Содержание. __ от редакции. Биография сетевого периметра в картинках

65
// Мобильные угрозы
53 55 57 59 61 63
65
67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
Исследователи планируют создать целое движение энтузиастов, ко- торые бы занимались сбором информации при помощи подобных зондов. В ближайшее время они создадут инструкции, стандарти- зирующие публикацию собранных данных. Джулиан Оливер при- знается, что они надеются перехватывать сеансы связи между спец- службами и летающими устройствами, которые могут заниматься шпионажем. Исследователь говорит, что подобные переговоры, вне всяких сомнений, должны быть зашифрованы — поэтому один толь- ко перехват данных не позволит понять их суть. Однако это позволит обнаруживать такие устройства — и в будущем, возможно, различать их типы.
не вСе так проСто
Несмотря на энтузиазм исследователей им придется столкнуться с большим количеством трудноразрешимых проблем. Один из авто- ров этой статьи несколько лет назад работал над проектом по запу- ску в стратосферу зондов для съемки фото и видео. Осуществить за- пуск с площадок метеостанций не удалось: метеорологи отказались дать разрешение. В России запуск зондов в стратосферу требует со- гласований. Купить в свободном доступе метеошары, используемые метеостанциями, невозможно. (На eBay продаются просроченные версии, которые с высокой долей вероятности могут не взлететь до нужной высоты.)
Существуют и другие технические проблемы: до высоты 30—40 км шар летит около двух часов, а затем с парашютом снижается еще столько же. За 4–5 часов полета зонд может улететь на 30–200 км от точки запуска, в зависимости от ветра: на высоте он может дуть в лю- бую сторону, так что предугадать направление полета невозможно.
На земле достаточное количество охраняемых (и просто частных) объектов, при приземлении на которые зонд к владельцам вполне может и не вернуться.
Температура в стратосфере может достигать −70, а влажность при пролете облаков — 100%, что негативно сказывается на работе электроники и аккумуляторов. На высоте выше 10 км может не рабо- тать GPS (подобрать подходящий приемник можно только опытным путем).
На высоте также «не ловится» сотовая связь. Поэтому временное окно, в которое GSM-приемник должен найти сеть и успеть отпра- вить свое местоположение, слишком мало — примерно в проме- жуток с высоты 500 метров до 50 метров; затем велик риск потерять сеть, к примеру упав в лесу.
Кроме того, при бюджете в 300 долларов, вероятнее всего, был ис- пользован набор из трех SDR RTL2832, каждая из которых позволяет захватывать спектр шириной 3 Мгц (итого 9 Мгц). Для сравнения, ка- нал 3G имеет ширину в 5 Мгц, LTE — 1,4–20 Мгц, один канал ТВ — от
5–14 Мгц. При использовании более «серьезных» SDR потребуется использование процессоров Core i7 с накопителем в несколько тера- байтов и соответствующим аккумулятором. (Однако зонд не сможет поднять больше пары килограмм.)
Спутники летают на высоте минимум 200 км, геостационарные — на высоте свыше 35 000 км, приближение к ним на 30 км никакого преи- мущества в приеме не может дать в принципе.
Также спутники используют частоты от нескольких гигагерц, а чаще десятки гигагерц, в связи с особенностями атмосферы (мегагерце- вые сигналы атмосфера либо отражает, либо поглощает, при этом для гигагерцевых сигналов она практически прозрачна). Таким обра- зом, SDR не могут поймать данные, передаваемые спутниками, кроме
GPS-сигналов (диапазоны 1,57 и 1,2 ггц).
Если говорить о шпионских беспилотниках, то они обычно управля- ются и передают данные направленными антеннами, и попасть в луч сигнала подобный зонд вряд ли когда-нибудь сможет.
Наконец, многие радиосистемы используют FHSS (псевдослучайную перестройку рабочей частоты) для повышения помехоустойчивости, и на записанном участке спектра такую передачу различить крайне сложно.
Итак, мы серьезно сомневаемся, что авторам проекта удастся сде- лать его массовым, повторяемым и добиться каких-либо реальных результатов. Если вкратце, запуски таких зондов:
+
требуют сложных согласований;
+
крайне рискованны (велика вероятность потерять зонд);
+
затратны (стоимость поиска приземлившегося аппарата может сильно превысить стоимость его производства).
В ходе тестов не все было идеально: при одном из запусков с тер- ритории германии устройство приземлилось в Польше. При этом его батареи не хватило на весь полет, и собранные данные были по- теряны. В другой раз зонд потерял сигнал сотовой сети и «поймал» его только на следующее утро (однако, в целом полет был признан успешным).
В сети опубликованы собранные в ходе второго запуска данные (bit.
ly/1nIFJhU), а также их визуализация (zeigma.com/deepsweep).
новые Стандарты по опиСанию и клаССификации уязвимоСтей
В сентябре 2015 года Росстандарт принял два стандарта по описанию и классификации уязвимостей — гОСТ Р 56545-2015 и гОСТ Р 56546-2015. Документы разрабатывались Центром безопасности информации при активном участии экспертов
Positive Technologies и вступили в силу с апреля 2016 года. гОСТ Р 56545-2015 «Защита информации. Уязвимости информа- ционных систем. Правила описания уязвимостей» определяет состав сведений об уязвимостях, которые разработчики средств контроля защищенности должны включать в базу данных своих решений. При этом документ учитывает уже име- ющуюся практику и инструменты описания уязвимостей, такие как CWE, OVAL и CVSS. Второй документ (гОСТ Р 56546-2015
«Защита информации. Уязвимости информационных систем. Классификация уязвимостей») определяет наиболее распро- страненные типы уязвимостей, позволяя унифицировать терминологию, используемую пентестерами. Наличие таких стан- дартов позволит привести к единым правилам рынок средств контроля защищенности и услуг по выявлению недостатков безопасности информационных систем.

positive research 2016 66 52 54 56 58 60 62 64
66
68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50
оБзор уязвимоСтей антивируСных продуктов
ЗА I КВАРТАЛ 2016 гОДА
Андрей Артюшкин
тренд — экСплуатация антивируСов
Большинство людей не рассматривают средства антивирусной за- щиты как источник дополнительной угрозы. Антивирусы воспри- нимаются как доверенные приложения, которые за счет некоторых потерь производительности способны обеспечить защиту информа- ционной системы от самых разных атак. В результате часто антивирус оказывается единственным средством защиты конечных пользовате- лей, а связка из нескольких антивирусов — основным решением для безопасности предприятия.
Как и любые сложные программные продукты, антивирусы подвер- жены уязвимостям. Процессы антивирусных продуктов, как правило, являются доверенными и выполняются в привилегированном режи- ме: это делает антивирусы интересной мишенью для злоумышленни- ков, поскольку их эксплуатация может приводить к компрометации всей системы.
Современные злоумышленники активно эксплуатируют уязвимости нулевого дня, включая и уязвимости в средствах защиты. В послед- ние годы наблюдается рост интереса к уязвимостям защитного ПО вообще и антивирусов в частности. Исследователи находят критиче- ски опасные уязвимости как в топовых антивирусных продуктах, так и в средствах защиты менее известных вендоров. Об усилении инте- реса ко взлому антивирусов говорит рост числа эксплойтов, опубли- кованных на exploit-db и подобных ресурсах.
На графике показано количество найденных уязвимостей в извест- ных антивирусных продуктах за каждый год в течение последних
15 лет. В начале нулевых годов материалы об уязвимостях в средствах антивирусной защиты появлялись крайне редко, а за прошедший год было опубликовано больше полусотни эксплойтов, большая часть которых основана на критически опасных уязвимостях антивирусов и связана с обходом аутентификации, повышением привилегий и удаленным выполнением кода.
Помимо независимых исследователей начиная с 2014 года к по- иску уязвимостей в средствах защиты подключилась команда
Google Project Zero. Они нашли значительную часть опубликован- ных за прошедший год уязвимостей в антивирусах. Закономерно, что правительственные организации тоже проявляют интерес к данной теме: в прессе встречаются, в частности, упоминания об исследованиях российских антивирусов, проводимых западными спецслужбами.
Сложно делать точные прогнозы о том, как будет развиваться да- лее тенденция к поиску уязвимостей средств защиты, но некоторые предположения можно сделать на основании опубликованных не- давно эксплойтов. Их краткие описания представлены ниже.
атаки С иСпользованием уязвимых антивируСов
11 января 2016
года исследователь Tavis Ormandy из команды
Google Security Research обнаружил критически опасную уязвимость антивируса TrendMicro, приводящую к удаленному выполнению кода.
