, tako rekoč.

Težko si je predstavljati, kako bi te hrošče lahko izkoristili za stvari, kot je izvajanje kode na TPM (vendar, kot smo že večkrat rekli, »nikoli ne reci nikoli«).

Vsekakor pa je jasno, da ko imate opravka z nečim, kot ste rekli na začetku, »to potrebujete, da bo vaš računalnik bolj varen. Vse je v kriptografski pravilnosti”…

...zamisel o nečem, kar bi razkrilo celo dva bajta dragocenih tajnih podatkov nekoga drugega, ki jih nihče na svetu ne bi smel vedeti?

Zamisel o uhajanju podatkov, kaj šele o prekoračitvi pisanja medpomnilnika v takem modulu, je res precej zaskrbljujoča.

To je torej tisto, kar morate popraviti.

In na žalost dokument o napakah ne pravi: »Tu so hrošči; tukaj je, kako jih pokrpaš.”

Obstaja samo opis napak in opis, kako morate spremeniti kodo.

Torej bo verjetno vsak to naredil na svoj način, nato pa se bodo te spremembe filtrirale nazaj v osrednjo referenčno izvedbo.

Dobra novica je, da obstaja implementacija TPM, ki temelji na programski opremi [libtpms] za ljudi, ki poganjajo virtualne stroje ... že so si ogledali in našli nekaj popravkov, tako da je to dobro mesto za začetek.

---

DOUG.   Lepo.

V vmesnem času preverite pri prodajalcih strojne opreme in preverite, ali imajo za vas kakšne posodobitve.

---

RACA.   Da.

---

DOUG.   Prešli bomo ... na zgodnje dni izsiljevalske programske opreme, ki je bila polna izsiljevanja, nato pa so se stvari zapletle z "dvojnim izsiljevanjem".

In veliko ljudi je pravkar bilo aretiran v shemi dvojnega izsiljevanja, kar je dobra novica!

V Nemčiji in Ukrajini aretirali osumljence izsiljevalske programske opreme DoppelPaymer

---

RACA.   Da, to je združba izsiljevalske programske opreme, znana kot DoppelPaymer. ("Doppel" pomeni podvojila v nemščini.)

Torej ideja je, da gre za dvojni udarec.

Tam premešajo vse vaše datoteke in rečejo: »Prodali vam bomo ključ za dešifriranje. In mimogrede, samo v primeru, da mislite, da bodo vaše varnostne kopije zadostovale, ali samo v primeru, da bi nam rekli, naj se izgubimo in nam ne bi plačali denarja, se zavedajte, da smo najprej ukradli tudi vse vaše datoteke. ”

"Torej, če ne plačate in se *lahko* dešifrirate sami in *lahko* rešite svoje podjetje ... bomo razkrili vaše podatke."

Dobra novica v tem primeru je, da so bili nekateri osumljenci zaslišani in aretirani ter zasežene številne elektronske naprave.

Torej, čeprav je to, če hočete, hladno tolažba za ljudi, ki so bili nekoč deležni napadov DoppelPaymer, to vsaj pomeni, da organi kazenskega pregona ne odnehajo kar tako, ko se zdi, da cybergangs sklonijo glave.

Samo v ZDA so očitno prejeli kar 40 milijonov dolarjev izsiljevanja.

In zloglasno so se lotili univerzitetne bolnišnice v Düsseldorfu v Nemčiji.

Če je v izsiljevalski programski opremi nizka točka ...

---

DOUG.   Resno!

---

RACA.   … ni dobro, da je kdo zadet, ampak ideja, da dejansko uničiš bolnišnico, zlasti učno bolnišnico?

Mislim, da je to najnižje od nizkih, kajne?

---

DOUG.   In imamo nekaj nasvetov.

Samo zato, ker so bili ti osumljenci aretirani: Ne kličite nazaj svoje zaščite.

---

RACA.   Ne, pravzaprav Europol po njihovih besedah ​​priznava: "Po poročilih se je Doppelpaymer od takrat preimenoval [v tolpo izsiljevalske programske opreme] v 'Grief'."

Težava je torej v tem, da ko ujamete nekaj ljudi v cybergangu, morda ne najdete vseh strežnikov ...

… če zasežete strežnike, ni nujno, da boste delali nazaj do posameznikov.

Deluje, vendar to ne pomeni, da je konec izsiljevalske programske opreme.

---

DOUG.   In na tej točki: Ne osredotočajte se samo na izsiljevalsko programsko opremo.

---

RACA.   Prav zares!

Mislim, da tolpe, kot je DoppelPaymer, to zelo jasno povedo, kajne?

Ko pridejo premešat vaše datoteke, so jih že ukradli.

Torej, ko dejansko dobite del z izsiljevalsko programsko opremo, so že opravili N drugih elementov kibernetske kriminalitete: vdor; pogled naokoli; verjetno odpiranje nekaj zakulisnih vrat, da se lahko pozneje vrnejo ali prodajo dostop naslednjemu tipu; in tako naprej.

---

DOUG.   Kar je povezano z naslednjim nasvetom: Ne čakajte, da se opozorila o grožnjah prikažejo na vaši nadzorni plošči.

To je morda lažje reči kot narediti, odvisno od zrelosti organizacije.

Toda pomoč je na voljo!

---

RACA.   [SMEH] Mislil sem, da boš omenil Upravljano odkrivanje in odziv Sophos za trenutek tam, Doug.

---

DOUG.   Poskušal sem ga ne prodati.

Lahko pa pomagamo!

Tam je nekaj pomoči; sporočite nam.

---

RACA.   Ohlapno rečeno, prej ko prideš tja; prej ko opaziš; bolj proaktivna je vaša preventivna varnost ...

… manjša je verjetnost, da bo kakršen koli goljuf lahko prišel do napada z izsiljevalsko programsko opremo.

In to je lahko samo dobro.

---

DOUG.   In nenazadnje: Brez obsojanja, vendar ne plačujte, če se temu sploh lahko izognete.

---

RACA.   Da, mislim, da smo dolžni to povedati.

Ker plačilo financira naslednji val kibernetske kriminalitete, zagotovo velik čas.

In drugič, morda ne boste dobili tistega, za kar ste plačali.

---

DOUG.   No, pojdimo od enega zločinskega podjetja do drugega.

In to se zgodi, ko zločinsko podjetje uporabi vsako Orodje, tehnika in postopek v knjigi!

Zvezni uradniki opozarjajo na pravo kraljevo divjanje izsiljevalske programske opreme, ki vodi celo paleto TTP-jev

---

RACA.   To je iz CISA – ZDA Agencija za kibernetsko varnost in varnost infrastrukture.

In v tem primeru, v biltenu AA23 (to je letos) dash 061A-za-alfa, govorijo o tolpi, imenovani Royal ransomware.

Royal z velikim R, Doug.

Slaba stvar pri tej združbi je, da se zdi, da njihova orodja, tehnike in postopki ustrezajo in vključujejo vse, kar je potrebno za trenutni napad.

Slikajo z zelo širokim čopičem, napadajo pa tudi z zelo globoko lopato, če razumete, kaj mislim.

To je slaba novica.

Dobra novica je, da se morate ogromno naučiti, in če vse vzamete resno, boste imeli zelo široko preprečevanje in zaščito pred ne samo napadi izsiljevalske programske opreme, ampak tudi pred tem, kar ste prej omenili v segmentu Doppelpaymer: »Ne! ne osredotočaj se samo na izsiljevalsko programsko opremo.«

Skrbi za vse druge stvari, ki vodijo do tega: zapisovanje tipk; kraja podatkov; zakulisna implantacija; kraja gesla.

---

DOUG.   V redu, Paul, povzamemo nekaj izsledkov iz nasvetov CISA, začenši z: Ti sleparji vdrejo z uporabo preizkušenih in zaupanja vrednih metod.

---

RACA.   Saj imajo!

Statistika CISA kaže, da ta združba uporablja dobro staro lažno predstavljanje, ki je uspelo v 2/3 napadov.

Ko to ne deluje dobro, gredo iskati nepopravljene stvari.

Poleg tega v 1/6 primerov še vedno lahko vstopijo z uporabo RDP ... dobrih starih napadov RDP.

Ker potrebujejo samo en strežnik, na katerega ste pozabili.

In tudi, mimogrede, CISA je poročala, da se zdi, da ko so notri, tudi če niso vstopili z uporabo RDP, še vedno ugotavljajo, da ima veliko podjetij precej bolj liberalno politiko glede dostopa do RDP * znotraj* njihovega omrežja.

[SMEH] Kdo potrebuje zapletene skripte PowerShell, kjer se lahko preprosto povežete z računalnikom nekoga drugega in preverite na svojem zaslonu?

---

DOUG.   Ko vstopijo, se kriminalci poskušajo izogniti programom, ki bi se očitno lahko pokazali kot zlonamerna programska oprema.

To je znano tudi kot "živeti od zemlje".

---

RACA.   Ne pravijo le: »No, uporabimo program PsExec družbe Microsoft Sysinternal in uporabimo ta priljubljeni skript PowerShell.

Imajo poljubno število orodij za poljubno število različnih stvari, ki so zelo uporabne, od orodij, ki odkrijejo številke IP, do orodij, ki računalnikom preprečijo spanje.

Vsa orodja, ki bi jih dobro obveščen sistemski skrbnik lahko imel in jih redno uporablja.

In ohlapno povedano, obstaja le en košček čiste zlonamerne programske opreme, ki jo ti sleparji prinesejo, in to je stvar, ki opravi končno kodiranje.

Mimogrede, ne pozabite, da če ste kriminalec z izsiljevalsko programsko opremo, vam sploh ni treba prinesti lastnega orodja za šifriranje.

Če želite, lahko uporabite program, kot je na primer WinZip ali 7-Zip, ki vključuje funkcijo »Ustvari arhiv, premakni datoteke noter« (kar pomeni, da jih izbrišeš, ko jih daš v arhiv), "in jih šifrirajte z geslom."

Dokler so prevaranti edini ljudje, ki poznajo geslo, vam lahko še vedno ponudijo, da vam ga prodajo nazaj ...

---

DOUG.   Pa še malo soli na rano: Pred šifriranjem datotek poskušajo napadalci zakomplicirati vašo pot do obnovitve.

---

RACA.   Kdo ve, ali so ustvarili nove tajne skrbniške račune?

Namenoma nameščeni strežniki z napakami?

Namenoma odstranili popravke, da bodo vedeli, kako se naslednjič vrniti?

Pustite keyloggerje, ki se bodo aktivirali v nekem trenutku v prihodnosti in povzročili, da se vaše težave začnejo znova?

In to počnejo, ker jim je v veliko korist, da ko si opomorete od napada izsiljevalske programske opreme, ne ozdravite popolnoma.

---

DOUG.   V redu, na dnu članka imamo nekaj koristnih povezav.

Ena povezava, ki vas bo vodila, da izveste več o Upravljano odkrivanje in odziv Sophos [MDR] in drugo, ki vas pripelje do Aktivni nasprotnik Playbook, ki je del, ki ga je sestavil naš John Shier.

Nekaj ​​zaključkov in spoznanj, ki jih lahko uporabite za boljšo zaščito.

Spoznaj svojega sovražnika! Naučite se, kako nasprotniki kibernetske kriminalitete pridejo v ...

---

RACA.   To je kot metarazličica tistega poročila CISA o »kraljevi izsiljevalski programski opremi«.

Gre za primere, ko žrtev ni ugotovila, da so napadalci v njihovem omrežju, dokler ni bilo prepozno, nato pa je poklicala Sophos Rapid Response in rekla: »O, hudiča, mislimo, da nas je prizadela izsiljevalska programska oprema ... ampak kaj se je še zgodilo? ”

In to je tisto, kar smo dejansko našli v resničnem življenju, v širokem razponu napadov vrste pogosto nepovezanih prevarantov.

Tako vam daje zelo, zelo široko predstavo o naboru TTP (orodij, tehnik in postopkov), ki se jih morate zavedati in pred katerimi se lahko ubranite.

Ker je dobra novica ta, da s prisiljevanjem prevarantov, da uporabljajo vse te ločene tehnike, tako da nobena od njih sama ne sproži ogromnega alarma ...

… daš si možnost, da jih zgodaj opaziš, če le [A] veš, kje iskati, in [B] najdeš čas za to.

---

DOUG.   Zelo dobro.

In imamo komentar bralca o tem članku.

Bralec Naked Security Andy sprašuje:

Kako se paketi Sophos Endpoint Protection obnesejo proti tej vrsti napadov?

Iz prve roke sem videl, kako dobra je zaščita datotek pred izsiljevalsko programsko opremo, toda če je onemogočena, preden se začne šifriranje, se mislim, da se večinoma zanašamo na zaščito pred posegi?

---

RACA.   No, upam, da ne!

Upam, da stranka Sophos Protection ne bo kar rekla: »No, zaženimo samo majhen del izdelka, ki je tam, da vas ščiti kot neke vrste limuzina Last Chance … čemur pravimo CryptoGuard.

To je modul, ki pravi: "Hej, nekdo ali nekaj poskuša premešati veliko število datotek na način, ki bi lahko bil pristen program, vendar preprosto ne izgleda pravilno."

Torej, tudi če je zakonit, bo verjetno zamočil stvari, a skoraj zagotovo vam nekdo poskuša škodovati.

---

DOUG.   Da, CryptoGuard je kot čelada, ki jo nosite, ko letite nad krmilom svojega kolesa.

Stvari so postale precej resne, če CryptoGuard začne delovati!

---

RACA.   Večina izdelkov, vključno s Sophosom danes, ima element zaščite pred posegi, ki poskuša iti še korak dlje, tako da mora celo skrbnik skočiti skozi obroče, da izklopi določene dele izdelka.

Zaradi tega je to težje sploh narediti in težje avtomatizirati, izklopiti za vse.

Ampak o tem morate razmišljati …

Če kibernetski prevaranti vstopijo v vaše omrežje in imajo v vašem omrežju resnično "enakovrednost sistemskega skrbnika"; če jim je uspelo dejansko pridobiti enaka pooblastila, kot jih imajo vaši običajni sistemski skrbniki (in to je njihov pravi cilj; to je tisto, kar si resnično želijo) ...

Glede na to, da lahko sistemski skrbniki, ki izvajajo izdelek, kot je Sophos, konfigurirajo, dekonfigurirajo in nastavijo nastavitve okolja ...

…potem, če so sleparji *sistemski skrbniki, je nekako tako, kot da so že zmagali.

In zato jih morate poiskati vnaprej!

Zato ga otežimo, kolikor je mogoče, in zagotovimo čim več slojev zaščite, upajmo, da bomo poskušali to stvar ustaviti, še preden pride.

In ko smo že pri tem, Doug (ne želim, da bi to zvenelo kot prodajna šala, ampak to je samo funkcija naše programske opreme, ki mi je zelo všeč) ...

Imamo, čemur jaz pravim, komponento »aktivnega nasprotnika«!

Z drugimi besedami, če zaznamo vedenje v vašem omrežju, ki močno nakazuje stvari, ki jih vaši sistemski skrbniki na primer ne bi storili ali ne bi naredili tako ...

…»aktivni nasprotnik nasprotnik« pravi: »Veš kaj? Ravno v tem trenutku bomo povečali zaščito na višje ravni, kot bi jih običajno prenašali.«

In to je odlična lastnost, saj pomeni, da vam ni treba čakati, da opazite in se *nato* odločite: »Katere številčnice naj spremenimo?«

Doug, to je bil precej dolg odgovor na na videz preprosto vprašanje.

A naj le preberem, kaj sem napisal v odgovoru na komentar o Goli varnosti:

Naš cilj je, da smo ves čas pozorni in posredujemo čim prej, samodejno, čim bolj varno in odločno – za vse vrste kibernetskih napadov, ne le za izsiljevalsko programsko opremo.

---

DOUG.   V redu, dobro povedano!

Najlepša hvala, Andy, da si to poslal.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.

Lahko pošljete e-pošto na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas obiščete na družabnem omrežju: @NakedSecurity.

To je naša današnja predstava; najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth, da vas spomnim. Do naslednjič, do…

---

OBOJE.   Bodite varni!

[GLASBENI MODEM]