Postřehy z bezpečnosti: perzistentní malware pro iOS jménem NoReboot

10. 1. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V aktuálním díle Postřehů se podíváme na problémy iOSu s žádnými, nebo naopak věčnými restarty. Dále na hledání log4j v kupce kódu, na výsledky testování několika EDR řešení a na to, jak můžete podpořit Norton 360 zapnutím zabudovaného kryptomineru.

NoReboot restartující, bdící

„NoReboot“ je název nové techniky, s jejíž pomocí lze dosáhnout perzistence malwaru na napadeném zařízení. Techniku objevila společnost ZecOps, která přišla na to, že je možné zablokovat proces vypnutí nebo restartu iOS. Přitom je možné vypnout obrazovku, zvuky, vibrace, dotykovou zpětnou vazbu nebo další funkčnosti a tím v uživateli vyvolat dojem, že k požadovanému vypnutí či restartu skutečně došlo.

Naopak, pokud by vám restart scházel, poradí začínající bezpečnostní expert Trevor Spiniolas. Ten před několika měsíci našel nový typ zranitelnosti pro iPhone či iPad, které používají Apple HomeKit framework. Nejprve o ní zpravil samotnou firmu, která ovšem čtyři měsíce nereagovala, a tak promluvil veřejně o tom, že stačí přimět oběť, aby přijala pozvánku s velmi dlouhým názvem. Je jedno, jak bude dlouhý, ale je nezbytné, aby byl delší než 500 tisíc znaků.

Zařízení se pak dostane do smyčky restartů a uživatel takto přijde o lokální data. Pokud je oželí a uvede zařízení do továrního nastavení, tak se po synchronizaci se servery dostane opět do nové smyčky. Spiniolas věří, že tvůrci ransomwaru mohou v budoucnu použít tento vektor útoku pro svou nekalou činnost.

Hledání Log4j 2 zatím nekončí

Odpověď na otázku, zda kód aplikace obsahuje zranitelnost Log4j 2, není tak snadná, jak by se mohlo zdát. Lze sice použít nástroje pro analýzu závislostí, ale ne všichni programátoři používají asi nejsprávnější postup, kdy knihovnu třetí strany zakomponují do svého kódu příkazem import.

Mnohdy vloží kód knihovny do svého programu, aniž by ho volali jako externí balíček a nástroje založené na analýze závislostí pak mohou selhat. Firma JFrog proto zveřejnila nástroje, které usnadňují identifikovat použití knihovny Log4j 2 i v tomto případě.

Bezpečnost koncových zařízení není ideální

George Karantzas a Constantinos Patsakis z řecké univerzity Piraeus otestovali několik EDR řešení, aby zjistili, jak jsou efektivní v detekci útoků. EDR (Endpoint Detection and Response) jsou evolucí antivirů a škodlivý kód detekují nejen pomocí statické a dynamické analýzy souborů, ale také sbírají a agregují bezpečnostně relevantní data z koncových zařízení. Mohou tak identifikovat sofistikovanější metody útoků.

Testy spočívaly v použití již existující expirované domény k hostování škodlivého kódu ve formě čtyř typů souborů (CPL, DLL, EXE a HTA). Tento škodlivý kód následně spouštěl Cobalt Strike Beacon používaný k vytvoření tunelu z napadeného počítače do systému útočníka. Tedy postup běžně používaný současnými kyberzločinci. Výsledky testů, které nejsou příliš povzbuzující, lze nalézt ve zprávě výše uvedených výzkumníků.

Heap-overflow v produktech VMWare

Společnost VMWare vydala aktualizace produktů Workstation, Fusion a ESXi, které řeší „důležitou“ bezpečnostní zranitelnost, kterou by potenciální útočník mohl využít k převzetí kontroly nad zranitelnými systémy. Zranitelnost označená jako CVE-2021–22045 se skórem 7,7 má problém s takzvaným „heap-overflow“, kdy v případě zneužití může útočník spustit libovolný kód.

Útočník, který má přístup k virtuálnímu stroji s emulací CD-ROM, může využít výše uvedené zranitelnosti v případě, že k virtuálnímu počítači je připojen obraz CD. Společnost doporučuje všem, kteří ještě neaktualizovali své systémy, aby tak učinili.

Kazachstán bez Internetu

V Kazachstánu probíhají rozsáhlé protivládní protesty, které si už vyžádaly oběti na životech. Jednou z reakcí na probíhající protesty bylo odstavení celé zěmě od Internetu, ke kterému došlo ve středu kolem sedmnácté hodiny. Krátce pak Internet fungoval ve čtvrtek na večer.

Paradoxní však je, že například vydání zákazu vycházení proběhlo skrze sociální sítě. Odstávka se prý týká mobilních operátorů Kaz Telecom (největší), Kcell, Beeline a Tele2. Nejedná se však prý o ojedinělý případ, tamní vláda přistoupila k blokování Internetu i v minulosti při příležitosti voleb či různých státních svátků.

Antivirus těžící kryptoměny

Relativně známá značka Norton ve svém antivirovém řešení nově přibaluje i cryptominer, což pochopitelně rozhořčilo řadu stávajících uživatelů. Cryptominer je sice součástí všech instalací, avšak pro jeho aktivaci je v současné době potřeba souhlasit s použitím (opt-in) a je nutné mít grafickou kartou s pamětí nejméně 6GB. Omezení na grafickou kartu jsou dána volbou kryptoměny (ETH). Z toho vyplývá, že účet za elektřinu nejspíš nevzroste příliš velkému počtu uživatelů.

Zatímco ostatní antiviry před výskytem takových nástrojů typicky varují, Norton se viditelně vydal jinou cestou. Zajímavostí také je, že poplatky spojené s těžbou jsou stanoveny na 15 %, což je poměrně hodně. Navíc tato částka nepokrývá poplatky za převod. Ten je k tomu omezen pouze na jednoho provozovatele peněženek.

Rok 2022: Co nás čeká v kyberbezpečnosti?

Bezpečnostní analytici ze společnosti Eset očekávají, že se v příštím roce útočníci zaměří především na trh s kryptoměnami. Pro firmy a společnosti nadále poroste počet hrozeb, které souvisejí se zranitelnostmi legitimních aplikací a nástrojů. Velkým tématem bude zranitelná knihovna Apache Log4j 2, na kterou bezpečnostní komunita upozornila koncem roku 2021. 

bitcoin_skoleni

Očekává se také nárůst malwaru v souvislosti se stále větším využíváním mobilních zařízení nebo s nadcházejícími globálními událostmi, jako jsou například zimní olympijské hry v Pekingu. V českém prostředí jsou v tuto chvíli hlavním cílem útoků uživatelská hesla a přístupové údaje k bankovním službám. Je tak velmi pravděpodobné, že tento trend bude pokračovat. Růst by měly také hrozby pro platformu Android a macOS.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.