Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 26 2017: ExPetr nav izspiedējs, Intel PT ļauj apiet Windows 10 PatchGuard, Microsoft antivīrusos atkal caurums

Drošības nedēļa 26 2017: ExPetr nav izspiedējs, Intel PT ļauj apiet Windows 10 PatchGuard, Microsoft antivīrusos atkal caurums

Mīmikrija ir ļoti izplatīta dzīvnieku pasaulē. Lai slēptos no plēsoņām vai pielavītos laupījumam, dzīvnieki, rāpuļi, putni un kukaiņi maina sava ķermeņa krāsu un „saplūst” ar apkārtējo vidi. Mīmikriju arī izmanto, lai līdzinātos priekšmetiem vai pat citu sugu dzīvniekiem, kuri ir bīstamāki vai nav tik garšīgi.

Te ir līdzība jauno Trojas zirgu-izspiedēju ExPetr, kurš it kā esot tas pats Petya, lai gan patiesībā tā gluži nav. Izplatīdamies kā sērga, tas jau nodarījis postu 150 valstīs. Viens no izplatīšanās vektoriem (bet ne vienīgais) ir „saldais pārītis” EternalBlue un DoublePulsar, pret kuru daudzi tā arī nebija nodrošinājušies pēc WannaCry.

Lūk, par ko ir runa. Rūpīgāka izpēte ir ļāvusi secināt, ka ExPetr nav nekāds izspiedējs — tas vienkārši iznīcina datus. Datu atšifrēšana nemaz nav paredzēta, jo nav iespējama.

Vecais labais Petya katram upurim ģenerēja identifikatoru, kuru pēc izpirkuma maksas samaksāšanas vajadzēja nosūtīt šantāžistiem. Izmantojot to, noziedznieki izskaitļoja atslēgu, kuru pēc tam nosūtīja upurim, lai viņš varētu atjaunot savas datnes. Arī ExPetr parāda upurim identifikatoru, bet tam nav nekādas nozīmes — šis „identifikators” ir tikai nejauša simbolu kombinācija. Neviens neko netaisās atšifrēt.

 

Identifikators ir tikai nejauša simbolu kombinācija.

Identifikators ir tikai nejauša simbolu kombinācija.

Bet tad rodas jautājums: kāpēc jāprasa izpirkuma maksa un jātēlo samērā „miermīlīgais” Petya? Iespējams, ka tas ir primitīvs mēģinājums noslēpt, ka jauno epidēmiju sarīkojuši nebūt ne „vietējie huligāni”, kuri cenšas piepelnīties ar bezmaksas ekspluatējumu, bet gan daudz ļaunāki radījumi, kuriem nekāda nauda nav vajadzīga. Tiesa, ExPetr autori nedaudz naudas tomēr jau ir dabūjuši.

Izstrādāts paņēmiens, kā apiet Windows 10 kodola aizsardzību

Kā zināms, operētājsistēmai Windows 10 ir vairākas labas aizsardzības funkcijas. Viena no tām ir PatchGuard, kas praktiski likvidējusi iespēju izmantot „rootkit”. Taču puiši no CyberArk apgalvo, ka nebūs ilgi jāgaida, jo viņi jau esot izdomājuši paņēmienu, kā slepus izpildīt kodu Windows 10 kodola telpā.

Problēmas risinājums slēpjas brīnišķīgajā tehnoloģijā Intel PT (Processor Trace), kas ļauj drošības produktiem uzraudzīt komandas, kuras izpilda procesors, lai uzreiz konstatētu iespējamo uzbrukumu. Iecere ir lieliska, bet CyberArk izdevies izmantot PT, lai izpildītu savu kodu kodola telpā. Protams, ka viņi par to paziņojuši Microsoft, bet saņēmuši atbildi, ka tas viss ir nieki, jo šīs ievainojamības izmantošanai nepieciešamas administratora tiesības. Un ja jau tā, tad tā nav nekāda ievainojamība, jo administratoram ir atļauts sistēmā darīt visu, tāpēc — ja ļaundaris kļuvis par administratoru, tad atliek tikai pacelt ķepiņas.

Bet patiesībā tā gluži nav. Var taču konstatēt un iznīcināt Trojas zirgu, kam ir administratora tiesības. Bet CyberArk ekspluatējums ļauj izpildīt kodu slepus no visām aizsardzības sistēmām. Pilnīgi iespējams, ka kaut ko tādu jau sen izmanto, tikai nevienam vēl nav izdevies to noķert.

Malware Protection Engine atkal ar RCE

Liekas, ka Google Project Zero pētniekiem ļoti iepaticies preparēt Microsoft aizsardzības sistēmas dzini. Jau trešo reizi pēdējos mēnešos tajā ir atrasta ievainojamība, kas ļauj attālināti izpildīt patvaļīgu kodu.

 

 

Problēma ir x86 emulatorā, kurā MsMpEng pārbauda šaubīgas PE datnes. izrādījies, ka Microsoft izstrādātāji atstājuši pieejamu vienu no emulatora API izsaukumiem, turklāt ne jau nejauši, bet gan „noteiktu iemeslu dēļ”. Viltīgajam Tevisam Ormandi no Project Zero izdevies izmantot to speciāli sagatavotā datnē, kuras skenēšanas laikā emulatorā rodas atmiņas bojājums, tāpēc, kā raksta Microsoft, ir iespējams „izpildīt kodu, uzstādīt programmas, mainīt datus, izveidot jaunus kontus”.

Uzbrukuma tipveida scenārijs ir apmēram tāds pats kā iepriekšējām MsMpEng ievainojamībām: upuris apmeklē vietni, kura piedāvā viņam speciāli sagatavotu datni, vai arī datne tiek atsūtīta pa e-pastu vai ziņojumapmaiņas programmā. MsMpEng automātiski skenē šo datni — un sistēmas vadību pārņem „svešie”…

Atgādināsim, ka „caurais” MsMpEng ir programmatūrā Microsoft Endpoint Protection, Microsoft Forefront Endpoint Protection, Windows Defender un Microsoft Intune Endpoint Protection, taču ievainojamība piemīt tikai šī dziņa 32 bitu versijai.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 3

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu