F

ileless ELF exec – fee – to proste narzędzie, które umożliwia załadowanie bezpośrednio do pamięci (poprzez deskryptor pliku pamięci – memfd) wcześniej zakodowany i skompresowany plik binarny. Dlaczego zadawać sobie trud, aby uruchamiać pliki w ten sposób ? Ponieważ ataki bezplikowe (ang. fileless) są bardziej wymijające dla detekcji niż ataki, które polegają na upuszczaniu ładunku (ang. payload) na dysk. W celu skuteczniejszego wykrywania tego typu szkodliwego oprogramowania na systemie musi znajdować się ochrona, która wykorzystuje technikę analizy opartą na zachowaniu w czasie wykonywania plików i monitorowania pamięci. Fakt, że po wykryciu ładunek „żyje” w pamięci może także komplikować proces informatyki śledczej (szczególnie dla efemerycznych maszyn w chmurze), ponieważ musi on zostać zrzucony z pamięci.
[ czytaj całość… ]

3

lipca odnośnik do eksploita umożliwiającego uzyskanie uprawnień administratora w systemie Linux rozprzestrzenił się w różnych społecznościach na Telegramie i Twitterze. Napisała nawet o tym prasa branżowa. Rzekomy kod dowodu koncepcji (Proof of Concept – PoC) błędu opisanego w CVE-2023-35829 niestety okazał się zupełnie czymś innym niż pierwotnie zakładano. Przed usunięciem fałszywego profilu użytkownika ChriSanders22 z serwisu GitHub kod PoC został oznaczony gwiazdką przez ponad 100 użytkowników, a 25’ciu rozgałęziło go na swoje konta. Kilka osób, które uruchomiło kod bez jego weryfikacji zauważyło dziwne zmiany w plikach konfiguracyjnych powłoki bash – $HOME/.bashrc. Jak to? Co ma wspólnego exploit z dopisywaniem czegoś o plików powłoki? Otóż jeśli przyjrzeć się bliżej procesowi kompilacji to można zauważyć, że plik Makefile odwoływał się do binarnego pliku alocal.m4:
[ czytaj całość… ]

L

OLD to kolejny projekt kierowany przez społeczność, który zapewnia wyselekcjonowaną listę wszystkich sterowników Windows, które mogą zostać wykorzystane przez atakujących do obejścia systemów bezpieczeństwa i uruchomienia złośliwego oprogramowania. Projekt został zainspirowany pracą Michaela Haaga (Atomics on Friday), który zauważył potrzebę śledzenia złośliwych sterowników, których aktorzy używają w celu uniknięcia wykrycia i ma na celu pomoc specjalistom ds. bezpieczeństwa bycie na bieżąco w rozpoznawaniu potencjalnych zagrożeń. Podobnie jak inne tego rodzaju projekty jest on typu open source, który z zadowoleniem przyjmuje wkład społeczności zajmującej się bezpieczeństwem. Dzieląc się wiedzą i doświadczeniem, możemy pomagać sobie nawzajem w uzyskiwaniu aktualnych informacji i lepszej ochronie przed pojawiającymi się zagrożeniami. Niezależnie od tego, czy jesteś badaczem bezpieczeństwa, osobą reagującą na incydenty czy administratorem systemu autorzy mają nadzieję, że LOLD będzie cennym źródeł informacji w walce z cyberatakami. Dla przypomnienia: inne tego typu projekty to: GTFOBins, LOLBas, LOTS, Filesec, MalAPI.

Więcej informacji: LOLDrivers

Przeglądając na bieżąco raporty odnośnie szkodliwego oprogramowania przeznaczonego dla systemów Linux – można dojść do wniosku, że wszystkie warianty można połączyć poprzez wykrywanie poleceń curl lub wget ściągających ładunek z publicznego adresu IP:

=~ (curl|wget).*(\b25[0-5]|\b2[0-4][0-9]|\b[01]?[0-9][0-9]?)
   (\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}(:[0-9]+)?\/.+.*

W celu wykluczenia fałszywych alarmów (szczególnie w centrach danych) można połączyć to z regułą, która wykluczy komunikację w ramach lokalnych sieci:

!=~ (curl|wget).*((127(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3})|
    (10(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3})|
    (192\.168(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2})|
    (172\.(?:1[6-9]|2\d|3[0-1])(?:\.(25[0-5]|2[0-4][0-9]|
    [01]?[0-9][0-9]?)){2}|169\.254\.169\.254|0\.0\.0\.0))(:[0-9]+)?\/.+.*

Więcej informacji: How Malicious Actors Abuse Native Linux Tools in Attacks, Log4j Attack Payloads In The Wild, Triaging a Malicious Docker Container, Attackers exploit CVE-2021-26084 for XMRig crypto mining on affected Confluence servers, Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild, DreamBus Botnet – Technical Analysis, Threat Alert: Kinsing Malware Attacks Targeting Container Environments

D

zielenie się zagrożeniami w branży bezpieczeństwa pozostaje głównie doraźną pracą, wypełnioną martwymi punktami, pułapkami i frustracją. W idealnym świecie prywatne firmy i agencje rządowe gromadzą i udostępniają odpowiednie, aktualne i dokładne informacje o nowych lub trwających cyberatakach tak szybko, jak to możliwe. Pozwala to innym konsumentom tych informacji uniknąć poważnych naruszeń (lub zminimalizować szkody spowodowane atakiem), a dostawcy usług, których infrastruktura (np. domeny, serwery) została wykorzystana do przeprowadzania ataków na bieżąco blokuje i usuwa wrogich klientów. Niestety nie zawsze tak jest, szczególnie jeśli chodzi o unieszkodliwianie wrogich obiektów. Niemniej istnieje OTX – Open Threat Exchange zapewniając otwarty dostęp do globalnej społeczności badaczy cyberzagrożeń i specjalistów ds. bezpieczeństwa z różnych firm.
[ czytaj całość… ]

G

ootloader, czyli usługa wstępnego dostępu do (firmowych) sieci dla cyberprzestępców ostatnio rozszerzyła swój zakres działalności o różne cele na całym świecie. Przypomnijmy: w 2014 roku po raz pierwszy został zauważony trojan bankowy o nazwie Gootkit. Od tego czasu ewoluował, aby stać się bardziej złodziejem poufnych informacji obsługiwanym przez grupę aktorów. Nazwa 'Gootkit’ jest często używana zamiennie – zarówno w odniesieniu do złośliwego oprogramowania, jak i do samej grupy. W marcu 2021 roku firma Sophos jako pierwsza zidentyfikowała szersze możliwości tego oprogramowania i nazwała go GootLoader. Ten oparty o Javascript framework pierwotnie przeznaczony do infekcji Gootkitem w coraz większym stopniu zaczął dostarczać szerszą gamę złośliwego oprogramowania (w tym ransomware). Wczesna aktywność kampanii platformy Gootloader została po raz pierwszy zauważona przez analityka zagrożeń z firmy Proofpoint pod koniec 2020 roku, a następnie zbadana i opisana przez ASEC, Malwarebytes i TrendMicro.
[ czytaj całość… ]

G

rupa badaczy bezpieczeństwa z Abuse (projekt Instytutu Bezpieczeństwa i Inżynierii Cybernetycznej na Uniwersytecie Nauk Stosowanych w Bernie w Szwajcarii) oraz ThreatFox uruchomiła nowy hub do skanowania i polowania na złośliwe pliki. To defensywne narzędzie – nazwane YARAify zostało zaprojektowane do skanowania podejrzanych plików w oparciu o duże repozytorium reguł YARA. Według założyciela Romana Hüssy’ego, reguły YARA są potężne, ale trudne w utrzymaniu. Na przykład: reguły są rozproszone po różnych platformach, firmach i repozytoriach git prywatnych badaczy, i nie ma prostego sposobu na ich współdzielenie. Dlatego platforma umożliwia:

• Integrację wszystkich publicznych i niepublicznych reguł YARA z Malpedii,
• Łatwy sposób na rozpakowanie plików wykonywalnych PE (Portable Executable) za pomocą jednego kliknięcia,
• Skanowanie wszystkich plików używając otwartych i komercyjnych sygnatur ClamAV,
• Łatwy i uporządkowany sposób dzielenia się regułami YARA ze społecznością,
• Konfigurowanie klasyfikacji TLP (ang. Traffic Light Protocol), aby umożliwić korzystanie z reguł YARA w celu wyszukiwania zagrożeń bez oglądania zawartości samych reguł,
• Otrzymywać powiadomienia pocztą elektroniczną lub pushover w przypadku pasujących reguł YARA, sygnatur ClamAV, imphaszy i wielu innych,
• Użycie API, które pozwala na wykorzystanie możliwości YARAify w sposób zautomatyzowany.

