S3 Ep125: När säkerhetshårdvaran har säkerhetshål [Ljud + text]

S3 Ep125: När säkerhetshårdvaran har säkerhetshål [Ljud + text]

Tidsstämpel: 9 mars 2023 1:58
Källnod: 2003154
by Paul Ducklin

DU MÅSTE HA DETTA CHIP! ÄVEN OM DET HAR BUGGAR!

Minnen av Michelangelo (viruset, inte konstnären). Dataläckage buggar in TPM 2.0. Ransomware byst, ransomware varning, och råd mot ransomware.

Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

Med Doug Aamoth och Paul Ducklin. Intro och outro musik av Edith Mudge.

Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.

LÄS TRANSKRIPTET

DOUG.   Ransomware, mer ransomware och TPM-sårbarheter.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur mår du idag?

ANKA.   Snö och slask, Doug.

Så det blev en kall tur in i studion.

Jag använder luft-citat... inte för "åka", för "studio".

Det är egentligen ingen studio, men det är *min* studio!

Ett litet hemligt utrymme på Sophos HQ för inspelning av podcasten.

Och det är härligt och varmt här, Doug!

DOUG.   Okej, om någon lyssnar... kom förbi på en rundtur; Paul visar dig gärna runt på platsen.

Och jag är så exalterad över Denna vecka i teknisk historia, Paul.

Den här veckan den 06 mars 1992 växte det slumrande Michelangelo-bootsektorviruset till liv och skrev över delar av offrens hårddiskar.

Visst innebar detta världens undergång för datorer överallt, när media snubblade över sig själv för att varna människor för annalkande undergång?

Men enligt 1994 års Virus Bulletin-konferensrapport, och jag citerar:

Paul Ducklin, en energisk och underhållande talare, är övertygad om att ansträngningen att utbilda både företag och media på många sätt har missat sitt mål..

Paul, du var där, man!

ANKA.   Det var jag, Doug.

Ironiskt nog var den 6 mars den enda dagen då Michelangelo inte var ett virus.

Alla andra dagar spred det sig helt enkelt som en löpeld.

Men den 06 mars gick det, "Aha! Det är lastdagen!"

Och på en hårddisk skulle den gå igenom de första 256 spåren, de första 4 huvudena, 17 sektorer per spår... vilket var i stort sett det "nedre vänstra hörnet", om du så vill, på varje sida av de flesta hårddiskar som används vid den tiden.

Så det skulle ta ungefär en 8.5 MByte bit av din hårddisk.

Det zappade inte bara mycket data, det förstörde saker som filallokeringstabellerna.

Så du kunde återställa en del data, men det var en enorm och osäker ansträngning för varje enskild enhet som du ville försöka återställa.

Det är lika mycket arbete för den andra datorn som det var för den första, för den tredje datorn som för den andra... väldigt, väldigt svårt att automatisera.

Som du säger var det lyckligtvis väldigt överhypat i media.

Faktum är att jag förstår att viruset först analyserades av den sene Roger Riordan, som var en berömd australisk antivirusforskare på 1990-talet, och han stötte på det i februari 1991.

Och han pratade med en kompis, tror jag, om det, och hans kompis sa: ”Åh, den 6 mars, det är min födelsedag. Visste du att det också är Michelangelos födelsedag?”

För jag antar att människor som är födda den 6 mars kanske bara råkar veta att...

Visst, det var ett så trendigt och coolt namn... och ett år senare, när det hade fått chansen att sprida sig och, som du säger, ofta låg i dvala, det var då det kom tillbaka.

Det träffade inte miljontals datorer, som media verkade frukta, och som framlidne John McAfee gillade att säga, men det är kall tröst för alla som blev påkörda, för du förlorade i stort sett allt.

Inte riktigt allt, men det skulle kosta dig en liten förmögenhet att få tillbaka en del av det... förmodligen ofullständigt, förmodligen opålitligt.

Och det dåliga med det var att eftersom det spred sig på disketter; och för att det spred sig i bootsektorn; och för att på den tiden startade nästan varje dator från diskettenheten om det bara råkade vara en disk i den; och för att även annars tomma disketter hade en startsektor och vilken kod som helst där skulle köras, även om allt det ledde till var ett meddelande av typen "Icke-systemdisk eller diskfel, ersätt och försök igen"...

… då var det för sent.

Så om du bara lämnade en disk i enheten av misstag, när du slog på nästa morgon, när du såg meddelandet "Icke-systemdisk eller diskfel" och tänkte, "Åh, jag ska poppa disketten ut och starta om boot från hårddisken"...

… då fanns viruset redan på din hårddisk, och det skulle spridas till varenda diskett du hade.

Så även om du hade viruset och sedan tog du bort det, om du inte gick igenom hela företagets samling av disketter, skulle det finnas en Tyfus Mary där ute som skulle kunna återinföra det när som helst.

DOUG.   Det finns en fascinerande historia.

Jag är glad att du var där för att hjälpa till att städa upp lite!

Och låt oss städa upp lite annat.

Denna Trusted Platform Module… ibland kontroversiell.

Vad händer när koden som krävs för att skydda din maskin är sig själv sårbara, Paul?

Allvarlig säkerhet: TPM 2.0 vulns – är din supersäkra data i fara?

ANKA.   Om du vill förstå hela den här TPM-grejen, som låter som en bra idé, eller hur... det finns den här lilla lilla dotterkortet som du kopplar in i en liten kortplats på ditt moderkort (eller kanske är den förinbyggd), och den har en litet litet speciellt samprocessorchip som bara gör de här centrala kryptografiska grejer.

Säker start; digitala signaturer; stark lagring för kryptografiska nycklar... så det är inte i sig en dålig idé.

Problemet är att du kan föreställa dig det, eftersom det är en så liten liten enhet och den bara har den här kärnkoden, är det väl ganska lätt att ta bort den och göra det enkelt?

Tja, bara specifikationerna för Trusted Platform Module, eller TPM... de har tillsammans: 306 sidor, 177 sidor, 432 sidor, 498 sidor, 146 sidor, och den stora bad boy i slutet, "Del fyra: stödjande rutiner - Code”, där felen finns, 1009 PDF-sidor, Doug.

DOUG.   [skrattar] lite lätt läsning!

ANKA.   [SUCKAR] Bara lite lätt läsning.

Så det är mycket jobb. och en hel del plats för buggar.

Och de senaste … ja, det är en hel del som noterades i den senaste erratan, men två av dem fick faktiskt CVE-nummer.

Det finns CVE-2023-1017 och CVE-2023-1018.

Och tyvärr är de buggar, sårbarheter, som kan kittlas (eller nås) av kommandon som ett normalt användarutrymmesprogram kan använda, som något som en systemadministratör eller du själv kan köra, bara för att be TPM att göra något säkert för dig.

Så du kan göra saker som att säga, "Hej, gå och skaffa mig några slumpmässiga siffror. Gå och bygg en kryptonyckel till mig. Gå bort och verifiera den här digitala signaturen."

Och det är trevligt om det görs i en separat liten processor som inte kan bråkas med av processorn eller operativsystemet – det är en bra idé.

Men problemet är att i användarlägeskoden som säger "Här är kommandot jag presenterar för dig"...

…tyvärr, genom att reda ut parametrarna som skickas in för att utföra den funktion du vill ha – om du fäller hur dessa parametrar levereras till TPM, kan du lura den att antingen läsa extra minne (ett buffertavläsningsspill), eller värre, att skriva över saker som tillhör nästa kille, liksom.

Det är svårt att se hur dessa buggar skulle kunna utnyttjas för saker som kodexekvering på TPM (men, som vi har sagt många gånger, "Säg aldrig aldrig").

Men det är säkert klart att när du har att göra med något, som du sa i början, "du behöver det här för att göra din dator säkrare. Allt handlar om kryptografisk korrekthet”...

…tanken på att något läcker till och med två byte av någon annans värdefulla hemliga data som ingen i världen ska känna till?

Tanken på ett dataläckage, än mindre ett buffertskrivspill i en sådan modul, är verkligen ganska oroande.

Så det är vad du behöver lappa.

Och tyvärr står det inte i erratadokumentet: ”Här är buggarna; så här lappar du dem.”

Det finns bara en beskrivning av buggarna och en beskrivning av hur du bör ändra din kod.

Så antagligen kommer alla att göra det på sitt eget sätt, och sedan kommer dessa ändringar att filtreras tillbaka till den centrala referensimplementeringen.

Den goda nyheten är att det finns en mjukvarubaserad TPM-implementering [libtpms] för personer som kör virtuella maskiner... de har redan tittat och de har kommit med några korrigeringar, så det är en bra ställe att börja.

DOUG.   Härlig.

Under tiden, kolla med dina hårdvaruleverantörer och se om de har några uppdateringar åt dig.

ANKA.   Ja.

DOUG.   Vi kommer att gå vidare... till de tidiga dagarna av ransomware, som var full av utpressning, och sedan blev det mer komplicerat med "dubbel utpressning".

Och ett gäng människor har precis varit arresterad i en dubbel utpressningsplan, vilket är goda nyheter!

DoppelPaymer ransomware misstänkta arresterade i Tyskland och Ukraina

ANKA.   Ja, det här är ett gäng med ransomware som kallas DoppelPaymer. ("Doppel" betyder dubbla på tyska.)

Så tanken är att det är ett dubbelt slag.

Det är där de förvränger alla dina filer och de säger: "Vi säljer dekrypteringsnyckeln till dig. Och förresten, ifall du tror att dina säkerhetskopior kommer att fungera, eller bara om du funderar på att säga åt oss att gå vilse och inte betala oss pengarna, var bara medveten om att vi också har stulit alla dina filer först. ”

"Så, om du inte betalar, och du *kan* dekryptera själv och du *kan* rädda ditt företag... kommer vi att läcka dina data."

De goda nyheterna i det här fallet är att några misstänkta har förhörts och gripits, och många elektroniska enheter har beslagtagits.

Så även om detta, om du så vill, är kall tröst för människor som drabbades av DoppelPaymer-attacker förr i tiden, betyder det åtminstone att brottsbekämpande myndigheter inte bara ger upp när cybergäng tycks lägga ner huvudet.

De fick tydligen så mycket som 40 miljoner dollar i utpressningsbetalningar bara i USA.

Och de gick notoriskt efter universitetssjukhuset i Düsseldorf i Tyskland.

Om det finns en låg punkt i ransomware...

DOUG.   Allvarligt!

ANKA.   …inte för att det är bra att någon blir påkörd, men tanken att man faktiskt tar ut ett sjukhus, särskilt ett undervisningssjukhus?

Jag antar att det är den lägsta av de låga, eller hur?

DOUG.   Och vi har några råd.

Bara för att dessa misstänkta har gripits: Slå inte tillbaka ditt skydd.

ANKA.   Nej, i själva verket erkänner Europol, med deras ord, "Enligt rapporter har Doppelpaymer sedan dess döpt om [som ett ransomware-gäng] kallat "Grief".

Så problemet är att när du slår några personer i ett cybergäng, kanske du inte hittar alla servrar...

...om du lägger beslag på servrarna kan du inte nödvändigtvis arbeta bakåt till individerna.

Det gör en buckla, men det betyder inte att ransomware är över.

DOUG.   Och på den punkten: Fixera inte bara på ransomware.

ANKA.   Verkligen!

Jag tror att gäng som DoppelPaymer gör detta alldeles tydligt, eller hur?

När de kommer för att förvränga dina filer har de redan stulit dem.

Så när du faktiskt får ransomware-delen har de redan gjort N andra delar av cyberkriminalitet: inbrottet; se sig omkring; antagligen öppna ett par bakdörrar så att de kan komma in igen senare, eller sälja tillgång till nästa kille; och så vidare.

DOUG.   Vilket hör ihop med nästa råd: Vänta inte tills hotvarningar hamnar i din instrumentpanel.

Det är kanske lättare sagt än gjort, beroende på organisationens mognad.

Men det finns hjälp att få!

ANKA.   [SKratt] Jag trodde att du skulle nämna Sophos Managed Detection and Response ett ögonblick där, Doug.

DOUG.   Jag försökte att inte sälja den.

Men vi kan hjälpa till!

Det finns lite hjälp där ute; låt oss veta.

ANKA.   Löst sagt, ju tidigare du kommer dit; ju tidigare du märker; desto mer proaktiv är din förebyggande säkerhet...

...desto mindre sannolikt är det att skurkar kommer att kunna komma så långt som till en ransomware-attack.

Och det kan bara vara bra.

DOUG.   Och sist men inte minst: Ingen dom, men betala inte om du möjligen kan undvika det.

ANKA.   Ja, jag tycker att vi är skyldiga att säga det.

För att betala in pengar till nästa våg av cyberbrottslighet, helt klart.

Och för det andra kanske du inte får vad du betalar för.

DOUG.   Nåväl, låt oss gå från ett kriminellt företag till ett annat.

Och detta är vad som händer när ett kriminellt företag använder varje Verktyg, teknik och procedur i boken!

Feds varnar för rätt Royal ransomware framfart som kör spektrumet av TTP:er

ANKA.   Detta är från CISA – USA Byrån för cybersäkerhet och infrastruktur.

