Благотворительный марафон сливов ShadowBrokers продолжает приносить плоды. Вслед за WannaCry в Сеть ворвался еще один червь, под завязку накачанный эксплойтами. Один семпл забрел к хорватам из местного CERT, и получил имя EternalRocks, второй такой же попался Heimdal Security и был назван не менее пафосно – BlueDoom. На целевую машину они заходили точно так же, как WannaСry, через порт 445.
Новый червяк любопытен большим числом интегрированных в него эксплойтов: он использует EternalBlue, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch, SMBTouch, и DoublePulsar – все это благодаря доброте ShadowBrokers.
Заразив машину, EternalRocks на протяжении суток не делает ничего (видимо, на случай попадания запуска в песочнице – авторы полагают, что исследователи не будут так долго ждать, пока пойманная особь задергается), а потом стучится на сервер управления через сеть Tor. Но ничего особо вредоносного, помимо эксплойт-пака для дальнейшего распространения, сервер ему так ни разу и не прислал, чем изрядно озадачил исследователей.
Тайну раскрыл сам автор, разместив на командном сервере сообщение, гласящее, что пугаться нечего, его червь – никакая не рансомварь, а очень даже полезный самоходный «файрволл», закрывающий порт 445 у своих жертв. Вместе с тем автор прекратил кампанию, отключив на сервере отправку эксплойт-пака. Похоже, пристальное внимание исследователей ему не понравилось. А чего он ждал? Люди не очень-то любят, когда их пытаются осчастливить насильно.
Кстати, на неделе были и полные надежд сообщения, что в QuarksLab научились вычислять ключ шифрования из используемого для его генерирования простого числа. На практике толку от этого открытия не особо много. Да, утилита восстановления ключа иногда работает, но лишь потому, что CryptReleaseContext на Windows XP некорректно подчищает память. На более современных операционках эта функция пашет как надо, а Windows XP наш герой все равно крашит.
Siemens и Bayer готовят антиWannaCry-патчи для медицинской техники
Новость. Казалось бы, в чем тут сенсация – патчи это же всегда хорошо. Однако ведь интересно получилось: оказывается, немало медицинской техники работает Windows, подключено к Интернету и смотрит в Интернет по SMB. Удобно это, видимо, для обслуживания. Мало ли, новую прошивку закинуть, логи глянуть или еще что. И до поры такой подход казался вендорам безопасным. МРТ-аппарат ведь не будет открывать подозрительные аттачи в письме, и на левые сайты не полезет.
Но WannaCry относится к полузабытой породе зловредов – это сетевой червь, использующий для распространения сетевой эксплойт, и достаточно просто слушать 445, чтобы заразиться. При этом никто вроде бы не сообщал о том, что модный троянец где-то вывел из строя медицинскую аппаратуру, но, учитывая технологию его распространения, это просто неизбежно. Тем более что мы знаем, как неохотно и неторопливо IoT-вендоры выпускают патчи. Так что, если они зашевелились – повод был, и повод серьезный.
Между тем, утечки данных из медучреждений стали трендом последнего года, и это довольно болезненная тема. Но это были всего лишь утечки. А теперь представьте, чем может обернуться внезапный выход из строя всего комплекса медицинского оборудования в больнице? Сейчас в приличном современном медучреждении без специального аппарата даже таблеток не выдадут. В общем, угроза человеческой жизни налицо.
Разработан вектор атаки через субтитры
Новость. Исследование. Давайте уже отдохнем от WannaCry и глянем, что еще в мире происходит. Check Point Software выявили новый оригинальный вектор атаки на пользователей. Казалось бы, чем может быть опасен файл с субтитрами для фильма? Это же текст! Но нет, практически все популярные видеоплееры и медиацентры имеют уязвимости, позволяющие запускать на системе произвольный код, подсунув правильно сконструированные субтитры.
Это очередное подтверждение тезиса, что уязвимостей нет там, где их не ищут. Стоило поискать – и в одном только VLC их нашлось сразу четыре. Эксперты выкатили небольшой список дырявых приложений, пригодных для такого типа атаки. Среди них: VLC, Kodi, Stremio и Popcorn Time, упомянуты и Smart TV. Во всех случаях злоумышленник получает полный контроль над системой жертвы.
Самое обидное, что рискуют даже те, кто никогда не смотрит фильмы с субтитрами. Многие видеоплееры автоматически ищут и загружают субтитры к проигрываемому фильму, также не составляет труда приложить вредоносный файл к раздаче на торренте. Технические подробности компания не сообщает ввиду масштабности проблемы – слишком много уязвимого софта, слишком много пользователей под угрозой (у одного лишь VLC более 170 миллионов загрузок). Впрочем, все упомянутые в новости проигрыватели уже получили патчи, так что обновляйтесь.
Древности
«Twin-351»
Вирус-«спутник»: при запуске .EXE-файла создает файл-«спутник», имеющий имя запускаемого файла и расширение .COM (например, XCOPY.EXE – XCOPY.COM), и записывает в него свою копию. При запуске любого файла из командной строки сначала ищутся .COM-файлы, а только затем – .EXE. В результате первым будет запущен .COM-файл, содержащий вирус. Вирус, в свою очередь, инсталлирует свою TSR-копию и запускает файл .EXE.
Реализует довольно оригинальный «стелс»-механизм: устанавливает у файла- «спутника» атрибут hidden, перехватывает int 21h и обрабатывает функцию FindNext таким образом, что на экран не выдаются файлы, имеющие атрибут hidden. В результате .COM-файлы, содержащие тело вируса, не видны ни при использовании команды DIR, ни при работе в Norton Commander’е.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 85.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»