S3 Ep100: Trình duyệt trong trình duyệt - cách phát hiện một cuộc tấn công [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Chốt lại - nó đã trở lại!

Các bản vá lỗi rất nhiều!

Và múi giờ ... vâng, múi giờ.

Tất cả những điều đó, và hơn thế nữa, trên Podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth.

Với tôi, như mọi khi, là Paul Ducklin.

Paul, một tập phim thứ 100 rất vui với bạn, bạn của tôi!

---

VỊT.  Chà, Doug!

Bạn biết đấy, khi tôi bắt đầu cấu trúc thư mục của mình cho Series 3, tôi đã mạnh dạn sử dụng -001 cho tập đầu tiên.

---

CHÓ.  Tôi không. [LỪA ĐẢO]

---

VỊT.  Không -1 or -01.

---

CHÓ.  Thông minh…

---

VỊT.  Tôi đã có niềm tin tuyệt vời!

Và khi tôi lưu tệp ngày hôm nay, tôi sẽ vui mừng vì nó.

---

CHÓ.  Vâng, và tôi sẽ sợ nó vì nó sẽ bật lên trên cùng.

Chà, tôi sẽ phải giải quyết chuyện đó sau…

---

VỊT.  [LAUGHS] Bạn có thể đổi tên tất cả những thứ khác.

---

CHÓ.  Tôi biết rồi mà.

[MUTTERING] Không mong đợi điều đó ... đã đến ngày thứ Tư của tôi.

Dù sao, hãy bắt đầu chương trình với một số Lịch sử Công nghệ.

Tuần này, vào ngày 12 tháng 1959 năm XNUMX, Luna 2, Còn được gọi là Tên lửa vũ trụ thứ hai của Liên Xô, trở thành tàu vũ trụ đầu tiên đến được bề mặt của Mặt trăng, và là vật thể đầu tiên do con người tạo ra có thể tiếp xúc với một thiên thể khác.

Rất tuyệt.

---

VỊT.  Cái tên dài đó là gì?

"Tên lửa vũ trụ thứ hai của Liên Xô"?

---

CHÓ.  Vâng.

---

VỊT.  Luna Hai là tốt hơn nhiều.

---

CHÓ.  Vâng, tốt hơn nhiều!

---

VỊT.  Rõ ràng, như bạn có thể tưởng tượng, cho rằng đó là kỷ nguyên chủng tộc không gian, có một số lo ngại là, “Làm sao chúng ta biết được họ đã thực sự làm được điều đó? Họ chỉ có thể nói rằng họ đã hạ cánh trên Mặt trăng, và có thể họ đang tạo ra nó. "

Rõ ràng, họ đã nghĩ ra một giao thức cho phép quan sát độc lập.

Họ dự đoán thời gian mà nó sẽ đến trên Mặt trăng, đâm vào Mặt trăng, và họ đã gửi thời gian chính xác mà họ mong đợi điều này cho một nhà thiên văn học ở Anh.

Và anh ấy quan sát một cách độc lập, để xem liệu những gì họ nói * sẽ * xảy ra tại thời điểm đó * có * xảy ra hay không.

Vì vậy, họ thậm chí còn nghĩ về việc, "Làm thế nào để bạn xác minh một cái gì đó như thế này?"

---

CHÓ.  Chà, về chủ đề phức tạp, chúng tôi có các bản vá từ Microsoft và Apple.

Vậy điều gì đáng chú ý ở đây trong vòng đấu mới nhất này?

---

VỊT.  Chúng tôi chắc chắn làm vậy - đó là thứ Ba vá lỗi trong tuần này, thứ Ba thứ hai trong tháng.

Có hai lỗ hổng trong Bản vá thứ ba đáng chú ý đối với tôi.

Một điều đáng chú ý bởi vì nó rõ ràng là trong tự nhiên - nói cách khác, đó là một ngày không.

Và mặc dù nó không phải là thực thi mã từ xa, nhưng điều đó hơi đáng lo ngại vì nó là lỗ hổng tệp nhật ký [COUGHS APOLOGETICALLY], Doug!

Nó không hoàn toàn như xấu như Log4J, nơi bạn không chỉ có thể khiến trình ghi nhật ký hoạt động sai, bạn còn có thể khiến nó chạy mã tùy ý cho bạn.

Nhưng có vẻ như nếu bạn gửi một số loại dữ liệu không đúng định dạng vào trình điều khiển Hệ thống tệp nhật ký chung của Windows, CLFS, thì bạn có thể lừa hệ thống quảng cáo cho bạn các đặc quyền hệ thống.

Luôn luôn tệ nếu bạn đã tham gia với tư cách là người dùng khách, và sau đó bạn có thể biến mình thành một sysadmin…

---

CHÓ.  Vâng!

---

VỊT.  Đó là CVE-2022-37969.

Và cái khác mà tôi thấy thú vị…

… May mắn thay, không phải tự nhiên, nhưng đây là thứ mà bạn thực sự cần phải vá, vì tôi cá với bạn đó là thứ mà tội phạm mạng sẽ tập trung vào kỹ thuật đảo ngược:

“Lỗ hổng thực thi mã từ xa Windows TCP / IP”, CVE-2022-34718.

Nếu bạn nhớ Mã Đỏvà Máy đập SQL, và những con sâu nghịch ngợm của quá khứ, nơi chúng vừa đến trong một gói mạng và làm nhiễu đường vào hệ thống….

Đây là một mức thậm chí còn thấp hơn thế.

Rõ ràng là lỗi trong việc xử lý các gói IPv6 nhất định.

Vì vậy, bất kỳ thứ gì mà IPv6 đang nghe, hầu như bất kỳ máy tính Windows nào, đều có thể gặp rủi ro từ điều này.

Như tôi đã nói, cái đó không có trong tự nhiên, vì vậy kẻ gian vẫn chưa tìm thấy nó, nhưng tôi không nghi ngờ rằng họ sẽ lấy bản vá và cố gắng tìm hiểu xem liệu họ có thể thiết kế ngược lại một cách khai thác từ nó hay không, để tìm ra những người chưa vá lỗi.

Bởi vì nếu bất cứ điều gì nói, “Whoa! Điều gì sẽ xảy ra nếu ai đó viết ra một con sâu sử dụng cái này? ”… Đó là điều tôi sẽ lo lắng.

---

CHÓ.  OK.

Và sau đó đến Apple…

---

VỊT.  Gần đây, chúng tôi đã viết hai câu chuyện về các bản vá lỗi của Apple, trong đó, đột nhiên, có các bản vá lỗi cho iPhone và iPad và Mac chống lại hai ngày hoang dã.

Một là lỗi trình duyệt hoặc lỗi liên quan đến duyệt web khiến bạn có thể đi lang thang vào một trang web trông vô tội vạ và phần mềm độc hại có thể xâm nhập vào máy tính của bạn, cộng với một lỗi khác cung cấp cho bạn quyền kiểm soát cấp hạt nhân…

… Như tôi đã nói trong podcast cuối cùng, đối với tôi có mùi giống như phần mềm gián điệp - thứ mà một nhà cung cấp phần mềm gián điệp hoặc một “cybercrook giám sát” thực sự quan tâm.

Sau đó, có một bản cập nhật thứ hai, trước sự ngạc nhiên của chúng tôi, cho iOS 12, mà tất cả chúng tôi đều nghĩ rằng đã bị bỏ rơi từ lâu.

Ở đó, một trong những lỗi đó (lỗi liên quan đến trình duyệt cho phép kẻ gian đột nhập) đã có bản vá.

Và sau đó, ngay khi tôi đang mong đợi iOS 16, tất cả những email này đột nhiên bắt đầu đổ bộ vào hộp thư đến của tôi - ngay sau khi tôi kiểm tra, “iOS 16 đã ra mắt chưa? Tôi có thể cập nhật nó không? ”

Nó không có ở đó, nhưng sau đó tôi nhận được tất cả những email này nói rằng, “Chúng tôi vừa cập nhật iOS 15, macOS Monterey, Big Sur và iPadOS 15 ″…

… Và hóa ra lần này cũng có rất nhiều bản cập nhật, cộng với một hạt nhân hoàn toàn mới zero-day.

Và điều thú vị là, sau khi nhận được thông báo, tôi đã nghĩ: “Thôi, để tôi kiểm tra lại…”

(Vì vậy, bạn có thể nhớ, đó là Cài đặt > Tổng Quát > cập nhật phần mềm trên iPhone hoặc iPad của bạn.)

Lo và này, tôi đang được cung cấp một bản cập nhật cho iOS 15, mà tôi đã có, * hoặc * tôi có thể chuyển sang iOS 16.

Và iOS 16 cũng có bản sửa lỗi zero-day này (mặc dù iOS 16 về mặt lý thuyết vẫn chưa ra mắt), vì vậy tôi đoán lỗi này cũng tồn tại trong bản beta.

Nó không được liệt kê chính thức là zero-day trong bản tin của Apple dành cho iOS 16, nhưng chúng tôi không thể biết liệu đó có phải là do cách khai thác mà Apple thấy không hoạt động bình thường trên iOS 16 hay nó không được coi là zero- ngày vì iOS 16 chỉ mới ra mắt.

---

CHÓ.  Vâng, tôi định nói: chưa ai có nó cả. [CON GÁI]

---

VỊT.  Đó là tin tức lớn từ Apple.

Và điều quan trọng là khi bạn truy cập vào điện thoại của mình và bạn nói, “Ồ, iOS 16 đã có sẵn”… nếu bạn chưa quan tâm đến iOS 16, bạn vẫn cần đảm bảo rằng bạn đã có iOS 15 đó. cập nhật, vì hạt nhân zero-day.

Kernel zero days luôn là một vấn đề vì nó có nghĩa là ai đó ngoài kia biết cách vượt qua các cài đặt bảo mật được ca tụng nhiều trên iPhone của bạn.

Lỗi này cũng áp dụng cho macOS Monterey và macOS Big Sur - đó là phiên bản trước đó, macOS 11.

Trên thực tế, không chịu thua kém, Big Sur thực sự có * hai * kernel zero-day lỗi trong tự nhiên.

Không có tin tức nào về iOS 12, đó là loại mà tôi mong đợi và không có gì cho đến nay cho macOS Catalina.

Catalina là macOS 10, phiên bản trước đó và một lần nữa, chúng tôi không biết liệu bản cập nhật đó có đến sau hay không, hay liệu nó đã bị lỗi thời và sẽ không nhận được bản cập nhật nào.

Đáng buồn thay, Apple không nói, vì vậy chúng tôi không biết.

Bây giờ, hầu hết người dùng Apple sẽ bật cập nhật tự động, nhưng, như chúng tôi luôn nói, hãy đi và kiểm tra (cho dù bạn có máy Mac hay iPhone hay iPad), bởi vì điều tồi tệ nhất là chỉ cho rằng tự động của bạn cập nhật hoạt động và giữ cho bạn an toàn…

… Trong khi thực tế, có gì đó không ổn.

---

CHÓ.  OK rất tốt.

Bây giờ, điều mà tôi đang mong đợi, đang tiến hành ngay từ đầu, là: “Múi giờ liên quan gì đến bảo mật CNTT?”

---

VỊT.  Thì ra là khá nhiều, Doug.

---

CHÓ.  Yessir!

---

VỊT.  Múi giờ rất đơn giản trong khái niệm.

Chúng rất thuận tiện cho việc điều hành cuộc sống của chúng ta để đồng hồ của chúng ta gần như khớp với những gì đang xảy ra trên bầu trời - vì vậy trời tối vào ban đêm và sáng vào ban ngày. (Hãy bỏ qua việc tiết kiệm ánh sáng ban ngày và giả sử rằng chúng ta chỉ có múi giờ một giờ trên toàn thế giới để mọi thứ thực sự đơn giản.)

Vấn đề xảy ra khi bạn thực sự giữ nhật ký hệ thống trong một tổ chức nơi một số máy chủ của bạn, một số người dùng của bạn, một số bộ phận trong mạng của bạn, một số khách hàng của bạn, ở những nơi khác trên thế giới.

Khi bạn ghi vào tệp nhật ký, bạn có ghi thời gian với múi giờ được tính vào không?

Khi bạn đang viết nhật ký của mình, Doug, bạn có trừ đi 5 giờ (hoặc 4 giờ vào lúc này) mà bạn cần vì bạn đang ở Boston, trong khi tôi thêm một giờ vì tôi theo giờ London, nhưng đó là mùa hè ?

Tôi có viết điều đó vào nhật ký để nó có ý nghĩa với * tôi * khi tôi đọc lại nhật ký không?

Hay tôi viết thời gian chuẩn hơn, rõ ràng hơn bằng cách sử dụng cùng một múi giờ cho * mọi người *, vì vậy khi tôi so sánh các nhật ký đến từ các máy tính khác nhau, người dùng khác nhau, các khu vực khác nhau trên thế giới trên mạng của mình, tôi thực sự có thể sắp xếp các sự kiện?

Việc sắp xếp các sự kiện thực sự quan trọng, Doug, đặc biệt nếu bạn đang thực hiện phản ứng với mối đe dọa trong một cuộc tấn công mạng.

Bạn thực sự cần biết điều gì đến trước.

Và nếu bạn nói, "Ồ, nó đã không xảy ra cho đến 3 giờ chiều", điều đó không giúp tôi nếu tôi ở Sydney, bởi vì 3 giờ chiều của tôi xảy ra hôm qua so với 3 giờ chiều của bạn.

