Bezpečnostní přehled: Kampaň Glass Rat odhalena až po 3 letech

Pavel Houser , 30. listopad 2015 13:35 0 komentářů
Bezpečnostní přehled: Kampaň Glass Rat odhalena až po 3 letech

Analýza chování bude probíhat spíše na úrovni uživatelů než sítě jako celku. Certifikát eDellRoot umožňoval útok man-in-the-middle, aktualizační utilita Lenovo umožňuje zvýšení uživatelských oprávnění. APT hrozby budou na disku prakticky neodhalitelné. Lidé nechápou rizika spustitelných souborů.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Společnost Infobox uvádí, že koncem letošního roku se z exploit kitů používají prakticky jen čtyři: Angler, Magnitude, Neutrino a Nuclear, které vytvářejí 96 % aktivit tohoto typu.

Nespecifikovaný bezpečnostní problém či incident podle všeho postihl Amazon – firma totiž vyzvala některé zákazníky k resetu hesla. Spekuluje se, že problém byl v tom, že aplikace nebo služby třetí strany, které zprostředkovávaly přihlášení k Amazonu, posílaly heslo ve formátu prostého textu (ne přes https).

Malware, který antiviry roky nevidí

Výzkumníci RSA upozorňují na kampaň Glass Rat. Jedná se o trojského koně, který slouží ke krádeži informací. Zajímavé je, že ačkoliv kampaň probíhá už asi tři roky, nejpoužívanější antiviry příslušný malware za celou dobu nedokázaly detekovat. Malware Glass Rat zneužívá kompromitovaného certifikátu legitimní čínské softwarové firmy; posledními cíli kampaně jsou dnes hlavně Číňané pracující pro nadnárodní firmy, eventuálně žijící v zahraničí.

V minulosti se Glass Rat zaměřil např. na mongolskou vládu nebo filipínskou armádu. Infekce dnes nejčastěji probíhá tak, že útočníci vydávají malware (respektive jeho instalační soubor) za aktualizaci přehrávače Flash Player.

Problémové certifikáty Dellu

Po Lenovu prodával potenciálně nebezpečná zařízení (desktopy i notebooky) také Dell. Konkrétně šlo o špatně navržený kořenový certifikát eDellRoot. Útočník se mohl kvůli chybě dostat k soukromému klíči, odposlouchávat komunikaci a provést útok typu man-in-the-middle. Další možností bylo s pomocí kompromitovaného certifikátu podepisovat malware, vytvářet s jeho pomocí další důvěryhodné certifikáty a s nimi třeba i podvržené stránky bank. Problém se týkal zařízení XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647 a Precision M4800, možná i některých dalších.

Kauza se označuje jako Superpish 2.0 (Superfish viz: Lenovo již nebude na své laptopy instalovat nebezpečný software http://www.itbiz.cz/zpravicky/lenovo-jiz-nebude-na-sve-laptopy-instalovat-nebezpecny-software). Zatímco v případě Lenova byla příslušná funkce určena především k cílení reklamy, zde mělo jít o vytvoření kanálu pro technickou podporu, ovšem s potenciálně podobnými důsledky. Dell se již omluvil a pomocí automatických aktualizací certifikát odebírá. Podle firmy není známo, že by došlo k pokusům o zneužití.

Pozor na utilitu Lenova

Sofiane Talmat ze společnosti IOActive upozorňuje na dvě zranitelnosti v utilitě Lenovo System Update, která slouží především k aktualizaci ovladačů a BIOSu. Obě tyto chyby umožní neprivilegovanému uživateli získat oprávnění administrátora. Jedna z chyb spočívá v tom, že útokem hrubou silou lze zjistit heslo správce, druhá pak v tom, že samotný nástroj se spouští s těmito oprávněními a uživatel je může získat víceméně prostě tím, že v prohlížeči zobrazí URL nápovědy k utilitě.

UBA místo SIEM

Po SIEM prý přichází do módy jiná zkratka s podobnou funkcionalitou – UBA: user behavior analytics. Podle Gartneru budou tuto technologii bezpečnostní zadavatelé brzy zahrnovat do svých produktů. V zásadě má jít o to, že SIEM analyzuje fungování sítě jako celku, spoléhá na logy na úrovni systému. V rámci UBA by se vše mělo přenést i na úroveň jednotlivých uživatelů. Což zřejmě odpovídá situaci, kdy jsou kompromitovány konkrétní uživatelské účty a identifikace problému je pak založena na jejich nějak netypickém chování.

Nir Polak, výkonný ředitel společnosti Exabeam, ve svém komentáři pro HelpNet Security uvádí, že přístup UBA se zdá být zdánlivě málo komplexní, nicméně právě přes krádež konkrétních oprávnění současné útoky obvykle probíhají, a proto jsou na této úrovni podle chování i mnohem snáze rozpoznatelné.

Poznámka: Jiné prognózy tvrdí, že analýza chování uživatelů bude stále důležitější i pro podvodníky. Akce (přístup k citlivým informacím, bankovní převod...) se spustí až v okamžiku, kdy budou na základě sledování kompromitovaného účtu známy obvykle vzorce. Podvod pak prakticky není detekovatelný, leda zpětně.

Lidé nechápou rizika spustitelných souborů

Jak lidé dokáží posoudit, zda soubory určitého typu představují bezpečnostní riziko?Respondenti průzkumu byli požádáni, aby stáhli píseň Yesterday. Na výběr měli čtyři varianty souborů. Pouze jeden z nich, ten s příponou .wma, byl bezpečný. Tento soubor si vybrala pouze čtvrtina uživatelů (26 %).

Nejrizikovější soubor s příponou .exe obsahoval ve svém názvu dobře známý formát mp3 (Beatles_Yesterday.mp3.exe). Tento soubor nalákal ke stažení třetinu respondentů. 14 % si vybralo spořič obrazovky s příponou .scr, tedy typ souboru, který byl nedávno rovněž použit k šíření malwaru. 26 % uživatelů si vybralo možnost .zip, formát, který může také obsahovat nebezpečné soubory. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Windows 10 se vyplatí už i podvodníkům

Trojský kůň Dyre/Dyreza byl vyvinut ve formě, která speciálně cílí na nový prohlížeč Edge. Výzkumníci z firmy Heimdal Security uvádějí, že autorům malwaru se již vyplácí přizpůsobovat své akce i speciálním vlastnostem prostředí Windows 10.

CSIRT varuje/oznamuje

VMware vydala záplaty pro několik svých produktů, kvůli zranitelnosti zneužitelné vzdáleným útočníkem k neoprávněnému získání informací ze serveru. Stačilo pouze použít speciálně připravený XML soubor/požadavek. Zranitelnost se týká komponenty Flex BlazeDS.

Ze světa firem

Prognóza Kaspersky Lab pro rok 2016: APT hrozby se budou stále více snažit o skrývání, tedy zneužívání paměti a sníženou detekci podle souborů na disku (až po typ „fileless“). Bude dále přibývat lidí, kteří začnou svou schopnost provádět útoky a vyvíjet malware prodávat na trhu. Taktéž se budou prodávat kompromitované systémy způsobem Access-as-a-Service. Mezi hrozbami pro koncové uživatele budou i nadále dominovat bankovní trojské koně a ransomware. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Zda je wi-fi síť, ke které se lidé mimo domov/kancelář přihlašují, zabezpečená, kontroluje pouze pětina dotázaných Čechů (21 %). Další třetina (33 %) přiznává, že to provádí jen někdy. (Zdroj: tisková zpráva společnosti Intel)

Bezpečnostní experti OpenDNS, společnosti, která se nedávno stala součástí Cisco, publikovali dva nové modely schopné detekovat pokročilé typy útoků. Využívají k tomu analýzu datového provozu v síti, které funguje na principu „zvukových vln“. Model Spike Rank dokáže podle dodavatele rozpoznat změnu v datovém toku pomocí podobných technologií, jako používají hudební služby Pandora či Shazam pro identifikaci hudební skladby přehrávané přes IP. (Zdroj: tisková zpráva společnosti Cisco)

Řada RSA Archer byla rozšířena o nové funkce (týká se nástrojů RSA Archer GRC i RSA Archer Operational Risk Management). (Zdroj: tisková zpráva společnosti RSA/EMC)

Na trh přichází Red Hat Enterprise Linux 7.2. Novinkou v oblasti zabezpečení je např. OpenSCAP, implementace protokolu Security Content Automation Protocol umožňující analýzu systému z pohledu dodržování bezpečnostních politik. Nový zásuvný modul Open SCAP pro instalátor Anaconda umožňuje podle dodavatele tento protokol využívat pro bezpečnostní analýzu konfigurace již během instalačního procesu, a zajistit tak bezpečný výchozí bod pro nasazení systému. (Zdroj: tisková zpráva společnosti Red Hat)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Malware na černém trhu zlevňuje.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

Prodej mobilů v ČR loni klesl o pět procent

ČTK , 22. březen 2017 16:14

Prodej mobilních telefonů v Česku loni klesl o pět procent, uvedla analytická firma GfK. Podle infor...

Více 0 komentářů

Nařízení EU usnadní uplatnění práva být zapomenut, ale s omezením

ČTK , 22. březen 2017 15:01

Nárok na vymazání osobních údajů, který od konce května příštího roku přinesou nová pravidla EU pro ...

Více 0 komentářů

Na trh přicházejí GFI OneConnect a OneGuard

Pavel Houser , 22. březen 2017 09:30

Nová řešení ochrany firemních sítí a e-mailové infrastruktury . ...

Více 0 komentářů

Starší zprávičky

Kritická chyba v přepínačích Cisco

Pavel Houser , 22. březen 2017 09:00

Více než 300 typů přepínačů Cisco včetně 264 přepínačů Catalyst obsahují kritickou zranitelnost....

Více 0 komentářů

USA a Británie zakázaly pasažérům některých aerolinek elektroniku

ČTK , 22. březen 2017 08:45

Americké úřady zakázaly pasažérům devíti leteckých společností převážně z muslimských zemí brát do l...

Více 1 komentářů

České Radiokomunikace pokrývají svou sítí IoT další města

Pavel Houser , 22. březen 2017 08:30

CRA hledají partnery pro poskytování IoT služeb. Do rozvoje této oblasti plánují v průběhu roku inve...

Více 0 komentářů

Epidemie negativity: Češi jsou druhým nejvíce kverulantským národem

ITBiz.cz , 22. březen 2017 08:00

České podniky jsou v sevření epidemie negativity. Průzkum společnosti Sharp odhalil, že přes dvě tře...

Více 0 komentářů