EKOparty 10th: Атаки на BIOS/UEFI и BERserk

В конце октября мне довелось побывать еще на одной конференции в латинской Америке. На этот раз в Аргентине на EKOparty в Буэнос-Айресе. Это была юбилейная десятая конференция и ребятам удалось организовать грандиозный эвент на 2000 человек. Мне уже во второй довелось побывать на этой конференции, и она мне запомнилась в первую очередь высоким качеством докладов, из которых довольно много на различные низкоуровневые темы.

Игры с JIT или эксплуатация CVE-2012-1723

Со времен активной эксплуатации уязвимости CVE-2012-0507 мало что изменилось и Java по прежнему остается самым популярным вектором, использующимся в популярных наборах эксплойтов. Буквально вчера появилась публичная информация об использовании CVE-2012-1723 в наборе эксплойтов BlackHole, а ведь сама уязвимость была только недавно найдена в середине июня и публичных реализаций эксплойта она не имеет. Почему же такое пристальное внимание к Java уязвимостям и они настолько оперативно попадают в наборы эксплойтов?

Все дело в том, что  Java-уязвимости довольно просто эксплуатируются и не требуют обхода DEP/ASLR и прочих механизмов безопасности. А в большинстве случаев при небольшой адаптации эксплойт может стать еще и кроссплатформенным. К примеру сделать стабильный эксплойт под тот же CVE-2012-1889 в разы сложнее. Да, собственно и разбираться с работой самой уязвимости тоже. Все, что я видел из боевых эксплойтов для CVE-2012-1889 работали с кучей допущений на Win7/Vista и по большей части эффективнее всего пробивали только WinXP.

JS/Exploit.CVE-2012-1889: тихий 0-day

Не успела MS отрапортовать об успешно закрытых 13-ти уязвимостях в MS12-037, как Google наводит панику с очередной уязвимостью нулевого дня (CVE2012-1889) во всей линейке IE. А к тому же уязвимость еще проявляется в MS Office 2003/2007 и вполне пригодна для целенаправленных атак. Cпустя несколько дней появляется публичный эксплойт в составе проекта Metasploit.

Собственно уязвимость кроется в Microsoft XML Core Services. Происходит повреждение памяти при обращении к не инициализированному участку с несуществующим XML Node (посредством вызова метода get_definition()), что в итоге может привести к удаленному выполнению кода. Простейший код приводящий к IE к аварийному завершению выглядит следующим образом:

Этот код пытается обратиться к  не инициализированному объекту в памяти, но ссылка на этот регион памяти все же создается, что собственно приводит к потенциальной возможности выполнения кода в функции  _dispatchImpl :: InvokeHelper().

Умные редиректы на Nuclear Pack

Нам удалось зафиксировать интересную волну распространения Carberp при помощи последней версии Blackhole и в последствии Nuclear Pack. Причем похожая история уже произошла месяцем ранее в Нидерландах, но в ней участвовал только Nuclear Pack версии 2, а распространялся другой банковский ветеран Sinowal/Mebroot.

Nuclear Pack сейчас вновь набирает популярность среди наборов эксплойтов. Собственно миграция с Blackhole обусловлена его хорошим детектом со стороны защитного софта и пристального внимания большого количества исследователей со всего мира.

Самые ходовые наборы эксплойтов сейчас следующие:

• Blackhole
• Eleonore
• Nuclear Pack
• Incognito
• Phoenix
• Sakura

Но вернемся все же к нашей истории, итак на этой неделе были зафиксированы массовые атаки из сети Leksim Ltd/RELNET-NET AS5577, точнее сказать именно здесь хостились наборы эксплойтов на которых шло перенаправление с легальных веб-ресурсов.

Кстати, что символично именно этот хостинг уже был замечен в нелегальной деятельности год назад и что характерно именно в апреле. 

Но речь в этом посте пойдет совсем о другом, все дело в том, что чаще всего активные системы сбора вредоносных сэмплов и поиска редиректов, построены довольно просто и не многие из них могут реально понимать DOM-модель и создавать иллюзию работы реального пользователя.

Blackhole + CVE-2012-0507 = Carberp

На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java кода за пределами песочницы JRE (Java Runtime Environment).

Первые упоминания о боевом эксплойте для этой уязвимости появились от компании Immunity, которая выпустила специальный модуль для своего продукта Immunity CANVAS еще в начале марта 7.03.2012. Эта уязвимость была закрыта 15 февраля в рамках критического обновления от Oracle. Буквально вчера поздним вечером, на момент подготовки этой публикации, появился публичный эксплойт для CVE-2012-0507 в составе Metasploit Framework. Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX. Последняя особенно интересна в свете увеличения количества вредоносных программ для нее, распространяющихся в том числе и посредством эксплуатации Java уязвимостей. Эксплойт из Metasploit Framework выглядит очень похожим на тот, что был обнаружен в обновленном Blackhole и складывается впечатление, что он был рипнут по большей части от туда ;)

В последнее время я довольно часто писал об эксплойтах для Java и они действительно в последний год самые пробивные в инцидентах массового распространения вредоносных программ. Разработчики наборов эксплойтов, таких как Blackhole, используют только так называемые 1-day уязвимости, т.е. уже содержащие официальное исправление от разработчиков. Потому что использование 0-day слишком дорого для их целей и совершенно себя не окупает, но бывают исключения, когда 0-day попадает на паблик вместе с PoC. Использование уязвимости нулевого дня на данный момент можно чаще всего увидеть в целенаправленных атаках. Кстати довольно занимательный пост о ценах на 0-day и карме ресечеров можно почитать тут.

Вернемся к нашему эксплойту, на этой неделе было замечено снова распространение Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame конструкций для перенаправления на ресурс с набором эксплойтов.

Первым нам попался ресурс lifenews.ru, на котором содержался следующий iFrame:

Как видно из внедренного кода сразу происходила атака именно CVE-2012-0507, а доменное имя на котором был расположен Blackhole очень схоже с именем атакованного веб-ресурса. Результат выполнения кода в iFrame можно увидеть даже визуально на модифицированной оригинальной странице.

Drive-by FTP: новый вектор атаки CVE-2011-3544

Не так давно нам стало известно, об интересной активности с использованием Java/Exploit.CVE-2011-3544. Собственно основной интерес скрывался в том, что помимо стандартной активности по HTTP протоколу, была замечена загрузка полезной нагрузки через FTP. Причем эксплойт CVE-2011-3544 использовавшийся для этой атаки не подходил не под один шаблон, который  был известен в составе распространенных эксплойт паков.

Сразу после посещения вредоносной веб-страницы начиналась атака с использованием Java/Exploit.CVE-2011-3544:

Проанализировав сетевую активность сразу бросается в глаза загрузка /1/s.hml по протоколу FTP, а в дальнейшем и загрузка /1/exp.jar тем же способом.  

MS12-020 или червивый RDP

Вчера Microsoft выпустила очередную порцию патчей и среди них мое внимание особенно привлек MS12-020, который имеет критический статус. Уязвимость позволяет выполнить произвольный код на удаленной системе при мощи специально сформированного RDP пакета. Данной уязвимости подвержены все версии MS Windows в том числе и 64-битные версии. На самом деле в рамках патча MS12-020 было закрыто две уязвимости CVE-2012-0002 (RCE в RDP) и CVE-2012-0152 (DoS в Terminal Server). Меня больше интересует первая уязвимость, так как она гораздо более опасная и может повлечь за собой появление сетевых червей, которые будут ее активно эксплуатировать (на данный момент о случаях ее использования во вредоносных программах мне не известно).

Кстати относительно недавно уже закрывалась уязвимость MS11-065 (август 2011), которая позволяла осуществлять DoS (WinXP/2003) и была замечена в том же драйвере rdpwd.sys, в котором была найдена CVE-2012-0002. Эти изменения можно отследить по временным меткам в   rdpwd.sys до и после патча. А также в официальных списках изменений для MS11-065 и для MS12-020.

CVE-2011-3544: самый пробивной в Рунете

Про Java эксплойты вроде бы уже давно всем все понятно, но как показывает практика положение дел от этого не меняется. Казалось бы прошлогодняя уязвимость CVE-2011-3544 (Java/Exploit.CVE-2011-3544) и патч уже давно есть, но по количеству пробивов по-прежнему на первом месте. Сподвигло меня вернуться к этому вопросу, лишь тот факт, что по-прежнему есть огромное количество успешных атак использующих эти уязвимости. Несмотря на большой шум вокруг безопасности платформы Java в последнее время, она не становится от этого безопаснее. Вот пример статистики, позаимствованный из блога французского исследователя Xylitol, на которой изображены в процентном соотношении пробивы из BlackHole последней версии:

Обновление TDL4: Purple Haze all in my brain

Purple haze all in my brain
Lately things just don't seem the same
Actin' funny, but I don't know why
                                      Jimi Hendrix

Давно я не писал про TDL4 (Win32/Olmarik.AYD) и обновления этого семейства, собственно ничего интересного там и не происходило уже несколько месяцев. Но не так давно нам попался на глаза интересный образец (отдельное спасибо за это Mila [contagiodump blog]). Немного углубившись в анализ стало понятно, что это модифицированный Olmarik, у которого поменялся дроппер и немного изменилась скрытая файловая система.

Собственно начнем с дроппера, который использует несколько интересных методик для поднятия привилегий, которые раньше нам в этом семействе не встречались. В процессе установки на Vista/Win7 для обхода UAC скачивается дистрибутив Adobe Flash Player и используется в качестве плацдарма для последующей атаки DLL hijacking. Подобная техника уже была ранее описана относительно ZeroAccess с подменой модуля msimg32.dll. Но в нашем случае подменяется ncrypt.dll.

MS12-004 в дикой природе

В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно интересна. Этой уязвимости подвержены все существующие ОС от MS.

Уязвимость содержится в библиотеке winmm.dll, которая реализует все необходимое для обработки MIDI файлов. Кстати сам MIDI (Musical Instrument Digital Interface) формат уходит своими корнями в далекий 1982 год. Неплохое описание самого формата есть здесь. Ключевым моментом в этой уязвимости является сам формат MIDI, а точнее две структуры MThd и MTrk, которые заполняются в памяти.

Обзор книги «A Bug Hunter’s Diary»

Не так давно появилась в продаже англоязычная версия  достаточно любопытной книги «A Bug Hunter’s Diary», изданной издательством No Starch Press. 

"Give a man an exploit and you make him a hacker for a day; teach a man to exploit bugs and you make him a hacker for a lifetime." - Felix 'FX' Lindner, Head of Recurity Labs / Phenoelit

В последнее время получается так, что книги именно этого издательства чаще всего попадают на мою книжную полку (The Tangled Web, Metasploit, IDA Pro Book). Собственно, чем же меня заинтересовала эта книга, ответ достаточно прост: я давно уже искал книгу для студентов.  Требования к книге  были довольно просты, она должна была бы разъяснять методы эксплуатации уязвимостей не на каких-то надуманных искусственных  примерах и при этом позволяла бы людям не искушенным в этом вопросе ознакомиться с предметной областью. A Bug Hunter’s Diary оказалась именно той книгой, что я искал в качестве дополнительной литературы и которую я мог бы рекомендовать моим студентам. Автор книги Tobias Klein, выстроил ее таким образом, что она постепенно переходит к более сложным темам и  при этом рассматриваются уязвимости в реальных программных продуктах, которые известны многим и пользуются популярностью. Но сразу стоит сказать, что книга рассчитана на людей не искушённых с темой поиска уязвимостей и их эксплуатации, здесь вы не найдете новых методик обхода DEP/ASLR или руководство по использованию ROP.

Carberp + BlackHole = рост ДБО инцидентов

В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:

• glavbukh.ru - скрытая переадресация на  jya56yhsvcsss.com/BVRQ (BlackHole)
• ria.ru - скрытая переадресация на   aysh5tg2h3nk.com/BVRQ (BlackHole)

У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.

Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в  ноябре месяце:

Java эксплойты впереди всех по пробиву

За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.

Насколько защищены современные браузеры?

Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:

Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:

А вот, что бывает после обхода "песочницы":

Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.

Наиболее распространенные эсплойт паки

Попалась сегодня на глаза интересная инфографика на тему распространенных нынче связок эксплойтов:

На оригинальной картинке еще приведены ныне уже почившие, но когда то очень даже популярные наборы эксплойтов. Как показывает наша статистика во всех этих связках используются далеко не 0-day уязвимости, а вполне приличный пробив обеспечивают баяны из группы Flash/PDF/Java.

Безопасность SCADA все больше волнует исследователей

В последнее время все больше внимания привлекается к безопасности в области промышленных SCADA систем. Отчасти катализатором такого пристального внимания стал громкий инцидент с червем Stuxnet и беспрецедентными суммами нанесенного им ущерба.

