Security Week 35: зима близко, как собрать троян, угон Теслы +23


Давно у нас не было дайджеста в жанре сборной солянки, давайте попробуем выступить в нем. Тем более, за неделю подобралось немало интересных, но совершенно разноплановых новостей. Начнем с новой модификации известной атаки типа cold boot, в которой применяется натуральная заморозка микросхем оперативной памяти.


Оригинальная исследовательская работа по атакам этого типа была опубликована в 2008 году (вот PDF). Хотя считается, что при отключении питания данные из оперативной памяти мгновенно пропадают, это не совсем так. Даже при комнатной температуре и даже после удаления модуля памяти из материнской платы данные сохраняются в более-менее нетронутом виде несколько секунд.

Если же модуль охладить, то данные можно сохранить еще дольше — для анализа на том же компьютере, либо можно вообще переставить модули в другую машину. Охлаждение до –50 градусов (простым баллончиком со сжатым воздухом) дает еще 10 минут сохранности данных. Жидкий азот и охлаждение до –196 градусов замораживают информацию на час. Из памяти можно похитить множество секретов, в ряде случаев — даже ключи шифрования данных.
В ответ на исследование консорциум Trusted Computing Group внедрил систему принудительной перезаписи памяти при включении компьютера. Получается, как минимум ноутбуки с впаянными чипами RAM защищены от подобной атаки. На прошлой неделе стало понятно, что это не совсем так.

Исследователи из компании F-Secure нашли способ отменить перезапись ячеек памяти при перезагрузке компьютера (подробная статья на английском тут). Атака работает при следующем сценарии: у жертвы похищается ноутбук, который находится в режиме сна, и содержимое оперативной памяти сохраняется. Далее ноутбук вскрывается, и каким-то образом отключается система перезаписи ячеек. Как именно — не сообщается. Весной мы освещали другое исследование F-Secure про безопасность гостиничных ключей, и там специалисты тоже были предельно неконкретны, когда дело доходило до технических подробностей. Зато они снимают видео с драматизацией процесса:


Известно только, что модифицируются сами чипы памяти. После того как принудительное стирание памяти (а неплохо звучит!) было отключено, происходит традиционная атака типа cold boot. Память замораживается, чтобы пережить кратковременное отключение питания, ноутбук перезагружается, загружается с внешнего носителя, и дальше начинается анализ содержимого из предыдущей инкарнации. Исследователи утверждают, что весь процесс может занять не более двух минут. Такой вот интересный метод атаки, будто пришедший прямиком из фильмов про Джеймса Бонда.
Снизить вероятность успеха довольно просто. Как говорят сами авторы, помогут гибернация и авторизация до начала процесса загрузки ОС откуда-либо. Ну и шифрование всего и вся, конечно. Если шифрования нет, все эти манипуляции с мороженой памятью и вовсе необязательны.


Троян кибергруппировки LuckyMouse использует украденный сертификат и заимствует открытый код

Исследование.

Совсем недавно мы упоминали исследование специалистами «Лаборатории» сложносочиненной атаки группы Lazarus. 10 сентября появилось еще одно исследование нетривиальной атаки, инициированной, судя по ряду признаков, китаеязычной кибергруппировкой LuckyMouse.

Функциональность троянской программы достаточно традиционная: она обеспечивает возможность удаленного подключения к зараженной машине, проводит разведку локальной сети, общается с командным сервером и отслеживает сетевой трафик пользователя.
Интересны три особенности вредоносной программы. Во-первых, это драйвер фильтрации сетевого трафика, который использует легитимный цифровой сертификат, выпущенный VeriSign для компании LeagSoft — разработчика ПО (в том числе) для контроля за утечками данных. Очевидно, эта компания была взломана, а сертификат обеспечил скрытную установку ПО для перехвата сетевых коммуникаций.


Во-вторых, примечательно использование авторами троянской программы открытого исходного кода на C.


В-третьих, специалисты «Лаборатории» обнаружили в драйвере признаки, указывающие, что вредоносный код хоть и используется для реальных атак, однако все еще находится в стадии разработки. В дебаг-сообщениях попадаются строки [test], в коде упоминаются известные порты распространенных сетевых служб — POP3S, SMB, MSSQL, которые потом никак не используются. Такой киберкриминальный agile. Использование же открытого кода, помимо ускорения разработки, еще и затрудняет атрибуцию вредоносных программ. Если тенденция получит развитие, атаки станет сложнее приписать определенным группировкам, чем при использовании ими полностью кастомного «проще самому написать» вредоносного кода. Впрочем, в данном случае атрибуция не вызвала затруднений: троян выходит на связь с сервером, который и ранее был известен как принадлежащий группе LuckyMouse.

Угон Теслы без сурового хакинга
Новость.


В прошлом году лаборатория Keen Security Lab китайской компании Tencent опубликовала интересное исследование систем безопасности автомобиля Tesla. В нем электромобиль взламывался так, как это делали бы компьютерные хакеры: через беспроводное соединение и/или встроенный в развлекательную систему машины веб-браузер. Используя вновь найденные уязвимости, китайские исследователи через шину управления CAN добирались до систем контроля над «жизненно важными» автомобильными органами вроде рулевого управления и тормозов.

Это увлекательный, но непростой путь, еще и с непонятными перспективами реализации атаки на практике настоящими злоумышленниками. Группа исследователей из Бельгии пошла как раз по пути реальных преступников и проанализировала коммуникации между автомобилем и пультом управления. Оказалось, что брелок для разблокировки и запуска машины использует ненадежный 40-битный шифр.

При помощи Raspberry Pi и пары блоков радиосвязи общей стоимостью около 600 долларов исследователи научились не только перехватывать команду на открытие дверей и воспроизводить ее — они смогли создать виртуальную копию ключа, которой можно пользоваться многократно. В результате получилась вполне реальная атака: достаточно один раз перехватить радиопередачу между настоящим ключом и автомобилем, и дальше уже можно управлять машиной с копии. Можно не только открыть двери, но и завести машину и уехать.

Как тебе такое, Илон Маск? На устранение уязвимости ушел почти год. Tesla не только обновила механизм шифрования коммуникаций с брелоком, но и внедрила новую функцию: для запуска автомобиля теперь нужно ввести PIN-код. Владельцам Tesla с повышенным чувством опасности также предоставляется возможность выключения системы разблокировки автомобиля без нажатия на кнопки — по появлению брелока вблизи машины.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. И кстати, если вы используете Tor Browser, обновитесь до восьмой версии. В предыдущих нашли серьезную уязвимость.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (3):

  1. vanxant
    /#19126951 / +1

    Далее ноутбук вскрывается, и каким-то образом отключается система перезаписи ячеек. Как именно — не сообщается

    Лезвием по материнке, каким.

  2. Ainvain
    /#19129953

    Мне кажется или в видео просто прочли незашифрованный файл на жестком диске? В чем тогда смысл манипуляций? Я бы понял эпичность, если бы жесткий диск был зашифрован, а загрузка с внешних носителей невозможна и надо было переставлять планки в другую машину.

  3. g0rd1as
    /#19132675

    Надергать код из гитхаба для трояна — это гениально! Теперь вирусописатели и вовсе опустились до банальной копипасты! Я прямо плачу от смеха! :-D