Och i det här fallet, i bulletin AA23 (det är i år) streck 061A-for-alpha, talar de om ett gäng som heter Royal ransomware.

Kunglig med stort R, Doug.

Det dåliga med det här gänget är att deras verktyg, tekniker och procedurer verkar vara "upp till och inklusive allt som är nödvändigt för den aktuella attacken".

De målar med en väldigt bred pensel, men de attackerar också med en väldigt djup spade, om du förstår vad jag menar.

Det är de dåliga nyheterna.

Den goda nyheten är att det finns oerhört mycket att lära sig, och om du tar det hela på allvar kommer du att ha ett mycket brett penslande förebyggande och skydd mot inte bara ransomware-attacker, utan det du nämnde i segmentet Doppelpaymer tidigare: "Don' inte bara fixera på ransomware.”

Oroa dig för alla andra saker som leder fram till det: keylogging; datastöld; bakdörrsimplantation; lösenordsstöld.

DOUG.   Okej, Paul, låt oss sammanfatta några av tipsen från CISA:s råd, med början med: Dessa skurkar bryter in med beprövade metoder.

ANKA.   Dom gör!

CISAs statistik tyder på att just det här gänget använder gammalt nätfiske, vilket lyckades med 2/3 av attackerna.

När det inte fungerar bra, letar de efter oparpade saker.

Dessutom, i 1/6 av fallen kan de fortfarande komma in med RDP... gamla goda RDP-attacker.

Eftersom de bara behöver en server som du glömt bort.

Och även, förresten, CISA rapporterade att när de väl är inne, även om de inte kom in på att använda RDP, verkar det som att de fortfarande upptäcker att många företag har en ganska mer liberal policy om RDP-tillgång * inom* deras nätverk.

[SKratt] Vem behöver komplicerade PowerShell-skript där du bara kan ansluta till någon annans dator och kolla upp det på din egen skärm?

DOUG.   Väl inne försöker brottslingarna undvika program som uppenbarligen kan dyka upp som skadlig programvara.

Det är också känt som "att leva av landet".

ANKA.   De säger inte bara, "Jaha, låt oss använda Microsoft Sysinternals PsExec-program, och låt oss använda det här populära PowerShell-skriptet.

De har hur många verktyg som helst, för att göra hur många olika saker som helst som är ganska användbara, från verktyg som tar reda på IP-nummer, till verktyg som hindrar datorer från att sova.

Alla verktyg som en välinformerad sysadmin mycket väl kan ha och använda regelbundet.

Och, löst sagt, det finns bara en bit av ren skadlig kod som dessa skurkar tar in, och det är de saker som gör den sista förvrängningen.

Glöm förresten inte att om du är en brottsling av ransomware behöver du inte ens ta med din egen krypteringsverktygslåda.

Du kan, om du vill, använda ett program som t.ex. WinZip eller 7-Zip, som innehåller en funktion för att "Skapa ett arkiv, flytta in filerna" (vilket innebär att ta bort dem när du väl har lagt dem i arkivet), "och kryptera dem med ett lösenord."

Så länge skurkarna är de enda som känner till lösenordet kan de fortfarande erbjuda att sälja tillbaka det till dig...

DOUG.   Och bara för att tillsätta lite salt i såret: Innan de förvränger filer försöker angriparna att komplicera din väg till återställning.

ANKA.   Vem vet om de har skapat nya hemliga administratörskonton?

Avsiktligt installerade buggyservrar?

Avsiktligt borttagna plåster så att de vet ett sätt att komma tillbaka nästa gång?

Lämnade keyloggers liggande bakom, där de kommer att aktiveras vid något framtida ögonblick och få dina problem att börja om från början?

Och de gör det för att det är mycket till deras fördel att när du återhämtar dig från en ransomware-attack, så återhämtar du dig inte helt.

DOUG.   Okej, vi har några användbara länkar längst ner i artikeln.

En länk som tar dig att lära dig mer om Sophos Managed Detection and Response [MDR], och en annan som leder dig till Active Adversary Playbook, som är ett stycke sammansatt av vår egen John Shier.

Några takeaways och insikter som du kan använda för att bättre stärka ditt skydd.

Känn din fiende! Lär dig hur cyberbrottsmotståndare kommer in...

ANKA.   Det är som en metaversion av CISA "Royal ransomware"-rapporten.

Det är fall där offret inte insåg att angripare fanns i deras nätverk förrän det var för sent, sedan ringde in Sophos Rapid Response och sa: "Åh fy, vi tror att vi har drabbats av ransomware... men vad hände mer? ”

Och det här är vad vi faktiskt hittade, i verkliga livet, över ett brett utbud av attacker av en rad ofta orelaterade skurkar.

Så det ger dig en väldigt, väldigt bred uppfattning om utbudet av TTP:er (verktyg, tekniker och procedurer) som du behöver vara medveten om och som du kan försvara dig mot.

För den goda nyheten är att genom att tvinga skurkarna att använda alla dessa separata tekniker, så att ingen av dem utlöser ett massivt larm helt på egen hand...

…du ger dig själv en chans att upptäcka dem tidigt, om bara du [A] vet var du ska leta och [B] kan hitta tid att göra det.

DOUG.   Mycket bra.

Och vi har en läsarkommentar till den här artikeln.

Naken Security-läsaren Andy frågar:

Hur klarar sig Sophos Endpoint Protection-paket mot den här typen av attacker?

Jag har själv sett hur bra skyddet av ransomware för filer är, men om det är inaktiverat innan krypteringen börjar så förlitar vi oss till största delen på Tamper Protection, antar jag?

ANKA.   Nä, det hoppas jag inte!

Jag hoppas att en Sophos Protection-kund inte bara skulle säga, "Tja, låt oss köra bara den lilla delen av produkten som finns där för att skydda dig som en typ av Last Chance-salong... det vi kallar CryptoGuard.

Det är modulen som säger, "Hej, någon eller något försöker krypa ihop ett stort antal filer på ett sätt som kan vara ett äkta program, men det ser bara inte bra ut."

Så även om det är legitimt, kommer det förmodligen att förstöra saker och ting, men det är nästan säkert någon som försöker göra din skada.

DOUG.   Ja, CryptoGuard är som en hjälm som du bär när du flyger över styret på din cykel.

Saker och ting har blivit ganska allvarliga om CryptoGuard sätter igång!

ANKA.   De flesta produkter, inklusive Sophos nuförtiden, har ett element av sabotageskydd som försöker gå ett steg längre, så att även en administratör måste hoppa genom bågar för att stänga av vissa delar av produkten.

Detta gör det svårare att göra det alls, och svårare att automatisera, att stänga av det för alla.

Men du måste tänka på det...

Om cyberskurkar kommer in i ditt nätverk och de verkligen har "sysadmin-ekvivalens" på ditt nätverk; om de har lyckats få samma befogenheter som dina vanliga systemadministratörer har (och det är deras sanna mål; det är vad de verkligen vill ha)...

Med tanke på att systemadministratörerna som kör en produkt som Sophos kan konfigurera, avkonfigurera och ställa in omgivningsinställningarna...

…så om skurkarna *är* sysadmins, är det ungefär som att de redan har vunnit.

Och det är därför du måste hitta dem i förväg!

Så vi gör det så svårt som möjligt, och vi tillhandahåller så många lager av skydd som vi kan, förhoppningsvis för att försöka stoppa det här innan det ens kommer in.

Och precis medan vi håller på, Doug (jag vill inte att det här ska låta som ett försäljningsschema, men det är bara en funktion i vår programvara som jag hellre gillar)...

Vi har vad jag kallar en "aktiv motståndares motståndare"-komponent!

Med andra ord, om vi upptäcker beteende på ditt nätverk som starkt tyder på saker, till exempel som dina systemadministratörer inte riktigt skulle göra eller inte riktigt skulle göra på det sättet...

... "aktiv motståndare motståndare" säger, "Vet du vad? Just för tillfället kommer vi att öka skyddet till högre nivåer än vad du normalt skulle tolerera."

Och det är en fantastisk funktion eftersom det betyder att om skurkar kommer in i ditt nätverk och börjar försöka göra otrevliga saker, behöver du inte vänta tills du märker det och *då* bestämma dig, "Vilka rattar ska vi ändra?"

Doug, det var ett ganska långt svar på en till synes enkel fråga.

Men låt mig bara läsa upp vad jag skrev i mitt svar på kommentaren om Naked Security:

Vårt mål är att vara vaksamma hela tiden och att ingripa så tidigt, så automatiskt, så säkert och så beslutsamt vi kan – för alla typer av cyberattacker, inte bara ransomware.

DOUG.   Okej, bra sagt!

Tack så mycket, Andy, för att du skickade in det.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar eller så kan du träffa oss på sociala: @NakedSecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag är Doug Aamoth, påminner dig. Tills nästa gång...

BÅDE.   Håll dig säker!

[MUSIKALT MODEM]

Tidsstämpel:

Mer från Naken säkerhet