Vì vậy, tôi đã viết một bài báo trên Naked Security về một số cách mà bạn có thể đối phó với vấn đề này khi bạn đăng nhập dữ liệu.

Đề xuất cá nhân của tôi là sử dụng định dạng dấu thời gian đơn giản có tên là RFC 3339, trong đó bạn đặt năm bốn chữ số, dấu gạch ngang [ký tự gạch nối, ASCII 0x2D], tháng hai chữ số, dấu gạch ngang, ngày hai chữ số, v.v. để dấu thời gian của bạn thực sự sắp xếp theo thứ tự bảng chữ cái một cách dễ dàng.

Và bạn ghi lại tất cả các múi giờ của mình dưới dạng múi giờ được gọi là Z (zed hoặc zee), viết tắt của Giờ Zulu.

Điều đó có nghĩa là về cơ bản UTC hoặc Giờ Phối hợp Quốc tế.

Đó là Giờ chuẩn Greenwich gần như nhưng không hoàn toàn và đó là thời gian mà hầu hết đồng hồ của máy tính hoặc điện thoại thực sự được đặt ở bên trong những ngày này.

Đừng cố gắng bù lại múi giờ khi bạn đang ghi vào nhật ký, bởi vì sau đó ai đó sẽ phải bù trừ khi họ đang cố gắng sắp xếp nhật ký của bạn với những người khác - và có nhiều vết trượt giữa cốc và môi, Doug.

Giữ cho nó đơn giản.

Sử dụng định dạng văn bản chuẩn, đơn giản, mô tả chính xác ngày và giờ, ngay đến giây - hoặc, những ngày này, dấu thời gian thậm chí có thể giảm xuống những ngày này đến nano giây nếu bạn muốn.

Và loại bỏ múi giờ khỏi nhật ký của bạn; loại bỏ tiết kiệm ánh sáng ban ngày khỏi nhật ký của bạn; và chỉ cần ghi lại mọi thứ, theo quan điểm của tôi, theo Giờ Phối hợp Quốc tế…

… Viết tắt UTC một cách khó hiểu, bởi vì cái tên bằng tiếng Anh nhưng tên viết tắt bằng tiếng Pháp - một điều trớ trêu.

---

CHÓ.  Vâng.

---

VỊT.  
Tôi bị cám dỗ để nói, "Một lần nữa, không phải là tôi cảm thấy mạnh mẽ về nó", như tôi thường làm, cười ...

… Nhưng điều quan trọng là phải sắp xếp mọi thứ theo đúng thứ tự, đặc biệt là khi bạn đang cố gắng truy tìm tội phạm mạng.

---

CHÓ.  Được rồi, đó là tốt - lời khuyên tuyệt vời.

Và nếu chúng ta nói về chủ đề tội phạm mạng, bạn đã nghe nói về các cuộc tấn công Manipulator-in-the-Middle; bạn đã nghe nói về các cuộc tấn công Manipulator-in-the-Browser…

..bắt đầu sẵn sàng cho các cuộc tấn công Trình duyệt trong trình duyệt.

---

VỊT.  Vâng, đây là một thuật ngữ mới mà chúng ta đang thấy.

Tôi muốn viết điều này bởi vì các nhà nghiên cứu tại một công ty tình báo về mối đe dọa có tên là Group-IB gần đây đã viết một bài báo về điều này và các phương tiện truyền thông bắt đầu nói về "Này, các cuộc tấn công Trình duyệt trong trình duyệt, hãy rất sợ", hoặc bất cứ điều gì …

Bạn đang nghĩ, "Chà, tôi tự hỏi có bao nhiêu người thực sự biết cuộc tấn công Trình duyệt trong trình duyệt nghĩa là gì?"

Và điều khó chịu về những cuộc tấn công này, Doug, là về mặt công nghệ, chúng đơn giản đến mức kinh khủng.

Đó là một ý tưởng đơn giản.

---

CHÓ.  Chúng gần như là nghệ thuật.

---

VỊT.  Có!

Nó không thực sự là khoa học và công nghệ, nó là nghệ thuật và thiết kế, phải không?

Về cơ bản, nếu bạn đã từng thực hiện bất kỳ lập trình JavaScript nào (cho điều tốt hay điều xấu), bạn sẽ biết rằng một trong những điều về những thứ mà bạn gắn vào một trang web là nó có nghĩa là bị hạn chế đối với trang web đó.

Vì vậy, nếu bạn bật lên một cửa sổ hoàn toàn mới, thì bạn sẽ mong đợi nó có được bối cảnh trình duyệt hoàn toàn mới.

Và nếu nó tải trang của mình từ một trang web hoàn toàn mới, chẳng hạn như một trang web lừa đảo, thì nó sẽ không có quyền truy cập vào tất cả các biến JavaScript, ngữ cảnh, cookie và mọi thứ mà cửa sổ chính có.

Vì vậy, nếu bạn mở một cửa sổ riêng, bạn đang hạn chế khả năng hack của mình nếu bạn là kẻ gian.

Tuy nhiên, nếu bạn mở một cái gì đó trong cửa sổ hiện tại, thì bạn sẽ bị hạn chế đáng kể về mức độ thú vị và “giống hệ thống” mà bạn có thể làm cho nó trông như thế nào, phải không?

Bởi vì bạn không thể ghi đè lên thanh địa chỉ… đó là do thiết kế.

Bạn không thể viết bất cứ thứ gì bên ngoài cửa sổ trình duyệt, vì vậy bạn không thể lén lút đặt một cửa sổ trông giống như hình nền trên màn hình, giống như nó đã ở đó từ lâu.

Nói cách khác, bạn đang bị cuốn vào bên trong cửa sổ trình duyệt mà bạn đã bắt đầu.

Vì vậy, ý tưởng của cuộc tấn công Browser-in-the-Browser là bạn bắt đầu với một trang web thông thường, sau đó bạn tạo, bên trong cửa sổ trình duyệt mà bạn đã có, một trang web trông giống hệt như một cửa sổ trình duyệt của hệ điều hành. .

Về cơ bản, bạn cho ai đó xem một * bức tranh * về sự thật, và thuyết phục họ rằng nó * là * sự thật.

Thật đơn giản, Doug!

Nhưng vấn đề là với một chút công việc cẩn thận, đặc biệt nếu bạn có kỹ năng CSS tốt, bạn * có thể * thực sự làm cho thứ gì đó bên trong cửa sổ trình duyệt hiện có giống như một cửa sổ trình duyệt của chính nó.

Và với một chút JavaScript, bạn thậm chí có thể làm cho nó có thể thay đổi kích thước và để nó có thể di chuyển trên màn hình và bạn có thể điền nó bằng HTML mà bạn tìm nạp từ trang web của bên thứ ba.

Bây giờ, bạn có thể tự hỏi… nếu kẻ gian làm cho nó chết đúng, làm thế quái nào bạn có thể biết được?

Và tin tốt là bạn có thể làm một điều hoàn toàn đơn giản.

Nếu bạn thấy những gì trông giống như một cửa sổ hệ điều hành và bạn nghi ngờ về nó theo bất kỳ cách nào (về cơ bản nó sẽ xuất hiện trên cửa sổ trình duyệt của bạn, bởi vì nó phải ở bên trong nó)…

… Hãy thử di chuyển nó * ra khỏi cửa sổ trình duyệt thực *, và nếu nó “bị giam cầm” bên trong trình duyệt, bạn biết đó không phải là vấn đề thực sự!

Điều thú vị về báo cáo từ các nhà nghiên cứu của Group-IB là khi họ biết được điều này, những kẻ lừa đảo đã thực sự sử dụng nó để chống lại những người chơi trò chơi trên Steam.

Và, tất nhiên, nó muốn bạn đăng nhập vào tài khoản Steam của mình…

… Và nếu bạn bị lừa bởi trang đầu tiên, thì nó thậm chí sẽ tiếp tục với xác minh xác thực hai yếu tố của Steam.

Và mẹo ở đây là nếu những cửa sổ đó thực sự * là * riêng biệt, bạn có thể kéo chúng sang một bên của cửa sổ trình duyệt chính của mình, nhưng không phải vậy.

Trong trường hợp này, may mắn thay, các đầu bếp đã không thực hiện CSS của họ rất tốt.

Tác phẩm nghệ thuật của họ kém chất lượng.

Tuy nhiên, như bạn và tôi đã nói nhiều lần trên podcast, Doug, đôi khi có những kẻ gian sẽ cố gắng làm cho mọi thứ trông hoàn hảo như pixel.

Với CSS, bạn thực sự có thể định vị các pixel riêng lẻ, phải không?

---

CHÓ.  CSS thật thú vị.

Nó Cascading Style Sheets… Một ngôn ngữ bạn sử dụng để tạo kiểu cho các tài liệu HTML và nó thực sự dễ học và thậm chí còn khó hơn để thành thạo.

