Security Week 26: руткит с легитимной цифровой подписью

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

На прошлой неделе коллектив исследователей по безопасности изучал руткит, известный как Netfilter. Впервые обнаруженный специалистом компании G Data, вредоносный код имеет традиционную функциональность: обращается к расположенному в Китае серверу, передает информацию о компьютере, загружает обновления для себя. Отличие от многих других подобных программ заключается в том, что Netfilter снабжен легитимной цифровой подписью Microsoft.



Компания Microsoft выпустила бюллетень, посвященный атаке, в котором поделилась дополнительной информацией. Руткит является частью атаки на геймеров, и скорее всего эта кампания ориентирована на пользователей в Китае. Создатели Netfilter были нацелены на взлом учетных записей других пользователей и, похоже, выстроили эту достаточно сложную схему для получения преимущества в игровом окружении. Вендор прокомментировал и подпись драйвера. Речи о взломе инфраструктуры Microsoft не идет, руткит прошел стандартную процедуру выдачи сертификата, а при проверке вредоносных функций не обнаружили.

Все современные версии Windows по умолчанию не могут запускать код с привилегиями ядра без цифровой подписи Microsoft. Соответственно, уровень доверия к подписанному коду достаточно высокий: целостность ОС зависит от качества проверки кода при выдаче сертификата вендором. Инциденты, подобные Netfilter, происходят достаточно редко, и ранее были зафиксированы только случаи кражи сертификата. Так, в атаке Stuxnet использовали драйверы, подписанные ворованными сертификатами Realtek и JMicron.

Что еще произошло
Событие недели: принудительное удаление всех данных с NAS WD My Book Live, предположительно в результате вредоносной активности (см. также обсуждение на Хабре). В заявлении компании уточняется, что вредоносный скрипт использовал уязвимость, приводящую к выполнению произвольного кода. Какую именно — не уточняется, но в СМИ приводят в пример серьезную проблему, обнаруженную в 2018 году. Последнее обновление более не поддерживаемые NAS получили в 2015-м.

В механизме обновления ноутбуков Dell обнаружили уязвимость. Некорректная обработка сертификатов делает возможной атаку man-in-the-middle: исследователи показали, как перенаправить пользователя на подставной сервер и «раздать» с него вредоносное обновление BIOS.

В почтовом сервере Dovecot закрыли уязвимость, позволяющую внедряться в обмен данными между сервером и клиентом.

В компании Check Point Research нашли серьезные (но не эксплуатируемые) уязвимости в Atlassian Jira и Confluence, теоретически позволяющие легко получить контроль над учетной записью.

Утечка базы аппаратных ID приставок Sony PlayStation 3 привела к рандомным банам пользователей онлайн-сервисов Sony. Вероятно, вредоносная активность, в которой используются ID из каталога, заканчивается блокировкой ничего не подозревающего владельца аккаунта.
Источник: https://habr.com/ru/company/kaspersky/blog/565070/


Интересные статьи

Интересные статьи

Нередко при работе с Bitrix24 REST API возникает необходимость быстро получить содержимое определенных полей всех элементов какого-то списка (например, лидов). Традиционн...
Идея заключается в следующем — подготовить лабораторный стенд для изучения уязвимостей, находящихся в данном топе. О том, как запустить и найти пример приложения с уязвим...
Здравствуй уважаемое хабросообщество! Решился выплеснуть в онлайн пару in-house решений, которые облегчают деятельность сетевиков и прочих ИТ братьев по разуму. В этой статье речь пойдет о мон...
16 июля компания Offensive Security сообщила о создании Kali Net Hunter App Store с бесплатными приложениями, связанными с информационной безопасностью.
Третий год подряд сильнейшие ИБ-эксперты «Инфосистемы Джет» приняли участие в The Standoff на PHDays. Наши команды Jet Security Team и Jet Antifraud Team сражались плечом к плечу: кибербитва ...