/* Urbjam un lāpam */

No-click Windows RCE, Glupteba & Mēris, .to nedienas

Šajā Kiberpodkāsta epizodē fokusējamies uz pētniecību, jaunām taktikām un tendencēm:

  • cik droši ir neparastie protokoli (zoommtg, kas uzsāk Zoom konferenci un steam:, kas atver Steam spēles)?
  • ar ko slavens botnets Glupteba, kāpēc Google tam pievērsa uzmanību un kāda tam saistība ar Mikrotik?
  • vai kāds maz pamanīs, ja tiks uzlauzts mazas valstiņas domēnu reģistrs?

RCE ievainojamības Windows 10/11 protokolos

Labs pētījums no Positive Security par ļoti izplatītām kļūdām nestandarta protokolu realizācijās, kas bieži vien noved pie patvaļīga koda palaišanas (Remote Code Execution). Runa par tādiem protokoliem kā steam: un teamviewer10:, kas izskatās pēc visiem zināmajiem http: un https, bet ir saistīti ar datorā instalētajām programmām.

Windows 10/11 daudzas aplikācijas pieinstalē šāda veida speciālos protokolus, bet šoreiz pētnieki pievērsās tieši Microsoft ražotajiem protokoliem, jo tiem ir speciāla atļauja laisties Edge un Internet Explorer pārlūkos bez papildus dialoga.

Tika izpētīti MS Office instalētie ms-officeapp un ms-officecmd protokoli, kas atbilst par Office, Outlook, Skype un Teams programmu palaišanu no pārlūka. Šo protokolu apstrādē atrastas kritiskas ievainojamības, kas noved gan pie Elevation of Privilege, gan pie Remote Code Execution.

Atrastās problēmas ir nodotas Microsoft un šobrīd ir izlabotas, taču visticamāk līdzīgas ķibeles atrodamas arī pārējo specifisko protokolu realizācijās.

Windows 10 RCE: The exploit is in the link | Positive Security

Glupteba botnets

Šonedēļ Google pārtrauca GlupTeba botneta darību, pie tam iesūdzot tiesā divus izstrādātājus. Glupteba ir viens no senākajiem botnetiem, kas joprojām aktīvs. To pamatu veido Windows iekārtas, taču šīs iekārtas regulāri uzbrūk dažādām IoT ierīcēm, t.sk. Mikrotik rūteriem (iespējams, sasaistot Glupteba ar Mikrotik botnetu “Mēris”).

Botnetu raksturo daudzveidīgie kontroles komunikācijas kanāli. Papildus parastiem domēniem, tika izmantoti Google resursi (kas tagad nobloķēti). Taču pēdējais fallback mehānisms ir decentralizēts - Bitcoin blockchain, ko nobloķēt nav iespējams. Jāatzīmē gan, ka tekošās Glupteba versijas pārbauda blockchain tranzakcijas caur web servisiem, kuri tehniski varētu bloķēt šo pieprasījumus. Taču, ja tas netiek darīts, botneta operatori visticamāk spēs pilnībā atjaunot kontroli pār savu radījumu.

Google disrupts Glupteba botnet, files lawsuit against two Russians

Mikrotik rūteri

Interesants raksts par Mikrotik rūteru iesaisti dažādos kiberuzbrukumos. 2018-2019 gadā RouterOS tika publicētas vairākas ievainojamības (sākotnēji atklātas kā daļa no “Vault 7” CIA eksploitu kopas). Šīs ievainojamības ļāva noziedzniekiem inficēt lielāko daļu internetam pieslēgto MikroTik iekāru.

Lai gan ražotājs izlaida atjauninājumus, īpašnieki tos neinstalēja pietiekami ātri un daļa iekārtu joprojām ir ievainojamas ar tiem pašiem caurumiem.

Turklāt, no uzlauztiem Mikrotik rūteriem tika savāktas lietotāju paroles, bet klāt tika pieinstalēti papildus backdoor lietotāji un tika atvērti jauni servisi. Arī pēc atjauninājumu instalēšanas, vairums rūteru īpašnieku nenomainīja paroles un neatpazina & neatslēdza visus ļaunos servisus, tādējādi nodrošinot uzbrucējiem iespēju atgriezties.

Šo iemeslu dēļ MikroTik rūteri kibernoziedznieku vidē kļuvuši par iecienītu veidu, kā apslēpt savas pēdas caur proxy un VPN tīklu.

How MikroTik Routers Became a Cybercriminal Target

Microsoft cīņa ar Ķīnas grupējumu Nickel

Microsoft ir atņēmuši vairāk kā 40 domēnus, kurus izmantojis Ķīnas noziedzīgais grupējums APT15 jeb “Nickel”. Šī gada laikā Microsoft veicis jau vairāk par 20 līdzīgām takedown operācijām. Turklāt šo tendenci atbalsta arī Google un Facebook, kas arī veikuši patstāvīgas darbības, lai ierobežotu savu platformu izmantošanu noziedzīgiem nolūkiem un pat iesūdzot tiesā personas, kas atbildīgas par šādiem uzbrukumiem.

Microsoft seizes domains used by Chinese cyber-espionage group Nickel (APT15)

Ievainojamības Tongas valsts domēnu reģistrā (.to)

Tongas valsts domēnu reģistra mājaslapā atrastas web-ievainojamības, kas ļāva pārņemt jebkuru .to domēnu. Lai gan varētu likties, kas šīs problēmas skar tikai Tongas iedzīvotājus, atklājies, ka šo paplašinājumu plaši izmanto tādi interneta milži kā Google un Amazon.

Daudzas kompānijas iecienījušas .to paplašinājumu iekšējiem URL-shortener vajadzībām, jo tas angļu valodā nozīmē “uz”, līdzīgi kā Latvijā iecienīts domēns ir.uz (kas tehniski pieder Uzbekistānai).

Ja ievainojamību būtu atklājuši neētiskie hakeri, viņi varētu to izmantot, lai pārtvertu leģitīmu Google un Amazon trafiku, piemēram, pāradresējot lietotājus uz pikšķerēšanas domēniem paroles maiņas laikā.

Flaws in Tonga’s top-level domain left Google, Amazon, Tether web services vulnerable to takeover

Hive ļaunatūra

Diezgan tehnisks raksts no Group-IB par Hive ļaunatūras metodēm un taktikām. Šī ir viena no agresīvākajām izspiedējvīrusu grupām, tādēļ ar to darbību ieteicams iepazīties visiem Blue Team pārstāvjiem, neatkarībā no sava uzņēmuma darbības sfēras.

Inside the Hive

Jauna NOBELIUM tehnika MFA apiešanai

Mandiant publicējis rakstu par krievu grupējuma NOBELIUM darbību, kas apdraud gan visdažādākās valsts iestādes, gan arī komercsektoru. Raksts satur daudz noderīgas informācijas. Smieklīgu pieminējumu izraisīja jauna NOBELIUM taktika multi-faktoru autentifikācijas apiešanai — viņi pārpludina savu mērķi ar push-notification stila MFA pieprasījumiem, ar nodomu, ka cilvēki uzklikšķina kādam no paziņojumam nejauši vai arī domājot, ka pēkšņa verifikācijas pieprasījumu vētra ir kļūdaina.

Suspected Russian Activity Targeting Government and Business Entities Around the Globe

Menu