Więcej informacji: YARAify

P

anchan to nowy malware odkryty przez zespół Akamai, który od marca 2022 uruchomił swoją aktywność. Został napisany w języku Go, aby wykorzystać wbudowane funkcje współbieżności (goroutines) do przyśpieszenia szybkości rozprzestrzeniania się i uruchamiania złośliwych modułów. Dostaje się on do systemów Linux poprzez atak typu brute force na usługę SSH. Lista użytkowników (np. „ubuntu”, „root”, „user”, „debian”, „pi”) i haseł jest wcześniej ustalona. Oprócz „podstawowego” ataku słownikowego na SSH (który jest powszechny w większości znanych robaków) – ta odmiana przechwytuje również klucze SSH w celu rozprzestrzeniania się po innych systemach w sieciach wewnętrznych i zewnętrznych (ang. lateral movement). Szuka on konfiguracji i kluczy SSH w katalogu domowym użytkownika ($HOME). Odczytuje klucz prywatny ze ścieżki $HOME/.ssh/id_rsa i używa go do próby uwierzytelniania na dowolnym adresie IP znalezionym w pliku $HOME/.ssh/known_hosts. Jest to dość nowatorska metoda zbierania danych uwierzytelniających, która nie występowała wcześniej w złośliwych programach łamiących hasła SSH.
[ czytaj całość… ]

W

biologii symbiont to organizm żyjący w symbiozie z innym organizmem (np. bakterie w jelicie grubym u człowieka, bakterie; które trawią celulozę u przeżuwaczy). Symbioza może być obustronnie korzystna dla obu organizmów, ale czasami może być pasożytnicza, gdy jeden organizm zyskuje, a drugi jest uszkadzany. Kilka miesięcy temu zespoły bezpieczeństwa z firmy Intezer oraz BlackBerry odkryły nowe, dobrze maskujące się złośliwe oprogramowanie dla systemu Linux, które działa właśnie w taki pasożytniczy sposób. Tym, co odróżnia Symbiote od innych złośliwych programów dla systemu Linux, z którymi zazwyczaj można się spotkać, jest fakt, że musi zainfekować inne uruchomione procesy, aby wyrządzić szkody zainfekowanym maszynom. Nie jest to samodzielny plik wykonywalny uruchamiany w celu zainfekowania systemu, ale biblioteka obiektów współdzielonych (.so), która jest ładowana do wszystkich uruchomionych procesów przy użyciu LD_PRELOAD (T1574.006) i pasożytniczo infekuje maszynę. Po zainfekowaniu wszystkich uruchomionych procesów zapewnia aktorowi funkcjonalność rootkita, możliwość zbierania poświadczeń oraz zdalny dostęp.
[ czytaj całość… ]

P

rzewiduje się, że do końca 2025 roku ponad 30 miliardów urządzeń IoT będzie podłączonych do internetu. To doskonale definiuje cele na kolejne lata dla szkodliwego oprogramowania. Aktualnie w internecie występuje wzmożona aktywność programu XorDDoS. Jest to koń trojański z funkcjami rootkita wykorzystywany do przeprowadzania ataków DDoS na dużą skalę. Jego nazwa pochodzi od szyfrowania XOR, które często jest wykorzystywane w złośliwym oprogramowaniu, jak i w komunikacji sieciowej do C&C. Inspirowany projektem rooty został stworzony dla wielu architektur systemu Linux: ARM, x86 i x64. Wykryty w 2014 roku przez grupę badawczą zajmującą się bezpieczeństwem MalwareMustDie i do dzisiaj pozostaje aktywny. De facto w 2021 roku aktywność tego malware wzrosła o 123% w porównaniu do 2020 roku. Z kolei według telemetrii firmy Microsoft XorDDoS od początku roku zwiększył swoją aktywność o 254%. Prześledźmy jego działanie.
[ czytaj całość… ]