Інструмент для тестування на проникнення Metasploit досі використовується для обходу сучасних механізмів захисту. Кіберзлочинці використовують інструмент разом з високоефективною технікою під назвою Shikata Ga Nai (в перекладі з японської “нічого не може бути зроблено”) для обходу сучасних механізмів захисту кінцевих точок.
Про це йдеться у дослідженні компанії FireEye.
Metasploit Framework – найбільш відомий інструмент для створення, тестування і використання експлойтів. Дозволяє робити експлуатацію і постексплуатацію вразливостей, доставку “корисного навантаження” (payloads)до мети атаки. Спочатку інструмент розроблявся як спосіб полегшити роботу тестувальників експлойтів, проте зловмисники взяли на озброєння Metasploit і почали використовувати інструмент для атак на комп’ютерні системи.
Техніку Shikata Ga Nai (SGN) використовували в рамках нещодавніх атак ряду кіберзлочинних угруповань, зокрема APT20, UNC902, TA505 і APT41 (угруповання, ймовірно, зламало виробника утиліти TeamViewer).
“Не зважаючи на те, що Metasploit існує понад 15 років, досі існують ключові техніки, які залишаються непоміченими і дозволяють зловмисникам уникнути виявлення. Однією з основних технік Metasploit є схема кодування корисного навантаження Shikata Ga Nai. Сучасні системи виявлення зазнали значного покращилися за останні кілька років. Однак, якщо злочинець впевнений в своїх діях, він може трохи змінити існуючий код і обійти системи виявлення”, – пишуть дослідники.
Зміни коду за допомогою методу Metasploit SGN, як і раніше, дуже небезпечні. Даний ефект забезпечує унікальний “поліморфний адитивний енкодер XOR” кодера SGN. Кожне створення закодованого shell-коду буде відрізнятися від попереднього. SGN робить корисне навантаження безпечним зовні, кодуючи шкідливе ПЗ за допомогою “динамічної заміни команд, динамічного упорядкування блоків, випадкового обміну регістрами, рандомізації порядку команд, вставки непотрібного коду, використання випадкового ключа і рандомізації відстані між командами”.
XOR є алгоритм шифрування, який працює на основі ряду відомих принципів. Шифрування і дешифрування можуть бути виконані шляхом застосування і повторного використання функції XOR.
За словами дослідників, SGN вдалося обійти захист кінцевих точок, яка занадто сильно покладається на методи статичного і динамічного виявлення. Розшифровка корисного навантаження в пам’яті для визначення шкідливого коду занадто навантажує систему, роблячи такий підхід непрактичним. Методи виявлення за допомогою поведінкових індикаторів і “пісочниць” також можуть бути неточними, відзначають в FireEye.
42 рекламні програми знайшли у Google Play Маркеті, які поряд з наданням обіцяного функціоналу, такого як завантаження відео, гри чи радіо відображають рекламу та збирають інформацію про пристрій жертви. Шкідливі додатки були завантажені понад вісім мільйонів разів.
Samsung випустила оновлення, покликане усунути проблему з датчиком відбитків пальців в Galaxy S10 і Note 10, адже у лінійці флагманських пристроїв Galaxy була виявлена серйозна проблема з безпекою. Як виявилося, датчик відбитків пальців є абсолютно марним, оскільки обійти його може будь-хто за допомогою лише дешевої захисної плівки.
VPN- провайдер NordVPN зазнав кібератаки, що дозволило хакеру переглядати клієнтський трафік, що протікає через фінський VPN-сервер. Однак компанія не перехоплювала жодних облікових даних входу в мережу, тому не змогла точно ідентифікувати хакера.
Атака Cache Poisoned Denial of Service (CPDoS) дозволяє змусити сайт, який піддається атаці, замість легітимного контенту відображати для більшості користувачів сторінку з помилкою. Проблема зачіпає системи кешування на зразок Varnish, а також популярні мережі доставки контенту (CDN), зокрема Amazon CloudFront, Cloudflare, Fastly, Akamai і CDN77.
Новий бекдор, націлений на Microsoft SQL (MSSQL), поширювала відома група кіберзлочинців Winnti. Зловмисники активні щонайменше з 2012 року та відомі атаками на ланцюг постачання ігрової індустрії. Загроза може приховано підключатися до будь-якого облікового запису MSSQL за допомогою спеціального пароля, при цьому автоматично приховувати з’єднання від журналів.