На недавно прошедшей в Мадриде конференции RootedCon'11 был представлен весьма интересный доклад "SCADA Trojans: Attacking the grid" по этой теме:

- 0-day уязвимости в Advantech/BroadWin WebAccess SCADA

- архитектурные уязвимости в CSE-Semaphore TBOX RTUs

- рассмотрены различные вектора возможных атак

[слайды] SCADA Trojans: Attacking the grid
PoC код эксплойтов

Phoenix exploit kit 2.5 leaked

Собственно сабж утек на днях на паблик и стал достпен широкой общественности, ох не к добру ...

Сейчас это наверное самый распространенный и наиболее часто утекающий сплойт-пак, но видимо это следствие вытекает из первого утверждения.

Ссылку на opensc.ws уже прибили, но при умении пользоваться гуглом и небольшой смекалке все находится достаточно быстро. Как я уже писал ранее в последнее время Java стала одним из основных векторов client-side атак и здесь только подтверждается пристальное внимание и особая любовь к Java-сплойтам со стороны разработчиков.

Использование связки эксплойтов

Попалось мне тут под руку достаточно наглядное видео, демонстрирующее атаку с использованием связки эсплойтов (причем достаточно свежих) для успешного пробива конечной цели. В качестве атакующего софта используется Immunity CANVAS последней версии. Еще обратите внимание на демонстрацию обхода IE sandbox, где то в середине ролика.

Пробив через Java по прежнему лидирует

По нашей статистике за последние несколько месяцев наблюдается высокий уровень концентрации среди детектов различных Java-эксплойтов. Причем не особо новых, но уровень пробива по ним очень высок (не по нашей статистике, а в принципе =)).

...
10) PDF/Exploit.Pidief.PDS.Gen 1,00%
...
18) Java/TrojanDownloader.Agent.NCA 0,73%
...
20) Java/Exploit.CVE-2010-0094.C 0,60%

Выше наша статистика по России и СНГ, дженерик на PDF немного обогнал остальных, но по миру в целом, Java лидирует. Это подтверждают и данные из админок от некоторых сплойтпаков:

MS Windows SMB "mrxsmb.sys" Remote Heap Overflow

Вчера появился CVE-2011-0654 на уязвимость в переполнении кучи в процессе обработке специально подготовленных пакетов по протоколу Windows BROWSER, который работает поверх SMB. PoC несколькими днями раньше и уже произвел резонанс в определенных кругах. Виной всему функция BowserWriteErrorLogEntry() из mrxsmb.sys в которой собственно и происходит страшное:

mrxsmb!BowserWriteErrorLogEntry+0x174: f64d815a f3a5 rep movs dword ptr es:[edi],dword ptr [esi] STACK_TEXT: f78c27b0 80825b5b 00000003 e168a000 00000000 nt!RtlpBreakWithStatusInstruction f78c27fc 80826a4f 00000003 c070b450 8659fdb0 nt!KiBugCheckDebugBreak+0x19 f78c2b94 80826de7 00000050 e168a000 00000000 nt!KeBugCheck2+0x5d1 f78c2bb4 8085a533 00000050 e168a000 00000000 nt!KeBugCheckEx+0x1b f78c2c28 808868d0 00000000 e168a000 00000000 nt!MmAccessFault+0xa91 f78c2c28 f64d815a 00000000 e168a000 00000000 nt!KiTrap0E+0xd8 f78c2ccc f64d8ddc 40001f5b 00000000 f78c2cfc mrxsmb!BowserWriteErrorLogEntry+0x174 f78c2d6c f649de02 85292008 8659fdb0 808a76c0 mrxsmb!HandleElectionWorker+0x2dc f78c2d80 8087ade9 00000000 00000000 8659fdb0 mrxsmb!BowserCriticalThreadWorker+0x32 f78c2dac 809418f4 00000000 00000000 00000000 nt!ExpWorkerThread+0xeb f78c2ddc 80887f7a 8087acfe 00000000 00000000 nt!PspSystemThreadStartup+0x2e 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

На самом деле все банально:

if ( Length > 0 )  
    RtlCopyMemory(StringOffset, InsertionString, Length*sizeof(WCHAR));  

Vupen подтвердила работу уязвимости для Win Server 2003 SP2 и WinXP SP3, а MS утверждает, что в принципе этой уязвимости подвержены все версии винды, но ничего страшного сделать с ними нельзя кроме DoS.

Сплойт в составе Metasploit