S3 Ep113: Розробка ядра Windows – шахраї, які обдурили Microsoft [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Шпигунське програмне забезпечення для бездротового зв’язку, сканування кредитної картки та безліч виправлень.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Павло, як справи?

---

КАЧКА.  Я дуже добре, Дуг.

Холодно, але добре.

---

ДУГ.  Тут теж мороз, і всі хворі… але тобі грудень.

Говорячи про грудень, ми хочемо почати шоу з нашого Цей тиждень з історії технологій сегмент.

Цього тижня у нас є захоплююча новина – 16 грудня 2003 року тодішній президент США Джордж Буш підписав закон про CAN-SPAM.

Бекронім для контроль за нападом на незамовлену порнографію та маркетинг, CAN-SPAM вважався відносно беззубим через такі причини, як відсутність згоди одержувачів на отримання маркетингової електронної пошти та заборона особам подавати до суду на спамерів.

Вважалося, що до 2004 року менше 1% спаму насправді відповідало Закону.

---

КАЧКА.  Так, це легко сказати заднім числом…

…але, як дехто з нас тоді жартував, ми думали, що вони назвали це CAN-SPAM, тому що це *саме* те, що ви можете зробити. [СМІХ]

---

ДУГ.  «ВИ МОЖЕТЕ розсилати спам!»

---

КАЧКА.  Я думаю, ідея була така: «Давайте почнемо з дуже м’якого підходу».

[ПРИВІДНИЙ ТОН] Тож це був початок, щоправда, не дуже.

---

ДУГ.  [СМІЄТЬСЯ] Ми дійдемо туди зрештою.

Говорячи про погане і гірше…

…Microsoft Patch Tuesday – тут нічого не дивитися, якщо не вважати a підписаний шкідливий драйвер ядра?!

Зловмисне програмне забезпечення з підписаним драйвером просувається вгору по ланцюжку довіри програмного забезпечення

---

КАЧКА.  Що ж, насправді кілька – команда швидкого реагування Sophos знайшла ці артефакти під час зіткнень.

Не тільки Sophos – принаймні дві інші дослідницькі групи з кібербезпеки, зазначені Microsoft, нещодавно натрапили на такі речі: драйвери ядра, які фактично отримали цифрову печатку схвалення Microsoft.

Корпорація Майкрософт тепер має консультацію, яка звинувачує партнерів-шахраїв.

Чи справді вони створили компанію, яка вдавала, що виробляє апаратне забезпечення, особливо для того, щоб приєднатися до програми драйверів з наміром непомітно впроваджувати хитрі драйвери ядра?

Чи вони підкупили компанію, яка вже була частиною програми, щоб грати з ними?

Чи вони зламали компанію, яка навіть не усвідомлювала, що її використовували як засіб для того, щоб сказати Microsoft: «Гей, нам потрібно створити цей драйвер ядра – ви його сертифікуєте?»…

Звичайно, проблема із сертифікованими драйверами ядра полягає в тому, що вони мають бути підписані корпорацією Майкрософт, і оскільки підпис драйверів є обов’язковим у Windows, це означає, що якщо ви можете підписати свій драйвер ядра, вам не потрібні хаки чи вразливості чи експлойти, щоб мати можливість завантажити його як частину кібератаки.

Ви можете просто встановити драйвер, і система повідомить: «Ну добре, він підписаний. Тому його можна завантажити».

І, звісно, ​​ви можете завдати набагато більшої шкоди, перебуваючи всередині ядра, ніж коли ви «просто» адміністратор.

Зокрема, ви отримуєте інсайдерський доступ до керування процесами.

Як адміністратор ви можете запустити програму, яка каже: «Я хочу припинити роботу програми XYZ», яка може бути, скажімо, антивірусом або інструментом пошуку загроз.

І ця програма може протистояти закриттю, тому що, якщо припустити, що вона також має рівень адміністратора, жоден процес не може абсолютно претендувати на першість над іншим.

Але якщо ви перебуваєте всередині операційної системи, саме вона запускає та завершує процеси, тож ви отримуєте набагато більше можливостей для знищення таких речей, як програмне забезпечення безпеки…

…і, ​​очевидно, саме це робили ці шахраї.

У «історії, що повторюється», я пам’ятаю, багато років тому, коли ми досліджували програмне забезпечення, яке шахраї використовували для завершення програм безпеки, вони зазвичай мали списки від 100 до 200 процесів, які вони хотіли знищити: операційна система процеси, антивірусні програми від 20 різних постачальників, усе таке.

І цього разу, я думаю, було 186 програм, які їхні драйвери мали знищити.

Тож для Microsoft трохи збентежено.

На щастя, тепер вони виключили цих шахраїв-кодувальників зі своєї програми розробників і заблокували принаймні всі відомі хитрі драйвери.

---

ДУГ.  Так що це ще не все виявлено у вівторок оновлення.

Були також деякі нульові дні, деякі помилки RCE та інші подібні речі:

Вівторок виправлення: 0 днів, помилки RCE та цікава історія про підписане зловмисне програмне забезпечення

---

КАЧКА.  Так.

На щастя, помилки нульового дня, виправлені цього місяця, не були так званими RCE або віддалене виконання коду отвори.

Тому вони не дали прямого маршруту для зовнішніх зловмисників, щоб просто заскочити у вашу мережу та запустити все, що їм заманеться.

Але в DirectX була помилка драйвера ядра, яка дозволяла тим, хто вже користувався вашим комп’ютером, рекламувати себе, щоб отримати повноваження на рівні ядра.

Тож це схоже на власний підписаний драйвер – ви *знаєте*, що можете його завантажити.

У цьому випадку ви використовуєте помилку в надійному драйвері, який дозволяє вам виконувати дії всередині ядра.

Очевидно, це те, що перетворює кібератаку, яка вже є поганою новиною, у щось дуже, дуже набагато гірше.

Тож ви точно хочете виправити проти цього.

Інтригуюче те, що здається, що це стосується лише останньої збірки, тобто 2022H2 (друге півріччя це те, що означає H2) Windows 11.

Ви точно хочете переконатися, що у вас це є.

І була інтригуюча помилка в Windows SmartScreen, який, по суті, є інструментом фільтрації Windows, який, коли ви намагаєтеся завантажити щось, що може бути або є небезпечним, дає вам попередження.

Отже, очевидно, якщо шахраї знайшли: «О, ні! У нас була атака зловмисного програмного забезпечення, і вона працювала дуже добре, але тепер Smart Screen блокує її, що ми будемо робити?»…

…або вони можуть втекти та створити нову атаку, або вони можуть знайти вразливе місце, яке дозволяє їм обійти Smart Screen, щоб попередження не з’являлося.

І саме це сталося в CVE-2022-44698, Дуглас.

Отже, це нульові дні.

Як ви сказали, є кілька помилок у віддаленому виконанні коду, але жодна з них не існує в природі.

Якщо ви виправляєтеся проти них, ви випереджаєте шахраїв, а не просто наздоганяєте.

---

ДУГ.  Гаразд, зупинимося на темі патчів…

…і мені подобається перша частина цього headline.

Там просто написано: «Apple виправляє все»:

Apple виправляє все, нарешті розкриває таємницю iOS 16.1.2

---

КАЧКА.  Так, я не міг придумати спосіб перерахувати всі операційні системи в 70 символів або менше. [СМІХ]

Тому я подумав: «Ну, це буквально все».

І проблема в тому, що минулого разу, коли ми писали про оновлення Apple, воно було тільки iOS (iPhone) і лише iOS 16.1.2:

Apple випускає оновлення системи безпеки iOS, яке є більш стриманим, ніж будь-коли

Отже, якщо у вас була iOS 15, що вам було робити?

Ви були в групі ризику?

Чи збиралися ви отримати оновлення пізніше?

Цього разу новина про останнє оновлення нарешті вийшла в прайку.

Схоже, Дуг, причина того, що ми отримали оновлення iOS 16.1.2, полягає в тому, що існував експлойт у дикій природі, тепер відомий як CVE-2022-42856, і це була помилка в WebKit, механізмі веб-рендерингу всередині операційних систем Apple.

І, очевидно, ця помилка може бути викликана просто спонуканням вас переглянути якийсь мінований вміст – те, що в торгівлі відомо як Driveby встановити, де ви просто кидаєте погляд на сторінку, і у фоновому режимі встановлюється зловмисне програмне забезпечення.

Тепер, мабуть, знайдений експлойт працював тільки на iOS.

Мабуть, тому Apple не поспішала випускати оновлення для всіх інших платформ, хоча macOS (усі три підтримувані версії), tvOS, iPadOS… усі вони насправді містили цю помилку.

Єдиною системою, яка цього не зробила, була watchOS.

Отже, ця помилка була майже в усьому програмному забезпеченні Apple, але, очевидно, її можна було використати, наскільки вони знали, лише через експлойт у дикій природі в iOS.

Але зараз, як не дивно, вони кажуть: «Тільки на iOS до 15.1», що змушує вас запитати: «Чому в такому випадку вони не випустили оновлення для iOS 15?»

Ми просто не знаємо!

Можливо, вони сподівалися, що якщо вони випустять iOS 16.1.2, деякі люди з iOS 15 все одно оновляться, і це вирішить проблему?

Або, можливо, вони ще не були впевнені, що iOS 16 не є вразливою, і було швидше та простіше випустити оновлення (для чого у них є чітко визначений процес), ніж провести достатньо тестів, щоб визначити, що помилка може не можна легко використовувати в iOS 16.

Ми, напевно, ніколи не дізнаємося, Дуг, але у всьому цьому є досить захоплююча передісторія!

Але справді, як ви сказали, є оновлення для всіх, хто має продукт із логотипом Apple.

Отже: не зволікайте/Зробіть це сьогодні.

---

ДУГ.  Давайте перейдемо до наших друзів з Університету Бен-Гуріона… вони знову до цього.

Вони розробили шпигунське програмне забезпечення для бездротового зв’язку – дуже гарне бездротовий шпигунський трюк:

COVID-bit: трюк бездротового шпигунського програмного забезпечення з невдалою назвою

---

КАЧКА.  Так… Я не впевнений щодо імені; Я не знаю, що вони там думали.

Вони назвали це COVID-bit.

---

ДУГ.  Трохи дивно.

---

КАЧКА.  Я думаю, що всі ми так чи інакше постраждали від COVID…

---

ДУГ.  Може, це все?

---

КАЧКА.  Команда COV покликаний виступати за приховано, і не кажуть що ID-bit виступає за.

Я здогадався, що це може бути «розкриття інформації по крупицях», але все одно це захоплива історія.

Ми любимо писати про дослідження, які проводить цей відділ, тому що, хоча для більшості з нас це трохи гіпотетично...

…вони шукають, як порушити мережеві повітряні щілини, де ви запускаєте безпечну мережу, яку ви навмисно тримаєте окремо від усього іншого.

Отже, для більшості з нас це не є великою проблемою, принаймні вдома.

Але вони дивляться на те, що *навіть якщо ви фізично відокремите одну мережу від іншої*, а в наші дні підете і вирвете всі бездротові карти, карти Bluetooth, карти Near Field Communications або переріжете дроти та зламаєте контури на друкованій платі, щоб припинити роботу будь-якого бездротового з’єднання…

…чи все ще існує спосіб, через який або зловмисник, який отримує одноразовий доступ до захищеної зони, або корумпований інсайдер, можуть витікати дані у здебільшого невідстежуваний спосіб?

І, на жаль, виявляється, що повністю відгородити одну мережу комп’ютерного обладнання від іншої набагато складніше, ніж ви думаєте.

Постійні читачі знатимуть, що ми писали про купу речей, які ці хлопці придумали раніше.

У них є GAIROSCOPE, де ви фактично перепрофілюєте мобільний телефон чіп компаса як мікрофон низької точності.

---

ДУГ.  [СМІЄТЬСЯ] Я пам'ятаю це:

Порушення безпеки повітряного зазору: використання гіроскопа телефону як мікрофона

---

КАЧКА.  Оскільки ці мікросхеми досить добре сприймають вібрацію.

У них є ЛАНТЕНА, через яку ви подаєте сигнали до дротової мережі, яка знаходиться всередині безпечної зони, і мережеві кабелі фактично діють як мініатюрні радіостанції.

Вони просочують рівно стільки електромагнітного випромінювання, щоб ви могли отримати його за межами безпечної зони, тому вони використовують дротову мережу як бездротовий передавач.

І в них була штука, яку вони жартома назвали FANSMITTER, і тут ви говорите: «Ну, ми можемо зробити звукові сигнали? Очевидно, якщо ми просто гратимемо мелодії через динамік, наприклад [шуми набору номера] біп-біп-біп-біп-біп, це буде досить очевидно».

Але що, якщо ми змінюємо навантаження на процесор, щоб вентилятор пришвидшувався та сповільнювався – чи можемо ми використати зміна швидкості вентилятора майже як сигнал семафора?

Чи можна використовувати вентилятор вашого комп’ютера, щоб шпигувати за вами?

І під час цієї останньої атаки вони подумали: «Як інакше ми можемо перетворити щось всередині майже кожного комп’ютера у світі, щось, що здається достатньо невинним… як ми можемо перетворити це на радіостанцію з дуже, дуже низькою потужністю?»

І в цьому випадку вони змогли це зробити за допомогою джерела живлення.

Вони змогли зробити це в Raspberry Pi, у ноутбуці Dell і в різноманітних настільних ПК.

Вони використовують власне джерело живлення комп’ютера, яке, по суті, виконує дуже-дуже високочастотне перемикання постійного струму, щоб зменшити напругу постійного струму, як правило, щоб зменшити її, сотні тисяч або мільйони разів на секунду.

Вони знайшли спосіб змусити це витік електромагнітного випромінювання - радіохвилі, які вони могли вловлювати на відстані до 2 метрів на мобільний телефон...

…навіть якщо на цьому мобільному телефоні всі бездротові пристрої були вимкнені або навіть видалені з пристрою.

Вони придумали такий трюк: ви перемикаєте швидкість, з якою він перемикається, і ви виявляєте зміни в частоті перемикання.

Уявіть собі, якщо ви хочете знизити напругу (якщо ви хочете, скажімо, скоротити 12 В до 4 В), прямокутна хвиля буде увімкнена третину часу та вимкнена протягом двох третин часу.

Якщо ви хочете 2 В, то вам потрібно змінити співвідношення відповідно.

І виявляється, що сучасні процесори змінюють як частоту, так і напругу, щоб контролювати живлення та перегрів.

Таким чином, змінюючи навантаження на ЦП на одному чи кількох ядрах у ЦП – просто збільшуючи й зменшуючи завдання з порівняно низькою частотою, від 5000 до 8000 разів на секунду – вони змогли отримати комутований режим джерело живлення для *перемикання режимів перемикання* на тих низьких частотах.

І це породжувало дуже низькочастотні радіовипромінювання від контурів чи будь-якого мідного дроту в джерелі живлення.

І вони змогли виявити ці еманації за допомогою радіоантени, яка була не більш складною, ніж проста дротяна петля!

Отже, що ви робите з дротяною петлею?

Ну, ти вдавай, Дуг, що це кабель мікрофона чи кабель навушників.

Ви підключаєте його до аудіороз’єму 3.5 мм і підключаєте до свого мобільного телефону, ніби це набір навушників…

---

ДУГ.  Нічого собі.

---

КАЧКА.  Ви записуєте аудіосигнал, який генерується з дротяної петлі, тому що аудіосигнал в основному є цифровим представленням дуже низькочастотного радіосигналу, який ви вловили.

Їм вдалося витягти з нього дані зі швидкістю від 100 біт на секунду, коли вони використовували ноутбук, 200 біт на секунду з Raspberry Pi, і будь-де до 1000 біт на секунду, з дуже низьким рівнем помилок, з настільні комп'ютери.

Ви можете отримати ключі AES, ключі RSA, навіть невеликі файли даних із такою швидкістю.

Я подумав, що це захоплююча історія.

Якщо ви керуєте захищеною територією, ви точно хочете не відставати від цього, тому що, як говорить стара приказка, «Атаки стають лише кращими або розумнішими».

---

ДУГ.  І нижче техн. [СМІХ]

Усе цифрове, за винятком аналогового витоку, який використовується для викрадення ключів AES.

Це захоплююче!

---

КАЧКА.  Лише нагадування про те, що вам потрібно подумати про те, що знаходиться по той бік безпечної стіни, тому що «поза межами поля зору, безумовно, не обов’язково зникло з розуму».

---

ДУГ.  Ну, це добре вписується в наш остаточна історія – те, що поза полем зору, але не з пам’яті:

Скімінг кредитної картки – довгий і звивистий шлях до збою ланцюжка поставок

Якщо ви коли-небудь створювали веб-сторінку, ви знаєте, що можете додати туди аналітичний код – невеликий рядок JavaScript – для Google Analytics або подібних компаній, щоб побачити, як працює ваша статистика.

На початку 2010-х була безкоштовна аналітична компанія під назвою Cockpit, тому люди розміщували цей код Cockpit – цей маленький рядок JavaScript – на своїх веб-сторінках.

Але Cockpit закрився в 2014 році, і доменне ім’я втратило чинність.

А потім, у 2021 році, кіберзлочинці подумали: «Деякі сайти електронної комерції все ще дозволяють запускати цей код; вони все ще називають це JavaScript. Чому б нам просто не купити доменне ім’я, а потім ми можемо вставляти все, що завгодно, на ці сайти, які досі не видалили цей рядок JavaScript?»

---

КАЧКА.  Так.

Що може піти правильно, Дуг?

---

ДУГ.  [СМІЄТЬСЯ] Точно!

---

КАЧКА.  Сім років!

Вони мали б запис у всіх журналах тестування про те, Could not source the file cockpit.js (чи що там було) from site cockpit.jp, я думаю, що це було.

Отже, як ви сказали, коли шахраї знову засвітили домен і почали розміщувати туди файли, щоб побачити, що станеться…

…вони помітили, що безліч сайтів електронної комерції просто наосліп і радісно споживають і виконують код JavaScript шахраїв у веб-переглядачах своїх клієнтів.

---

ДУГ.  [LUAGHING] «Привіт, мій сайт більше не видає помилку, він працює».

---

КАЧКА.  [НЕДОВІРНО] «Вони, мабуть, це виправили»… для якогось особливого розуміння слова «виправлено», Дуг.

Звичайно, якщо ви можете вставити довільний JavaScript на чиюсь веб-сторінку, тоді ви зможете змусити цю веб-сторінку робити все, що вам заманеться.

І якщо, зокрема, ви націлюєтеся на сайти електронної комерції, ви можете налаштувати те, що по суті є шпигунським кодом, щоб шукати певні сторінки, які мають певні веб-форми з певними іменованими полями на них...

…наприклад, номер паспорта, номер кредитної картки, CVV, що б це не було.

І ви можете просто висмоктати всі незашифровані конфіденційні дані, особисті дані, які вводить користувач.

Він ще не ввійшов у процес шифрування HTTPS, тому ви висмоктуєте його з браузера, ви шифруєте його за допомогою HTTPS *сами* та надсилаєте до бази даних, якою керують шахраї.

І, звісно, ​​інше, що ви можете зробити, це те, що ви можете активно змінювати веб-сторінки, коли вони надходять.

