A koronavírus témája ma minden hírfolyamot betöltött, és a támadók különféle tevékenységeinek fő vezérmotívumává vált, kihasználva a COVID-19 és minden ezzel kapcsolatos témát. Ebben a jegyzetben szeretném felhívni a figyelmet néhány ilyen rosszindulatú tevékenységre, amely természetesen sok információbiztonsági szakember számára nem titok, de amelyek egy jegyzetben való összefoglalása megkönnyíti a tudatosság előkészítését. -emelő rendezvények a munkavállalók számára, akik egy része távolról dolgozik, mások pedig a korábbinál fogékonyabbak a különféle információbiztonsági fenyegetésekre.
Egy pillanatnyi gondoskodás egy UFO-tól
A világ hivatalosan is kihirdette a COVID-19 világjárványt, amely a SARS-CoV-2 koronavírus (2019-nCoV) által okozott potenciálisan súlyos akut légúti fertőzés. Habréról sok információ található ebben a témában – mindig ne feledje, hogy lehet megbízható/hasznos és fordítva is.
Javasoljuk, hogy legyen kritikus minden közzétett információval kapcsolatban.
Hivatalos források
- A régiókban működő hadműveleti központok weboldalai és hivatalos csoportjai
Ha nem Oroszországban él, kérjük, tekintse meg az országában található hasonló oldalakat.
Mosson kezet, vigyázzon szeretteire, lehetőleg maradjon otthon és dolgozzon távolról.Olvasson publikációkat a következőkről: |
Meg kell jegyezni, hogy a koronavírussal kapcsolatban manapság nincsenek teljesen új veszélyek. Inkább olyan támadási vektorokról beszélünk, amelyek már hagyományossá váltak, egyszerűen egy új „szószban” használják. Tehát a fenyegetések legfontosabb típusait nevezném:
- a koronavírussal és a kapcsolódó rosszindulatú kóddal kapcsolatos adathalász oldalak és hírlevelek
- Csalás és félretájékoztatás, amelynek célja a félelem vagy a COVID-19-ről szóló hiányos információk kihasználása
- támadások a koronavírus-kutatásban részt vevő szervezetek ellen
Oroszországban, ahol a polgárok hagyományosan nem bíznak a hatóságokban, és úgy vélik, hogy eltitkolják előlük az igazságot, az adathalász oldalak és levelezőlisták, valamint a csaló források sikeres „reklámozásának” valószínűsége sokkal nagyobb, mint a nyitottabb országokban. hatóság. Bár ma senki sem tekintheti magát teljesen védettnek a kreatív számítógépes csalóktól, akik az ember összes klasszikus emberi gyengeségét - félelmet, együttérzést, kapzsiságot stb.
Vegyünk például egy orvosi maszkokat árusító csaló oldalt.
Az amerikai hatóságok bezártak egy hasonló oldalt, a CoronavirusMedicalkit[.]com-ot, mert ingyenesen terjesztettek egy nem létező COVID-19 oltóanyagot, „csak” postaköltséggel a gyógyszer kiszállításához. Ebben az esetben ilyen alacsony ár mellett a számítás a gyógyszer iránti rohamos keresletre vonatkozott, pánikhelyzetben az Egyesült Államokban.
Nem klasszikus kiberfenyegetésről van szó, hiszen a támadók feladata ebben az esetben nem a felhasználók megfertőzése, személyes adataik vagy azonosító információik ellopása, hanem egyszerűen a félelem hullámán, hogy rákényszerítsék őket arra, hogy kitelepüljenek és drágábban vásároljanak orvosi maszkokat. a tényleges költség 5-10-30-szorosával. De a koronavírus-témát kihasználó hamis weboldal létrehozásának gondolatát a kiberbűnözők is használják. Például itt van egy webhely, amelynek neve tartalmazza a „covid19” kulcsszót, de egyben adathalász webhely is.
Általánosságban elmondható, hogy napi nyomon követjük az eseményvizsgáló szolgáltatásunkat , láthatja, hogy hány olyan domain jön létre, amelynek neve tartalmazza a covid, covid19, koronavírus stb. szavakat. És sok közülük rosszindulatú.
Egy olyan környezetben, ahol a vállalat egyes alkalmazottait otthonról helyezik át dolgozni, és nem védik őket a vállalati biztonsági intézkedések, minden eddiginél fontosabb az alkalmazottak mobil és asztali eszközeiről elérhető erőforrások figyelése, tudatosan vagy anélkül. tudás. Ha nem veszi igénybe a szolgáltatást az ilyen tartományok észlelésére és blokkolására (és a Cisco most már ingyenes a kapcsolat ehhez a szolgáltatáshoz), akkor legalább konfigurálja webhozzáférés-felügyeleti megoldásait a tartományok megfelelő kulcsszavakkal történő figyeléséhez. Ugyanakkor ne feledje, hogy a tartományok tiltólistára helyezésének hagyományos megközelítése, valamint a hírnévadatbázisok használata kudarcot vallhat, mivel a rosszindulatú domainek nagyon gyorsan jönnek létre, és csak 1-2 támadásban használják fel őket néhány óránál tovább - akkor a a támadók új efemer tartományokra váltanak. Az információbiztonsági cégeknek egyszerűen nincs idejük tudásbázisaikat gyorsan frissíteni és minden ügyfeleikhez eljuttatni.
A támadók továbbra is aktívan kihasználják az e-mail csatornát adathalász linkek és rosszindulatú programok mellékletekben való terjesztésére. Hatékonyságuk pedig meglehetősen magas, mivel a felhasználók, miközben teljesen legális híreket kapnak a koronavírusról, nem mindig tudnak valami rosszindulatú dolgot felismerni a mennyiségükben. És miközben a fertőzöttek száma csak nő, az ilyen fenyegetések köre is csak nőni fog.
Például így néz ki egy példa a CDC nevében elküldött adathalász e-mailekre:
A link követése természetesen nem a CDC weboldalára vezet, hanem egy hamis oldalra, amely ellopja az áldozat bejelentkezési nevét és jelszavát:
Íme egy példa egy adathalász e-mailre, amelyet állítólag az Egészségügyi Világszervezet nevében küldenek:
És ebben a példában a támadók azzal számolnak, hogy sokan azt hiszik, hogy a hatóságok eltitkolják előlük a fertőzés valódi mértékét, ezért a felhasználók boldogan és szinte habozás nélkül kattintanak az ilyen típusú levelekre, amelyekben rosszindulatú hivatkozások vagy mellékletek találhatók. állítólag minden titkot felfed.
Egyébként van ilyen oldal , amely lehetővé teszi különféle mutatók nyomon követését, például a halálozást, a dohányosok számát, a különböző országok népességét stb. A honlapon található egy koronavírussal foglalkozó oldal is. És így, amikor március 16-án felkerestem, megláttam egy oldalt, amely egy pillanatra kétségbe vont bennem, hogy a hatóságok igazat mondanak nekünk (nem tudom, mi az oka ezeknek a számoknak, talán csak tévedés):
Az egyik népszerű infrastruktúra, amellyel a támadók hasonló e-maileket küldenek, az Emotet, amely az utóbbi idők egyik legveszélyesebb és legnépszerűbb fenyegetése. Az e-mail üzenetekhez csatolt Word dokumentumok Emotet letöltőket tartalmaznak, amelyek új rosszindulatú modulokat töltenek be az áldozat számítógépére. Az Emotetet eredetileg orvosi maszkokat árusító, csalárd oldalakra mutató linkek népszerűsítésére használták, amelyek Japán lakosait célozták meg. Az alábbiakban egy rosszindulatú fájl sandboxing használatával végzett elemzésének eredményét láthatja , amely elemzi a fájlokat rosszindulatúság szempontjából.
A támadók azonban nem csak az MS Wordben való indítás lehetőségét használják ki, hanem más Microsoft alkalmazásokban is, például MS Excelben (így járt el az APT36 hackercsoport), és Crimsont tartalmazó ajánlásokat küldenek az indiai kormánytól a koronavírus elleni küzdelemre. PATKÁNY:
Egy másik, a koronavírus témát kihasználó rosszindulatú kampány a Nanocore RAT, amely lehetővé teszi programok telepítését az áldozatok számítógépeire távoli eléréshez, a billentyűzet leütéseinek lehallgatásához, képernyőképek rögzítéséhez, fájlok eléréséhez stb.
A Nanocore RAT-ot pedig általában e-mailben kézbesítik. Az alábbiakban például egy példa e-mail üzenetet láthat egy csatolt ZIP-archívummal, amely végrehajtható PIF-fájlt tartalmaz. A végrehajtható fájlra kattintva az áldozat egy távelérési programot (Remote Access Tool, RAT) telepít a számítógépére.
Íme egy másik példa a COVID-19 témájában élősködő kampányra. A felhasználó levelet kap a koronavírus miatti feltételezett kézbesítési késedelemről .pdf.ace kiterjesztésű számlával. A tömörített archívumban olyan végrehajtható tartalom található, amely kapcsolatot létesít a parancs- és vezérlőkiszolgálóval további parancsok fogadása és más támadói célok végrehajtása érdekében.
Hasonló funkciókkal rendelkezik a Parallax RAT, amely az „új fertőzött CORONAVIRUS égbolt 03.02.2020/XNUMX/XNUMX.pif” nevű fájlt terjeszti, és egy rosszindulatú programot telepít, amely a DNS-protokollon keresztül kommunikál a parancskiszolgálóval. EDR osztályú védelmi eszközök, amelyekre példa az , és bármelyik NGFW segít figyelni a parancskiszolgálókkal folytatott kommunikációt (például ), vagy DNS-figyelő eszközöket (például ).
Az alábbi példában egy távelérési kártevőt telepítettek egy áldozat számítógépére, aki ismeretlen okból felvásárolta, hogy a számítógépre telepített szokásos víruskereső program megvédje a valódi COVID-19-et. És végül is valaki bedőlt egy ilyen látszólag poénnak.
De a rosszindulatú programok között is vannak igazán furcsa dolgok. Például viccfájlok, amelyek a zsarolóvírusok munkáját emulálják. Egy esetben a Cisco Talos részlegünk egy CoronaVirus.exe nevű fájl, amely blokkolta a képernyőt a végrehajtás során, és elindított egy időzítőt, valamint a „Minden fájl és mappa törlése a számítógépen – koronavírus” üzenetet.
A visszaszámlálás befejeztével az alul lévő gomb aktívvá vált, és megnyomásakor a következő üzenet jelent meg, hogy ez az egész csak vicc, és az Alt+F12 billentyűkombinációt kell lenyomni a program befejezéséhez.
A rosszindulatú levelek elleni küzdelem automatizálható, például használatával , amellyel nemcsak a mellékletekben található rosszindulatú tartalmak észlelhetők, hanem az adathalász linkek és az azokra való kattintások is nyomon követhetők. De még ebben az esetben sem szabad megfeledkezni a felhasználók képzéséről, valamint az adathalász szimulációk és kibergyakorlatok rendszeres elvégzéséről, amelyek felkészítik a felhasználókat a támadók különféle trükkjeire, amelyek a felhasználók ellen irányulnak. Különösen akkor, ha távolról és személyes e-mailjükön keresztül dolgoznak, a rosszindulatú kód behatolhat a vállalati vagy osztályhálózatba. Itt egy új megoldást tudnék ajánlani , amely lehetővé teszi nemcsak a személyzet mikro- és nano-képzésének lebonyolítását információbiztonsági kérdésekben, hanem adathalász szimulációk szervezését is számukra.
De ha valamilyen oknál fogva nem áll készen az ilyen megoldások használatára, akkor érdemes legalább rendszeres leveleket szervezni munkatársainak, amelyekben emlékeztetnek az adathalász veszélyre, annak példáira és a biztonságos viselkedés szabályainak listájára (a lényeg az, hogy a támadók nem álcázzák magukat nekik ). Egyébként az egyik lehetséges kockázat jelenleg a vezetőségtől származó leveleknek álcázott adathalász levelek, amelyek állítólag a távmunka új szabályairól és eljárásairól, a távoli számítógépekre telepítendő kötelező szoftverekről stb. És ne felejtsd el, hogy az e-mailek mellett a kiberbűnözők azonnali üzenetküldőket és közösségi hálózatokat is használhatnak.
Egy ilyen jellegű levelező vagy figyelemfelkeltő programba beilleszthető a már klasszikus példa egy hamis koronavírus-fertőzési térképre is, amely hasonló volt a Johns Hopkins Egyetem. Különbség Az volt, hogy egy adathalász oldal elérésekor a felhasználó számítógépére rosszindulatú programokat telepítettek, amelyek ellopták a felhasználói fiók adatait, és elküldték azokat a számítógépes bűnözőknek. Egy ilyen program egyik verziója RDP-kapcsolatokat is hozott létre az áldozat számítógépének távoli eléréséhez.
Egyébként az RDP-ről. Ez egy másik támadási vektor, amelyet a támadók kezdenek aktívabban használni a koronavírus-járvány idején. Sok vállalat a távoli munkára való átálláskor olyan szolgáltatásokat használ, mint például az RDP, amelyek a kapkodás miatt helytelenül konfigurált támadókhoz vezethetnek mind a távoli felhasználói számítógépekre, mind a vállalati infrastruktúrán belülre. Sőt, a különböző RDP-megvalósítások még megfelelő konfiguráció esetén is tartalmazhatnak olyan sebezhetőséget, amelyet a támadók kihasználhatnak. Például a Cisco Talos a FreeRDP többszörös sebezhetőségét, tavaly májusban pedig egy CVE-2019-0708 jelű kritikus biztonsági rést fedeztek fel a Microsoft Remote Desktop szolgáltatásban, amely lehetővé tette tetszőleges kód futtatását az áldozat számítógépén, rosszindulatú programok bevezetését stb. Még hírlevelet is osztottak róla , és például a Cisco Talos ajánlásokat az ellene való védekezésre.
Van egy másik példa a koronavírus-téma kihasználására - az áldozat családjának valós fertőzésveszélye, ha nem hajlandó bitcoinban fizetni a váltságdíjat. A hatás fokozása, a levél jelentősége és a zsaroló mindenhatóságának érzetének keltése érdekében az áldozat jelszavát az egyik fiókjából, amelyet nyilvános bejelentkezési és jelszavak adatbázisaiból szereztek be, beillesztették a levél szövegébe.
A fenti példák egyikében az Egészségügyi Világszervezettől származó adathalász üzenetet mutattam be. És itt van egy másik példa, amelyben a felhasználóktól pénzügyi segítséget kérnek a COVID-19 elleni küzdelemhez (bár a levél fejlécében azonnal feltűnik az „ADOMÁNYOZÁS” szó). kriptovaluta követés.
És manapság sok ilyen példa van a felhasználók együttérzésének kihasználására:
A Bitcoinok más módon kapcsolódnak a COVID-19-hez. Így néznek ki például azok a küldemények, amelyeket sok otthon ülő, pénzt keresni nem tudó brit állampolgár kap (Oroszországban most ez is aktuálissá válik).
A jól ismert újságoknak és híroldalaknak álcázott levelek könnyű pénzt kínálnak kriptovaluták bányászatával speciális oldalakon. Valójában egy idő után kapsz egy üzenetet, hogy a megkeresett összeget felveheted egy speciális számlára, de előtte át kell utalnod egy kis adót. Nyilvánvaló, hogy a csalók a pénz kézhezvétele után semmit nem utalnak át, és a hiszékeny felhasználó elveszíti az átutalt pénzt.
Az Egészségügyi Világszervezettel kapcsolatban van egy másik fenyegetés is. A hackerek feltörték az otthoni felhasználók és kisvállalkozások által gyakran használt D-Link és Linksys útválasztók DNS-beállításait, hogy átirányítsák őket egy hamis webhelyre, amely egy felugró figyelmeztetéssel jelzi, hogy telepíteni kell a WHO alkalmazást, amely megtartja őket. naprakész a koronavírussal kapcsolatos legfrissebb hírekkel. Ráadásul maga az alkalmazás tartalmazta az Oski rosszindulatú programot, amely információkat lop.
A COVID-19 fertőzés jelenlegi állapotát tartalmazó alkalmazáshoz hasonló ötletet használ ki az Android CovidLock trójai, amelyet az Egyesült Államok Oktatási Minisztériuma, a WHO és a Center for Epidemic Control által állítólag „tanúsított” alkalmazáson keresztül terjesztenek ( CDC).
