Специалисты компании CyberArk рассказали, что безопасный режим в системах семейства Windows (включая Windows 10) может использоваться злоумышленниками, как один из векторов атак. К примеру, с помощью безопасного режима очень удобно похищать учетные данные или отключить защитные системы.
Описанные аналитиками CyberArk сценарии обусловлены не наличием каких-либо уязвимостей в системе, по сути, это лишь гипотетические варианты развития атаки. При этом описанные сценарии подразумевают, что атакующий уже проник в систему и скомпрометировал ее, получив привилегии администратора.
Исследователи пишут, что подобные атаки возможны в первую очередь за счет того, что в Windows приложениям разрешено принуждать пользователя к перезапуску системы, и при этом тайно перезагружать ее безопасном режиме. Сам безопасный режим, разумеется, интересен потенциальному злоумышленнику тем, что никакие сторонние приложения не запускаются вовсе, в том числе и антивирусные продукты. Так, в безопасном режиме атакующий может безболезненно внести изменения в реестр, «обезвредив» антивирусное ПО. Если бы система функционировала в штатном режиме, это неминуемо привело бы к срабатыванию защитных систем,
Разумеется, подобная атака должна строиться на введении пользователя в заблуждение. Жертву нужно убедить произвести перезагрузку компьютера, а также не дать ей заподозрить, что система запустилась в безопасном режиме. Исследователи отмечают, что выполнение необходимых команд в безопасном режиме, обычно, занимает совсем мало времени, после чего логично вернуть систему в нормальное состояние. Так как во время обновлений и установки ПО Windows часто требует перезагрузки, зачастую неоднократной, действия злоумышленников могут действительно не вызвать подозрений у пользователя.
Помимо отключения антивирусного ПО, безопасный режим может использоваться и для сбора учетных данных компьютеров, находящихся в той же сети, что и ПК жертвы. Для этого злоумышленники могут использовать технику атак Pass-the-Hash. Для такой атаки понадобятся дополнительные инструменты, и злоумышленнику придется замаскировать их внутри вредоносных сервисов и COM-объектов. Как только все необходимые тулзы заработают, атакующий сможет собрать хеши NTLM-паролей с «соседних» машин. Затем останется только взломать их, получив фактические пароли.
Также, по мнению исследователей, безопасный режим может использоваться для кражи учетных данных непосредственно с машины жертвы. К примеру, для этого можно осуществить перезагрузку ПК в безопасном режиме, затем показать жертве фальшивый экран входа в систему (использовав для этого COM-объекты), похитить учетные данные, которые введет пользователь, а затем вернуть систему к обычной работе.
Хотя специалисты CyberArk сообщили Microsoft обо всех своих опасениях, никаких уязвимостей, которые можно было бы исправить, здесь попросту нет. К тому же атаки подразумевают, что машина уже была скомпрометирована, так что в Microsoft сообщили, что не собираются ничего исправлять.
Последнее время пользователи I2P массово жалуются на сбои: при повышении нагрузки роутеры виснут, временами анонимная сеть вообще выпадает из доступа. Как оказалось, причиной тому внезапное нашествие 700 тыс. ботов Kimwolf.
Попытки многочисленных зараженных устройств присоединиться к I2P-сети, в которой, как выяснил KrebsOnSecurity, ежедневно активны лишь 15-20 тыс. узлов, стали забивать каналы, как при DDoS-атаке.
Ботоводы Kimwolf сами не ожидали такого эффекта: ведь они просто хотели опробовать I2P в качестве резервного варианта C2-связи — на случай отказа основной командной инфраструктуры стараниями правоохраны и законопослушных провайдеров.
В итоге было решено отказаться от этой идеи и поэкспериментировать с Tor.
В настоящее время I2P-сеть все еще работает вполсилы. Обновления подготовлены и развертываются, на следующей неделе ситуация должна улучшиться.
Объявившийся в конце прошлого года IoT-ботнет Kimwolf быстро возрос: в январе в его состав уже входило более 2 млн зараженных устройств. Новобранец используется в основном для проксирования вредоносного трафика и проведения DDoS-атак.
В американской компании Synthient отслеживают новую угрозу и недавно заметили, что численность мощного ботнета сократилась на 600 тыс. устройств.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
