S3 Ep125: Якщо апаратне забезпечення безпеки має отвори в системі безпеки [Аудіо + текст]

S3 Ep125: Якщо апаратне забезпечення безпеки має отвори в системі безпеки [Аудіо + текст]

Мітка часу: 9 березня 2023 1:58
S3 Ep125: Коли апаратне забезпечення безпеки має діри в безпеці [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.
by Пол Даклін

ВИ ПОВИННІ МАТИ ЦЕЙ ЧІП! НАВІТЬ ЯКЩО В ньому Є ПОМИЛКИ!

Спогади про Мікеланджело (вірус, а не художник). Помилки витоку даних ТРМ 2.0. програми-вимагачі бюст, програми-вимагачі попередження, а також поради щодо боротьби з програмами-вимагачами.

Нижче немає аудіоплеєра? Слухай безпосередньо на Soundcloud.

З Дугом Амотом і Полом Дакліном. Вступна та кінцева музика Едіт Мадж.

Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.

ПРОЧИТАЙТЕ СКРИПТ

ДУГ.   Програми-вимагачі, інші програми-вимагачі та вразливості TPM.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Павле, як ти сьогодні?

КАЧКА.   Сніг і мокрий сніг, Дуг.

Тож до студії було холодно.

Я використовую повітряні цитати… не для «їзди», для «студії».

Це не зовсім студія, але це *моя* студія!

Маленьке секретне місце в штаб-квартирі Sophos для запису подкасту.

І тут чудово і тепло, Дуг!

ДУГ.   Гаразд, якщо хтось слухає… завітайте на екскурсію; Пол із задоволенням проведе вас навколо.

І я так схвильований Цей тиждень з історії технологій, Павло.

Цього тижня, 06 березня 1992 року, неактивний вірус завантажувального сектора Michelangelo ожив, перезаписуючи сектори жорстких дисків своїх жертв.

Напевно, це означало кінець світу для комп’ютерів повсюди, оскільки ЗМІ спотикалися об себе, щоб попередити людей про неминучу загибель?

Однак, згідно зі звітом конференції Virus Bulletin 1994 року, я цитую:

Пол Даклін, енергійний і цікавий спікер, твердо переконаний, що багато в чому зусилля корпорацій і засобів масової інформації щодо навчання не досягли мети..

Павле, ти був там, чоловіче!

КАЧКА.   Я був, Дуг.

За іронією долі, 6 березня було єдиним днем, коли Мікеланджело не був вірусом.

В усі інші дні він поширювався просто як лісова пожежа.

Але 06 березня пролунало: «Ага! Це день корисного навантаження!»

А на жорсткому диску він проходив би через перші 256 доріжок, перші 4 головки, 17 секторів на доріжку… що було майже «нижнім лівим кутом», якщо хочете, кожної сторінки більшості використовуваних жорстких дисків в той час.

Отже, це займе приблизно 8.5 Мбайт шматка з вашого жорсткого диска.

Він не лише забрав багато даних, він зіпсував такі речі, як таблиці розміщення файлів.

Тож ви могли відновити деякі дані, але це було величезне та непевне зусилля для кожного окремого пристрою, який ви хотіли спробувати відновити.

Це стільки ж роботи для другого комп’ютера, скільки для першого, для третього комп’ютера, як і для другого… дуже, дуже важко автоматизувати.

На щастя, як ви сказали, це було дуже розкручено в ЗМІ.

Насправді, як я розумію, вірус вперше проаналізував покійний Роджер Ріордан, який був відомим австралійським антивірусним дослідником у 1990-х роках, і насправді він натрапив на нього в лютому 1991 року.

І він балакав зі своїм приятелем, я думаю, про це, і його друг сказав: «О, 6 березня, це мій день народження. Чи знаєте ви, що сьогодні також день народження Мікеланджело?»

Тому що я припускаю, що люди, які народилися 6 березня, можуть просто знати, що...

Звичайно, це було таке модне та круте ім’я… і через рік, коли воно мало шанс поширитися і, як ви сказали, часто лежало бездіяльним, саме тоді воно повернулося.

Це не вразило мільйони комп’ютерів, як, здається, боялися ЗМІ, і як любив казати покійний Джон Макафі, але це холодна втіха для тих, хто постраждав, тому що ви майже втратили все.

Не зовсім усе, але це мало коштувати вам невелику суму, щоб отримати частину цього назад… можливо, не повністю, можливо, ненадійно.

І погана річ у цьому полягала в тому, що він поширювався на дискетах; і тому, що він поширився в завантажувальному секторі; і тому, що в ті часи майже кожен комп’ютер завантажувався з дисковода, якби в ньому просто був диск; і тому, що навіть в іншому випадку чисті дискети мали завантажувальний сектор, і будь-який код там запускався, навіть якщо все, до чого це призводило, було повідомлення типу «Несистемний диск або помилка диска, замініть і повторіть спробу»…

…тоді було вже пізно.

Отже, якщо ви помилково залишили диск у приводі, тоді, коли ви ввімкнули живлення наступного ранку, до того моменту, коли ви побачили це повідомлення «Несистемний диск або помилка диска» і подумали: «О, я вийму дискету вийти та перезавантажити завантаження з жорсткого диска»…

…на той час вірус уже був на вашому жорсткому диску, і він поширювався на кожну дискету, яку ви мали.

Таким чином, навіть якщо у вас був вірус, а потім ви його видалили, якщо ви не переглянули весь свій корпоративний запас дискет, там мала б бути Тифозна Мері, яка могла б знову занести його в будь-який момент.

ДУГ.   Є захоплююча історія.

Я радий, що ви були поруч і допомогли трішки очистити це!

І ще трохи приберемо.

Цей модуль довіреної платформи… іноді викликає суперечки.

Що відбувається, коли код, необхідний для захисту вашої машини, є сам уразливий, Пол?

Серйозна безпека: вразливі зони TPM 2.0 – ваші надзахищені дані під загрозою?

КАЧКА.   Якщо ви хочете зрозуміти всю цю справу з TPM, яка звучить як чудова ідея, чи не так… є така маленька дочірня плата, яку ви підключаєте до крихітного маленького слота на материнській платі (або, можливо, вона вже вбудована), і вона має один крихітний маленький спеціальний чіп співпроцесора, який просто виконує ці основні криптографічні речі.

Безпечне завантаження; цифрові підписи; надійне сховище для криптографічних ключів... тож за своєю суттю це непогана ідея.

Проблема в тому, що ви можете собі уявити, що, оскільки це такий крихітний пристрій, і він має лише цей базовий код, напевно, його досить легко зняти та зробити простим?

Що ж, лише специфікації для Trusted Platform Module, або TPM… у них разом: 306 сторінок, 177 сторінок, 432 сторінки, 498 сторінок, 146 сторінок, і великий поганий хлопець наприкінці, «Частина четверта: Підтримка процедур – Код», де є помилки, 1009 сторінок PDF, Doug.

ДУГ.   [СМІЄТЬСЯ] просто легке читання!

КАЧКА.   [ЗІТХАННЯ] Просто легке читання.

Отже, роботи багато. і багато місця для жуків.

А останні… ну, є чимало таких, які були зазначені в останніх помилках, але двоє з них насправді отримали номери CVE.

Є CVE-2023-1017 і CVE-2023-1018.

І, на жаль, це помилки, вразливості, які можна виправити (або досягти) за допомогою команд, які може використовувати звичайна програма з простору користувача, як-от те, що може запустити системний адміністратор або ви самі, просто щоб попросити TPM виконати щось безпечне для вас.

Тож ви можете робити щось на зразок, наприклад, «Гей, піди і принеси мені випадкові числа. Піди і створи мені криптографічний ключ. Ідіть і перевірте цей цифровий підпис».

І добре, якщо це робиться в окремому маленькому процесорі, з яким не можуть возитися центральний процесор чи операційна система – це чудова ідея.

Але проблема полягає в тому, що в коді режиму користувача, який говорить: «Ось команда, яку я вам представляю»…

…на жаль, розгадування параметрів, які передаються для виконання потрібних вам функцій – якщо ви замінуєте спосіб, у який ці параметри доставляються до TPM, ви можете змусити його або зчитувати додаткову пам’ять (переповнення читання буфера), або що ще гірше, перезаписуючи речі, які належать наступному хлопцеві.

Важко зрозуміти, як ці помилки можна використати для таких речей, як виконання коду на TPM (але, як ми неодноразово говорили, «ніколи не кажи ніколи»).

Але, безперечно, зрозуміло, що коли ви маєте справу з чимось, що, як ви сказали на початку: «Вам це потрібно, щоб зробити ваш комп’ютер більш безпечним. Вся справа в криптографічній коректності»…

…ідея про витік навіть двох байтів чиїхось дорогоцінних секретних даних, яких ніхто у світі не повинен знати?

Ідея витоку даних, не кажучи вже про переповнення буфера запису в такому модулі, справді викликає занепокоєння.

Отже, це те, що вам потрібно залатати.

І, на жаль, у документі з виправленнями не сказано: «Ось помилки; ось як їх залатати».

Там лише опис помилок і опис того, як ви повинні змінити свій код.

Тож, імовірно, кожен робитиме це по-своєму, а потім ці зміни будуть відфільтровані назад до центральної еталонної реалізації.

Хороша новина полягає в тому, що існує програмна реалізація TPM [libtpms] для людей, які керують віртуальними машинами… вони вже подивилися та знайшли деякі виправлення, тож це гарне місце для початку.

ДУГ.   Прекрасна.

Тим часом зверніться до постачальників апаратного забезпечення та перевірте, чи є у них якісь оновлення для вас.

КАЧКА.   Так.

ДУГ.   Ми перейдемо далі… до перших днів програм-вимагачів, які були сповнені здирництва, а потім усе ускладнилося з «подвійним вимаганням».

І купа людей щойно була арештований у схемі подвійного вимагання, що є гарною новиною!

У Німеччині та Україні заарештовано підозрілих програм-здирників DoppelPaymer

КАЧКА.   Так, це банда програм-вимагачів, відома як DoppelPaymer. («Допель» означає подвійний німецькою.)

Отже, ідея полягає в тому, що це подвійний удар.

Там вони зашифровують усі ваші файли і кажуть: «Ми продамо вам ключ дешифрування. І, до речі, на той випадок, якщо ви вважаєте, що ваші резервні копії підійдуть, або на той випадок, якщо ви думаєте сказати нам, щоб ми заблукали й не платили нам гроші, пам’ятайте, що ми також спершу вкрали всі ваші файли. »

«Отже, якщо ви не платите, і ви *можете* розшифрувати самостійно і *можете* врятувати свій бізнес… ми збираємося витік ваших даних».

Доброю новиною в цій справі є те, що деяких підозрюваних допитано та заарештовано, а багато електронних пристроїв вилучено.

Тож хоча це, якщо хочете, холодна втіха для людей, які свого часу зазнали атак DoppelPaymer, це принаймні означає, що правоохоронні органи не здаються просто так, коли кібербанди опускають голови.

Очевидно, лише в Сполучених Штатах вони отримали 40 мільйонів доларів у вигляді шантажу.

І, як відомо, вони переслідували університетську лікарню в Дюссельдорфі в Німеччині.

Якщо є низька точка програми-вимагача…

ДУГ.   Серйозно!

КАЧКА.   …не те, що це добре, що хтось отримує удари, але ідея, що ви справді забираєте лікарню, особливо навчальну лікарню?

Я думаю, що це найнижче з низьких, чи не так?

ДУГ.   І у нас є кілька порад.

Просто тому, що цих підозрюваних заарештовано: Не відмовляйтеся від захисту.

КАЧКА.   Ні, насправді Європол визнає, за їхніми словами: «Згідно з повідомленнями, Doppelpaymer з тих пір перейменувала [у групу програм-вимагачів] під назву «Grief».

Отже, проблема полягає в тому, що коли ви ловите кількох людей у ​​кібербанді, ви, можливо, не знайдете всі сервери…

…якщо ви захоплюєте сервери, ви не обов’язково зможете працювати у зворотному напрямку з окремими особами.

Це завдає шкоди, але це не означає, що програми-вимагачі закінчилися.

ДУГ.   І з цього приводу: Не зациклюйтесь лише на програмах-вимагачах.

КАЧКА.   Дійсно!

Я думаю, що такі банди, як DoppelPaymer, це абсолютно ясно, чи не так?

До того моменту, як вони прийшли перешифрувати ваші файли, вони вже їх вкрали.

Отже, до того моменту, як ви фактично отримаєте частину програми-вимагача, вони вже зробили N інших елементів кіберзлочинності: злом; оглядання навколо; ймовірно, відкрити пару бекдорів, щоб вони могли повернутися пізніше, або продати доступ до наступного хлопця; і так далі.

ДУГ.   Що вписується в наступну пораду: Не чекайте, поки на вашій інформаційній панелі з’являться сповіщення про загрози.

Можливо, це легше сказати, ніж зробити, залежно від зрілості організації.

Але допомога є!

КАЧКА.   [СМІЄТЬСЯ] Я думав, ти збираєшся згадати Кероване виявлення та реагування Sophos на мить там, Дуг.

ДУГ.   Я намагався не продавати його.

Але ми можемо допомогти!

Там є допомога; дайте нам знати.

КАЧКА.   Грубо кажучи, чим раніше ви потрапите туди; чим раніше ви помітите; тим проактивніше ваша превентивна безпека...

… тим менша ймовірність того, що будь-які шахраї зможуть дійти до атаки програм-вимагачів.

І це може бути тільки добре.

ДУГ.   І останнє, але не менш важливе: Не засуджуйте, але не платіть, якщо можете цього уникнути.

КАЧКА.   Так, я думаю, що ми зобов’язані це сказати.

Тому що виплата коштів наступній хвилі кіберзлочинності, безсумнівно, велика.

А по-друге, ви можете отримати не те, за що платите.

ДУГ.   Ну що ж, переходимо від одного злочинного підприємства до іншого.

І ось що відбувається, коли злочинна компанія використовує кожен Інструмент, техніка та процедура в книзі!

Федеральні агенти попереджають про правильний розгул програм-вимагачів Royal, які користуються гамою TTP

КАЧКА.   Це з CISA – США Агентство з питань кібербезпеки та безпеки інфраструктури.

І в цьому випадку, у бюлетені AA23 (це цього року) тире 061A-для-альфа, вони говорять про банду під назвою Royal ransomware.

Роял з великої літери Р, Дуг.

Погана річ у цій банді полягає в тому, що їхні інструменти, методи та процедури, здається, «доповнюють усе, що необхідно для поточної атаки».

Вони малюють дуже широким пензлем, але також атакують дуже глибокою лопатою, якщо ви розумієте, про що я.

Це погана новина.

Хороша новина полягає в тому, що є дуже багато чому навчитися, і якщо ви сприймете все це серйозно, ви матимете дуже широку профілактику та захист не лише від атак програм-вимагачів, але й від того, що ви згадували раніше в сегменті Doppelpaymer: «Не не просто зациклюватися на програмах-вимагачах».

Турбуйтеся про всі інші речі, які призводять до цього: клавіатурний журнал; викрадення даних; бекдорна імплантація; крадіжка пароля.

ДУГ.   Гаразд, Пол, давайте підсумуємо деякі висновки з порад CISA, починаючи з: Ці шахраї зламуються, використовуючи перевірені й надійні методи.

КАЧКА.   Вони роблять!

Статистика CISA показує, що саме ця банда використовує старий добрий фішинг, який вдався у 2/3 атак.

Коли це не працює належним чином, вони йдуть шукати невиправлені речі.

Крім того, у 1/6 випадків вони все ще можуть потрапити за допомогою RDP… старих добрих RDP-атак.

Тому що їм потрібен лише один сервер, про який ви забули.

І також, до речі, CISA повідомила, що коли вони ввійшли всередину, навіть якщо вони не використовували RDP, здається, що вони все одно виявляють, що багато компаній дотримуються більш ліберальної політики щодо доступу до RDP * всередині* своєї мережі.

[СМІЄТЬСЯ] Кому потрібні складні сценарії PowerShell, де можна просто підключитися до чужого комп’ютера та перевірити це на власному екрані?

ДУГ.   Потрапивши в систему, зловмисники намагаються уникнути програм, які явно можуть виявитися шкідливими.

Це також відоме як «жити за рахунок землі».

КАЧКА.   Вони не просто кажуть: «Ну добре, давайте скористаємося програмою PsExec від Microsoft Sysinternal і скористаємося цим одним популярним сценарієм PowerShell.

Вони мають будь-яку кількість інструментів, щоб робити будь-яку кількість різноманітних справ, які є дуже корисними, від інструментів, які визначають IP-номера, до інструментів, які перешкоджають сплячому режиму комп’ютерів.

Усі інструменти, які добре поінформований системний адміністратор цілком може мати та регулярно використовувати.

І, грубо кажучи, ці шахраї приносять лише один шматок чистого зловмисного програмного забезпечення, і це те, що виконує остаточне кодування.

До речі, не забувайте, що якщо ви злочинець із програмами-вимагачами, вам навіть не потрібно мати власний інструментарій шифрування.

Ви можете, якщо хочете, використати програму на кшталт, скажімо, WinZip або 7-Zip, яка містить функцію «Створити архів, перемістити файли» (що означає видалення їх після розміщення в архіві), «і зашифрувати їх паролем».

Поки шахраї є єдиними людьми, які знають пароль, вони можуть запропонувати продати його вам назад…

ДУГ.   І просто щоб підсолити рану: Перед шифруванням файлів зловмисники намагаються ускладнити вам шлях до відновлення.

КАЧКА.   Хто знає, чи створили вони нові секретні облікові записи адміністратора?

Свідомо встановлені глючні сервери?

Навмисно видалили патчі, щоб вони знали спосіб повернутися наступного разу?

Залишили клавіатурні шпигуни позаду, де вони активуються в якийсь майбутній момент і змусять вас почати все спочатку?

І вони роблять це тому, що їм дуже вигідно, що коли ви оговтуєтеся від атаки програм-вимагачів, ви не одужаєте повністю.

ДУГ.   Гаразд, ми маємо кілька корисних посилань внизу статті.

Одне посилання, за яким ви зможете дізнатися більше Кероване виявлення та реагування Sophos [MDR] і інший, який веде вас до Active Adversary Playbook, який зібрав наш власний Джон Шиєр.

Деякі висновки та ідеї, які ви можете використати, щоб покращити свій захист.

Знай свого ворога! Дізнайтеся, як кіберзлочинці потрапляють у…

КАЧКА.   Це схоже на мета-версію звіту CISA «Королівське програмне забезпечення-вимагач».

Бувають випадки, коли жертва не усвідомлювала, що зловмисники були в її мережі, доки не ставало надто пізно, а потім дзвонила в службу швидкого реагування Sophos і сказала: «О, боже, ми думаємо, що нас вразило програмне забезпечення-вимагач… але що ще сталося?» »

І це те, що ми фактично виявили в реальному житті в широкому спектрі атак низки часто непов’язаних шахраїв.

Таким чином, це дає вам дуже, дуже широке уявлення про діапазон TTP (інструментів, методів і процедур), про які вам потрібно знати та від яких ви можете захиститися.

Тому що хороша новина полягає в тому, що, змусивши шахраїв використовувати всі ці окремі методи, щоб жоден із них не викликав масову тривогу сам по собі…

…ви даєте собі бойовий шанс помітити їх завчасно, якщо тільки ви [A] знаєте, де шукати, і [B] можете знайти для цього час.