При установке антивируса по умолчанию устанавливается ком- понент Password Manager, который прописывается установ- щиком в автозагрузку. Этот модуль написан на JavaScript с ис- пользованием node.js. Он открывает множество RPC-портов для обработки API-запросов по HTTP. Уязвимость была найдена в API- функции openUrlInDefaultBrowser, которая вызывает ShellExecute() без проверки передаваемых аргументов, тем самым допуская выпол- нение произвольного кода.
X = NEW XMLHTTPREQUEST()
X.OPEN(«GET», «LOCALHOST:49155/API/
OPENURLINDEFAULTBROWSER?URL=C:/WINDOWS/SYSTEM32/CALC.EXE TRUE);
TRY { X.SEND(); } CATCH (E) {};
Патч выпустили через неделю после обращения.
exploit-db.com/exploits/39218
0 10 20 30 40 50 60
2002
| 0
2003
| 1
2004
| 3
2005
| 3
2006
| 8
2007
| 13
2008
| 16
2009
| 16
2010
| 39
2011
| 17
2012
| 34
2013
| 17
2014
| 16
2015
| 53

67
// уязвимости и атаки
53 55 57 59 61 63 65
67
69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
12 января
специалисты из австрийской компании SEC Consult опу- бликовали отчет об успешном обходе защиты McAfee Application
Control. Это приложение запрещает запуск приложений, не опре- деленных в белом списке, и предназначено прежде всего для за- щиты критически важных инфраструктур. Рассматривалась версия
6.1.3.353 под Windows. Были найдены способы запуска неавторизо- ванных приложений в обход защиты, методы запуска произвольного кода, методы обхода программного DEP, реализованного в McAfee
Application Control, обхода UAC при включенной защите продук- та McAfee, обход защиты от записи в белый список. В довершение были найдены уязвимости драйвера swin1.sys, приводящие к сбою системы.
exploit-db.com/docs/39228.pdf
19 февраля
исследователь Fitzl Csaba написал proof-of-concept, эксплуатирующий уязвимость в популярном индийском антивирусе
QuickHeal 16.00. Драйвер webssx.sys оказался подвержен CVE-2015-
8285, эксплуатация которой приводит к повышению привилегий либо вызывает BSOD. Драйвер создается без флага FILE\_DEVICE\_
SECURE\_OPEN, что позволяет любому пользователю взаимодейство- вать с этим драйвером в обход ACL. Исследователь нашел IOCTL-код и нужный размер передаваемого драйверу буфера, приводящие к вызову уязвимой функции. Из-за недостаточной проверки получае- мых данных из входного буфера возникало целочисленное перепол- нение аргумента, передаваемого функции memcpy.
exploit-db.com/exploits/39475
29 февраля
хакер Greg Linares нашел уязвимость в модуле
GeekBuddy антивируса Comodo, приводящую к локальному повы- шению привилегий. Модуль GeekBuddy при выполнении запускает несколько процессов, один из которых пытается подгрузить библи- отеку shfolder.dll. Поскольку вместо абсолютного пути в файле, запу- скаемом GeekBuddy, жестко задано только имя библиотеки — воз- можна подмена dll. Если поместить вредоносную shfolder.dll в C:\
ProgramData\Comodo\lps4\temp\ и запустить обновление клиента или дождаться, пока оно запустится автоматически, пользователь может повысить привилегии до уровня SYSTEM и полностью ком- прометировать систему.
exploit-db.com/exploits/39508
4 марта
Google Security Research продолжила публиковать уязви- мости антивируса Avast. На этот раз была закрыта ошибка, связанная с повреждением памяти при парсинге цифровых сертификатов. Tavis
Ormandy создал исполняемый PE-файл, при сканировании которого
Avast «падал» с ошибкой. По словам исследователя, ошибка связана с повреждением памяти при парсинге цифровой подписи файла.
exploit-db.com/exploits/39530
7 марта
Maurizio Agazzini опубликовал материал об очередной уяз- вимости в продуктах McAfee. Исследователь написал эксплойт, по- зволяющий обходить ограничения безопасности антивируса McAfee
VirusScan Enterprise 8.8. Используя найденную уязвимость, пользова- тель с правами локального администратора мог в обход ограниче- ний безопасности отключить антивирус — не зная его пароля.
Уязвимость была исправлена патчем от 25 февраля, хотя первые об- ращения автора эксплойта в McAfee датируются осенью 2014 года.
exploit-db.com/exploits/39531
16 марта
критически опасная уязвимость обнаружена в антиви- русе Avira. Ожидается, что антивирус должен уметь гарантированно обрабатывать PE-файлы. Тем не менее при тестировании антивируса
Avira в режиме сканирования PE-файлов была обнаружена уязви- мость типа heap underflow. Ошибка воспроизводилась при парсинге заголовков таблицы секций. Если заголовок секции имел слишком большой RVA, Avira сохраняла вычисленное смещение в буфер на куче и записывала в него данные, контролируемые атакующим (дан- ные из section->PointerToRawData в исходном файле). Уязвимость приводила к RCE с привилегиями NT\_AUTHORITY\SYSTEM. Патч вы- пущен 18 марта.
exploit-db.com/exploits/39600
19 марта
опубликован отчет о критически опасной уязвимости в антивирусе Comodo. Этот продукт включает в себя x86-эмулятор, используемый для автоматической распаковки и мониторинга об- фусцированных исполняемых файлов. Предполагается, что эмулятор исполняет вредоносный код безопасно в течение небольшого про- межутка времени, тем самым давая сэмплу распаковаться или выя- вить какой-нибудь интересный для детектирования поведенческий признак.
Помимо проблем, связанных с повреждением памяти, при работе эмулятора было обнаружено, что аргументы некоторых опасных эмулируемых API-вызовов передаются в реальные API-функции во время сканирования. Несколько оберток просто извлекают аргу- менты из эмулируемого адресного пространства и передают их на- прямую в системные вызовы, при этом выполняясь с привилегиями
NT\_AUTHORITY\SYSTEM. Результаты вызовов затем возвращаются в эмулятор и выполнение кода продолжается.
Это позволяет осуществлять различные сценарии атак, например читать, удалять, перечислять и использовать криптографические ключи, взаимодействовать со смарт-картами и другими устройства- ми. Это возможно, поскольку аргументы CryptoAPI-функций переда- ются эмулятором напрямую реальным API. Другим примером угрозы стало чтение любых ключей реестра при использовании обертки над RegQueryValueEx, аргументы которой передаются реальной API напрямую.
Этот вектор атаки весьма показателен, поскольку атакующий может вызвать выполнение вредоносного кода в эмуляторе — просто по- слав жертве электронное письмо или направив ее по ссылке на зара- женный сайт. Патч, исправляющий уязвимость, был выпущен 22 марта.
exploit-db.com/exploits/39599
14 марта 2016
обнаружена критически опасная ошибка в анти- вирусном движке Comodo. Исполнение произвольного кода было возможно при распаковке антивирусом вредоносных файлов защи- щенных протектором Packman. Packman — малоизвестный паков- щик с открытым исходным кодом, Comodo распаковывает его в ходе сканирования.
При обработке файлов, сжатых этим паковщиком с определенными опциями, параметры сжатия считываются напрямую из входного файла без валидации. При помощи фаззинга было выявлено, что в функции CAEPACKManUnpack::DoUnpack\_With\_NormalPack можно передать указатель pksDeCodeBuffer.ptr по произвольному адресу, что позволяет атакующему освободить функцией free() произволь- ный адрес. Уязвимость позволяет злоумышленнику выполнять код с привилегиями NT\_AUTHORITY\SYSTEM. Патч вышел 22 марта.
exploit-db.com/exploits/39601
антивируСы в изолированной Среде
Несмотря на уязвимости антивирусов совсем отказаться от их ис- пользования затруднительно. В тех случаях, когда требуется ана- лизировать большие объемы файлов, антивирусные движки справ- ляются с работой быстрее альтернативных решений (например, песочниц). Это достигается за счет развитого статического анализа.
На наш взгляд, при построении эффективной системы защиты на основе антивирусных решений должны достигаться и точность детектирования, и минимизация рисков, привносимых самим средством защиты. Точность и оперативность обнаружения угроз эффективно повышаются при помощи сканирования несколькими антивирусными движками.
Риски безопасности можно снизить, если запускать обработку вре- доносных файлов антивирусами в изолированной безопасной среде.

positive research 2016 68 52 54 56 58 60 62 64 66