---

VỊT.  [LAUGHS] Chắc chắn là có vẻ giống như nó.

---

CHÓ.  [LAUGHS] Vâng, nó giống như nhiều thứ!

Nhưng đó là một trong những điều đầu tiên bạn học khi bạn học HTML.

Nếu bạn đang nghĩ “Tôi muốn làm cho trang web này trông đẹp hơn”, bạn hãy học CSS.

Vì vậy, khi nhìn vào một số ví dụ về tài liệu nguồn mà bạn đã liên kết đến từ bài viết, bạn có thể biết rằng sẽ thực sự khó để làm một giả thực sự tốt, trừ khi bạn thực sự giỏi CSS.

Nhưng nếu bạn làm đúng, sẽ rất khó để phát hiện ra rằng đó là một tài liệu giả mạo…

… Trừ khi bạn làm như bạn nói: cố gắng kéo nó ra khỏi cửa sổ và di chuyển nó xung quanh màn hình của bạn, những thứ như vậy.

Điều đó dẫn đến điểm thứ hai của bạn ở đây: hãy kiểm tra các cửa sổ nghi ngờ một cách cẩn thận.

Nhiều người trong số họ có thể sẽ không vượt qua bài kiểm tra mắt, nhưng nếu họ làm vậy, sẽ rất khó để phát hiện ra.

Dẫn chúng ta đến điều thứ ba…

“Nếu nghi ngờ / Đừng đưa ra.”

Nếu nó trông không hoàn toàn đúng và bạn không thể chắc chắn rằng có điều gì đó lạ đang xảy ra, hãy làm theo vần điệu!

---

VỊT.  Và đáng nghi ngờ là các trang web không xác định, các trang web bạn chưa từng sử dụng trước đây, đột nhiên nói, “Được rồi, chúng tôi sẽ yêu cầu bạn đăng nhập bằng tài khoản Google của bạn trong Google Window hoặc Facebook trong cửa sổ Facebook. ”

Hoặc Steam trong một cửa sổ Steam.

---

CHÓ.  Vâng.

Tôi ghét sử dụng từ B ở đây, nhưng điều này gần như tuyệt vời ở sự đơn giản của nó.

Nhưng một lần nữa, sẽ thực sự khó để tạo ra một pixel khớp hoàn hảo bằng cách sử dụng CSS và những thứ tương tự.

---

VỊT.  Tôi nghĩ điều quan trọng cần nhớ là, bởi vì một phần của mô phỏng là “chrome” [biệt ngữ cho các thành phần giao diện người dùng của trình duyệt] của trình duyệt, nên thanh địa chỉ sẽ trông đúng.

Nó thậm chí có thể trông hoàn hảo.

Nhưng vấn đề là, nó không phải là một thanh địa chỉ…

… Đó là một * hình ảnh * của một thanh địa chỉ.

---

CHÓ.  Chính xác!

Được rồi, cẩn thận ở ngoài đó, mọi người!

Và, nói về những thứ không giống như chúng có vẻ, tôi đang đọc về phần mềm tống tiền DEADBOLT và thiết bị NAS QNAP, và tôi cảm thấy như chúng ta vừa thảo luận về câu chuyện chính xác này cách đây không lâu.

---

VỊT.  Vâng, chúng tôi đã đã viết về điều này Rất tiếc, đã nhiều lần trên Naked Security cho đến nay trong năm nay.

Đó là một trong những trường hợp mà những gì đã làm cho kẻ gian một lần hóa ra lại có tác dụng hai lần, ba lần, bốn lần, năm lần.

Và NAS, hoặc Bộ nhớ Đính kèm Mạng thiết bị, nếu bạn thích, là máy chủ hộp đen mà bạn có thể đi và mua - chúng thường chạy một số loại hạt nhân Linux.

Ý tưởng là thay vì phải mua giấy phép Windows hoặc học Linux, hãy cài đặt Samba, thiết lập nó, tìm hiểu cách chia sẻ tệp trên mạng của bạn…

… Bạn chỉ cần cắm thiết bị này vào và “Bingo”, nó bắt đầu hoạt động.

Đó là một máy chủ tệp có thể truy cập web và thật không may, nếu có lỗ hổng trong máy chủ tệp và bạn đã (do vô tình hoặc do thiết kế) làm cho nó có thể truy cập được qua internet, thì kẻ gian có thể khai thác lỗ hổng đó, nếu có trong thiết bị NAS đó, từ xa.

Họ có thể xáo trộn tất cả các tệp trên vị trí lưu trữ quan trọng cho mạng của bạn, cho dù đó là mạng gia đình hay mạng doanh nghiệp nhỏ và về cơ bản giữ bạn đòi tiền chuộc mà không bao giờ phải lo lắng về việc tấn công từng thiết bị khác như máy tính xách tay và điện thoại trên mạng.

Vì vậy, họ không cần phải làm phiền với phần mềm độc hại lây nhiễm vào máy tính xách tay của bạn và họ không cần phải đột nhập vào mạng của bạn và đi lang thang như những tên tội phạm ransomware truyền thống.

Về cơ bản, họ xáo trộn tất cả các tệp của bạn, và sau đó - để trình bày thông báo tiền chuộc - họ chỉ thay đổi (tôi không nên cười, Doug)… họ chỉ thay đổi trang đăng nhập trên thiết bị NAS của bạn.

Vì vậy, khi bạn thấy tất cả các tệp của mình bị lộn xộn và bạn nghĩ, "Thật là buồn cười", và bạn sử dụng trình duyệt web của mình và kết nối ở đó, bạn sẽ không nhận được lời nhắc mật khẩu!

Bạn nhận được cảnh báo: “Tệp của bạn đã bị khóa bởi DEADBOLT. Chuyện gì đã xảy ra thế? Tất cả các tệp của bạn đã được mã hóa. ”

Và sau đó là hướng dẫn về cách thanh toán.

---

CHÓ.  Và họ cũng đã vui lòng đề nghị rằng QNAP có thể đưa ra một khoản tiền riêng để mở khóa tệp cho mọi người.

---

VỊT.  Ảnh chụp màn hình tôi có trong bài báo mới nhất trên nakedsecurity.sophos.com cho thấy:

1. Các giải mã riêng lẻ ở mức 0.03 bitcoin, ban đầu khoảng US $ 1200 khi thứ này lần đầu tiên được phổ biến, bây giờ là khoảng US $ 600.

2. Tùy chọn BTC 5.00, trong đó QNAP được thông báo về lỗ hổng bảo mật để họ có thể sửa chữa nó, rõ ràng họ sẽ không phải trả tiền vì họ đã biết về lỗ hổng bảo mật. (Đó là lý do tại sao có một bản vá trong trường hợp cụ thể này.)

3. Như bạn nói, có một tùy chọn BTC 50 (đó là 1 triệu đô la bây giờ; nó là 2 triệu đô la khi câu chuyện đầu tiên này bị phá vỡ). Rõ ràng nếu QNAP trả 1,000,000 đô la thay cho bất kỳ ai có thể đã bị nhiễm bệnh, kẻ gian sẽ cung cấp khóa giải mã chính, nếu bạn không phiền.

Và nếu bạn nhìn vào JavaScript của họ, nó thực sự kiểm tra xem mật khẩu bạn đặt có khớp với một trong các hàm băm * hai * hay không.

Một là duy nhất đối với sự lây nhiễm của bạn - kẻ gian tùy chỉnh nó mọi lúc, vì vậy JavaScript có hàm băm trong đó và không cung cấp mật khẩu.

Và có một hàm băm khác, nếu bạn có thể bẻ khóa nó, có vẻ như nó sẽ khôi phục mật khẩu chính cho tất cả mọi người trên thế giới…

… Tôi nghĩ đó chỉ là những kẻ lừa đảo đang chĩa mũi dùi vào mọi người.

---

CHÓ.  Thật thú vị khi số tiền chuộc 600 đô la bitcoin cho mỗi người dùng là… Tôi không muốn nói là “không thái quá”, nhưng nếu bạn nhìn vào phần nhận xét của bài viết này, có một số người không chỉ nói về việc đã trả tiền tiền chuộc…

… Nhưng chúng ta hãy chuyển sang câu hỏi độc giả của chúng tôi ở đây.

Độc giả Michael chia sẻ kinh nghiệm của anh ấy với cuộc tấn công này và anh ấy không đơn độc - có những người khác trong phần bình luận này đang báo cáo những điều tương tự.

Trong một vài bình luận, anh ấy nói (Tôi sẽ đưa ra lời bình luận thẳng thắn về điều đó):

“Tôi đã trải qua chuyện này và trở nên ổn thỏa sau khi trả tiền chuộc. Tìm mã trả lại cụ thể với khóa giải mã của tôi là phần khó nhất. Đã học được bài học quý giá nhất. ”

Trong nhận xét tiếp theo của mình, anh ấy sẽ thực hiện tất cả các bước mà anh ấy phải làm để mọi thứ thực sự hoạt động trở lại.