ДУГ.   Дуже добре.

І у нас є коментар читача до цієї статті.

Читач Naked Security Енді запитує:

Як пакети Sophos Endpoint Protection протистоять цьому типу атак?

Я бачив на власні очі, наскільки хороший захист файлів від програм-вимагачів, але якщо його вимкнути до початку шифрування, я думаю, ми здебільшого покладаємось на захист від змін?

КАЧКА.   Ну, я сподіваюся, що ні!

Я сподіваюся, що клієнт Sophos Protection не просто скаже: «Ну, давайте запустимо лише крихітну частину продукту, який існує, щоб захистити вас, як свого роду салон Last Chance… те, що ми називаємо CryptoGuard.

Це модуль, який каже: «Хтось або щось намагається зашифрувати велику кількість файлів у спосіб, який може бути справжньою програмою, але це виглядає не так».

Отже, навіть якщо це законно, це, ймовірно, зіпсує ситуацію, але майже напевно хтось намагається завдати вам шкоди.

ДУГ.   Так, CryptoGuard схожий на шолом, який ви носите, коли летите над кермом свого велосипеда.

Якщо CryptoGuard починає діяти, ситуація стає досить серйозною!

КАЧКА.   Більшість продуктів, включаючи Sophos сьогодні, мають елемент Tamper Protection, який намагається піти на крок далі, так що навіть адміністратору доводиться стрибати через обручі, щоб вимкнути певні частини продукту.

Це ускладнює це взагалі, і важче автоматизувати, вимкнути це для всіх.

Але ви повинні подумати про це…

Якщо кібершахраї проникають у вашу мережу, і вони справді мають «еквівалентність системного адміністратора» у вашій мережі; якщо їм вдалося фактично отримати ті самі повноваження, які мають ваші звичайні системні адміністратори (і це їх справжня мета; саме цього вони дійсно хочуть)…

З огляду на те, що системні адміністратори, які запускають такий продукт, як Sophos, можуть налаштовувати, деконфігурувати та встановлювати параметри середовища…

…тоді, якщо шахраї *є* системними адміністраторами, це ніби вони вже виграли.

А тому їх потрібно знайти заздалегідь!

Тож ми робимо це якомога складнішим і надаємо якомога більше рівнів захисту, сподіваємося, щоб спробувати зупинити це ще до того, як воно з’явиться.

І поки ми про це, Дуг (я не хочу, щоб це звучало як продажна шпілька, але це лише функція нашого програмного забезпечення, яка мені подобається)…

У нас є те, що я називаю компонентом «активного супротивника»!

Іншими словами, якщо ми виявимо поведінку у вашій мережі, яка вказує на те, наприклад, що ваші системні адміністратори не робили б або не робили б таким чином...

…"активний супротивник супротивник" каже: "Знаєте що? На даний момент ми збираємося збільшити захист до вищого рівня, ніж ви зазвичай терпите».

І це чудова функція, тому що це означає, що якщо шахраї все-таки проникнуть у вашу мережу та почнуть намагатися робити неприємні речі, вам не доведеться чекати, доки ви це помітите, а потім вирішувати: «Які циферблати нам змінити?»

Даг, це була досить довга відповідь на, здавалося б, просте запитання.

Але дозвольте мені просто зачитати те, що я написав у своїй відповіді на коментар до Naked Security:

Наша ціль — бути постійно пильними та втручатися якомога раніше, автоматично, безпечно та рішуче, наскільки це можливо — для всіх видів кібератак, а не лише для програм-вимагачів.

ДУГ.   Добре, добре сказано!

Дуже дякую, Енді, що надіслав це.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або ви можете звернутися до нас у соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні; дуже дякую, що вислухали.

Для Пола Дакліна я Даг Аамот, нагадую. До наступного разу, щоб…

ОБИМ.   Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]

Часова мітка:

Більше від Гола безпека