Manapság sok felhasználó elszigeteli magát, és mivel nem akar vagy nem tud főzni, aktívan veszi igénybe a házhozszállítási szolgáltatásokat élelmiszerekhez, élelmiszerekhez vagy egyéb árukhoz, például WC-papírhoz. A támadók saját céljaikra is elsajátították ezt a vektort. Például így néz ki egy rosszindulatú webhely, hasonlóan a Canada Post tulajdonában lévő legitim forráshoz. A sértett által kapott SMS-ből származó link egy weboldalra vezet, amely arról számol be, hogy a megrendelt terméket nem lehet kiszállítani, mert csak 3 dollár hiányzik, amit külön kell fizetni. Ebben az esetben a felhasználó egy oldalra kerül, ahol meg kell adnia hitelkártyája adatait... minden ebből következő következménnyel együtt.
Befejezésül szeretnék még két példát hozni a COVID-19-hez kapcsolódó kiberfenyegetésekre. Például a „COVID-19 Coronavirus – Live Map WordPress Plugin”, a „Coronavirus Spread Prediction Graphs” vagy a „Covid-19” beépülő modulok a népszerű WordPress-motort használó webhelyekbe vannak beépítve, és a járvány terjedésének térképével együtt. koronavírus, tartalmazzák a WP-VCD kártevőt is. A Zoom cég pedig, amely az online események számának növekedése nyomán nagyon-nagyon népszerűvé vált, szembesült azzal, amit a szakértők „zoombombázásnak” neveztek. A támadók, de valójában közönséges pornótrollok online chatekhez és online találkozókhoz kapcsolódtak, és különféle obszcén videókat mutattak be. Egyébként hasonló fenyegetéssel szembesülnek ma az orosz cégek.
Azt gondolom, hogy a legtöbben rendszeresen ellenőrzik a világjárvány aktuális állapotáról különböző hivatalos és nem annyira hivatalos forrásokat. A támadók kihasználják ezt a témát, és a „legfrissebb” információkat kínálják nekünk a koronavírussal kapcsolatban, beleértve azokat az információkat is, „amit a hatóságok titkolnak előled”. De az utóbbi időben a hétköznapi felhasználók is gyakran segítettek a támadóknak azzal, hogy „ismerősöktől” és „barátaiktól” küldtek ellenőrzött tények kódjait. A pszichológusok azt mondják, hogy a „riasztó” felhasználók ilyen tevékenysége, akik mindent elküldenek, ami a látóterükbe kerül (különösen a közösségi hálózatokban és az azonnali üzenetküldőkben, amelyek nem rendelkeznek védelmi mechanizmusokkal az ilyen fenyegetések ellen), lehetővé teszi számukra, hogy részt vegyenek a harcban. globális fenyegetés, sőt hősnek érzi magát, aki megmenti a világot a koronavírustól. De sajnos a speciális ismeretek hiánya oda vezet, hogy ezek a jó szándékok „mindenkit a pokolba visznek”, új kiberbiztonsági fenyegetéseket hoznak létre, és növelik az áldozatok számát.
Valójában folytathatnám a koronavírussal kapcsolatos kiberfenyegetések példáit; Ráadásul a kiberbűnözők nem állnak egy helyben, és egyre több új módszert találnak ki az emberi szenvedélyek kihasználására. De szerintem itt megállhatunk. A kép már világos, és azt mutatja, hogy a közeljövőben a helyzet csak rosszabb lesz. Tegnap a moszkvai hatóságok önizoláció alá helyezték a tízmillió lakosú várost. A moszkvai régió és Oroszország számos más régiójának hatóságai, valamint legközelebbi szomszédaink az egykori posztszovjet térben ugyanezt tették. Ez azt jelenti, hogy a kiberbűnözők által célba vett potenciális áldozatok száma sokszorosára nő. Érdemes tehát nemcsak a biztonsági stratégiát átgondolni, amely a közelmúltig csak egy vállalati vagy részleghálózat védelmére irányult, és felmérni, hogy milyen védelmi eszközök hiányoznak, hanem figyelembe kell venni a személyzeti figyelemfelkeltő programjában szereplő példákat is. a távoli dolgozók információbiztonsági rendszerének fontos részévé válik. A készen áll a segítségére ebben!
PS. Ennek az anyagnak az elkészítéséhez a Cisco Talos, a Naked Security, az Anti-Phishing, a Malwarebytes Lab, a ZoneAlarm, a Reason Security és a RiskIQ cégek, az Egyesült Államok Igazságügyi Minisztériuma, a Bleeping Computer erőforrásai, a SecurityAffairs stb. anyagait használtuk fel. P.
Forrás: will.com