Bezpečnostní přehled: Kampaň Glass Rat odhalena až po 3 letech

Pavel Houser , 30. listopad 2015 13:35 0 komentářů
Bezpečnostní přehled: Kampaň Glass Rat odhalena až po 3 letech

Analýza chování bude probíhat spíše na úrovni uživatelů než sítě jako celku. Certifikát eDellRoot umožňoval útok man-in-the-middle, aktualizační utilita Lenovo umožňuje zvýšení uživatelských oprávnění. APT hrozby budou na disku prakticky neodhalitelné. Lidé nechápou rizika spustitelných souborů.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Společnost Infobox uvádí, že koncem letošního roku se z exploit kitů používají prakticky jen čtyři: Angler, Magnitude, Neutrino a Nuclear, které vytvářejí 96 % aktivit tohoto typu.

Nespecifikovaný bezpečnostní problém či incident podle všeho postihl Amazon – firma totiž vyzvala některé zákazníky k resetu hesla. Spekuluje se, že problém byl v tom, že aplikace nebo služby třetí strany, které zprostředkovávaly přihlášení k Amazonu, posílaly heslo ve formátu prostého textu (ne přes https).

Malware, který antiviry roky nevidí

Výzkumníci RSA upozorňují na kampaň Glass Rat. Jedná se o trojského koně, který slouží ke krádeži informací. Zajímavé je, že ačkoliv kampaň probíhá už asi tři roky, nejpoužívanější antiviry příslušný malware za celou dobu nedokázaly detekovat. Malware Glass Rat zneužívá kompromitovaného certifikátu legitimní čínské softwarové firmy; posledními cíli kampaně jsou dnes hlavně Číňané pracující pro nadnárodní firmy, eventuálně žijící v zahraničí.

V minulosti se Glass Rat zaměřil např. na mongolskou vládu nebo filipínskou armádu. Infekce dnes nejčastěji probíhá tak, že útočníci vydávají malware (respektive jeho instalační soubor) za aktualizaci přehrávače Flash Player.

Problémové certifikáty Dellu

Po Lenovu prodával potenciálně nebezpečná zařízení (desktopy i notebooky) také Dell. Konkrétně šlo o špatně navržený kořenový certifikát eDellRoot. Útočník se mohl kvůli chybě dostat k soukromému klíči, odposlouchávat komunikaci a provést útok typu man-in-the-middle. Další možností bylo s pomocí kompromitovaného certifikátu podepisovat malware, vytvářet s jeho pomocí další důvěryhodné certifikáty a s nimi třeba i podvržené stránky bank. Problém se týkal zařízení XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647 a Precision M4800, možná i některých dalších.

Kauza se označuje jako Superpish 2.0 (Superfish viz: Lenovo již nebude na své laptopy instalovat nebezpečný software http://www.itbiz.cz/zpravicky/lenovo-jiz-nebude-na-sve-laptopy-instalovat-nebezpecny-software). Zatímco v případě Lenova byla příslušná funkce určena především k cílení reklamy, zde mělo jít o vytvoření kanálu pro technickou podporu, ovšem s potenciálně podobnými důsledky. Dell se již omluvil a pomocí automatických aktualizací certifikát odebírá. Podle firmy není známo, že by došlo k pokusům o zneužití.

Pozor na utilitu Lenova

Sofiane Talmat ze společnosti IOActive upozorňuje na dvě zranitelnosti v utilitě Lenovo System Update, která slouží především k aktualizaci ovladačů a BIOSu. Obě tyto chyby umožní neprivilegovanému uživateli získat oprávnění administrátora. Jedna z chyb spočívá v tom, že útokem hrubou silou lze zjistit heslo správce, druhá pak v tom, že samotný nástroj se spouští s těmito oprávněními a uživatel je může získat víceméně prostě tím, že v prohlížeči zobrazí URL nápovědy k utilitě.

UBA místo SIEM

Po SIEM prý přichází do módy jiná zkratka s podobnou funkcionalitou – UBA: user behavior analytics. Podle Gartneru budou tuto technologii bezpečnostní zadavatelé brzy zahrnovat do svých produktů. V zásadě má jít o to, že SIEM analyzuje fungování sítě jako celku, spoléhá na logy na úrovni systému. V rámci UBA by se vše mělo přenést i na úroveň jednotlivých uživatelů. Což zřejmě odpovídá situaci, kdy jsou kompromitovány konkrétní uživatelské účty a identifikace problému je pak založena na jejich nějak netypickém chování.

Nir Polak, výkonný ředitel společnosti Exabeam, ve svém komentáři pro HelpNet Security uvádí, že přístup UBA se zdá být zdánlivě málo komplexní, nicméně právě přes krádež konkrétních oprávnění současné útoky obvykle probíhají, a proto jsou na této úrovni podle chování i mnohem snáze rozpoznatelné.

Poznámka: Jiné prognózy tvrdí, že analýza chování uživatelů bude stále důležitější i pro podvodníky. Akce (přístup k citlivým informacím, bankovní převod...) se spustí až v okamžiku, kdy budou na základě sledování kompromitovaného účtu známy obvykle vzorce. Podvod pak prakticky není detekovatelný, leda zpětně.

Lidé nechápou rizika spustitelných souborů

Jak lidé dokáží posoudit, zda soubory určitého typu představují bezpečnostní riziko?Respondenti průzkumu byli požádáni, aby stáhli píseň Yesterday. Na výběr měli čtyři varianty souborů. Pouze jeden z nich, ten s příponou .wma, byl bezpečný. Tento soubor si vybrala pouze čtvrtina uživatelů (26 %).

Nejrizikovější soubor s příponou .exe obsahoval ve svém názvu dobře známý formát mp3 (Beatles_Yesterday.mp3.exe). Tento soubor nalákal ke stažení třetinu respondentů. 14 % si vybralo spořič obrazovky s příponou .scr, tedy typ souboru, který byl nedávno rovněž použit k šíření malwaru. 26 % uživatelů si vybralo možnost .zip, formát, který může také obsahovat nebezpečné soubory. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Windows 10 se vyplatí už i podvodníkům

Trojský kůň Dyre/Dyreza byl vyvinut ve formě, která speciálně cílí na nový prohlížeč Edge. Výzkumníci z firmy Heimdal Security uvádějí, že autorům malwaru se již vyplácí přizpůsobovat své akce i speciálním vlastnostem prostředí Windows 10.

CSIRT varuje/oznamuje

VMware vydala záplaty pro několik svých produktů, kvůli zranitelnosti zneužitelné vzdáleným útočníkem k neoprávněnému získání informací ze serveru. Stačilo pouze použít speciálně připravený XML soubor/požadavek. Zranitelnost se týká komponenty Flex BlazeDS.

Ze světa firem

Prognóza Kaspersky Lab pro rok 2016: APT hrozby se budou stále více snažit o skrývání, tedy zneužívání paměti a sníženou detekci podle souborů na disku (až po typ „fileless“). Bude dále přibývat lidí, kteří začnou svou schopnost provádět útoky a vyvíjet malware prodávat na trhu. Taktéž se budou prodávat kompromitované systémy způsobem Access-as-a-Service. Mezi hrozbami pro koncové uživatele budou i nadále dominovat bankovní trojské koně a ransomware. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Zda je wi-fi síť, ke které se lidé mimo domov/kancelář přihlašují, zabezpečená, kontroluje pouze pětina dotázaných Čechů (21 %). Další třetina (33 %) přiznává, že to provádí jen někdy. (Zdroj: tisková zpráva společnosti Intel)

Bezpečnostní experti OpenDNS, společnosti, která se nedávno stala součástí Cisco, publikovali dva nové modely schopné detekovat pokročilé typy útoků. Využívají k tomu analýzu datového provozu v síti, které funguje na principu „zvukových vln“. Model Spike Rank dokáže podle dodavatele rozpoznat změnu v datovém toku pomocí podobných technologií, jako používají hudební služby Pandora či Shazam pro identifikaci hudební skladby přehrávané přes IP. (Zdroj: tisková zpráva společnosti Cisco)

Řada RSA Archer byla rozšířena o nové funkce (týká se nástrojů RSA Archer GRC i RSA Archer Operational Risk Management). (Zdroj: tisková zpráva společnosti RSA/EMC)

Na trh přichází Red Hat Enterprise Linux 7.2. Novinkou v oblasti zabezpečení je např. OpenSCAP, implementace protokolu Security Content Automation Protocol umožňující analýzu systému z pohledu dodržování bezpečnostních politik. Nový zásuvný modul Open SCAP pro instalátor Anaconda umožňuje podle dodavatele tento protokol využívat pro bezpečnostní analýzu konfigurace již během instalačního procesu, a zajistit tak bezpečný výchozí bod pro nasazení systému. (Zdroj: tisková zpráva společnosti Red Hat)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Malware na černém trhu zlevňuje.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů

KKCG a Foxconn zakládají fond pro investice do IT firem

ČTK , 23. únor 2017 14:33

V první fázi se na zaměří na Česko, Slovensko, Polsko, Rakousko a Německo....

Více 0 komentářů

Náramky pro vězně dodá firma SuperCom za 93 milionů korun

ČTK , 23. únor 2017 10:00

Elektronické monitorovací náramky pro domácí vězně a některé obviněné dodá firma SuperCom. Vítěze so...

Více 1 komentářů

Starší zprávičky

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů