Tema korona virusa danas je ispunila sve vijesti, a postala je i glavni lajtmotiv za razne aktivnosti napadača koji iskorištavaju temu COVID-19 i sve što je s njim povezano. U ovoj napomeni želio bih skrenuti pažnju na neke primjere takve zlonamjerne aktivnosti, što, naravno, nije tajna za mnoge stručnjake za sigurnost informacija, ali čiji će sažetak u jednoj napomeni olakšati pripremu vlastite svijesti -podizanje događaja za zaposlenike, od kojih neki rade na daljinu, a drugi podložniji raznim prijetnjama sigurnosti informacija nego prije.
Minut brige od NLO-a
Svijet je službeno proglasio pandemiju COVID-19, potencijalno teške akutne respiratorne infekcije uzrokovane koronavirusom SARS-CoV-2 (2019-nCoV). Na Habréu postoji mnogo informacija o ovoj temi - uvijek imajte na umu da može biti i pouzdan/korisan i obrnuto.
Podstičemo vas da budete kritični prema svim objavljenim informacijama.
Zvanični izvori
- Web stranice i službene grupe operativnih štabova u regijama
Ako ne živite u Rusiji, pogledajte slične stranice u svojoj zemlji.
Perite ruke, pazite na svoje najmilije, ostanite kod kuće ako je moguće i radite na daljinu.Pročitajte publikacije o: |
Treba napomenuti da danas nema potpuno novih prijetnji povezanih s korona virusom. Umjesto toga, govorimo o vektorima napada koji su već postali tradicionalni, jednostavno korišteni u novom "sosu". Dakle, ja bih nazvao ključne vrste prijetnji:
- phishing stranice i bilteni u vezi s koronavirusom i povezanim zlonamjernim kodom
- Prijevare i dezinformacije s ciljem iskorištavanja straha ili nepotpunih informacija o COVID-19
- napadi na organizacije koje se bave istraživanjem koronavirusa
U Rusiji, gdje građani tradicionalno nemaju povjerenja u vlasti i vjeruju da kriju istinu od njih, vjerovatnoća uspješnog „promoviranja“ phishing stranica i mailing lista, kao i lažnih resursa, mnogo je veća nego u zemljama s otvorenijim vlasti. Iako se danas niko ne može smatrati apsolutno zaštićenim od kreativnih sajber prevaranata koji koriste sve klasične ljudske slabosti osobe – strah, suosjećanje, pohlepu itd.
Uzmimo, na primjer, lažnu stranicu koja prodaje medicinske maske.
Sličan sajt, CoronavirusMedicalkit[.]com, zatvorile su američke vlasti zbog besplatne distribucije nepostojeće vakcine protiv COVID-19 uz "samo" poštarinu za slanje lijeka. U ovom slučaju, sa tako niskom cijenom, kalkulacija je bila na nalet potražnje za lijekom u uvjetima panike u Sjedinjenim Državama.
Ovo nije klasična cyber prijetnja, jer zadatak napadača u ovom slučaju nije da zaraze korisnike ili ukradu njihove osobne podatke ili identifikacijske podatke, već ih jednostavno na valu straha natjeraju da isplate i kupe medicinske maske po naduvanim cijenama. za 5-10-30 puta veći od stvarnih troškova. Ali samu ideju stvaranja lažne web stranice koja bi iskorištavala temu koronavirusa koriste i sajber kriminalci. Na primjer, evo stranice čiji naziv sadrži ključnu riječ “covid19”, ali koja je također stranica za krađu identiteta.
Općenito, svakodnevno praćenje naše službe za istraživanje incidenata , vidite koliko domena se kreira čija imena sadrže riječi covid, covid19, coronavirus itd. I mnogi od njih su zlonamjerni.
U okruženju u kojem su neki zaposleni u kompaniji prebačeni na posao od kuće i nisu zaštićeni korporativnim sigurnosnim mjerama, važnije je nego ikada pratiti resurse kojima se pristupa sa mobilnih i desktop uređaja zaposlenih, svjesno ili bez njihovih znanje. Ako ne koristite uslugu za otkrivanje i blokiranje takvih domena (i Cisco konekcija sa ovom uslugom je sada besplatna), a zatim u najmanju ruku konfigurišite svoja rešenja za nadgledanje pristupa Webu za nadgledanje domena sa relevantnim ključnim rečima. Istovremeno, zapamtite da tradicionalni pristup stavljanju domena na crnu listu, kao i korištenje baza podataka o reputaciji, može propasti, jer se zlonamjerni domeni stvaraju vrlo brzo i koriste se u samo 1-2 napada ne duže od nekoliko sati – tada napadači prelaze na nove efemerne domene. Kompanije za informatičku sigurnost jednostavno nemaju vremena da brzo ažuriraju svoje baze znanja i distribuiraju ih svim svojim klijentima.
Napadači nastavljaju aktivno iskorištavati kanal e-pošte za distribuciju phishing linkova i zlonamjernog softvera u privitcima. A njihova efikasnost je prilično visoka, jer korisnici, dok primaju potpuno legalne vijesti o koronavirusu, ne mogu uvijek prepoznati nešto zlonamjerno u njihovoj količini. I dok broj zaraženih samo raste, raspon takvih prijetnji će također samo rasti.
Na primjer, ovako izgleda primjer phishing e-pošte u ime CDC-a:
Praćenje linka, naravno, ne vodi na web stranicu CDC-a, već na lažnu stranicu koja krade žrtvin login i lozinku:
Evo primjera phishing email-a navodno u ime Svjetske zdravstvene organizacije:
A u ovom primjeru napadači računaju na to da mnogi vjeruju da nadležni od njih kriju prave razmjere zaraze, pa korisnici rado i gotovo bez oklijevanja klikću na ovakve vrste pisama sa zlonamjernim linkovima ili prilozima koji navodno će otkriti sve tajne.
Usput, postoji takva stranica , što vam omogućava da pratite različite pokazatelje, na primjer, smrtnost, broj pušača, stanovništvo u različitim zemljama itd. Web stranica također ima stranicu posvećenu korona virusu. I tako kada sam otišao na to 16. marta, vidio sam stranicu zbog koje sam na trenutak posumnjao da nam vlasti govore istinu (ne znam koji je razlog za ove brojke, možda samo greška):
Jedna od popularnih infrastruktura koju napadači koriste za slanje sličnih e-poruka je Emotet, jedna od najopasnijih i najpopularnijih prijetnji u posljednje vrijeme. Word dokumenti priloženi porukama e-pošte sadrže programe za preuzimanje Emotet, koji učitavaju nove zlonamjerne module na računar žrtve. Emotet je prvobitno korišten za promoviranje linkova ka lažnim stranicama koje prodaju medicinske maske, ciljajući na stanovnike Japana. Ispod vidite rezultat analize zlonamjerne datoteke korištenjem sandboxinga , koji analizira datoteke na zlonamjernost.
Ali napadači iskorištavaju ne samo mogućnost pokretanja u MS Word-u, već iu drugim Microsoftovim aplikacijama, na primjer, u MS Excel-u (ovako je postupila hakerska grupa APT36), šaljući preporuke o borbi protiv koronavirusa od Vlade Indije koje sadrže Crimson ŠTAKOR:
Još jedna zlonamjerna kampanja koja iskorištava temu koronavirusa je Nanocore RAT, koja vam omogućava da instalirate programe na računare žrtve za daljinski pristup, presretanje pritisaka na tipkovnicu, snimanje slika na ekranu, pristupanje datotekama itd.
A Nanocore RAT se obično dostavlja e-poštom. Na primjer, ispod vidite primjer e-mail poruke sa priloženom ZIP arhivom koja sadrži izvršnu PIF datoteku. Klikom na izvršni fajl, žrtva instalira program za daljinski pristup (Remote Access Tool, RAT) na svoj računar.
Evo još jednog primjera parazitske kampanje na temu COVID-19. Korisnik dobija pismo o navodnom kašnjenju isporuke zbog korona virusa sa priloženom fakturom sa ekstenzijom .pdf.ace. Unutar komprimirane arhive nalazi se izvršni sadržaj koji uspostavlja vezu s komandnim i kontrolnim serverom za primanje dodatnih naredbi i izvršavanje drugih ciljeva napadača.
Sličnu funkcionalnost ima i Parallax RAT, koji distribuira datoteku pod nazivom “new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” i koja instalira zlonamjerni program koji komunicira sa svojim komandnim serverom preko DNS protokola. Zaštitni alati klase EDR, čiji je primjer , a bilo koji NGFW će pomoći u nadgledanju komunikacije sa komandnim serverima (na primjer, ), ili alati za praćenje DNS-a (na primjer, ).
U primjeru ispod, zlonamjerni softver za daljinski pristup instaliran je na računar žrtve koja je iz nepoznatog razloga kupila reklamiranje da običan antivirusni program instaliran na računaru može zaštititi od pravog COVID-19. I na kraju krajeva, neko je nasjeo na takvu naizgled šalu.
Ali među zlonamjernim softverom postoje i neke zaista čudne stvari. Na primjer, datoteke šala koje oponašaju rad ransomwarea. U jednom slučaju, naša Cisco Talos divizija fajl pod nazivom CoronaVirus.exe, koji je blokirao ekran tokom izvršavanja i pokrenuo tajmer i poruku „brisanje svih fajlova i fascikli na ovom računaru - coronavirus“.
Po završetku odbrojavanja aktiviralo se dugme na dnu i kada se pritisne pojavila se sledeća poruka da je sve ovo šala i da treba pritisnuti Alt+F12 da završiš program.
Borba protiv zlonamjernih poruka može se automatizirati, na primjer, pomoću , koji vam omogućava da otkrijete ne samo zlonamjerni sadržaj u prilozima, već i da pratite phishing veze i klikove na njih. Ali ni u ovom slučaju ne treba zaboraviti na obuku korisnika i redovno provođenje phishing simulacija i cyber vježbi, koje će pripremiti korisnike na razne trikove napadača usmjerene protiv vaših korisnika. Pogotovo ako rade na daljinu i putem svoje lične e-pošte, zlonamjerni kod može prodrijeti u korporativnu ili odjelnu mrežu. Ovdje bih mogao preporučiti novo rješenje , koji omogućava ne samo provođenje mikro- i nano obuke osoblja o pitanjima sigurnosti informacija, već i organiziranje simulacija phishinga za njih.
Ali ako iz nekog razloga niste spremni koristiti takva rješenja, onda je vrijedno barem organizirati redovne poruke svojim zaposlenicima s podsjetnikom na opasnost od krađe identiteta, njenim primjerima i popisom pravila za sigurno ponašanje (glavno je da napadači se ne maskiraju u njih). Inače, jedan od mogućih rizika trenutno je phishing mailing koji se maskira u pisma vašeg menadžmenta, a koji navodno govore o novim pravilima i procedurama za daljinski rad, obaveznom softveru koji se mora instalirati na udaljenim računarima itd. I ne zaboravite da osim e-pošte, sajber kriminalci mogu koristiti instant messengere i društvene mreže.
U ovu vrstu slanja pošte ili programa za podizanje svijesti možete uključiti i već klasičan primjer lažne karte zaraze koronavirusom, koja je bila slična onoj Univerzitet Johns Hopkins. Razlika je bilo to da je prilikom pristupa phishing stranici na korisnikov računar instaliran zlonamjerni softver koji je ukrao podatke o korisničkom računu i poslao ih sajber kriminalcima. Jedna verzija takvog programa takođe je kreirala RDP veze za daljinski pristup računaru žrtve.
Usput, o RDP-u. Ovo je još jedan vektor napada koji napadači počinju aktivnije koristiti tokom pandemije koronavirusa. Mnoge kompanije pri prelasku na rad na daljinu koriste servise poput RDP-a, koji, ako su zbog žurbe pogrešno konfigurisani, mogu dovesti do infiltriranja napadača kako na računare udaljenih korisnika tako i unutar korporativne infrastrukture. Štaviše, čak i uz ispravnu konfiguraciju, različite RDP implementacije mogu imati ranjivosti koje napadači mogu iskoristiti. Na primjer, Cisco Talos višestruke ranjivosti u FreeRDP-u, au maju prošle godine otkrivena je kritična ranjivost CVE-2019-0708 u servisu Microsoft Remote Desktop, koja je omogućavala izvršavanje proizvoljnog koda na računaru žrtve, uvođenje malvera itd. Čak je distribuiran i bilten o njoj , i, na primjer, Cisco Talos preporuke za zaštitu od toga.
Postoji još jedan primjer eksploatacije teme koronavirusa - stvarna prijetnja zaraze porodice žrtve ako odbiju platiti otkupninu u bitcoinima. Da bi se pojačao efekat, da bi se pismu dao značaj i stvorio osjećaj svemoći iznuđivača, u tekst pisma je umetnuta žrtvina lozinka sa jednog od njegovih naloga, dobijena iz javnih baza podataka za prijavu i lozinke.
U jednom od gornjih primjera pokazao sam phishing poruku Svjetske zdravstvene organizacije. A evo još jednog primjera u kojem se od korisnika traži finansijska pomoć u borbi protiv COVID-19 (iako se u zaglavlju u tijelu pisma odmah uočava riječ “DONATION”). I traže pomoć u bitcoinima za zaštitu od praćenje kriptovaluta.
I danas postoji mnogo takvih primjera koji iskorištavaju samilost korisnika:
Bitcoini su povezani sa COVID-19 na drugi način. Na primjer, ovako izgledaju pošte koju dobijaju mnogi britanski građani koji sjede kod kuće i ne mogu zaraditi (u Rusiji će sada i to postati relevantno).
Maskirajući se u poznate novine i web stranice s vijestima, ove pošte nude laku zaradu rudarenjem kriptovaluta na posebnim stranicama. Zapravo, nakon nekog vremena dobijate poruku da se zarađeni iznos može povući na poseban račun, ali prije toga morate prenijeti mali iznos poreza. Jasno je da nakon prijema ovog novca prevaranti ne prenose ništa zauzvrat, a lakovjerni korisnik gubi preneseni novac.
Postoji još jedna prijetnja povezana sa Svjetskom zdravstvenom organizacijom. Hakeri su hakovali DNS postavke D-Link i Linksys rutera, koje često koriste kućni korisnici i mala preduzeća, kako bi ih preusmjerili na lažnu web stranicu sa iskačućim upozorenjem o potrebi da instaliraju aplikaciju SZO koja će ih zadržati. u toku sa najnovijim vijestima o korona virusu. Štaviše, sama aplikacija je sadržavala zlonamjerni program Oski, koji krade informacije.
Sličnu ideju s aplikacijom koja sadrži trenutni status zaraze COVID-19 koristi Android trojanac CovidLock, koji se distribuira putem aplikacije koju su navodno "certificirali" Ministarstvo obrazovanja SAD-a, WHO i Centar za kontrolu epidemija ( CDC).
Mnogi korisnici danas su u samoizolaciji i, ne žele ili ne mogu kuhati, aktivno koriste usluge dostave hrane, namirnica ili druge robe, poput toalet papira. Napadači su također ovladali ovim vektorom za svoje potrebe. Na primjer, ovako izgleda zlonamjerna web stranica, slično legitimnom resursu u vlasništvu Canada Post. Link iz SMS-a koji je žrtva primila vodi na web stranicu koja javlja da naručeni proizvod ne može biti isporučen jer nedostaju samo 3$, što se mora dodatno platiti. U tom slučaju korisnik se usmjerava na stranicu na kojoj mora navesti podatke svoje kreditne kartice...sa svim posljedicama koje proizilaze.
Kao zaključak, želio bih navesti još dva primjera sajber prijetnji vezanih za COVID-19. Na primjer, dodaci “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” ili “Covid-19” ugrađeni su u web stranice koristeći popularni WordPress mehanizam i, uz prikaz mape širenja coronavirus, također sadrže zlonamjerni softver WP-VCD. A kompanija Zoom, koja je, usljed porasta broja onlajn događaja, postala veoma, veoma popularna, suočila se sa onim što su stručnjaci nazvali “Zoombombing”. Napadači, a zapravo obični porno trolovi, povezivali su se na online chatove i online sastanke i prikazivali razne nepristojne video snimke. Inače, sa sličnom prijetnjom danas se susreću i ruske kompanije.
Mislim da većina nas redovno provjerava različite izvore, i zvanične i ne tako zvanične, o trenutnom statusu pandemije. Napadači iskorištavaju ovu temu, nudeći nam "najnovije" informacije o koronavirusu, uključujući informacije "koje vlasti kriju od vas". Ali čak i obični obični korisnici u posljednje vrijeme često pomažu napadačima slanjem kodova provjerenih činjenica od “poznanika” i “prijatelja”. Psiholozi kažu da takva aktivnost korisnika “alarmista” koji šalju sve što im dođe u vidno polje (posebno na društvenim mrežama i instant messengerima, koji nemaju mehanizme zaštite od takvih prijetnji), omogućava im da se osjećaju uključenima u borbu protiv globalna prijetnja i čak se osjećaju kao heroji koji spašavaju svijet od koronavirusa. Ali, nažalost, nedostatak posebnih znanja dovodi do toga da te dobre namjere „vode sve u pakao“, stvarajući nove prijetnje cyber sigurnosti i povećavajući broj žrtava.
Zapravo, mogao bih nastaviti s primjerima sajber prijetnji povezanih s koronavirusom; Štaviše, sajber kriminalci ne miruju i smišljaju sve više i više novih načina da iskoriste ljudske strasti. Ali mislim da tu možemo stati. Slika je već jasna i govori nam da će se u bliskoj budućnosti situacija samo pogoršavati. Jučer su moskovske vlasti stavile desetmilionski grad u samoizolaciju. Isto su učinile i vlasti Moskovske oblasti i mnogih drugih regiona Rusije, kao i naši najbliži susjedi na bivšem postsovjetskom prostoru. To znači da će se broj potencijalnih žrtava na meti sajber kriminalaca višestruko povećati. Stoga je vrijedno ne samo preispitati svoju sigurnosnu strategiju, koja je donedavno bila usmjerena na zaštitu samo korporativne ili mreže odjela, i procijeniti koji vam alati zaštite nedostaju, već i uzeti u obzir primjere date u vašem programu podizanja svijesti osoblja, a to je postaje važan dio sistema informacione sigurnosti za udaljene radnike. A spreman da vam pomogne oko ovoga!
PS. U pripremi ovog materijala korišćeni su materijali kompanija Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security i RiskIQ, Ministarstva pravde SAD, Bleeping Computer resources, SecurityAffairs itd. P.
izvor: www.habr.com