#news Небольшой апдейт по уязвимости, из-за которой сейчас всё полыхает.

Самый лучший вариант — обновиться до версии 2.15.0, включающей патч. Если это по каким-либо причинам невозможно, у Cloudflare есть инструкция по защите. Они, кстати, говорят, что Log4j — настолько мощная катастрофа, что они решили выкатить хоть какую-нибудь защиту для своих клиентов даже на бесплатных тарифах.

Чтобы воспользоваться Log4j, достаточно просто отправить на сервер зловредную строку, которую Log4j версии 2.0 или младше рано или поздно считает. Как только это произойдёт, хацкер получит контроль над сервером.

Как метко заметили в Твиттере: «Today "Java runs on billions of devices" is not a statement of pride, but a statement of pure terror».

@tomhunter

Кстати, на фоне всего этого вспомнили, что беспилотный вертолёт Ingenuity, весной этого года посетивший Марс, использует Apache Log4j.

Человечество можно поздравить с впечатляющим достижением научно-технологического прогресса. Мы ещё не побывали на Марсе, но уже заслали туда свою первую уязвимость нулевого дня!

#news Маршрутизаторы MikroTik остаются уязвимыми как минимум для одной из четырех эксплуатируемых уязвимостей. Речь идет о примерно 2 миллионах устройств, развернутых в малых и домашних офисах (SOHO), 1,88 миллиона — или 94% их них — имеют интерфейс управления Winbox, доступный в Интернет.

В сентябре ботнет Meris, состоящий из маршрутизаторов MikroTik, осуществил масштабные распределенные атаки типа «отказ в обслуживании» против целей, в том числе российской поисковой системы Яндекс. Исследователи подсчитали, что Meris — «чума» на латышском языке — состояла из примерно 250 000 взломанных маршрутизаторов MikroTik.

Инструмент Meris RouterOS Checker позволяет администраторам взять на себя роль злоумышленника, чтобы проверить, уязвим ли маршрутизатор к четырем уязвимостям, попытаться войти в систему с использованием скомпрометированных учетных данных и проверить устройство на наличие известных индикаторов взлома.

@tomhunter

#news А вот небольшой обзор произошедших атак с использованием Log4j.

За уязвимость с радостью взялись хакеры-разработчики криптомайнингового ботнета и бэкдора Kinsing: малварь чистит устройство от конкурентов и принимается за майнинг. Прочие установщики майнеров тоже попадаются.

Например, ботнеты Mirai и Muhstik, которые не остались в стороне и пользуются Log4j для расширения ботнетов, масштабных DDoS-атак и — вы не поверите — установки криптомайнящей малвари. Об этом рассказали исследователи, поймавшие хакеров в ханипоты.

Ещё через Log4j закидывают жертвам крякнутый Cobalt Strike. Неплохой набор инструментов для пентеста из-за кряка превращается во вполне себе реальный наблюдатель за сетью и бэкдор для догрузки любого кода.

Ещё, конечно, белошляпочные исследователи исследуют через Log4j: ищут уязвимые серверы для потенциальных багбаунти.

@tomhunter

#news Украина арестовала 51 человека за торговлю данными более чем 300 миллионов граждан США, Евросоюза и самой Украины.

У задержанных конфисковали около 100 баз персональных данных за 2020-2021 годы. Среди этих данных телефонные номера, имена, фамилии и адреса.

Ещё свернули онлайн-маркет, на котором задержанные вели эту торговлю.

@tomhunter

#news Вспомнил вот ещё. Если вы проверили свои проекты и увидели, что они пропатчены от Log4j, убедитесь, что патчили именно вы (или кто-то ещё из вашей команды).

Дело в том, что после взлома хакеры нередко накатывают патч от Apache или вакцину от Cybereason, чтобы никто больше не лез в систему, в которой они похозяйничали.

Есть ещё белошляпочники, которые нынче развлекаются тем, что взламывают системы через Log4j, залатывают дыру и уходят. Но если патч подозрительным образом появился сам, прошерстить всё на предмет малвари — стоящая идея.

@tomhunter

#news Google выпустила экстренное обновление Chrome 96.0.4664.110 для Windows, Mac и Linux, чтобы устранить серьезную уязвимость нулевого дня CVE-2021-4102.

@tomhunter

#news Продолжаем следить за ИБ-Хиросимой этого года.

