Bezpečnostní přehled: Jak zabránit modifikacím firmwaru

Pavel Houser

15. 2. 2016

| Články

Kontrola BIOSu v podání Dellu. Google chce varovat před podvodnými či podezřelými reklamami i na legitimních stránkách. Kampaň Metel umožňuje skryté výběry bankomatů a dokonce ovlivnila i kurzy světových měn. Kolik podvodníkům vydělal ransomware Angler? Přibývá útoků zneužívajících WordPress.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Varování před reklamou

Google začne v Chrome zobrazovat varování, pokud se na legitimní stránce zobrazují reklamy odkazující na škodlivý web. Za závadné jsou považovány i prvky, za nimiž se skrývá něco jiného, než ve skutečnosti nabízejí (např. tlačítko pro přehrání média ve skutečnosti spustí download apod.). Google jako provozovatel reklamní sítě má samozřejmě na eliminaci podvodných reklam velký zájem. Na příslušné kontroly údajně celosvětově zaměstnává kolem tisícovky lidí.

Viz také: Google loni zablokoval miliony podvodných reklam a webů

BIOS kontrolován proti verzi v cloudu

Dell představil cloudový bezpečnostní nástroj Dell Data Protection Endpoint Security Suite Enterprise. Jedna z funkcí by měla zahrnovat kontrolu BIOSu po nabootování, tj. záruku pro uživatele, že počítač spustili v „čistém“ stavu. Řešení má být založené mj. na technologiích firmy Cylance, které využívají umělé inteligence a strojového učení. Funguje tak, že firmware se porovnává se svou „oficiální“ verzí uloženou v cloudové službě. Cloud má zařídit, že kontrola se nebude provádět na (eventuálně) infikovaném zařízení, kde by malware mohl výsledek zmanipulovat a tímto způsobem se skrýt. Ověření bude v první fázi k dispozici pro systémy Dellu založených na šesté generaci procesorů Intel.
Služba „porovnává jednotlivé obrazy BIOSu v počítači s oficiálními, které jsou uloženy v cloudu. Provedením tohoto testu mimo zařízení není post-boot obraz ohrožen, protože neprobíhá na potenciálně infikovaném stroji,“ praví tisková zpráva společnosti Dell.

V softwaru pro správu zařízení NetGear ProSafe Network Management 300 byly objeveny zranitelnosti umožňující útočníkovi nahrání souborů do kořenového adresáře, přístup k libovolným souborům i vzdálené spuštění kódu. Netýká se to jen samotného přepínače, ale ohrožena je tímto způsobem celá síť.

Bankovní malware: Carbanak, Metel, Corkow

Objevila se další verze bankovního malwaru Carbanak 2.0 a také další dvě skupiny podobně fungující skupiny Metel a GCMAN. Uvádí se, že sofitikovanost těchto útoků připomíná kampaně APT, které se jindy připisují spíše státům/vládám. Podle Kaspersky Lab jsou tvůrci kampaně Metel schopni získat kontrolu nad zařízeními uvnitř banky, která mají přístup k peněžním transakcím (call centrum či podpůrné počítače) a následně zautomatizovat odvolání transakcí v bankomatech. Tím zajistí, že se zůstatek na debetních kartách nezmění, a to bez ohledu na počet provedených transakcí. V doposud pozorovaných případech kradla skupina peníze tak, že v noci objížděla ruská města a vybírala peníze z bankomatů patřících několika bankám. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Další zdroje uvádějí, že kampaň Metel je spojena i s trojským koněm Corkow, kdy útočníci po prolomení zabezpečení kazaňské Energobank provedli objednávku rublů za půl miliardy dolarů v kurzu odlišném od aktuálního. Na čtvrt hodiny se kurz rublu a dolaru vychýlil až o 15 %.

Fonty stále hrozí

Objevena byla zranitelnost v knihovně Libgraphite. Aplikace používající touto knihovnu mohou být ohroženy pomocí speciálně upravených fontů, a to i písma na serveru – riziko tedy hrozí už při návštěvě podvodného webu. Knihovnu Libgraphite obsahuje např. Microsoft WordPad, Thunderbird, Firefox a OpenOffice (u aplikací dostupných pro více OS jsou podle všeho ohroženy všechny verze). Konkrétně je zranitelná verze 2-1.2.4, jiné verze se v této souvislosti nezmiňují. Na chyby CVE-2016-1521 upozornili výzkumníci ze společnosti Talos.

Kompromitováno bylo více než 20 milionů účtů portálu Alibaba. K úniku zřejmě došlo ve službě TaoBao, tj. ostatní uživatelé by zřejmě žádný problém mít neměli.

Krádeže elektronických měn

Loanbase, což je platforma pro zprostředkování půjček (crowdlending) v měně Bitcion, byla kompromitována v důsledku chyb ve WordPressu; nebylo oznámeno, zda šlo o neaktuální verzi nebo o zero day zranitelnost. Škoda by neměla přesáhnout 20 btc (aktuálně v dolarech cca krát 380), což prý provozovatel obětem uhradí. Krádež se podařila pouze tam, kde lidé nepoužívali dvoufaktorovou autentizaci. Nicméně i tak se platforma ocitla mimo provoz a řada transakcí byla preventivně zablokována.

Asi před měsícem došlo k průniku Cryptsy Bitcoin (IRC backdoor), kde však byla škoda asi 13 000 bitcoinů a 300 000 litecoinů.

CSIRT varuje/oznamuje

Řada kompromitovaných webů založených na WordPressu je aktuálně zneužívána k šíření ransomwaru TeslaCrypt. Na těchto webech je nainstalován exploit kit Nuclear, který je schopen využívat zranitelnosti v platformách Adobe Flash Player, Adobe Reader/Acrobat, Internet Explorer a Silverlight.

Ze světa firem

Podle studie Cisco Annual Security Report se ve více než 85 % firem nacházejí stopy po kybernetickém útoku zneužívajícím rozšíření webového prohlížeče. Další informace ze studie: Počet zneužitých domén se systémem WordPress vzrostl od února do října 2015 o 221 %. Drtivá většina útoků využívá nezabezpečené DNS servery. Jediná kampaň postavená na malwaru Angler mohla za rok jen z ransomwaru vynést až 34 milionů dolarů. Angler byl totiž schopen napadnout až 147 serverů měsíčně a z každého provést 90 tisíc útoků. Ty byly úspěšné zhruba v desetině případů. Vzhledem k velké efektivitě Angleru bylo napadeno asi 40 % počítačů, které se připojily na nakažený server a na 62 % z nich se podařilo ransomware nainstalovat. I když vyděračům ustoupila jen necelá 3 % uživatelů, při průměrné platbě 300 dolarů se dostáváme k výše uvedenému číslu. (Zdroj: tisková zpráva společnosti Cisco)

Na toto téma viz také: Devět z deseti internetových zařízení má slabá místa

Představena byla nová bezpečnostní nová zařízení řady Check Point 700 určená pro menší firmy, jimž má nabídnout snadno konfigurovatelné řešení s minimální údržbou, jednoduchým monitoringem a reportingem a možností plné vzdálené instalace. (Zdroj: tisková zpráva společnosti Check Point)

Na trh přichází Check Point SandBlast Agent, nástupce technologie SandBlast pro zabezpečení perimetru a ochranu před zero day útoky. SandBlast Agent podle dodavatele k proaktivní ochraně, sanboxingu a extrakci hrozeb přidává automatizované forenzní analýzy incidentů. (Zdroj: tisková zpráva společnosti Check Point)

IBM kupuje firmu IRIS Analytics, specializující se na boj proti finančním podvodům; nástroje pokročilého strojového učení pomohou podle IBM klientům reagovat na sofistikované útoky už v reálném čase. (Zdroj: tisková zpráva společnosti IBM)

Malware Adwind je napsán v jazyce Java, šíří se soubory JAR, a může proto fungovat na řadě platforem včetně mobilního Androidu. Adwind se nabízí ve formě služby, kdy „zákazník“ platí poplatek za jeho použití. Na základě zkoumání aktivit uživatelů prostřednictvím interního chatu a dalších pozorování odhadují analytici Kaspersky Lab, že v systému působilo ke konci roku 2015 okolo 1 800 uživatelů. To z něho činí jednu z největších existujících malwarových platforem. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Kingston koupil USB technologie a aktiva společnosti IronKey ze skupiny Imation. Firma DataLocker odkoupila od firmy IronKey platformu Enterprise Management Services (EMS), jež poskytuje centralizovanou správu řízení šifrovaných USB disků. Kingston a DataLocker spolupracují jako partneři. (Zdroj: tisková zpráva společnosti Kingston)

Na trh přichází GFI MailEssentials 20, nejnovější verze řešení pro zabezpečení elektronické pošty pro malé a střední firmy (SMB). K novinkám patří vícevláknový antispam a podpora pro vzdálené Active Direcotry. (Zdroj: tisková zpráva společnosti GFI)

Arcserve UDP zlepšuje ochranu dat i pro Linux a cloud