S3 Ep125: Når sikkerhetsmaskinvare har sikkerhetshull [Lyd + tekst]

S3 Ep125: Når sikkerhetsmaskinvare har sikkerhetshull [Lyd + tekst]

Tidsstempel: 9. mars 2023 1:58
Kilde node: 2003154
by Paul Ducklin

DU MÅ HA DENNE BRIKKEN! SELV OM DET HAR BUGS!

Minner om Michelangelo (viruset, ikke kunstneren). Datalekkasje feiler inn TPM 2.0. Ransomware bust, løsepengevare advarsel, og anti-ransomware råd.

Ingen lydspiller under? Lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.

Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.

LES TRANSKRIPTET

DOUG.   Ransomware, mer løsepengevare og TPM-sårbarheter.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

AND.   Snø og sludd, Doug.

Så det ble en kald tur inn i studio.

Jeg bruker luftanførsel... ikke for "ride", for "studio".

Det er egentlig ikke et studio, men det er *mitt* studio!

En liten hemmelig plass på Sophos HQ for opptak av podcasten.

Og det er deilig og varmt her, Doug!

DOUG.   Greit, hvis noen lytter... kom innom for en omvisning; Paul viser deg gjerne rundt på stedet.

Og jeg er så spent på Denne uken i teknisk historie, Paul.

Denne uken, den 06. mars 1992, våknet det sovende Michelangelo-oppstartssektorviruset til liv, og overskrev deler av ofrenes harddisker.

Dette betydde sikkert verdens undergang for datamaskiner overalt, da media snublet over seg selv for å advare folk om forestående undergang?

Imidlertid, ifølge Virus Bulletin-konferansen fra 1994, og jeg siterer:

Paul Ducklin, en energisk og underholdende foredragsholder, er overbevist om at innsatsen for å utdanne både bedrifter og media på mange måter har bommet målet..

Paul, du var der, mann!

AND.   Det var jeg, Doug.

Ironisk nok var 6. mars den ene dagen da Michelangelo ikke var et virus.

Alle andre dager spredte det seg rett og slett som ild i tørt gress.

Men den 06. mars gikk det: «Aha! Det er nyttelastdag!"

Og på en harddisk ville den gå gjennom de første 256 sporene, de første 4 hodene, 17 sektorer per spor ... som var stort sett "nedre venstre hjørne", hvis du vil, på hver side av de fleste harddisker som er i bruk på den tiden.

Så det ville ta omtrent 8.5 MByte ut av harddisken.

Det zappet ikke bare mye data, det ødela ting som filallokeringstabellene.

Så du kunne gjenopprette noen data, men det var en stor og usikker innsats for hver enkelt enhet du ville prøve å gjenopprette.

Det er like mye arbeid for den andre datamaskinen som den var for den første, for den tredje datamaskinen som for den andre... veldig, veldig vanskelig å automatisere.

Heldigvis, som du sier, ble det veldig overhypet i media.

Faktisk er min forståelse at viruset først ble analysert av avdøde Roger Riordan, som var en berømt australsk antivirusforsker på 1990-tallet, og han kom faktisk over det i februar 1991.

Og han pratet med en venn av ham, tror jeg, om det, og kompisen hans sa: «Å, 6. mars, det er bursdagen min. Visste du at det også er Michelangelos bursdag?»

Fordi jeg antar at folk som er født den 6. mars kanskje vet at …

Selvfølgelig var det et så trendy og kult navn... og et år senere, da det hadde fått sjansen til å spre seg og, som du sier, ofte lå i dvale, var det da det kom tilbake.

Det traff ikke millioner av datamaskiner, som media så ut til å frykte, og som avdøde John McAfee likte å si, men det er kald trøst for alle som ble truffet, for du mistet stort sett alt.

Ikke helt alt, men det kom til å koste deg en liten formue å få noe av det tilbake ... sannsynligvis ufullstendig, sannsynligvis upålitelig.

Og det dårlige med det var at fordi det spredte seg på disketter; og fordi det spredte seg i støvelsektoren; og fordi i disse dager ville nesten hver datamaskin starte opp fra diskettstasjonen hvis det bare tilfeldigvis var en disk i den; og fordi selv ellers tomme disketter hadde en oppstartssektor og hvilken som helst kode der inne ville kjøre, selv om alt det førte til var en melding av typen "Ikke-systemdisk eller diskfeil, erstatt og prøv igjen"...

… da var det for sent.

Så hvis du bare la igjen en disk i stasjonen ved en feiltakelse, så når du slått på neste morgen, da du så meldingen "Ikke-systemdisk eller diskfeil" og tenkte: "Å, jeg skal skyte disketten ut og restart oppstart fra harddisken"...

…på det tidspunktet var viruset allerede på harddisken din, og det ville spre seg til hver eneste diskett du hadde.

Så selv om du hadde viruset og så fjernet det, hvis du ikke gikk gjennom hele bedriftens stash av disketter, ville det være en Tyfus Mary der ute som kunne gjeninnføre det når som helst.

DOUG.   Det er en fascinerende historie.

Jeg er glad du var der for å hjelpe til med å rydde opp litt!

Og la oss rydde opp i litt annet.

Denne Trusted Platform Module … noen ganger kontroversiell.

Hva skjer når koden som kreves for å beskytte maskinen din er seg selv sårbare, Paul?

Seriøs sikkerhet: TPM 2.0-vulns – er de supersikre dataene dine i fare?

AND.   Hvis du vil forstå hele denne TPM-tingen, som høres ut som en god idé, ikke sant … det er denne bitte lille datterkort-tingen som du kobler til et bitte lite spor på hovedkortet ditt (eller kanskje det er forhåndsbygd), og det har en liten, spesiell koprosessorbrikke som bare gjør disse kjernekryptografiske tingene.

Sikker oppstart; digitale signaturer; sterk lagring for kryptografiske nøkler ... så det er ikke en dårlig idé.

Problemet er at du kan forestille deg det, fordi det er en så liten enhet og den har akkurat denne kjernekoden, er det sikkert ganske enkelt å fjerne den og gjøre det enkelt?

Vel, bare spesifikasjonene for Trusted Platform Module, eller TPM... de har til sammen: 306 sider, 177 sider, 432 sider, 498 sider, 146 sider, og den store slemme gutten på slutten, "Del fire: Støtterutiner – Code”, hvor feilene er, 1009 PDF-sider, Doug.

DOUG.   [ler] bare litt lett lesning!

AND.   [SUKK] Bare litt lett lesning.

Så det er mye arbeid. og mye plass for insekter.

Og de siste … vel, det er ganske mange som ble notert i den siste errataen, men to av dem fikk faktisk CVE-tall.

Det er CVE-2023-1017 og CVE-2023-1018.

Og dessverre er de feil, sårbarheter som kan pirres (eller nås) av kommandoer som et normalt brukerromsprogram kan bruke, som noe som en systemadministrator eller du selv kan kjøre, bare for å be TPM-en om å gjøre noe sikkert for deg.

Så du kan gjøre ting som å si: «Hei, gå og skaff meg noen tilfeldige tall. Gå og lag meg en kryptografisk nøkkel. Gå bort og bekreft denne digitale signaturen.»

Og det er fint hvis det gjøres i en egen liten prosessor som ikke kan rotes med av prosessoren eller operativsystemet – det er en god idé.

Men problemet er at i brukermoduskoden som sier: "Her er kommandoen jeg presenterer for deg"...

… dessverre, nøste opp parametrene som sendes inn for å utføre funksjonen du vil ha – hvis du fanger måten disse parameterne leveres til TPM på, kan du lure den til enten å lese ekstra minne (en bufferleseoverflyt), eller verre, overskrive ting som tilhører neste fyr, så å si.

Det er vanskelig å se hvordan disse feilene kan utnyttes til ting som kodekjøring på TPM (men, som vi har sagt mange ganger, "Aldri si aldri").

Men det er absolutt klart at når du har å gjøre med noe, som du sa i starten, "Du trenger dette for å gjøre datamaskinen din sikrere. Alt handler om kryptografisk korrekthet"...

… ideen om noe som lekker til og med to byte av andres dyrebare hemmelige data som ingen i verden skal vite?

Ideen om en datalekkasje, enn si en bufferskriveoverflyt i en slik modul, er faktisk ganske bekymringsfull.

Så det er det du trenger å lappe.

Og dessverre sier ikke errata-dokumentet: «Her er feilene; her er hvordan du lapper dem.»

Det er bare en beskrivelse av feilene og en beskrivelse av hvordan du bør endre koden.

Så antagelig vil alle gjøre det på sin egen måte, og så vil disse endringene filtrere tilbake til den sentrale referanseimplementeringen.

Den gode nyheten er at det er en programvarebasert TPM-implementering [libtpms] for folk som kjører virtuelle maskiner … de har allerede sett, og de har kommet opp med noen rettelser, så det er en godt sted å starte.

DOUG.   Herlig.

I mellomtiden, sjekk med maskinvareleverandørene dine, og se om de har noen oppdateringer for deg.

AND.   Ja.

DOUG.   Vi vil gå videre ... til de tidlige dagene med løsepengevare, som var full av utpressing, og så ble ting mer komplisert med "dobbel utpressing".

Og en haug med mennesker har nettopp vært det arrestert i en dobbeltutpressingsordning, som er gode nyheter!

DoppelPaymer ransomware mistenkte arrestert i Tyskland og Ukraina

AND.   Ja, dette er en løsepenge-gjeng kjent som DoppelPaymer. ("Doppel" betyr dobbelt på tysk.)

Så tanken er at det er en dobbel sjangs.

Det er der de krypterer alle filene dine og de sier: «Vi selger deg dekrypteringsnøkkelen. Og forresten, bare i tilfelle du tror at sikkerhetskopiene dine vil gjøre det, eller bare i tilfelle du tenker på å be oss gå oss vill og ikke betale oss pengene, bare vær oppmerksom på at vi også har stjålet alle filene dine først. ”

"Så, hvis du ikke betaler, og du *kan* dekryptere selv og du *kan* redde virksomheten din... kommer vi til å lekke dataene dine."

Den gode nyheten i denne saken er at noen mistenkte har blitt avhørt og arrestert, og mange elektroniske enheter er beslaglagt.

Så selv om dette, hvis du vil, er kald trøst for folk som ble utsatt for DoppelPaymer-angrep i sin tid, betyr det i det minste at politi ikke bare gir opp når cybergjenger ser ut til å legge hodet ned.

De mottok tilsynelatende så mye som 40 millioner dollar i utpressingsbetalinger bare i USA.

Og de gikk notorisk etter universitetssykehuset i Düsseldorf i Tyskland.

Hvis det er et lavpunkt i løsepengevare...

DOUG.   Alvor!

AND.   …ikke at det er bra at noen blir truffet, men tanken på at du faktisk tar ut et sykehus, spesielt et undervisningssykehus?

Jeg antar at det er den laveste av de laveste, er det ikke?

DOUG.   Og vi har noen råd.

Bare fordi disse mistenkte har blitt arrestert: Ikke slå tilbake beskyttelsen din.

AND.   Nei, faktisk, Europol innrømmer, med deres ord, "Ifølge rapporter har Doppelpaymer siden rebranded [som en løsepengevaregjeng] kalt "Sorg".

Så problemet er at når du slår noen mennesker i en nettgjeng, finner du kanskje ikke alle serverne...

…hvis du beslaglegger serverne, kan du ikke nødvendigvis jobbe bakover til individene.

Det gjør en bulk, men det betyr ikke at løsepengevare er over.

DOUG.   Og på det punktet: Ikke fikser på løsepengevare alene.

AND.   Faktisk!

Jeg tror at gjenger som DoppelPaymer gjør dette helt klart, gjør de ikke?

Når de kommer for å kryptere filene dine, har de allerede stjålet dem.

Så når du faktisk får løsepengevaredelen, har de allerede gjort N andre elementer av nettkriminalitet: innbruddet; det å se seg rundt; sannsynligvis åpne et par bakdører slik at de kan komme inn igjen senere, eller selge tilgang til neste mann; og så videre.

DOUG.   Som henger sammen med det neste rådet: Ikke vent på at trusselvarsler kommer inn i dashbordet ditt.

Det er kanskje lettere sagt enn gjort, avhengig av organisasjonens modenhet.

Men det er hjelp å få!

AND.   [LETER] Jeg trodde du skulle nevne Sophos Managed Detection and Response et øyeblikk der, Doug.

DOUG.   Jeg prøvde å ikke selge den.

Men vi kan hjelpe!

Det er litt hjelp der ute; gi oss beskjed.

AND.   Løst sagt, jo tidligere du kommer dit; jo tidligere du legger merke til; jo mer proaktiv er den forebyggende sikkerheten din...

…jo mindre sannsynlig er det at noen skurker vil kunne komme så langt som et løsepengeprogram.

Og det kan bare være bra.

DOUG.   Og sist men ikke minst: Ingen dom, men ikke betal hvis du muligens kan unngå det.

AND.   Ja, jeg tror vi har en plikt til å si det.

Fordi å betale opp midler den neste bølgen av nettkriminalitet, helt klart.

Og for det andre kan det hende du ikke får det du betaler for.

DOUG.   Vel, la oss gå fra en kriminell virksomhet til en annen.

Og dette er hva som skjer når en kriminell virksomhet bruker hver Verktøy, teknikk og prosedyre I boken!

Feds advarer om rett Royal ransomware rampage som kjører spekteret av TTP-er

AND.   Dette er fra CISA – USA Cybersecurity and Infrastructure Security Agency.

Og i dette tilfellet, i bulletin AA23 (det er i år) bindestrek 061A-for-alpha, snakker de om en gjeng kalt Royal ransomware.

Royal med stor R, Doug.

Det dårlige med denne gjengen er at deres verktøy, teknikker og prosedyrer ser ut til å være "opp til og inkludert det som er nødvendig for det nåværende angrepet".

De maler med en veldig bred pensel, men de angriper også med en veldig dyp spade, hvis du skjønner hva jeg mener.

Det er de dårlige nyhetene.

Den gode nyheten er at det er forferdelig mye å lære, og hvis du tar alt på alvor, vil du ha en veldig bred børsteforebygging og beskyttelse mot ikke bare løsepenge-angrep, men det du nevnte i Doppelpaymer-segmentet tidligere: «Ikke ikke bare fikser deg på løsepengevare.»

Bekymre deg for alle de andre tingene som fører opp til det: tastelogging; datastjeling; bakdør implantasjon; passordtyveri.

DOUG.   Greit, Paul, la oss oppsummere noen av utdragene fra CISA-rådene, og starter med: Disse skurkene bryter inn ved å bruke velprøvde metoder.

AND.   De gjør!

CISAs statistikk tyder på at akkurat denne gjengen bruker gode gamle phishing, som lyktes i 2/3 av angrepene.

Når det ikke fungerer bra, går de på jakt etter uoppdaterte ting.

Dessuten, i 1/6 av tilfellene er de fortsatt i stand til å bruke RDP... gode gamle RDP-angrep.

Fordi de bare trenger én server som du har glemt.

Og også, forresten, CISA rapporterte at når de først er inne, selv om de ikke kom i gang med å bruke RDP, ser det ut til at de fortsatt finner ut at mange selskaper har en ganske mer liberal politikk om RDP-tilgang * innenfor* nettverket deres.

[LETER] Hvem trenger kompliserte PowerShell-skript der du bare kan koble til en annens datamaskin og sjekke det ut på din egen skjerm?

DOUG.   Når de først er inn, prøver de kriminelle å unngå programmer som åpenbart kan dukke opp som skadelig programvare.

Det er også kjent som "å leve av landet".

AND.   De sier ikke bare: «Å vel, la oss bruke Microsoft Sysinternals PsExec-program, og la oss bruke dette ene populære PowerShell-skriptet.

De har en rekke verktøy, for å gjøre en rekke forskjellige ting som er ganske nyttige, fra verktøy som finner ut IP-numre, til verktøy som stopper datamaskiner fra å sove.

Alle verktøy som en godt informert systemadministrator kan ha og bruke regelmessig.

Og, løst sett, er det bare en bit av ren skadelig programvare som disse kjeltringene bringer inn, og det er de tingene som gjør den siste forvirringen.

Forresten, ikke glem at hvis du er en ransomware-kriminell, trenger du ikke engang å ta med ditt eget krypteringsverktøy.

Du kan, hvis du vil, bruke et program som for eksempel WinZip eller 7-Zip, som inkluderer en funksjon for "Opprett et arkiv, flytt filene inn," (som betyr at du sletter dem når du har lagt dem i arkivet), "og kryptere dem med et passord."

Så lenge skurkene er de eneste som kjenner passordet, kan de fortsatt tilby å selge det tilbake til deg...

DOUG.   Og bare for å tilsette litt salt i såret: Før de krypterer filer, prøver angriperne å komplisere veien til gjenoppretting.

AND.   Hvem vet om de har opprettet nye hemmelige administratorkontoer?

Med vilje installert buggy-servere?

Fjernet patcher med vilje slik at de vet hvordan de kan komme tilbake neste gang?

Forlot keyloggere liggende bak, hvor de vil aktiveres på et fremtidig tidspunkt og få problemer til å starte på nytt?

Og de gjør det fordi det er veldig til deres fordel at når du kommer deg etter et løsepenge-angrep, kommer du deg ikke helt tilbake.

DOUG.   Greit, vi har noen nyttige linker nederst i artikkelen.

En lenke som tar deg til å lære mer om Sophos Managed Detection and Response [MDR], og en annen som fører deg til Handlebok for aktiv motstander, som er et stykke satt sammen av vår egen John Shier.

Noen takeaways og innsikter som du kan bruke for å styrke beskyttelsen din bedre.

Kjenn din fiende! Finn ut hvordan motstandere av nettkriminalitet kommer inn...

AND.   Det er som en metaversjon av CISA "Royal ransomware"-rapporten.

Det er tilfeller der offeret ikke skjønte at angripere var i nettverket deres før det var for sent, og deretter ringte inn Sophos Rapid Response og sa: «Å herregud, vi tror vi har blitt rammet av løsepengevare... men hva mer skjedde? ”

Og dette er hva vi faktisk fant, i det virkelige liv, på tvers av et bredt spekter av angrep fra en rekke ofte ubeslektede kjeltringer.

Så det gir deg en veldig, veldig bred idé om utvalget av TTP-er (verktøy, teknikker og prosedyrer) som du må være klar over, og som du kan forsvare deg mot.

Fordi den gode nyheten er at ved å tvinge kjeltringene til å bruke alle disse separate teknikkene, slik at ingen av dem utløser en massiv alarm helt av seg selv...

…du gir deg selv en sjanse til å oppdage dem tidlig, hvis bare du [A] vet hvor du skal lete og [B] kan finne tid til å gjøre det.

DOUG.   Veldig bra.

Og vi har en leserkommentar til denne artikkelen.

Naken Security-leser Andy spør:

Hvordan står Sophos Endpoint Protection-pakkene opp mot denne typen angrep?

Jeg har sett på egen hånd hvor god ransomware-beskyttelsen er, men hvis den er deaktivert før krypteringen begynner, er vi avhengig av Tamper Protection, antar jeg, for det meste?

AND.   Vel, jeg håper ikke det!

Jeg håper at en Sophos Protection-kunde ikke bare sier: «Vel, la oss kjøre bare den lille delen av produktet som er der for å beskytte deg som en slags Last Chance-salong... det vi kaller CryptoGuard.

Det er modulen som sier: "Hei, noen eller noe prøver å kryptere et stort antall filer på en måte som kan være et ekte program, men som bare ikke ser riktig ut."

Så selv om det er legitimt, kommer det sannsynligvis til å rote til ting, men det er nesten helt sikkert noen som prøver å gjøre din skade.

DOUG.   Ja, CryptoGuard er som en hjelm du bruker når du flyr over styret på sykkelen din.

Ting har blitt ganske alvorlig hvis CryptoGuard er i gang!

AND.   De fleste produktene, inkludert Sophos i disse dager, har et element av Tamper Protection som prøver å gå et skritt videre, slik at selv en administrator må hoppe gjennom bøyler for å slå av visse deler av produktet.

Dette gjør det vanskeligere å gjøre det i det hele tatt, og vanskeligere å automatisere, å slå det av for alle.

Men du må tenke på det...

Hvis cybercrooks kommer inn i nettverket ditt, og de virkelig har "sysadmin-ekvivalens" på nettverket ditt; hvis de har klart å få de samme kreftene som dine vanlige systemadministratorer har (og det er deres sanne mål; det er det de virkelig ønsker)...

Gitt at systemadministratorene som kjører et produkt som Sophos's kan konfigurere, dekonfigurere og angi omgivelsesinnstillingene ...

…så hvis skurkene *er* sysadmins, er det på en måte som om de allerede har vunnet.

Og det er derfor du må finne dem på forhånd!

Så vi gjør det så vanskelig som mulig, og vi gir så mange lag med beskyttelse som vi kan, forhåpentligvis for å prøve å stoppe denne tingen før den i det hele tatt kommer inn.

Og akkurat mens vi er i gang, Doug (jeg vil ikke at dette skal høres ut som et salgsverktøy, men det er bare en funksjon i programvaren vår som jeg liker)...

Vi har det jeg kaller en "aktiv motstandsmotstander"-komponent!

Med andre ord, hvis vi oppdager atferd på nettverket ditt som sterkt antyder ting, for eksempel som systemadministratorene dine ikke helt ville gjort, eller ikke helt ville gjort på den måten...

... "aktiv motstander motstander" sier: "Vet du hva? Akkurat i øyeblikket kommer vi til å øke beskyttelsen til høyere nivåer enn du vanligvis ville tolerert."

Og det er en flott funksjon fordi det betyr at hvis skurker kommer inn i nettverket ditt og begynner å prøve å gjøre uheldige ting, trenger du ikke å vente til du legger merke til det og *da* bestemmer deg, "Hvilke ur skal vi endre?"

Doug, det var et ganske langt svar på et tilsynelatende enkelt spørsmål.

Men la meg bare lese opp det jeg skrev i svaret mitt til kommentaren om Naked Security:

Målet vårt er å være på vakt hele tiden, og å gripe inn så tidlig, så automatisk, så trygt og så bestemt vi kan – for alle slags nettangrep, ikke bare løsepengeprogramvare.

DOUG.   Ok, godt sagt!

Tusen takk, Andy, for at du sendte det inn.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan slå oss på sosiale medier: @NakedSecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, minner deg om. Til neste gang, for å...

BÅDE.   Hold deg trygg!

[MUSIKK MODEM]

Tidstempel:

Mer fra Naken sikkerhet