Тэма каранавіруса сёння запаланіла ўсе стужкі навін, а таксама стала асноўным лейтматывам і для розных актыўнасцяў зламыснікаў, якія эксплуатуюць тэму COVID-19 і ўсё, што з ёй звязана. У дадзенай нататцы мне бы жадалася звярнуць увагу на некаторыя прыклады такой шкоднаснай актыўнасці, якая, безумоўна, не з'яўляецца сакрэтам для шматлікіх адмыслоўцаў па ИБ, але звядзенне якой у адной нататцы палегчыць падрыхтоўку ўласных мерапрыемстваў па падвышэнні дасведчанасці супрацоўнікаў, частка з якіх працуе выдалена і яшчэ. больш схільная розным пагрозам ИБ, чым раней.
Хвілінка клопату ад НЛА
У свеце афіцыйна аб'яўлена пандэмія COVID-19 — патэнцыйна цяжкай вострай рэспіраторнай інфекцыі, якая выклікаецца каранавірусам SARS-CoV-2 (2019-nCoV). На Хабре шмат інфармацыі па гэтай тэме - заўсёды памятаеце аб тым, што яна можа быць як дакладнай / карыснай, так і наадварот.
Мы заклікаем вас крытычна ставіцца да любой публікуемай інфармацыі
Афіцыйныя крыніцы
- Сайты і афіцыйныя групы аператыўных штабоў у рэгіёнах
Калі вы пражываеце не ў Расіі, звернецеся да аналагічных сайтаў вашай краіны.
Мыйце рукі, беражыце блізкіх, па магчымасці заставайцеся дома і працуйце аддалена.Чытаць публікацыі пра: |
Трэба адзначыць, што зусім новых пагроз, звязаных з каранавірусам, сёння няма. Хутчэй гаворка ідзе пра ўжо сталыя традыцыйныя вектары нападаў, проста выкарыстоўваных пад новым соусам . Такім чынам, ключавымі тыпамі пагроз я б назваў:
- фішынгавыя сайты і рассылкі на тэму каранавіруса і звязаны з імі шкоднасны код
- махлярства і дэзінфармацыя, накіраваныя на эксплуатацыю страху або непаўнату інфармацыі аб COVID-19
- атакі супраць арганізацый, якія займаюцца даследаваннямі каранавіруса
У Расіі, дзе грамадзяне традыцыйна не давяраюць уладам і лічаць, што тыя хаваюць ад іх праўду, верагоднасць паспяховага "прасоўвання" фішынгавых сайтаў і рассылак, а таксама ашуканскіх рэсурсаў, значна вышэйшая, чым у краінах з больш адкрытымі ўладамі. Хоць сёння ніхто не можа лічыць сябе абсалютна абароненым ад творча настроеных кібермахляроў, якія выкарыстоўваюць усе класічныя чалавечыя слабасці чалавека - страх, спачуванне, сквапнасць і да т.п.
Возьмем, да прыкладу, ашуканскі сайт, які гандлюе медыцынскімі маскамі.
Падобны сайт, CoronavirusMedicalkit[.]com быў зачынены ўладамі ЗША за бясплатны распаўсюд неіснуючай вакцыны ад COVID-19 з аплатай «толькі» паштовых выдаткаў на адпраўку лекаў. У дадзеным выпадку, пры такім невысокім кошце, разлік быў на ажыятажны попыт на лекі ва ўмовах панічных настрояў у ЗША.
Гэта не класічная кіберпагроза, бо задача зламыснікаў у дадзеным выпадку, заключаецца не ў заражэнні карыстальнікаў і не ў крадзяжы іх персанальных дадзеных або ідэнтыфікацыйнай інфармацыі, а проста на хвалі страху прымусіць раскашэліцца і купіць медыцынскія маскі па завышаных коштах у 5-10-30 разоў якія перавышаюць рэальны кошт. Але сама ідэя стварэння фальшывага сайта, які эксплуатуе тэму каранавіруса, цалкам ужываецца і кіберзлачынцамі. Напрыклад, вось сайт, у назве якога прысутнічае ключавое слова "covid19", але які пры гэтым з'яўляецца фішынгавым.
Наогул, штодня манітора наш сэрвіс расследавання інцыдэнтаў , бачыш, наколькі ствараецца шмат даменаў, у назове якіх ёсць словы covid, covid19, coronavirus і да т.п. І многія з іх з'яўляюцца шкоднаснымі.