⋅ За сутки появилось больше 60 новых мутаций Log4j, многие из которых работают как против HTTP, так и против HTTPS. Кажется, некоторые из этих вариантов ухитряются обходить существующую защиту. Исследователи советуют накатывать несколько слоёв (например, патч и вакцину), чтобы наверняка.

⋅ Изменилась тактика хакеров. Первые атаки были совсем примитивными — эксплойт засовывали в User-Agent или Uniform Resource Identifier (URI) запроса. Теперь туда кладут строчку, зашифрованную в Base64. Расшифровав её, уязвимая система скачивает из инфраструктуры хакера зловред. Кроме того, затем хакеры начали обфусцировать сами Java Naming and Directory Interface (JNDI). Пример:
${jndi:${lower:l}${lower:d}a${lower:p}://world80
${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//
${jndi:dns://

⋅ Уязвимость эксплойтят с самого начала декабря. Первые эксплойты заметили уже 1 числа, а с 9 декабря исследователи Sophos насчитали сотни тысяч попыток эксплойта. Судя по проанализированным логам, уязвимостью пользуются уже несколько недель.

⋅ Вчера Check Point рассказали, что предотвратили более чем 845 тысяч попыток эксплойта Log4j; в минуту поступает более 100 попыток. К 17:00 понедельника по Москве попытки эксплойта испытали на себе 40% всех корпоративных сетей мира.

@tomhunter

И график ещё добавлю. Больше всего досталось корпоративным сетям в Австралии и Новой Зеландии (затронуто 46.2% из них), меньше всего — американским и канадским (36.4%).

По России отдельной статистики нет, но предполагаю, что она скрывается в Европе (42.2% сетей затронуто).

#news Apple выпустила обновления для iOS, iPadOS и macOS, а также устранила несколько уязвимостей в WebKit.

На мобильных ОС починили CVE-2021-30955, позволявшую выполнять произвольный код с привилегиями супервизора. Её можно было использовать в том числе для удалённого джейлбрейка. Маки проблеме тоже подвержены, кстати.

Кроме CVE-2021-30955, в программе для iOS и iPadOS ещё пять уязвимостей ядра и 4 в IOMobileFrameBuffer.

Обновления вышли и под macOS, для которой устранили уязвимость в Wi-Fi модуле: она позволяла локальному пользователю читать память ядра.

В общем, обновиться определённо стоит. Не «Напомнить позже», а обновиться!

@tomhunter

#news Хакерская группировка MoneyTaker смогла успешно атаковать российский банк через его рабочее место в ЦБ. До этого подобная атака была в 2018 году. У банка не из первой сотни смогли украсть более полумиллиарда рублей. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР...

Атака началась в июне 2020 года через компрометацию аффилированной с банком компании. Затем хакеры смогли получить доступ к сети банка — на это им понадобилось около месяца. Еще полгода они исследовали сеть. Финальная стадия атаки началась в январе 2021 года. В результате хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ.

@tomhunter

#news Daily Storm воспользовался тут одним приёмом #OSINT из богатой коллекции руководителя департамента информационно-аналитических исследований T.Hunter и смог идентифицировать вероятного администратора сообщества «Мракоборец». Последний, безусловно, все отрицал, угрожал журналистам прокуратурой и жалобой в обком... Но, мы всё понимаем. Это такой старинный красивый обычай. И прекрасный пример чистого OSINT-исследования... flawless victory.

@tomhunter

#news Иранские хакеры из MuddyWater развертывают бэкдор под названием Aclip, который злоупотребляет Slack API для скрытой связи. Slack - идеальная платформа для сокрытия вредоносных коммуникаций, поскольку данные могут хорошо сочетаться с обычным бизнес-трафиком из-за его широкого распространения на предприятии.

Aclip - это недавно обнаруженный бэкдор, выполняемый с помощью пакетного сценария Windows с именем aclip.bat, отсюда и название. Бэкдор обеспечивает постоянное присутствие на зараженном устройстве путем добавления раздела реестра и запускается автоматически при запуске системы. Aclip получает команды PowerShell от сервера C2 через функции Slack API и может использоваться для выполнения дальнейших команд, отправки снимков экрана активного рабочего стола Windows и эксфильтрации файлов.

@tomhunter

#news Emotet начал тестировать установку маяков Cobalt Strike на зараженные устройства. Cobalt Strike - это инструмент для тестирования на проникновение, который злоумышленники обычно используют для развертывания программ-вымогателей в сети. С маяками Cobalt Strike, непосредственно установленными Emotet, злоумышленники, которые используют их для распространения по сети, кражи файлов и развертывания вредоносных программ, получат немедленный доступ к скомпрометированным сетям.

Вредоносная программа взаимодействует с серверами управления и контроля злоумышленников через поддельный файл jquery-3.3.1.min.js. Поскольку большая часть файла представляет собой законный исходный код jQuery, и изменяется только часть содержимого, он смешивается с легитимным трафиком и упрощает обход программного обеспечения безопасности.

@tomhunter

#news Похоже, скоро Apache выпустит для залатывания Log4j патч на патч на патч. Не удивлюсь потом ещё одному патчу на этот патч. Заинтригованы такой хитроумной конструкцией? Не зря.

Свой оригинальный патч, 2.15.0, Apache сочла «недостаточным для нестандартных конфигураций», а потому выпустила ещё один. Выяснилось, что 2.15.0 не только не залатывает полноценно дыру Log4j, но ещё и добавляет две другие.

Первая — это CVE-2021-45046 (3.7 из 10 CVSS), для которой уже вышел новый патч 2.16.0. Эта уязвимость помогает организовывать против уязвимых серверов ДоСы.

Ещё исследователи обнаружили более серьёзную уязвимость, порождаемую 2.15.0: она позволяет при определённых условиях извлекать из пропатченных серверов ценные данные. Особых деталей, руководств и PoC’ов не предоставили по очевидным причинам, но пока неизвестно, залатали ли эту дыру в новом патче 2.16.0.

А что до самой Log4j? Пока зафиксировали 1.8 миллионов попыток эксплойта, успешных и нет.

@tomhunter

#news ИБ-исследователь Грег Линарес считает, что мы скоро увидим Log4j-червя с C2C. Говорит, что видел как минимум три группировки, которые сейчас занимаются такой разработкой.

С одной стороны, эпопея ущерба от Log4j явно пока только начинается. С другой, разработать такого червя — это не одной скопированной строчкой воспользоваться, тут требуются определённые навыки и вложения времени. А со временем у хакеров тут как раз беда. С каждым днём всё больше серверов патчится и вакцинируется — какие-то ИБшниками, а какие-то другими хакерами, оставляющими для себя бэкдор и блокирующими доступ конкурентам.

Впрочем, не исключено, что этим занимаются как раз группировки, которые успели массово пооставлять для себя кучу бэкдоров на ценных машинах.

@tomhunter

#news Facebook нарушил работу семи различных компаний-производителей шпионского ПО, заблокировав их интернет-инфраструктуру и запретив им доступ к своей платформе. Устройства некоторых людей, ставших жертвами таких средств наблюдения, были заражены более чем одним видом шпионского ПО. Пострадало от активности кибершпионов, по меньшей мере, 50 000 человек.

@tomhunter

#news Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали их одновременно. На данный момент эта тенденция наблюдалась у преступников, стремящихся захватить ресурсы для майнинга Monero.

Большинство атак, нацеленных на уязвимость Log4j, осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным. Однако некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP.

@tomhunter

#news Всем отличного вечера пятницы и чудесных выходных! Скоро Новый год, и я решил расписать в своем блоге на Хабре тему использования Maltego без финансовых вложений. Оказалось, что идея вполне жизнеспособна и позволяет делать многое. Особенно, если у вас уже есть массивы данных, иные сервисы, API-шки, навыки питониста и прямые руки...

К слову... Я же не первую статью пишу про Мотыгу (Maltego)! Читайте другие и подписывайтесь на мой блог.

@tomhunter

#news 24-летний житель Нью-Йорка (на фото в бриллиантовых часах Piaget), который хвастался тем, что помог украсть криптовалюту на сумму более 20 миллионов долларов у специалиста по технологиям, признал себя виновным в сговоре с целью совершения мошенничества с использованием электронных средств. Как он воровал криптовалюту? Всего лишь два простых приёма. В первом случае он передавал третьим лицам для работы свой кабинет на криптобирже, который потом забирал назад. Во втором случае - перевыпускал симкарты людей, благодаря чему обходил систему двухфакторной идентификации на биржах и входил в их личные кабинеты.

А вы говорите... Америка... кибербезопасность...

@tomhunter

#news Обновили log4j до 2.16.0 и рады? А радоваться рано. Apache выпустила патч 2.17.0, закрывающий серьёзную DoS-уязвимость.

PoC: ${${::-${::-$${::-j}}}}.

Обновляемся до 2.17.0 и ждём неизбежного продолжения этой праздничной эпопеи.

@tomhunter