Author Archives: Kati

Krüptorahad ja virtuaalne kaevandamine

Allikas: Wikimedia Commons

Autor: CERT-EE

2017. aasta alguses tuli ilmsiks, et Pärnu haiglas kaevandati kahe aasta vältel krüptoraha. Suurimateks kahjudeks peeti haiglale tekitatud suurt elektriarvet ning töötajate ebaeetilisust. Tihti mõeldakse krüptorahast kuuldes eelkõige Bitcoinile, kuid lisaks on kasutusel ka teisi krüptovaluutasid. Neist suurima kasutajate arvuga on Ethereum, Monero, Ripple ja Litecoin, lisaks on kasutusel üle 700 väiksema kasutajate arvuga krüptovaluutat.

Sisukord:

Mis on krüptoraha ja mille poolest see erineb tavalisest rahast?

Traditsioonilise raha puhul räägime kõigepealt füüsilisest rahast ehk sularahast, milleks võis ajalooliselt lisaks (vääris)metallidele ja hiljem võlakirjadele olla veel näiteks merevaik, margid ja ka pesupulber, millele on antud ühiskonna poolt teatav väärtus. Alates pankade internetti kolimisest on tänapäeval muutunud tavaliseks plastikkaardi kui peamise maksevahendi olemasolu rahakotis ning mõningatel harvematel juhtudel leiab sealt veel ka sularaha. Siiski on see väike plastikkaart seotud Sinu konkreetse panga ja seal avatud kontoga. Krüptoraha on digitaalne valuuta, mis pakub võimalust teha partnerite vahel kiireid, turvalisi ja madalate kuludega makseid ilma panga vahenduse või keskse protsessorita. Tehingud digiallkirjastatakse unikaalsete privaatvõtmetega kasutajate digitaalsete rahakottide vahel, mis tõestavad et tehingu on teinud rahakoti omanik.

Krüptorahad kasutavad turvaliste tehingute teostamiseks krüptograafiat oma infrastruktuuri raames, mis omakorda kujutab endast jagatud online-andmebaasi ehk „plokiahelat”. Plokiahel on andmebaasitehnoloogia, mis erinevalt tavapärastest tsentraalsetest andmebaasidest on jagatud ehk ta on samaaegselt ja sünkroonselt mitmes kohas korraga. Andmebaasi eesmärk on pidada arvestust kõikide seal kunagi tehtud tehingute üle. Teatav tehingute arv moodustab andmebaasi üksuse, mida nimetatakse plokiks. Igasse plokki on salvestatud ka eelmise ploki informatsioon ning iga tehing sisaldab infot ka eelnevalt tehtud tehingute kohta, tagades sel viisil täieliku läbipaistvuse. Näiteks lõi Bitcoini plokiahela infrastruktuur finantsandmete salvestamiseks meetodi, mis on kõikidele kättesaadav, ja ühiselt välja aretatud avatud lähtekoodi, kuulumata ühelegi eraisikule või ettevõttele. Selle asemel säilitatakse plokiahelat miljonite arvutite ühisjõul, mis tõendavad tehinguid ja lisavad neid „plokkidele”. Kuna miljonite arvutite poolt tõendatud tehinguid ei ole võimalik kustutada, tagasi kutsuda ega muuta, on iga tehtud makse vaidlustamatu.

Meelde võib jätta, et absoluutselt kõik Bitcoini tehingud on avalikud ja jälgitavad. Siiski on ainus teave tehingute kohta rahakoti aadress, mille järgi saab teada maksja ja kasusaaja rahakotiaadressid, mis luuakse privaatselt igale kasutajale. Juhul kui kasutajad tahavad krüptorahas makstes tellida päriselt olemas olevaid füüsilisi tooteid, peavad nad siiski oma identiteedi avalikustama. Kui ostad internetist omale arvuti ja tahad seda kindlasti ka kätte saada, pead Sa enda kohta ka mingid andmed maha jätma isegi pakiautomaati tellides. Bitcoini võrgustik on partnerilt partnerile suunatud võrgustik ja kasutaja IP-aadresse on võimalik välja uurida, isegi kui selleks kulub rohkem aega kui pangakonto omanike väljauurimiseks.

Allikas: Wikimedia Commons

Kuidas saab üldse mittefüüsilist raha kaevandada?

Kuidas ja miks on krüptoraha kaevandamine halb ja/või pahatahtlik tegevus?

