Windows 8 отсылает в Microsoft данные обо всех устанавливаемых программах

Скрытая функция в Windows 8 под названием Windows SmartScreen отсылает в Microsoft информацию о каждом приложении, которое пользователь загрузил из интернета, попытался установить или установил в операционной системе, сообщает Boy Genius Report со ссылкой на программиста Надима Кобейси (Nadim Kobeissi), который первым обнаружил функцию.

Назначением SmartScreen является защита пользователя от вредоносного программного обеспечения. Данные отправляются тогда, когда пользователь запускает установщик. После того как Microsoft получает данные, она проверяет наличие у программы необходимого сертификата. Если он отсутствует, выдается сообщение, что запуск данной программы может нанести урон, после чего пользователю предлагается отказаться от установки.

Однако информацию между SmartScreen и сервером Microsoft можно перехватить, и таким образом некто может узнать о каждом установленном на компьютере конкретного пользователя приложении (передаются также IP-адреса), предупреждает программист. Задачу хакеров облегчила сама софтверная компания - по словам Кобейси, она использует старый и ненадежный протокол шифрования передаваемых данных - SSLv2.

«Проблема заключается еще и в том, что информация отсылается мгновенно. О каждом приложении, которое вы загружаете и устанавливаете. Это очень серьезная проблема конфиденциальности для пользователей, ввиду сотрудничества Microsoft с органами власти и ее готовности передавать данные государственным структурам», - отмечает Кобейси, пишет cnews.ru.

Кобейси намекает, что информация может использоваться правоохранительными органами для выявления владельцев персональных компьютеров, которые используют пиратские копии проргамм. Microsoft может сама пользоваться этими данными - компания регулярно проводит рейды против пиратов. То же самое делает, например, Adobe Systems, разработчик Photoshop. Рейды проводятся в том числе в России.

Функция SmartScreen по умолчанию включена. Если ее отключить (а сделать это не так просто - отмечает Кобейси), то Windows периодически назойливо будет напоминать пользователю о том, чтобы он ее заново активировал.

«Мы подчеркиваем, что не копим базы данных с информацией о программах пользователей и их IP-адресами, - сообщили в Microsoft в ответ на запрос BGR. - Как и в случае со всеми онлайн-сервисами, IP-адреса необходимы для подключения, однако мы их периодически удаляем из наших логов. Согласно нашей политике безопасности, мы предпринимаем необходимые меры для защиты частной жизни пользователей со своей стороны. Мы не используем эти данные для идентификации, связи или рекламного таргетирования и не передаем их другим лицам».

Спустя примерно 14 часов после публикации статьи Кобейси в его личном блоге, Microsoft отказалась от использования устаревшего протокола SSLv2 и перешла на более новый стандарт SSLv3.

Обнаружение новой скрытой функциональности в Windows 8 породило в интернете, пожалуй, самые ожесточенные дебаты, отмечает BGR. Ранее под шквалом критики оказались новый интрефейс операционной системы Windows 8 - Metro - и отсутствие привычной кнопки «Пуск».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вредонос Hive окончательно перешел на Rust и сменил подход к шифрованию

Опасения ИБ-экспертов сбылись: Windows-версию Hive тоже переписали на Rust; в результате шифровальщик стал работать быстрее, надежнее и повысил устойчивость к анализу. Новые образцы вредоноса, разобранные в Microsoft, также используют другой, более сложный метод шифрования.

Шифровальщик Hive, предоставляемый пользование как услуга (RaaS), объявился в интернете немногим более года назад. Вредоносный код на тот момент был написан на Go и заточен под Windows. Осенью зловреда портировали на Linux — не совсем удачно, поэтому позднее шифратор в этой версии был переписан на Rust.

Эксперимент оправдал себя, и наблюдатели из ИБ-сообщества предрекли, что нововведение, ранее опробованное на примере BlackCat/ALPHV, перекочует в Windows-версию Hive. По словам экспертов, использование Rust в данном случае дает такие преимущества, как безопасность по памяти, типам данных и потокам, полный контроль над низкоуровневыми ресурсами, многопоточность, широкий выбор криптобиблиотек, осложнение реверс-инжиниринга.

Первые образцы Windows-версии Hive на Rust, как показало исследование, были загружены на VirusTotal 21 февраля — через пару дней после публикации отчета корейских специалистов, которым удалось получить мастер-ключ зловреда. В ходе анализа семплов в Microsoft выяснилось, что Hive теперь использует другие алгоритмы шифрования: Диффи-Хеллмана для эллиптических кривых и ChaCha20 (прежде применялась связка AES+RSA).

Обновленный вредонос генерирует в памяти два набора ключей, пускает их в ход, затем шифрует и записывает в формате .key в корневой каталог диска с зашифрованными данными — вместо того чтобы вставлять их в обработанные файлы, как ранее. Чтобы не путать ключи к разным файлам, их имена изменяются: к оригинальному полному имени добавляются имя релевантного файла .key, знак подчеркивания, дефис и закодированная по base64 строка, указывающая на два разных блока данных в key-файле. Результат может выглядеть следующим образом: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.

 

В рамках апгрейда вирусописатели также опробовали построчное шифрование кода как меру противодействия анализу. Содержимое секции ресурсов .rdata расшифровывается во время выполнения программы — через XOR с константами, значения которых в семплах могут различаться.

Еще одно нововведение, тоже ожидаемое: учетные данные для доступа жертв к персонализированным страницам в сети Tor теперь, как и в Linux-версии Hive, передаются как аргумент командной строки (-u <логин>:<пароль>). Прежде они были вшиты в код зловреда, и аналитики могли извлечь их и следить за ходом переговоров о выкупе.

Существенный апгрейд Hive — еще одно доказательство того, что в мире шифровальщиков все быстро меняется. В этом месяце стало известно о прекращении операций AstraLocker — вымогатели выложили в общий доступ дешифраторы, решив заняться криптоджекингом. Освободившуюся нишу сразу занял новичок RedAlert, способный атаковать и Windows, и Linux (серверы VMWare ESXi).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru