Теневая продажа эксплойтов поощряет программистов к саботажу

Теневая продажа эксплойтов поощряет программистов к саботажу

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame.

Брюс Шнайер говорит, что когда увидел прайс-лист на эксплойты в Forbes, то поначалу не поверил, что стоимость уязвимостей доходит до $250 тыс. Но позже компетентные люди подтвердили, что это настоящая цена. Рынок действительно сильно изменился с 2007 года, когда Чарли Миллер впервые написал о продаже 0day-эксплойтов. Даже по сравнению с 2010 годом сейчас совершенно другие цены: этот рынок пережил настоящий бум в последние пару лет, так что сейчас над поиском уязвимостей работают профессиональные высокооплачиваемые команды.

Брюс Шнайер всегда придерживался мнения, что поиск уязвимостей в программных продуктах повышает общую безопасность, поскольку поощряет публикацию информации в открытом доступе. Раньше главным мотивом у хакера было стремление к известности, так что публикация информации в открытом доступе являлось естественным. К сожалению, за несколько лет рынок трансформировался и от полной открытости к «ответственной открытости», когда хакеры заранее уведомляют компанию-разработчика об уязвимости и публикуют информацию в открытом доступе только спустя некоторое время, дав разработчику возможность исправить ошибку. Такая трансформация изменила мотивацию хакера в не лучшую сторону, но по факту ситуация со всеобщей безопасностью не стала хуже — патчи выпускались, дыры закрывались, а производители старались делать софт более защищённым, чтобы не терять деньги на плохом пиаре и разработке патчей, передает xakep.ru.

Новые реалии совершенно меняют дело, потому что участники чёрного рынка вообще не заинтересованы в закрытии уязвимостей. То есть влиятельные государственные агентства могут приложить определённые усилия, чтобы уязвимость не закрывали какое-то время даже если разработчику стало известно о ней. Здесь ситуация аналогична с нахождением уязвимостей в криптографических алгоритмах, что часто обсуждалось на криптографических конференциях с участием криптологов АНБ. Перед ними стоит дилемма, что делать с такими уязвимостями в случае их обнаружения: публиковать в открытом доступе для исправления алгоритма или тайно использовать в своих целях. К 2000 году, пишет Шнайер, АНБ вроде бы согласилось с первым вариантом, но всё изменилось после 9/11.

И самое главное — появляется мощный стимул для программистов — в Microsoft, Google и других компаниях — оставлять ошибки в программном коде, а потом секретно продавать уязвимости государственным агентствам. Вот почему наличие чёрного рынка эксплойтов опасно для всех. Брюс Шнайер говорит, что ни одна софтверная компания в мире не обладает настолько надёжной системой ревизии кода, чтобы выявлять подобный саботаж: найти ошибку и доказать злой умысел.

Таким образом, существование чёрного рынка эксплойтов является исключительно негативным явлением. Как сказано в недавней статье EFF, это «безопасность для 1%», которая ухудшает защищённость остальных.

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame." />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru