WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес биткойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.

Отличная бизнес-схема: ничего и делать не надо, просто поправили семпл и выпустили на волю, дальше он вормится по всему миру самостоятельно. EternalBlue + DoublePulsar и вперед, ничто их не остановит. Получается, жертвы этой волны не получат свои файлы назад даже после оплаты выкупа: ведь ключа для расшифровки файлов у владельцев кошелька нет. В принципе, это неплохой урок для любителей поддерживать бизнес рансомварщиков звонким биткойном, но ущерб от этого квази-воннакрая может быть очень серьезен.

В аудиодрайверах HP нашли кейлоггер

Такая вот новость. Аудиодрайвер Conexant, установленный на некоторых компьютерах производства Хьюлетта с Паккардом, пишет в лог все, что жмет на клавиатуре пользователь, а лог аккуратненько складывает в C:\Users\Public\MicTray.log. Ничего не шифрует при этом.

Обычно безопасники больше всего ломают голову над вопросами «кто виноват» и «что делать», но в этот раз актуальнее вопрос «ЗАЧЕМ?!». Причина оказалась самая идиотская: разработчики таким образом на стадии отладки ловили баги при нажатиях горячих клавиш, да отключить забыли.

Список моделей с такой «особенностью» весьма обширен:

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

Не исключено, что кто-то давно это выяснил, и использует в своих гнусных целях. Реакция самих Conexant и HP на открытие была нулевая: когда Торстен Шредер из ModZero, обнаруживший проблему, попытался до них достучаться, ответа он не получил ни оттуда, ни оттуда. Пришлось ему опубликовать описание «уязвимости» и доказательство концепции, только после этого вендоры зашевелились.

Но зашевелились как-то специфически: функция протоколирования клавиатуры в драйвере осталась, ее лишь отключили ключом в реестре. ModZero предлагают пользователям замечательных компьютеров HP не надеяться на обновления, а просто грохнуть экзешник C:\Windows\System32\MicTray64.exe, пожертвовав возможностями регулирования звука с кнопок, ну и сам лог, конечно же.

Уязвимость в Chrome позволяет красть учетные данные

Новость. Исследование. Если вы думаете, что Windows 10 с последними обновлениями и новейшая версия Chrome защитит вас от злобных эксплойтных сайтов, то… ну, вы поняли. Прекращайте так думать, ибо в DefenseCode придумали хитроумную атаку через самый популярный браузер.

Суть причем не в программной ошибке, а в конфигурационной – по умолчанию Chrome без запроса разрешения скачивает с веб-сайтов файлы, которые считает безопасными. И все вроде бы ничего – он же их не запускает, – но в списке безопасных числятся SCF, командные файлы Explorer. Это текстовые файлы, содержащие две секции, в одной команда для исполнения при запуске, в другой путь к пиктограмме файла. И вот иконку Explorer пытается достать автоматически, снова не запрашивая пользователя. А ведь это может быть и сетевой путь, куда-нибудь в Интернет.

И снова – что же тут опасного, раз Explorer просто пытается загрузить иконку, а не исполняет ее? Просто при этом он пытается авторизоваться на SMB-сервере и выдает ему логин пользователя, домен, и хэш пароля NTLMv2. Соответственно, хакер может попытаться расхэшить пароль (что для простого пароля занимает часы), просто авторизоваться с этими данными на внешнем сервисе, использующем NTLMv2 – например, на сервере Exchange, – или же использовать их внутри взломанной сети, что полезно для повышения привилегий. Для пользователей Windows 8/10, логинящихся с помощью аккаунта Microsoft, это может привести к компрометации их учетных записей в OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live.

Защититься от подобной атаки можно, установив в настройках Chrome обязательный запрос на сохранение файла перед его загрузкой. Другие браузеры, как указывают в DefenseCode, SCF-файлы автоматически не загружают.

Древности


«V-944»

Нерезидентный опасный вирус. Стандартно поражает .COM-файлы текущего каталога и каталогов, отмеченных в COMSPEC. Перехватывает int 16h (клавиатура) и, в зависимости от вводимых с клавиатуры символов, запускает по 25-й строке экрана справа налево и обратно символ рожицы (ASCII 1). Движение рожицы сопровождается жужжанием. Достаточно жестко обходится с int 16h, может «завесить» систему. Снимает атрибут read-only, значение времени файла устанавливает в 62 секунды.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Поделиться с друзьями
-->

Комментарии (17)


  1. robert_ayrapetyan
    19.05.2017 19:54
    +3

    Пострадало множество крупных российских компаний. Наблюдается ли резкое возрастание спроса на ваши продукты?


  1. Tesla_reloaded
    19.05.2017 21:23

    установив в настройках Chrome обязательный запрос на сохранение файла перед его загрузкой

    Где именно в настройках это можно изменить?
    «Всегда указывать место скачивания» — файл всё равно начинает скачиватся во временную папку до выбора места.
    «Автоматическая загрузка» (в Настройках контента) отвечает только за скачивание нескольких файлов сразу.
    Среди chrome://flags/ ключей, которые как-то влияли бы на загрузку файлов я тоже не нашёл.
    Может плохо искал? Поправьте меня пожалуйста в этом случае.


    1. Kaspersky_Lab
      19.05.2017 21:26
      +1

      Да, речь об этой опции. Дело в том, что Chrome во время загрузки, до сохранения в целевую директорию, ставит файлу расширение .tmp, поэтому файл не обрабатывается explorer.


  1. DenimTornado
    19.05.2017 22:33
    +2

    Автор, за что так? Неужели на нормальном русском писать нельзя? Ну вот что это: «ресерчеры синкхольнули», «намыть себе копеечку», «дальше он вормится»? Я уж не говорю про опечатки. Ну и отдельное фи за «троянца», больше всего напоминает Горлума с его «хобитцами».


    1. Andrusha
      20.05.2017 04:00
      +8

      Если придираться к смыслу, то «троянец», конечно, неправильно — в том самом коне сидели вовсе не троянцы, а данайцы, но в кибербезопасности это вполне ходовая форма, причём уже давно.


      1. akirsanov
        21.05.2017 11:55

        причем слово «троянцы» — это изобретение ЛК.


    1. Kaspersky_Lab
      22.05.2017 11:40

      Споры между приверженцами литературного языка и технического жаргона никогда не утихнут. Не буду в них вступать, простите. А вот за троянцев отвечу — именно так переводится слово trojan. К хоббитсам не имеет отношения, в употреблении отдельно от коня это житель Трои.
      Грамота.ру разрешает употребление слова «троянец» в смысле «троянский вирус».


  1. Ugrum
    20.05.2017 10:45
    +3

    Получается, жертвы этой волны не получат свои файлы назад даже после оплаты выкупа: ведь ключа для расшифровки файлов у владельцев кошелька нет.


    А жертвы оригинального (первой волны заражения) вируса разве получат/получили свои файлы назад?


  1. navion
    20.05.2017 20:26

    Новость про декрипторы для WannaCry будет ждать следующей пятницы?


    1. RulZa
      20.05.2017 22:27

      Если вы запустили эту утилиту во время шифрования, она сможет залезть в память и вытащить ключ, это уже давно нашли. Если не успели, то не поможет.


      1. navion
        22.05.2017 14:16

        По ссылке пишут, что ключ можно восстановить даже после шифрования, так как CryptReleaseContext не удаляет его из памяти.


  1. AROEagle
    20.05.2017 22:27

    Даже самые «стойкие» и не «пробиваемые» защиты пасуют только перед одним: ЧЕЛОВЕЧЕСКИЙ ФАКТОР. У меня уже был инцидент с «пробным шаром» WannaCryptor, но… Даже обращение в отдел «К» не помогло (им вообще-то так всё до...)


  1. Zekfad
    20.05.2017 22:27

    Довольно познавательно.
    Отдельное спасибо автору, за часть про Chrome, ибо сам пользуюсь.


  1. AVX
    20.05.2017 23:40
    +1

    Насчёт модифицированного червя — а что, так можно было? Чёрт, это же просто и гениально! Осталось собрать всех известных криптолокеров, и везде подменить номера кошельков. А дальше — дело техники.
    Создатель(-и) wannacry после этого, видимо, озаботятся насчёт проверки целостности файла, или шифрования в коде программы номеров кошельков. А то, понимаешь, кул-хацкеры воруют честно наворованное награбленное!


    1. AlexanderS
      21.05.2017 23:29

      Хакнули хакеров)


      1. Ugrum
        22.05.2017 09:21

        А может авторы криптора просто продали своё поделие ещё одним «ксакепам»?


        1. MikailBag
          25.05.2017 22:08

          А продавать то что?
          Никто не будет покупать то, что можно сделать самому за 15 минут