Và anh ấy xuống bằng:

“Tôi rất xấu hổ khi nói rằng tôi làm việc trong lĩnh vực CNTT, đã hơn 20 năm và bị cắn bởi lỗi QNAP uPNP này. Rất vui khi được vượt qua nó ”.

---

VỊT.  Wow, vâng, đó là một tuyên bố đúng, phải không?

Gần như thể anh ta đang nói, "Tôi đã tự chống lại những kẻ gian này, nhưng tôi đã thua cược và tôi mất 600 đô la và cả một đống thời gian."

Aaargh!

---

CHÓ.  Ý anh ấy là gì "Mã trả lại cụ thể với khóa mô tả của anh ấy"?

---

VỊT.  À, vâng, đó là một điều rất thú vị… rất hấp dẫn. (Tôi đang cố gắng không nói tuyệt vời ở đây.) [LAUGHTER]

Tôi không muốn sử dụng từ C và nói rằng nó "thông minh", nhưng đại loại là như vậy.

Làm thế nào để bạn liên hệ với những kẻ lừa đảo này? Họ có cần một địa chỉ email không? Điều đó có thể được truy tìm? Họ có cần một trang web darkweb không?

Những kẻ lừa đảo không.

Bởi vì, hãy nhớ rằng, có một thiết bị và phần mềm độc hại được tùy chỉnh và đóng gói khi nó tấn công thiết bị đó để có một địa chỉ Bitcoin duy nhất trong đó.

Và, về cơ bản, bạn giao tiếp với những kẻ gian này bằng cách trả số lượng bitcoin được chỉ định vào ví của chúng.

Tôi đoán đó là lý do tại sao họ giữ số tiền tương đối khiêm tốn…

… Tôi không muốn gợi ý rằng mọi người có 600 đô la để vứt đi tiền chuộc, nhưng nó không giống như bạn đang đàm phán trước để quyết định xem bạn sẽ trả 100,000 đô la hay 80,000 đô la hay 42,000 đô la.

Bạn trả cho họ số tiền… không thương lượng, không trò chuyện, không email, không nhắn tin tức thời, không có diễn đàn hỗ trợ.

Bạn chỉ cần gửi tiền đến địa chỉ bitcoin được chỉ định và họ rõ ràng sẽ có danh sách các địa chỉ bitcoin mà họ đang theo dõi.

Khi tiền đến và họ thấy nó đã đến, họ biết rằng bạn (và một mình bạn) đã thanh toán vì mã ví đó là duy nhất.

Và sau đó, họ thực hiện một cách hiệu quả (tôi đang sử dụng các báo giá hàng không lớn nhất trên thế giới) là “hoàn lại tiền” trên blockchain, sử dụng giao dịch bitcoin với số tiền, Doug, là XNUMX đô la.

Và câu trả lời đó, giao dịch đó, thực sự bao gồm một bình luận. (Nhớ cái gì đó Hack Poly Networks? Họ đang sử dụng các nhận xét trên chuỗi khối Ethereum để thử và nói, "Thưa ông, ông White Hat, ông sẽ không trả lại tất cả tiền cho chúng tôi sao?")

Vì vậy, bạn trả tiền cho những kẻ lừa đảo, do đó đưa ra thông điệp rằng bạn muốn tham gia với họ và họ trả lại cho bạn 0 đô la cộng với một nhận xét 32 ký tự thập lục phân…

… Là 16 byte nhị phân thô, là khóa giải mã 128 bit mà bạn cần.

Đó là cách bạn nói chuyện với họ.

Và, rõ ràng, họ đã đưa điều này xuống chữ T - như Michael đã nói, trò lừa đảo vẫn hoạt động.

Và vấn đề duy nhất mà Michael gặp phải là anh ấy không quen với việc mua bitcoin hoặc làm việc với dữ liệu blockchain và trích xuất mã trả lại đó, về cơ bản là nhận xét trong giao dịch “thanh toán” mà anh ấy nhận lại với giá 0 đô la.

Vì vậy, họ đang sử dụng công nghệ theo những cách rất ranh ma.

Về cơ bản, họ đang sử dụng blockchain như một phương tiện thanh toán và một công cụ giao tiếp.

---

CHÓ.  Được rồi, một câu chuyện rất thú vị.

Chúng tôi sẽ để mắt đến điều đó.

Và cảm ơn bạn rất nhiều, Michael, đã gửi bình luận đó.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay - cảm ơn rất nhiều vì đã lắng nghe.

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau, hãy…

---

CẢ HAI.  Giữ an toàn.

[CHẾ ĐỘ ÂM NHẠC]