Таким чином, ви можете заманити когось на веб-сайт – той, який є *правильним* веб-сайтом; це веб-сайт, на який вони вже заходили раніше, якому вони знають, що можуть довіряти (або думають, що можуть довіряти).

Якщо на цьому сайті є веб-форма, яка, скажімо, зазвичай запитує ім’я та контрольний номер облікового запису, ви просто вставляєте пару додаткових полів, і враховуючи, що особа вже довіряє сайту…

… якщо ви назвете ім’я, ідентифікатор і [додасте] дату народження?

Цілком імовірно, що вони просто впишуть дату свого народження, оскільки думають: «Я припускаю, що це частина їхньої перевірки особи».

---

ДУГ.  Цього можна уникнути.

Ви можете почати з перевірка зв’язків ланцюга постачання в Інтернеті.

---

КАЧКА.  Так.

Може, раз на сім років було б початком? [СМІХ]

Якщо ви не шукаєте, значить, ви дійсно є частиною проблеми, а не частиною рішення.

---

ДУГ.  Ви також можете, о, я не знаю… перевірте свої журнали?

---

КАЧКА.  Так.

Знову ж таки, один раз на сім років можна почати?

Дозволь мені просто сказати те, що ми вже говорили в подкасті, Дуг…

…якщо ви збираєтеся збирати колоди, на які ніколи не дивитесь, *просто не турбуйтеся їх збирати взагалі*.

Перестаньте обманювати себе і не збирайте дані.

Тому що, насправді, найкраще, що може трапитися з даними, якщо ви їх збираєте, а не переглядаєте, це те, що не ті люди помилково до них потраплять.

---

ДУГ.  Потім, звичайно, регулярно виконуйте тестові транзакції.

---

КАЧКА.  Чи варто говорити: «Початком буде раз на сім років»? [СМІХ]

---

ДУГ.  Звичайно, так... [WRY] це може бути досить регулярним, я припускаю.

---

КАЧКА.  Якщо ви є компанією електронної комерції та очікуєте, що користувачі відвідуватимуть ваш веб-сайт, звикніть до певного вигляду та довіряйте йому…

…тоді ви зобов’язані перевірити, чи вигляд і відчуття є правильними.

Регулярно і часто.

Легко як це.

---

ДУГ.  Добре, дуже добре.

І коли шоу починає згортатися, давайте послухаємо цю історію від одного з наших читачів.

Ларрі коментує:

Перегляньте ланки ланцюга поставок на основі Інтернету?

Хотілося б, щоб Epic Software зробила це, перш ніж розсилати помилку відстеження Meta всім своїм клієнтам.

Я переконаний, що є нове покоління розробників, які вважають, що розробка — це пошук фрагментів коду будь-де в Інтернеті та некритичне вставлення їх у свій робочий продукт.

---

КАЧКА.  Якби тільки ми не розробляли такий код…

…куди ви йдете: «Я знаю, я скористаюся цією бібліотекою; Я просто завантажу його з цієї фантастичної сторінки GitHub, яку я знайшов.

О, для цього потрібна ціла купа інших речей!?

О, подивіться, він може задовольнити вимоги автоматично... ну, тоді давайте просто зробимо це!»

На жаль, ви повинні *володіти своїм ланцюжком поставок*, а це означає розуміння всього, що в нього входить.

Якщо ви думаєте про програмне забезпечення Bill of Materials [SBoM], дорогу, де ви думаєте: «Так, я перерахую все, що я використовую», недостатньо просто перерахувати перший рівень речей, які ви використовуєте.

Ви також повинні знати та вміти документувати та знати, що можете довіряти, усе, від чого ці речі залежать, і так далі, і так далі:

Little fleas have lesser fleas 
   Upon their backs to bite 'em
And lesser fleas have lesser fleas
   And so ad infinitum.

*Ось* як вам потрібно переслідувати свій ланцюг поставок!

---

ДУГ.  Добре сказано!

Гаразд, дуже дякую, Ларрі, що надіслав цей коментар.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні; дуже дякую, що вислухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу, щоб…

---

ОБИМ.  Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]