Ва ўмовах, калі частка супрацоўнікаў кампаніі пераводзіцца на працу з дому і яны не знаходзяцца пад абаронай карпаратыўных сродкаў абароны, як ніколі важна маніторыць рэсурсы, доступ да якіх ажыццяўляецца з мабільных і стацыянарных прылад работнікаў, свядома або без іх ведама. Калі вы не карыстаецеся сэрвіс для выяўлення і блакаванні такіх даменаў (а Cisco зараз бясплатнае падлучэнне да гэтага сэрвісу), то як мінімум наладзьце свае рашэнні па маніторынгу Web-доступу на кантроль даменаў з адпаведнымі ключавымі словамі. Пры гэтым падушыце, што традыцыйны падыход па занясенні даменаў у чорныя спісы, а таксама выкарыстанне рэпутацыйных баз, можа даваць збой, бо шкоднасныя дамены ствараюцца вельмі хутка і выкарыстоўваюцца ўсяго ў 1-2 нападах не даўжэй некалькіх гадзін, - потым зламыснікі перамыкаюцца на новыя дамены аднадзёнкі. ИБ-кампаніі проста не паспяваюць аператыўна абнаўляць свае базы ведаў і распаўсюджваць іх па ўсіх сваіх кліентах.
Вельмі актыўна працягваюць зламыснікі эксплуатаваць канал электроннай пошты для распаўсюджвання фішынгавых спасылак і шкоднасных праграм ва ўкладаннях. І эфектыўнасць іх досыць высокая, бо карыстачы, атрымліваючы і суцэль легальныя навінавыя рассыланні пра каранавірус, не заўсёды ў іх аб'ёме могуць распазнаць і нешта шкоднаснае. І пакуль колькасць заражаных толькі расце, спектр такіх пагроз таксама будзе толькі расці.
Напрыклад, вось так выглядае прыклад фішынгавай рассылкі ад імя цэнтра па кантролі за распаўсюджваннем эпідэмій (CDC):
Пераход па спасылцы вядома вядзе не на сайт CDC, а на фальшывую старонку, якая крадзе лагін і пароль ахвяры:
А вось прыклад фішынгавай рассылкі нібы ад імя Сусветнай арганізацыі аховы здароўя:
А ў дадзеным прыкладзе зламыснікі разлічваюць на тое, што многія людзі лічаць, што ўлады ад іх хаваюць сапраўдныя маштабы заражэння, і таму карыстальнікі з радасцю і амаль не задумваючыся клікаюць па такіх лістах са шкоднаснымі спасылкамі або ўкладаннямі, якія нібыта раскрыюць усе таямніцы.
Дарэчы, ёсць такі сайт , які дазваляе адсочваць розныя паказчыкі, напрыклад, смяротнасць, лік якія паляць, папуляцыя ў розных краінах і да т.п. Ёсць на сайце і старонка, прысвечаная каранавірусу. І вось калі я зайшоў на яго 16-га сакавіка, я ўбачыў старонку, якая на хвілінку прымусіла мяне ўсумніцца ў тым, што ўлады гавораць нам праўду (я не ведаю, у чым прычына такіх лічбаў, магчыма, проста памылка):
Адной з папулярных інфраструктур, якія выкарыстоўваюць зламыснікі для рассылання падобных лістоў, з'яўляецца Emotet, адна з самых небяспечных і папулярных пагроз апошняга часу. Дакументы Word, укладзеныя ў паведамленні электроннай пошты, утрымоўваюць загрузнікі Emotet, якія падгружаюць на кампутар ахвяры новыя шкоднасныя модулі. Першапачаткова Emotet выкарыстоўваўся для прасоўвання спасылак на ашуканскія сайты, якія гандлююць медыцынскімі маскамі, і арыентаваўся на жыхароў Японіі. Ніжэй вы бачыце вынік аналізу шкоднаснага файла з дапамогай пясочніцы , якая аналізуе файлы на шкоднаснасць.
Але зламыснікі эксплуатуюць не толькі магчымасць запуску ў MS Word, але і ў іншых прыкладаннях кампаніі Microsoft, напрыклад, у MS Excel (так дзейнічала хакерская групоўка APT36), якая рассылае рэкамендацыі па дужанні з каранавірусам ад Урада Індыі, утрымоўвальныя Crimson RAT:
Яшчэ адной шкоднаснай кампаніяй, якая эксплуатуе тэму каранавіруса, з'яўляецца Nanocore RAT, якая дазваляе ўсталяваць на кампутары ахвяры праграмы для выдаленага доступу, які перахапляе націскі на клавіятуру, захоп малюнкаў экрана, доступ да файлаў і да т.п.
І дастаўляецца Nanocore RAT звычайна па e-mail. Напрыклад, ніжэй вы бачыце прыклад паштовага паведамлення з укладзеным архівам ZIP, які змяшчае выкананы PIF-файл. Клікнуўшы на выкананы файл ахвяра сама ўсталюе на свой кампутар праграму выдаленага доступу (Remote Access Tool, RAT).
А вось яшчэ адзін прыклад кампаніі, якая паразітуе на тэме COVID-19. Карыстальнік атрымлівае ліст аб нібы затрымцы дастаўкі з-за каранавіруса з укладзеным рахункам з пашырэннем .pdf.ace. Усярэдзіне сціснутага архіва знаходзіцца выкананы кантэнт, які ўсталёўвае злучэнне з камандным серверам для атрымання дадатковых каманд і выкананні іншых мэт зламыснікаў.
Падобны функцыянал ёсць у Parallax RAT, які распаўсюджвае файл з імем "new infected CORONAVIRUS sky 03.02.2020.pif" і які ўсталёўвае шкоднасную праграму, якая ўзаемадзейнічае са сваім камандным серверам па пратаколе DNS. Дужацца з такімі праграмамі выдаленага доступу дапамогуць сродкі абароны класа EDR, прыкладам якога з'яўляецца , а адсочваць камунікацыі з каманднымі серверамі дапаможа альбо NGFW (напрыклад, ), альбо сродкі маніторынгу DNS (напрыклад, ).
У прыкладзе ніжэй шкоднасная праграма для выдаленага доступу ўсталёўвалася на кампутар ахвяры, якая па нейкіх невядомых чынніках купілася на рэкламу, якая абвяшчае, што звычайная антывірусная праграма, якая ўсталёўваецца на ПК, можа абараніць ад сапраўднага COVID-19. І нехта ж павёўся на такі, здавалася б, жарт.
Але сярод шкодных праграм сустракаюцца і сапраўды дзіўныя рэчы. Напрыклад, файлы-жарты, якія эмулююць працу шыфравальшчыкаў. У адным з выпадкаў нашае падраздзяленне Cisco Talos файл з імем CoronaVirus.exe, які блакаваць экран падчас выканання і запускаў таймер і надпіс "выдаленне ўсіх файлаў і тэчак на гэтым кампутары - каранавірус".
Па завяршэнні адліку кнопка ўнізе станавілася актыўнай і пры яе націску выводзілася наступнае паведамленне, якое кажа, што ўсё гэта было жартам і трэба націснуць Alt+F12 для завяршэння праграмы.
Барацьба са шкоднаснымі рассылкамі можа быць аўтаматызавана, напрыклад, з дапамогай , які дазваляе выяўляць не толькі шкоднаснае змесціва ва ўкладаннях, але і адсочваць фішынгавыя спасылкі і зграі па іх. Але нават у гэтым выпадку варта не забываць пра навучанне карыстальнікаў і рэгулярнае правядзенне фішынгавых сімуляцый і кіберучэнняў, якія дазволяць падрыхтаваць карыстальнікаў да розных хітрыкаў зламыснікаў, накіраваных супраць вашых карыстальнікаў. Асабліва калі яны працуюць выдалена і праз іх асабістую пошту шкоднасны код можа пракрасціся і ў карпаратыўную ці ведамасную сетку. Тут я мог бы парэкамендаваць новае рашэнне , Якое дазваляе не толькі праводзіць мікра- і нана-навучанне персаналу па пытаннях ИБ, але і арганізоўваць фішынгавыя сімуляцыі для іх.
Але калі па нейкіх прычынах вы не гатовы да выкарыстання такіх рашэнняў, то варта, як мінімум, арганізаваць звычайныя паштовыя рассылкі па сваіх супрацоўніках з напамінам фішынгавай небяспекі, яе прыкладамі і спісам правіл бяспечных паводзін (галоўнае, каб зламыснікі не сталі маскіравацца пад іх. ). Дарэчы, адна з магчымых рызык у цяперашні час, - гэта фішынгавыя рассылкі, якія маскіруюцца пад лісты ад вашага кіраўніцтва, у якіх нібыта гаворыцца аб новых правілах і працэдурах выдаленай працы, абавязковым ПЗ, якое трэба ўсталяваць на выдаленыя кампутары і да т.п. І не забывайце, што апроч электроннай пошты, кіберзлачынцы могуць задзейнічаць месэнджары і сацсеткі.
У такога роду рассыланні або праграму павышэння дасведчанасці можна ўключыць і ўжо які стаў класікай прыклад з фальшывай картай заражэння каранавірусам, якая была падобная з той, што універсітэтам Джона Хопкінса. Адрозненнем з'яўлялася тое, што пры доступе да фішынгавага сайта на кампутар карыстача ўсталёўвалася шкоднаснае ПА, якое крала уліковую інфармацыю карыстачоў і адпраўляла кіберзлачынцам. Адна з разнавіднасцяў такой праграмы таксама стварала RDP-злучэнні для выдаленага доступу да кампутара ахвяры.
Дарэчы, аб RDP. Гэта яшчэ адзін вектар для нападаў, якія пачынаюць больш актыўна выкарыстоўваць зламыснікі падчас пандэміі каранавіруса. Многія кампаніі пры пераходзе на выдаленую працу выкарыстоўваюць такія сэрвісы, як RDP, што, пры іх некарэктнай з-за спешкі наладкі, можа прывесці да пранікнення зламыснікаў як на выдаленыя кампутары карыстальнікаў, так і ўнутр карпаратыўнай інфраструктуры. Тым больш, што нават пры карэктнай наладзе, у розных рэалізацыях RDP могуць быць уразлівасці, якія выкарыстоўваюцца зламыснікамі. Напрыклад, Cisco Talos множныя ўразлівасці ў FreeRDP, а ў службе выдаленага працоўнага стала Miscrosoft у траўні мінулага гады была выяўлена крытычная ўразлівасць CVE-2019-0708, якая дазваляла выконваць на кампутары ахвяры адвольны код, укараняць шкоднаснае ПА і да т.п. Бюлетэнь аб ёй распаўсюджваў нават , а, напрыклад, Cisco Talos рэкамендацыі па абароне ад яе.
Ёсць і іншы прыклад эксплуатацыі тэмы каранавіруса - рэальная пагроза заражэння сям'і ахвяры ў выпадку адмовы ад аплаты выкупу ў біткойнах. Для ўзмацнення эфекту, для надання ліста значнасці і стварэння пачуцця ўсёмагутнасці вымагальніка, у тэкст ліста быў устаўлены пароль ахвяры ад аднаго з яго ўліковых запісаў, атрыманых з агульнадаступных баз дадзеных лагінаў і пароляў.
У адным з прыкладаў вышэй я паказаў фішынгавае паведамленне ад Сусветнай арганізацыі аховы здароўя. А вось іншы прыклад, у якім у карыстачоў просяць фінансавай дапамогі для дужання з COVID-19 (праўда ў загалоўку ў целе ліста адразу кідаецца ў вочы памылка ў слове «DONATIONTION». І дапамога просяць у биткойнах для абароны ад адсочвання криптовалюты.
І такіх прыкладаў, якія эксплуатуюць спачуванне карыстальнікаў, сёння нямала:
Біткойны звязаны з COVID-19 і іншым спосабам. Напрыклад, вось так выглядаюць рассылкі, атрыманыя многімі грамадзянамі Вялікабрытаніі, якія сядзяць па дамах і не могуць зарабляць грошы (у Расіі зараз гэта таксама стане актуальным).
Маскіруючыся пад вядомыя газеты і навінавыя сайты, гэтыя рассылкі прапануюць лёгкі заробак — майнінг крыптавалют на спецыяльных сайтах. На самой справе праз нейкі час вы атрымліваеце паведамленне аб тым, што заробленая вамі сума можа быць выведзена на спецыяльны рахунак, але вам неабходна перавесці невялікую суму падаткаў перад гэтым. Зразумела, што атрымаўшы гэтыя грошы, ашуканцы ў адказ нічога не пераводзяць, а даверлівы карыстач губляе перакладзеныя грошы.
З Сусветнай арганізацыяй аховы здароўя звязана і яшчэ адна пагроза. Хакеры ўзломвалі налады DNS маршрутызатараў D-Link і Linksys, часта выкарыстоўваных хатнімі карыстачамі і невялікімі кампаніямі, з мэтай перанакіравання іх на фальшывы сайт з усплываючым папярэджаннем аб неабходнасці ўсталёўкі прыкладання СААЗ, якое дазволіць быць заўсёды ў курсе адносна апошніх навін аб каранавірусе. Пры гэтым само прыкладанне ўтрымоўвала шкоднасную праграму Oski, якая крадзе інфармацыю.
Падобную ідэю з дадаткам, утрымоўвальным актуальны статут па заражэнні COVID-19, эксплуатуе і Android-траян CovidLock, які распаўсюджваецца праз прыкладанне, якое, нібы, «сертыфікавана» Міністэрствам адукацыі ЗША, СААЗ і Цэнтрам па кантролі і распаўсюджванню эпідэмій (CDC).
Шматлікія карыстачы сёння знаходзяцца ў самаізаляцыі і, не жадаючы ці не ўмеючы рыхтаваць, актыўна карыстаюцца сэрвісамі дастаўкі ежы, прадуктаў ці іншых тавараў, напрыклад, туалетнай паперы. Зламыснікі асвоілі і гэты вектар у сваіх мэтах. Напрыклад, вось так выглядае шкоднасны сайт, падобны на легальны рэсурс, які належыць "Пошце Канады". Спасылка з SMS, атрыманая ахвярай, вядзе на сайт, які паведамляе, што замоўлены тавар не можа быць дастаўлены, бо не хапае ўсяго 3 долараў, якія і трэба даплаціць. Пры гэтым карыстач накіроўваецца на старонку, дзе трэба паказаць дэталі сваёй крэдыткі… з усімі вынікаючымі адсюль наступствамі.
У заключэнне хацелася б прывесці яшчэ два прыклады кіберпагроз, звязаных з COVID-19. Напрыклад, убудовы "COVID-19 Coronavirus – Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ці "Covid-19" убудоўваюцца ў сайты на папулярным рухавічку WordPress і разам з адлюстраваннем карты распаўсюджвання каранавіруса таксама ўтрымліваюць шкоднасную праграму WP-VCD. А кампанія Zoom, якая на хвалі росту колькасці анлайн-мерапрыемстваў, стала вельмі і вельмі папулярнай сутыкнулася з тым, што эксперты назвалі "Zoombombing". Зламыснікі, а насамрэч звычайныя порнатролі, падключаліся да анлайн-чатаў і анлайн-сустрэчам і дэманстравалі розныя непрыстойныя відэаролікі. Дарэчы, такая пагроза сустракаецца сёння і ў расійскіх кампаній.
Думаю, большасць з нас, рэгулярна правярае розныя рэсурсы, як афіцыйныя, так і не вельмі, якія распавядаюць аб бягучым статусе пандэміі. Зламыснікі эксплуатуюць гэтую тэму, прапаноўваючы нам «самую свежую» інфармацыю аб каранавірусе, у тым ліку і звесткі, «якія ад вас хаваюць улады». Але нават звычайныя радавыя карыстачы ў апошні час часта дапамагаюць зламыснікам, рассылаючы якады правераныя факты ад «знаёмых» і «сяброў». Псіхолагі кажуць, што такая актыўнасць карыстальнікаў-«панікёраў», якія рассылаюць усё, што трапляе ў іх поле зроку (асабліва ў сацсетках і месэнджарах, якія не маюць механізмаў абароны ад такіх пагроз), дазваляе ім адчуваць сябе ўцягнутымі ў барацьбу з сусветнай пагрозай і , нават, адчуваць сябе героямі, якія ратуюць свет ад каранавіруса. Але, на жаль, адсутнасць спецыяльных ведаў прыводзіць да таго, што гэтыя добрыя намеры "вядуць усіх у пекла", ствараючы новыя пагрозы кібербяспекі і пашыраючы колькасць ахвяр.
Насамрэч я б мог яшчэ працягваць прыклады кіберпагроз, звязаныя з каранавірусам; тым больш што кіберзлачынцы не стаяць на месцы і прыдумляюць усё новыя і новыя спосабы эксплуатацыі запалу чалавечага. Але думаю, на гэтым можна спыніцца. Карціна і так зразумелая і яна падказвае нам, што бліжэйшым часам сітуацыя будзе толькі пагаршацца. Учора ўлады Масквы перавялі горад з дзесяцімільённым насельніцтвам на самаізаляцыю. Таксама зрабілі ўлады Падмаскоўя і многіх іншых рэгіёнаў Расіі, а таксама нашых бліжэйшых суседзяў па былой постсавецкай прасторы. А значыць колькасць патэнцыйных ахвяр, на якіх будуць накіраваныя намаганні кіберзлачынцаў узрасце шматкроць. Таму варта не толькі перагледзець сваю стратэгію бяспекі, да нядаўняга часу арыентаваную на абарону толькі карпаратыўнай ці ведамаснай сеткі, і ацаніць, якіх сродкаў абароны вам бракуе, але і ўлічыць прыведзеныя прыклады ў вашай праграме падвышэння дасведчанасці персанала, якая становіцца важнай часткай сістэмы забеспячэння ИБ для выдаленых працаўнікоў. А гатова дапамагчы вам у гэтым!
ЗЫ. Пры падрыхтоўцы дадзенага матэрыялу былі скарыстаны матэрыялы Cisco Talos, кампаній "Naked Security", "Антыфішынг", "Malwarebytes Lab", "ZoneAlarm", "Reason Security" і "RiskIQ", Міністэрства юстыцыі ЗША, рэсурсаў Bleeping Computer, SecurityAffairs і т.д. п.
Крыніца: habr.com