Süsteem genereerib uusi Bitcoine automaatselt ja reguleerib ise selle protsessi kiirust. Uue ploki loomisel plokiahelas tasustatakse kaevandajaid automaatselt 12,5 Bitcoiniga. Tasu väheneb 2 korda pärast iga 210 000 ploki kaevandamist. Kaevandamine kulutab võrgustiku hooldamiseks vajalikku elektrit ja arvutivõimsust. Kuidas saada teistest kiiremini ja rohkem Bitcoine? Loomulikult kõikidele kehtivatest reeglitest mööda minnes. Selleks, et rohkem Bitcoine teenida, on vaja ise natuke rohkem vaeva näha ja soetada kaevandamiseks võimsam riistvara ning maksta suurem summa igakuise elektri eest. Kuna tavainimeste jaoks pole suur elektriarve just see, mida igal kuul näha tahaks, isegi seda raha tagasi teenides, tuleb leida alternatiive. Üks neist alternatiividest võibki olla kaevandamiseks mõeldud seadmete ülesseadmine kas tööandja või mõne vähemturvatud asutuse ruumidesse, kus suur elektriarve pole midagi ebatavalist. Kuigi rohkem pööratakse tähelepanu elektriarve maksumusele, unustatakse tihti ära suure elektritarbimisega kaasnev kahju keskkonnale. Väikeses Eestis on see kahju raskemini hoomatav kui näiteks üle miljardi elanikuga Hiinas, kus massiline krüptoraha kaevandamine toob kaasa ka massiivse kahju keskkonnale suuremahulise elektritarbimise näol.

Allikas: Wikimedia Commons. https://commons.wikimedia.org/wiki/File:Earth%27s_City_Lights_by_DMSP,_1994-1995_(large).jpg

Kõik kolivad internetti!

Krüptoraha kaevandamiseks saab loomulikult soetada omale spetsiaalsed suurema arvutusvõimsusega seadmed ning maksta igakuiselt suuremat elektriarvet. Aga on ka muid variante, mis nii suuri väljaminekuid kaasa ei too. Näiteks võib teenida kellegi teise arvutite pealt, kui nemad internetis toimetavad ja meie veebilehte külastavad. Veebilehtede külastamine on kasutajate jaoks enamasti tasuta, välja arvatud loomulikult tasulised veebiteenused nagu näiteks Netflix.

Tavakasutaja tunneb rõõmu alati, kui ta saab mõnelt veebilehelt mõne lisaväärtuse, olgu selleks siis tasuliste teenuste tasuta kasutamine või kasvõi teatud aja kestev tasuta prooviperiood. Küll aga tuleks meeles pidada seda, et on palju internetilehti ja internetis tegutsevaid ärisid, kelle sissetulek sõltubki kas lehe külastajate arvust, veebilehe kaudu pakutavatest teenustest või edasimüüdavast reklaamist. Samuti ei tohi ära unustada, et samamoodi nagu päriseluski ei ole kõik inimesed internetis toredad ja head. Tihti nähakse just internetis võimalust kiiresti teiste arvelt raha teenida, olgu selleks siis pahavara levitamine või finantsinfo vargus. Küll aga on internetis raskem pahasoovlikke inimesi tuvastada, sest puudub otsene füüsiline ja visuaalne kontakt.

Allikas: Peter Steiner’s cartoon, The New Yorker, 5/7/1993

Enda teadmata kaevandajaks

Viimasel ajal on tõusev trend, et nii internetis tegutsevad firmad kui ka eraisikud kasutavad veebilehe külastajate arvuteid krüptoraha kaevandamiseks. Üks populaarsemaid on näiteks Monero krüptoraha. Kaevandamine toimub jätkuvalt tavapärasel viisil, ainult et selleks kasutatakse kellegi teise seadet pärast seda, kui külastaja krüptoraha kaevandavale veebilehele satub. Enamasti toimub kaevandamine veebilehitsejas lehele lisatud JavaScripti koodi käivitades. Seda tehakse ilma kasutaja teadmata ja üldjoontes on tegemist n-ö pimeda allalaadimisega (ingl. k drive by download). Veebilehe omaniku (või ülevõtja) jaoks on oluline tulu iga kasutaja arvelt maksimeerida. Seetõttu on tihti sihtmärkideks just lehed, kus inimesed kauem aega veedavad: mängivad näiteks online-mänge, vaatavad videoid või loevad uudiseid. Kasutaja jaoks ei ole tihti muud erinevust kui see, et arvuti muutub iga minutiga väljakannatamatult aeglasemaks.

Lähiminevikust saab näitena tuua meedias palju kajastatud juhtumi, kus populaarne torrentileht The Pirate Bay kasutas oma külastajate arvuteid Monero krüptoraha kaevandamiseks. The Pirate Bay väitis, et nad ei teinud seda kasutajate arvutite kahjustamiseks, vaid soovist lehe kasutamise pealt raha teenida. Reklaamipakkujad nimelt ei soovi torrentilehel oma teenuseid reklaamida ega ennast torrentilehtedega seostada.

Krüptoraha kaevandamine veebilehitseja kaudu

Tehnoloogia ja meetodite arenedes luuakse kaevandamiseks ka rohkem uusi lahendusi, nagu näiteks spetsiaalne, suurema võimsusega riistvara Bitcoinide kaevandamiseks. Praeguseks on loodud ka mitmeid süsteeme krüptoraha kaevandamiseks veebilehitseja kaudu. Neist esimene oli project Coinhive, millele järgnesid näiteks MineMyTraffic ja CryptoLoot. Lisaks on tehtud elu palju lihtsamaks nende kasutajate jaoks, kes soovivad oma tasuta sisuhaldustarkvarale kerge vaevaga kevandamislahendust paigaldada. Näiteks sisuhaldustarkvarale WordPress on loodud laiendus Bitcoin Plus Miner.

Projekt Coinhive, mis oli oma valdkonna esimene “teenusepakkuja”, lubab veebilehtede omanikel vähese vaevaga üles seada krüptoraha kaevandamine JavaScripti rakendusliidese (API) abil. Kui sellise veebilehe külastaja lubab veebilehitsejas JavaScripti kasutada, siis aktiveerib ta sellega kaevuri ja kaevandab veebilehe omanikule Monero krüptoraha. Veebilehe omanik omakorda pakub külastajatele reklaamivaba sisu, mängudes kasutatavat valuutat või mõnda muud kasutajat paeluvat tasuta või mugavat hüve. Coinhive’i kaudu kaevandamist pakutakse veebilehtedele ka alternatiivina reklaamipõhise tulu tootmisele. Lisaks pakub Coinhive ka lisateenuseid Proof of Work Captcha ja Shortlinks. Mõlema teenuse kasutamiseks peavad kasutajad lahendama mingi hulga veebilehe omaniku poolt muudetavaid räsisid (digitaalseid sõrmejälgi) selleks, et saaksid oma sõnumit edastada. Kui paljud kasutajad samaaegselt räsisid lahendavad, toodab see veebilehe omanikule taas kasumit.

Coinhive on väljastanud ka turvalisema viisi Monero krüptoraha kaevandamiseks – AuthedMine, mille olulisim erinevus on see, et enne krüptoraha kaevandamise alustamist küsitakse kasutajalt selleks luba. AuthendMine veebilehel on kirjas, et kaevandamine ei alga enne kui kasutaja loa annab. Samuti on võetud kasutusele vastumeetmed AuthedMine teenuse kasutuspõhimõtete rikkumise vastu, mis ei luba teenuse kasutustingimustest mööda minna ega teenust kasutaja loata aktiveerida. Lisaks on maksimaalseks kaevandamissessiooni pikkuseks 24 tundi.

Ajaloolisi traditsioone jätkates on uute teenuste ja tehnoloogiate kasutusele tulles hakanud neid ära kasutama ka kurjategijad ning Coinhive’is nähakse kiiret tulu saamise meetodit. Näiteks paigaldati Coinhive’i krüptorahakaevur Chrome’i laienduse SafeBrowse sisse, mille kaudu käivitati veebilehitseja avamisel kood ning krüptoraha kaevandati terve Chrome’i lahtioleku vältel. Seejärel hakati Coinhive’i peitma domeenidesse, mis nime poolest sarnanesid populaarsete domeenidega, näiteks twitter.com.com, kuhu paigaldati Coinhive’i JavaScripti teek. Leitud on ka aegunud sisuhaldustarkvara (WordPress ja Magento) ja nõrka paroolipoliitikat kasutavaid veebilehti, mille koodi olid küberkurjategijad paigaldanud Coinhive’i JavaScripti. Samuti tuvastati mitmeid Google Play poest allalaetavaid rakendusi, mis kasutaja seadmes krüptoraha kaevandasid. Paljud neist olid loodud sellisteks, mida inimesed tihti kasutavad või mis alati sees on, näiteks rakendus, mis seadmes taustapilte vahetab.

Kuidas ennast kaitsta?

Õnneks on alates digiajastu algusest arendatud ka vahendeid enda digitaalse elu ja seadmete kaitseks. Mitmed reklaamiblokeerijad on väljastanud uuendused, mis Coinhive’i teadaolevat JavaScripti blokeerivad, näiteks AdBlock Plus ja AdGuard. Arendatud on laiendid (plugins) – näiteks AntiMiner, No Coin ja minerBlock, mis veebilehitsejat põhjalikult uurivad ning lõpetavad kõik tegevused, mis meenutavad Coinhive’i tegevust. Lisaks on alati võimalus keelata JavaScript lehtedel, mille turvalisuses Sa veendunud ei ole.

Huvitatud leiavad lisalugemist allolevatelt lehtedelt:

Petya või… NotPetya

Autor: CERT-EE

Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky LabComae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

  • kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
  • failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
  • olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

Lisalugemist leiate allolevatelt veebilehtedelt:

Mis on Stack Clash?

Autor: CERT-EE

Stack Clash on mitmete operatsioonisüsteemide mäluhalduse haavatavus, mis mõjutab Linuxi, OpenBSD, NetBSD, FreeBSD ja Solarise i386 ja amd64 operatsioonisüsteeme. Konkreetset haavatavust on võimalik ära kasutada mälu rikkumiseks ning omavoliliseks koodi käivitamiseks. Pärast haavatuse ilmsikstulekut arendas Qualys seitse erinevat eksploiti ning seitse kontseptsiooni tõestust. Seejärel arendati koos tarnijatega vastavad turvapaigad. Turvapaigad on kättesaadavad alates 19. juunist ning tuletame meelde, et väljatöötatud turvapaikade kohene paigaldamine on rangelt soovituslik.

Suuremõõtmeline kollisioon. Allikas: http://cdn.desktopwallpaper4.me/

Pinu kollisioon

Iga arvutil jooksev programm kasutab spetsiaalselt mäluregiooni, mida nimetatakse pinuks (stack). Mäluregioon on eriline, kuna see kasvab automaatselt, kui programmil ilmneb vajadus rohkema pinu-mälu järele. Kuid kui mäluregioon kasvab liiga kiiresti ning jõuab teisele mäluregioonile liiga lähedale, võib programm pinu teise mäluregiooniga segamini ajada, mis omakorda lubab kurjategijal seda segadust ära kasutada ning pinu teiste mäluregiooniga üle kirjutada (või siis risti vastupidi toimida). Just selle järgi on haavatavus ka oma nime saanud. Esimene samm selle haavatavuse ärakasutamisel on pinu kollisioon teise mäluregiooniga, millest tulenevalt ka nimi.

Uus haavatavus?

Ühene vastus on – Ei! Esimest korda kasutati pinu kollisiooni ära 2005. aastal ning järgmine kord alles 2010. aastal. Pärast 2010. aasta haavatavust arendas Linux sarnaste ärakasutamiste vastu kaitsemeetodi – niinimetatud pinu kaitseleht. Praeguseks teame aga, et pinu kollisioonid on laiaulatuslikud ning hoolimata pinu kaitselehest siiski ärakasutatavad.

Üks või mitu haavatavust?

Peamine Stack Clashi haavatavus on CVE-2017-1000364 ning see demonstreerib, et mõne kilobaidi suurune pinu kaitseleht on ebapiisav. Teemat lähemalt uurides tuvastati rohkem haavatavusi. Mõned neist on sekundaarsed ning avalduvad vaid pärast Stack Clashi haavatavuse ärakasutamist, näiteks CVE-2017-1000365, kuid on ka eraldi ärakasutatavaid haavatavusi nagu näiteks CVE-2017-1000367.

Kas Stack Clash mõjutab ka mind?

Juhul, kui Sa oled i386 või amd64 arhitektuuriga Linuxi, OpenBSD, NetBSD, FreeBSD või Solarise kasutaja, on vastus – Jah! Teised operatsioonisüsteemid võivad samuti haavatavad olla, kuid neid ei ole konkreetse haavatavuse osas hetkel lähemalt uuritud.

Stack Clashi ohud?

Konkreetse uurimise käigus tuvastati ainult lokaalne privileegide eskaleerimine – ründaja, kellel on mõjutatud süsteemile ükskõik milline ligipääs, saab Stack Clash haavatavust kasutades omandada root-kasutaja õiguse. Praeguseks ei ole tuvastatud, et haavatavus lubaks kaugligipääsu. Siiski ei saa selle olemasolu välistada.

Mida mina teha saan?

Uuendada, uuendada, uuendada! 19. juunil väljastati turvapaigad, mille iga kasutaja omale ise paigaldada saab. Juhul kui kasutaja ei saa või ei taha oma süsteemi taaskäivitada, saab ta oma lokaalsele kasutajale teha RLIMIT_STACK ja RLIMIT_AS välistele teenustele mõistlikult väikese väärtusega. Selle tegevuse käigus tuleb siiski meeldes pidada, et etteantud väärtused ei pruugi olla piisavalt madalad kõikidele rünnetele vastupidamiseks. Näiteks osadel juhtudel kasutab Sudo pinu kollisiooni haavatavus vaid 137 MB kuhimälu (heap-memory) ning peaagu mitte üldsegi pinumälu. Samuti võib juhtuda, et seatud väärtused on liiga madalad ning tegelikud rakendused lakkavad töötamast.

Lisainfot leiab linkidelt: