S3 Ep125:当安全硬件存在安全漏洞时 [音频 + 文本]

S3 Ep125:当安全硬件存在安全漏洞时 [音频 + 文本]

时间戳记:9年2023月1日下午58:XNUMX
源节点: 2003154
by 保罗哈普林

你必须拥有这个芯片! 即使它有错误!

米开朗基罗的回忆(病毒,而不是艺术家)。 数据泄露漏洞 TPM 2.0. 勒索软件 胸围, 勒索软件 警告和反勒索软件建议。

下面没有音频播放器? 听 直接 在 Soundcloud 上。

与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.

你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。

阅读成绩单

道格。   勒索软件、更多勒索软件和 TPM 漏洞。

所有这些,以及更多,都在 Naked Security 播客上。

[音乐调制解调器]

欢迎大家收听播客。

我是道格·阿莫斯; 他是保罗·达克林。

保罗,你今天好吗?

鸭。   雪和雨夹雪,道格。

所以这是一个寒冷的进入工作室。

我使用的是空引号……不是“骑行”,而是“工作室”。

这不是真正的工作室,但它是*我的*工作室!

Sophos HQ 的一个小秘密空间,用于录制播客。

这里又可爱又温暖,道格!

道格。   好吧,如果有人在听……过来参观一下; 保罗很乐意带您四处参观。

我很兴奋 科技史上的本周,保罗。

06 年 1992 月 XNUMX 日这一周,处于休眠状态的 Michelangelo 引导扇区病毒突然活跃起来,覆盖了受害者硬盘的扇区。

当媒体自我绊倒以警告人们即将到来的厄运时,这肯定意味着世界各地的计算机世界末日?

然而,根据 1994 年病毒公报会议报告,我引用:

保罗·达克林 (Paul Ducklin) 是一位精力充沛、风趣幽默的演讲者,他坚信,在很多方面,企业和媒体所做的教育努力都没有达到目标。.

保罗,你在那里,伙计!

鸭。   我是,道格。

具有讽刺意味的是,6 月 XNUMX 日是米开朗基罗不是病毒的一天。

在其他所有日子里,它就像野火一样蔓延开来。

但在 06 月 XNUMX 日,它说,“啊哈! 今天是有效载荷日!”

在硬盘上,它会经过前 256 个磁道,前 4 个磁头,每个磁道 17 个扇区……如果您愿意,这几乎是大多数正在使用的硬盘每一页的“左下角”当时。

因此,它会从您的硬盘中占用大约 8.5MByte 的块。

它不仅破坏了大量数据,还破坏了文件分配表之类的东西。

所以你可以恢复一些数据,但对于你想要尝试和恢复的每一台设备来说,这是一项巨大且不确定的工作。

第二台计算机的工作量与第一台计算机的工作量一样多,第三台计算机的工作量与第二台计算机的工作量一样多……非常非常难以自动化。

幸运的是,正如你所说,它在媒体上被夸大了。

其实我的理解是,这个病毒最早是由已故的Roger Riordan分析出来的,他是1990年代澳大利亚著名的反病毒研究者,他实际上是在1991年XNUMX月接触到的。

我相信他正在和他的一个密友聊天,他的密友说,“哦,6 月 XNUMX 日,那是我的生日。 你知道这也是米开朗基罗的生日吗?”

因为我猜 6 月 XNUMX 日出生的人可能恰好知道……

当然,这是一个很时髦很酷的名字……一年后,当它有机会传播开来,就像你说的,经常处于休眠状态时,它又回来了。

它并没有像媒体担心的那样以及已故的约翰迈克菲喜欢说的那样击中数百万台计算机,但这对任何被击中的人来说都是冰冷的安慰,因为你几乎失去了一切。

不是所有的东西,但你要花一大笔钱才能把它取回来……可能不完整,可能不可靠。

它的坏处是因为它在软盘上传播; 并且因为它在引导扇区中传播; 因为在那些日子里,如果碰巧有一张磁盘,几乎每台计算机都会从软盘驱动器启动; 并且因为即使是其他空白磁盘也有一个引导扇区并且其中的任何代码都会运行,即使它导致的只是“非系统磁盘或磁盘错误,更换并重试”之类的消息......

……那时已经太晚了。

所以,如果你不小心把一张磁盘留在了驱动器里,那么当你第二天早上开机时,当你看到“非系统磁盘或磁盘错误”的消息时,你会想,“哦,我会弹出软盘退出并重新启动从硬盘驱动器启动”…

…到那时,病毒已经在您的硬盘上,并且会传播到您拥有的每一张软盘上。

因此,即使您感染了病毒然后将其删除,如果您没有检查整个公司的软盘储藏室,那里就会有伤寒玛丽随时重新引入它。

道格。   有一个动人的故事。

我很高兴你在那里帮助清理了一下!

让我们清理一下其他东西。

这个可信平台模块……有时会引起争议。

当保护您的机器所需的代码是它本身时会发生什么 脆弱,保罗?

严重的安全性:TPM 2.0 漏洞——您的超级安全数据是否面临风险?

鸭。   如果你想了解整个 TPM 的东西,这听起来是个好主意,对吧……有一个很小的子板东西,你可以将它插入主板上的一个小插槽中(或者它可能是预先内置的),它有一个微小的特殊协处理器芯片,只做这个核心加密的东西。

安全启动; 数字签名; 加密密钥的强大存储……所以这在本质上并不是一个坏主意。

问题是你会想象,因为它是一个非常小的小设备,而且它只是包含了这个核心代码,所以将它剥离并使其变得简单肯定很容易吧?

好吧,只是可信平台模块或 TPM 的规范……它们总共有:306 页、177 页、432 页、498 页、146 页,最后是大坏蛋,“第四部分:支持例程 –代码”,错误所在,1009 PDF 页,道格。

道格。   [笑] 只是一些简单的阅读!

鸭。   [SIGHS] 只是一些简单的阅读。

所以,有很多工作要做。 和很多错误的地方。

还有最新的……好吧,在最新的勘误表中提到了很多,但其中有两个实际上获得了 CVE 编号。

有 CVE-2023-1017 和 CVE-2023-1018。

不幸的是,它们是错误和漏洞,可以通过普通用户空间程序可能使用的命令来解决(或达到),就像系统管理员或您自己可能运行的命令一样,只是为了要求 TPM 执行此操作为您提供安全的东西。

所以你可以这样说,“嘿,去给我找一些随机数。 去给我建立一个加密密钥。 走开,验证这个数字签名。”

如果这是在一个独立的小处理器中完成的,它不会被 CPU 或操作系统弄乱,那就太好了——这是个好主意。

但问题是,在用户模式代码中,“这是我要呈现给你的命令”……

…不幸的是,解开传入的参数以执行您想要的功能——如果您设置陷阱将这些参数传递给 TPM,您可以诱使它读取额外的内存(缓冲区读取溢出),或者更糟糕的是,覆盖了属于下一个人的东西。

很难看出这些漏洞是如何被利用的,比如在 TPM 上执行代码(但是,正如我们多次说过的,“永不言败”)。

但很明显,当你处理某些事情时,正如你在开始时所说的那样,“你需要它来让你的计算机更安全。 一切都与密码的正确性有关”……

…泄露世界上没有人应该知道的其他人宝贵秘密数据的想法甚至是两个字节?

数据泄漏的想法,更不用说像这样的模块中的缓冲区写入溢出,确实非常令人担忧。

所以这就是你需要修补的东西。

不幸的是,勘误表文件并没有说,“这是错误; 这就是你如何修补它们。”

只有错误的描述和应该如何修改代码的描述。

所以大概每个人都会以自己的方式来做,然后这些更改会过滤回中央参考实现。

好消息是有一个基于软件的 TPM 实现 [库管理系统] 对于运行虚拟机的人……他们已经看过了,并且提出了一些修复方法,所以这是一个 开始的好地方.

道格。   可爱。

在此期间,请与您的硬件供应商联系,看看他们是否为您提供了任何更新。

鸭。   是的。

道格。   我们将继续……到勒索软件的早期,那里充斥着勒索,然后“双重勒索”使事情变得更加复杂。

一群人刚刚 被捕 在双重勒索计划中,这是个好消息!

DoppelPaymer 勒索软件嫌疑人在德国和乌克兰被捕

鸭。   是的,这是一个名为 DoppelPaymer 的勒索软件团伙。 (“Doppel”是指 翻番 在德国。)

所以这个想法是双重打击。

在这里,他们会打乱你所有的文件,然后说,“我们会把解密密钥卖给你。 顺便说一句,以防万一你认为你的备份可以,或者以防万一你想告诉我们迷路而不付钱给我们,请注意我们也先偷走了你所有的文件。 ”

“所以,如果你不付钱,你*可以*自己解密并且你*可以*挽救你的业务……我们将泄露你的数据。”

本案的好消息是,部分犯罪嫌疑人已被讯问逮捕,缴获多台电子设备。

因此,如果您愿意,即使这对当天遭受 DoppelPaymer 攻击的人们来说是冷酷的安慰,但这确实至少意味着执法部门不会在网络团伙似乎低下头时就放弃。

他们显然仅在美国就收到了高达 40 万美元的勒索款项。

他们以德国杜塞尔多夫大学医院为目标而臭名昭著。

如果勒索软件出现低点……

道格。   认真!

鸭。   …并不是说任何人都被击中是件好事,而是你真的要摧毁一家医院,尤其是教学医院的想法?

我想这是最低点中的最低点,不是吗?

道格。   我们有一些建议。

仅仅因为这些嫌疑人已经被捕: 不要拨回你的保护。

鸭。   不,事实上,欧洲刑警组织确实承认,用他们的话来说,“据报道,Doppelpaymer 已经更名为 [作为勒索软件团伙],名为 'Grief'。”

所以问题是,当你在网络帮派中逮捕一些人时,你可能找不到所有的服务器……

……如果你占领了服务器,你就不一定能对个人进行反击。

它有所作为,但这并不意味着勒索软件已经结束。

道格。   在这一点上: 不要只关注勒索软件。

鸭。   的确如此!

我认为像 DoppelPaymer 这样的团伙很清楚这一点,不是吗?

当他们来扰乱您的文件时,他们已经偷走了它们。

因此,当您真正了解勒索软件部分时,他们已经完成了 N 个其他网络犯罪要素:闯入; 环顾四周; 可能会打开几个后门,以便他们以后可以重新进入,或者将访问权卖给下一个人; 等等。

道格。   这与下一条建议相吻合: 不要等待威胁警报进入您的仪表板。

说起来容易做起来难,这取决于组织的成熟度。

但是有帮助可用!

鸭。   [笑] 我以为你会提到 Sophos 托管检测和响应 在那儿一会儿,道格。

道格。   我试图不卖掉它。

但我们可以提供帮助!

那里有一些帮助; 让我们知道。

鸭。   松散地说,你越早到达那里; 你越早注意到; 您的预防性安全措施越主动……

......任何骗子越不可能达到勒索软件攻击的程度。

那只能是一件好事。

道格。   最后但并非最不重要: 没有判断力,但如果可以避免,就不要付钱。

鸭。   是的,我认为我们有责任这么说。

因为支付下一波网络犯罪浪潮的资金,这是肯定的。

其次,你可能得不到你付出的代价。

道格。   好吧,让我们从一个犯罪企业转到另一个。

这就是当一个犯罪企业使用每一个 工具、技术和程序 在书里!

联邦调查局警告称,Royal 勒索软件在整个 TTP 范围内肆虐

鸭。   这是来自 CISA——美国 网络安全和基础设施安全局.

在这种情况下,在 AA23 公告(今年)中,061A-for-alpha 中,他们谈论的是一个名为 Royal ransomware 的团伙。

Royal 大写 R,Doug。

这个团伙的坏处是他们的工具、技术和程序似乎“达到并包括当前攻击所需的一切”。

他们用非常宽的画笔作画,但他们也用非常深的铲子进行攻击,如果你明白我的意思的话。

这就是坏消息。

好消息是,有很多东西需要学习,如果你认真对待这一切,你将获得非常广泛的预防和保护,不仅可以抵御勒索软件攻击,还可以抵御你之前在 Doppelpaymer 部分提到的内容:“不要”不要只关注勒索软件。”

担心导致它的所有其他事情:键盘记录; 数据窃取; 后门植入; 密码盗窃。

道格。   好吧,保罗,让我们总结一下 CISA 建议的一些要点,首先是: 这些骗子使用久经考验的方法闯入。

鸭。   他们是这样!

CISA 的统计数据表明,这个特定的团伙使用了良好的旧网络钓鱼,成功了 2/3 的攻击。

如果效果不佳,他们就会去寻找未打补丁的东西。

此外,在 1/6 的情况下,他们仍然能够使用 RDP ...... 很好的旧 RDP 攻击。

因为他们只需要一台您忘记的服务器。

而且,顺便说一句,CISA 报告说,一旦他们进入内部,即使他们没有开始使用 RDP,他们似乎仍然发现许多公司对 RDP 访问有更宽松的政策 *在*他们的网络中。

[大笑] 谁需要复杂的 PowerShell 脚本,您只需连接到其他人的计算机并在自己的屏幕上查看它?

道格。   一旦进入,犯罪分子就会试图避开可能明显显示为恶意软件的程序。

这也被称为“靠土地生活”。

鸭。   他们不只是说,“哦,好吧,让我们使用 Microsoft Sysinternal 的 PsExec 程序,让我们使用这个特别流行的 PowerShell 脚本。

他们有很多工具,可以做很多非常有用的不同事情,从找出 IP 号码的工具到阻止计算机休眠的工具。

消息灵通的系统管理员可能拥有并经常使用的所有工具。

而且,粗略地说,这些骗子只带来了一点纯恶意软件,这就是最后加扰的东西。

顺便说一句,不要忘记,如果您是勒索软件犯罪分子,您甚至不需要携带自己的加密工具包。

如果需要,您可以使用 WinZip 或 7-Zip 之类的程序,其中包含“创建存档,将文件移入”的功能(这意味着一旦将它们放入存档中就将其删除), “并用密码加密它们。”

只要骗子是唯一知道密码的人,他们仍然可以将密码卖回给您……

道格。   只是为了在伤口上加一点盐: 在加扰文件之前,攻击者会尝试使您的恢复路径复杂化。

鸭。   谁知道他们是否创建了新的秘密管理员帐户?

故意安装有问题的服务器?

故意删除补丁,以便他们知道下次返回的方法?

留下键盘记录器,它们会在未来的某个时刻激活并导致您的麻烦重新开始?

他们这样做是因为当你从勒索软件攻击中恢复时,你不会完全恢复,这对他们非常有利。

道格。   好的,我们在文章底部有一些有用的链接。

一个链接,带您了解更多 Sophos 托管检测和响应 [MDR],以及另一个将您引向 主动对手剧本,这是我们自己的 John Shier 整理的作品。

您可以用来更好地加强保护的一些要点和见解。

了解你的敌人! 了解网络犯罪对手如何进入……

鸭。   这就像 CISA“皇家勒索软件”报告的元版本。

在这种情况下,受害者直到为时已晚才意识到攻击者进入了他们的网络,然后打电话给 Sophos Rapid Response 并说:“哦,天哪,我们认为我们已经被勒索软件击中了……但是还发生了什么? ”

这就是我们在现实生活中实际发现的,在一系列通常不相关的骗子的广泛攻击中。

因此,它让您对需要了解并可以防御的 TTP(工具、技术和程序)的范围有一个非常非常广泛的了解。

因为好消息是,通过迫使骗子使用所有这些不同的技术,这样他们中的任何一个都不会单独触发大规模警报……

......你确实给了自己一个及早发现它们的战斗机会,只要你 [A] 知道在哪里看并且 [B] 能找到时间这样做。

道格。   非常好。

我们确实有读者对这篇文章发表评论。

Naked Security 读者 Andy 问:

Sophos Endpoint Protection 软件包如何抵御此类攻击?

我亲眼目睹了文件勒索软件的保护有多好,但如果它在加密开始之前被禁用,我想我们在很大程度上依赖于防篡改?

鸭。   好吧,我希望不会!

我希望 Sophos Protection 的客户不会说,“好吧,让我们只运行产品的一小部分,它可以像 Last Chance 沙龙那样保护您……我们称之为 CryptoGuard。

那是一个模块,它说,“嘿,有人或某事试图以一种可能是真正程序的方式对大量文件进行加扰,但看起来并不正确。”

所以即使它是合法的,它也可能会把事情搞砸,但几乎可以肯定有人试图伤害你。

道格。   是的,CryptoGuard 就像您在骑自行车时戴的头盔。

如果 CryptoGuard 开始行动,事情就会变得非常严重!

鸭。   大多数产品,包括现在的 Sophos,都有一个 Tamper Protection 元素,它试图更进一步,因此即使是管理员也必须跳过箍来关闭产品的某些部分。

这使得它更难做到,也更难自动化,更难为每个人关闭它。

但你必须考虑一下……

如果网络骗子进入您的网络,并且他们在您的网络上确实具有“系统管理员等效性”; 如果他们设法有效地获得与您的普通系统管理员相同的权力(这是他们的真正目标;那是他们真正想要的)……

考虑到运行像 Sophos 这样的产品的系统管理员可以配置、取消配置和设置环境设置……

…那么如果骗子*是*系统管理员,那就有点像他们已经赢了。

这就是为什么您需要提前找到它们!

所以我们让它变得尽可能难,我们提供尽可能多的保护层,希望在它进来之前尝试阻止它。

就在我们谈论它的时候,道格(我不想让这听起来像销售技巧,但它只是我们软件的一个功能,我更喜欢)......

我们有我所说的“主动对手对手”组件!

换句话说,如果我们在您的网络上检测到强烈暗示某些事情的行为,例如,您的系统管理员不会完全这样做,或者不会那样做......

......“积极的对手对手”说,“你知道吗? 就在此刻,我们将把保护提高到比你通常能容忍的更高的水平。”

这是一个很棒的功能,因为这意味着,如果骗子确实进入了您的网络并开始尝试做一些不愉快的事情,您不必等到您注意到后再*然后*决定,“我们应该更改哪些拨号盘?”

道格,这是对一个看似简单的问题的相当长的回答。

但让我读一下我在回复 Naked Security 评论时写的内容:

我们的目标是时刻保持警惕,尽早、自动、安全和果断地进行干预——针对各种网络攻击,而不仅仅是勒索软件。

道格。   好,说的好!

非常感谢你,安迪,把它寄来。

如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。

您可以发送电子邮件至 tips@sophos.com,您可以对我们的任何一篇文章发表评论,或者您可以在社交媒体上联系我们:@NakedSecurity。

这就是我们今天的节目; 非常感谢您的聆听。

对于 Paul Ducklin,我是 Doug Aamoth,提醒您。 直到下一次,为了……

两个都。   保持安全!

[音乐调制解调器]

时间戳记:

更多来自 裸体安全