[HVA News] – Biến thể Zeus 2.x có chức năng của phần mềm tống tiền

Posted on by
Reply

Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42454.hva

Tội phạm mạng đang ngày càng trở nên tinh vi hơn, như trong các báo cáo gần đây cho thấy các lập trình viên hacker đã tích hợp thành công một trojan tống tiền với một phần mềm độc hại kế thừa từ malware Zeus với tên gọi là Citadel. Một nền tảng phần mềm độc hại tai tiếng nhắm mục tiêu là các thông tin tài chính đã được thêm vào một thủ thuật mới để chiếm quyền điều khiển và tống tiền người dùng máy tính.

Những nhà nghiên cứu từ hãng F-Secure đã phát hiện gần đây một biến thể Zeus 2.x có cả chức năng tống tiền. Về cơ bản đây là một phiên bản được hiệu chỉnh của Zeus, phần mềm độc hại này có mục đích cung cấp hỗ trợ tốt hơn cho một nhánh phát triển của nền tảng mã độc Zeus, đồng thời cho phép các khách hàng tin tặc bỏ phiếu cho các yêu cầu chức năng cũng như viết các module riêng cho nền tảng phần mềm tin tặc này.

Net-security giải thích hoạt động của biến thể Zeus 2.x này: Một khi phần mềm độc hại này được thực thi, nó sẽ chạy Internet Explorer và trỏ về một địa chỉ URL đặc biệt lex.creativesandboxs.com/locker/lock.php. Đồng thời người dùng máy tính sẽ bị khóa để không thực hiện được bất cứ việc gì khác trên máy tính của họ nữa.

Bạn có thể mở khóa khá dễ dàng với một phần mềm chỉnh sửa registry như sau:
1. Khởi động máy tính vào chế độ safe mode
2. Thêm vào một khóa syscheck dưới HKEY_CURRENT_USER.
3. Tạo một giá trị DWORD với tên Checked dưới khóa syscheck này.
4. Thiết lập nội dung cho giá trị DWORD trên (syscheck) là 1.
5. Khởi động lại máy tính.

bolzano_1989 – HVA News

Tham khảo:
Zeus 2.x variant includes ransomware features | The Hacker News 
http://thehackernews.com/2012/05/zeus-2x-variant-includes-ransomware.html
Zeus Trojan variant comes with ransomware feature
http://www.net-security.org/malware_news.php?id=2120

[HVA News] – Yahoo để lộ khóa bí mật trong extension Axis cho Chrome

Posted on by
Reply

Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42430.hva

(HVA News) – Dù chỉ mới thông báo phát hành một trình duyệt mới có tên Axis vào hôm nay (24/5), thì gần như ngay lập tức một nhà nghiên cứu bảo mật đã phát hiện ra một lỗi nghiêm trọng khi tập tin mã nguồn của chương trình này có chứa khóa bí mật (private key) của Yahoo. Điều này cho phép kẻ tấn công có thể tạo ra một phần mở rộng (extension) độc hại mà trình duyệt lại tin tưởng vì nó được ký số (signing) bởi khóa bí mật hợp lệ của Yahoo!

Axis là một trình duyệt chạy độc lập trên các thiết bị di động như iPhone, iPad và cũng có các phiên bản dạng phần mở rộng cho Firefox, Chrome, Safari và Internet Explorer. Tính năng nổi bật được Yahoo quảng cáo là khi người dùng đang gõ vào ô tìm kiếm thì nó sẽ cố gắng đoán trước những từ khóa mà người dùng có thể muốn tìm và hiển thị các hình ảnh thu nhỏ của những kết quả tương ứng.

Nhưng điều đáng chú ý nhất lại là chỉ trong vài giờ sau khi Axis được phát hành, một cây viết và cũng là một hacker có tên Nik Cubrilovic đã thông báo rằng trong tập tin mã nguồn của phiên bản mở rộng cho Chrome có chứa khóa bí mật PGP được Yahoo dùng để ký lên tập tin này. Khóa cần được giữ bí mật tuyệt đối này đi cặp với một khóa công khai (public key) khác được trình duyệt sử dụng để kiểm tra chữ ký số của extension đều có trong tập tin chứng chỉ số (với định dạng .PEM) đi kèm với gói extension.

“Tập tin chứng chỉ số này được Yahoo! dùng để tạo chữ ký số cho extension cũng là tập tin được trình duyệt Chrome và Web Store (https://chrome.google.com/webstore/) sử dụng để xác thực rằng extension đó do chính Yahoo! phát hành. Nếu có được tập tin chứng chỉ số bí mật này thì kẻ xấu có thể tạo ra một extension giả mạo nhưng lại được Chrome tin cậy.” Cubrilovic viết trong một bài phân tích trên blog của mình [1]. Vì không có mật khẩu nào bảo vệ việc truy cập tới khóa bí mật nên việc ký số diễn ra dễ dàng.

Cubrilovic sau đó đã chứng minh và khai thác lỗ hổng này bằng cách tạo thử một extension giả mạo Axis được ký bởi khóa bí mật của Yahoo vừa tìm được ở trên và cài đặt thành công nó lên Chrome mà không gặp phải vấn đề gì. Anh ta cũng gửi lên trang GitHub mã nguồn của extension gốc của Axis và bản extension giả để mọi người so sánh [2].

“Ngụ ý dễ thấy nhất ở đây là với tập tin chứng chỉ số bí mật, bạn có thể tạo một extension giả mạo nhằm ghi nhận lại toàn bộ lưu lượng web, bao gồm các mật khẩu, cookie, v.v. Cách dễ dàng nhất để khiến nạn nhân cài đặt lên máy gói extension giả này là giả mạo DNS đối với đường dẫn (URL) cập nhật cho extension gốc. Vào lần cập nhật kế tiếp cho extension gốc, nó sẽ lặng lẽ cài đặt và chạy extension giả này.” Cubrilovic giải thích thêm.

Trước sai lầm ngớ ngẩn này, một thành viên của nhóm phát triển Axis là Ethan Batraski phản hồi trên một vài website rằng Yahoo! đã gỡ bỏ extension trên Chrome, thu hồi chứng chỉ bị lộ và sẽ sớm phát hành extension mới thay thế.

manthang.

Tham khảo:
[1] http://nikcub.appspot.com/posts/yahoo-axis-chrome-extension-leaks-private-certificate-file
[2] https://github.com/nikcub/yahoo-spoof
[3] http://threatpost.com/en_us/blogs/yahoo-includes-private-key-source-file-axis-chrome-extension-052412
[4] http://www.h-online.com/security/news/item/Yahoo-released-private-certificate-with-new-extension-1583522.html

[HVA News] – ZTE thừa nhận có backdoor trong thiết bị Android của họ

Posted on by
Reply

Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42393.hva

Hôm 18/5, ZTE – hãng sản xuất thiết bị cầm tay của Trung Quốc thừa nhận rằng tồn tại một lỗ hổng an ninh trong mẫu điện thoại thông minh ZTE Score M chạy Android được bán tại Mỹ [1].

Thiết bị này được cài sẵn ứng dụng sync_agent nằm trong thư mục /system/bin với một mật khẩu được lập trình cứng (hard-coded) mà người dùng không thể thay đổi được. Ứng dụng này có bit SUID được bật nên khi được chạy với tham số là mật khẩu trên nó sẽ trao cho người dùng bình thường quyền hạn truy cập của tài khoản root. Điều này có thể bị kẻ xấu lợi dụng để chiếm trọn quyền điều khiển thiết bị của người dùng [2].

Theo ZTE, ứng dụng (mang đặc điểm của backdoor) này chỉ có trong mẫu Score M được bán tại Mỹ thông qua nhà cung cấp MetroPCS và hãng đang “tích cực làm việc” để sớm cung cấp bản vá lỗi cho các thiết bị bị ảnh hưởng. Mặc dù các báo cáo trước đó chỉ ra rằng một mẫu thiết bị cầm tay khác là ZTE Skate cũng có backdoor này nhưng hãng đã phủ nhận tin này [3].

Chuyên gia bảo mật Dmitri Alperovitch, người đã phát hiện ra lỗ hổng này nói rằng ứng dụng trên hoàn toàn được cài vào thiết bị một cách có chủ đích vì ZTE đang sử dụng nó để phân phối các bản cập nhật phần mềm tới điện thoại của người dùng. Nhưng ông không thể chắc chắn rằng liệu backdoor là ứng dụng độc hại hay chỉ đơn giản là một lỗi lập trình mà ZTE sơ ý mắc phải.

Thông tin về lỗ hổng này đã bắt đầu lan rộng vào tuần trước sau khi một người dùng nặc danh tiết lộ nó trên Pastebin vào hôm 10/5 [4]. ZTE, nhà sản xuất thiết bị cầm tay lớn thứ tư thế giới cùng với Huawei đang được săm soi kỹ lưỡng tại Mỹ vì lo ngại có backdoor và các lỗ hổng an ninh khác trong các sản phẩm, đặc biệt là các thiết bị hạ tầng viễn thông quan trọng được cung cấp bởi các nhà sản xuất Trung Quốc này.

manthang – HVA News ( Tổng hợp từ Reuters, SANS ISC, Threatpost, H-Online ) [5]

Tham khảo:
[1] http://www.reuters.com/article/2012/05/18/us-zte-phone-idUSBRE84H08J20120518
[2] http://isc.sans.edu/diary/ZTE+Score+M+Android+Phone+backdoor/13252
[3] http://threatpost.com/en_us/blogs/report-zte-score-m-android-phone-found-have-backdoor-installed-051812
[4] http://pastebin.com/wamYsqTV
[5] http://www.h-online.com/security/news/item/ZTE-admits-to-backdoor-in-one-of-its-Android-devices-1580108.html

[HVA News] – Nmap 6.0 chính thức phát hành sau 3 năm chờ đợi

Posted on by
Reply

Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42392.hva

Ngày 21/2/2012, Dự án Nmap ( tại Nmap.org ) ra thông báo rằng công cụ quét và phân tích mạng huyền thoại Nmap đã chính thức cập nhật lên phiên bản 6.0 sau 3 năm kể từ lần cập nhật lớn của phiên bản Nmap 5.0 năm 2009. Bản cập nhật này bao gồm 3924 sửa đổi rời rạc của cộng đồng Nmap suốt ba năm qua, kèm theo 6 cải tiến lớn về mặt tính năng và hiệu suất:

Cải tiến về Nmap Scripting Engine (NSE):
Tăng số lượng Script từ 59 ( Nmap 5.0 ) lên 348 ở phiên bản 6.0. Script Engine cũng được nâng cấp để tăng hiệu suất họat động và sửa các lỗi cố hữu từ phiên bản trước khiến các kết quả thăm dò có thể bị sai lệch
Tài liệu về NSE mới cũng được cập nhật tại: http://nmap.org/nsedoc/

Cải thiện về bộ quét ứng dụng Web:
Do sự phát triển như vũ bão của internet với ứng dụng web là trọng tâm, Nmap với lần cập nhật này đã cải thiện và bổ sung nhiều hỗ trợ cho việc quét và phân tích các ứng dụng web như: web site spidering, brute force authentication cracking, SSL encryption, HTTP pipelining, caching mechanisms…

Hỗ trợ giao thức IPv6 một cách đầy đủ: 
Đây có thể coi là cải thiện cho tương lai gần, khi mà kho IPv4 đang cạn kiệt nhanh chóng. Công cụ Nmap cần phải thích nghi với môi trường IPv6 với các kiểm soát nghiêm ngặt hơn đối với việt quét và phân tích mạng

Công cụ Nping mới: 
Đây là công cụ mới xuất hiện trong phiên bản cập nhật này. Trước tình trạng rất nhiều máy chủ hiện nay ngưng hồi đáp với gói tin ICMP vốn được dùng để thẩm định kết nối mạng trong lệnh ping truyền thống, Nping ra đời như là một giải pháp thay thế hữu hiệu, nó sử dụng các loại gói tin khác nhau như TCP, UDP, ARP… để thực hiện việc thẩm định kết nối mạng thay cho công cụ ping truyền thống

Cải thiện Công cụ giao diện Zenmap GUI & Công cụ trình bày kết quả quét Result Viewer:
Nmap vốn là công cụ dòng lệnh, nên để đem lại sự tiện dụng cho người dùng, cộng đồng Nmap đã phát triển công cụ giao diện bổ sung Zenmap GUI và Result viewer, để giúp người dùng không phải ghi nhớ quá nhiều các dòng lệnh phức tạp của Nmap

Tăng cường tốc độ quét mạng:
Kể từ khi ra đời, Nmap luôn là công cụ đứng đầu về tốc độ quét mạng – đôi khi tốc độ quét của công cụ này quá nhanh khiến các router không kịp định tuyến dẫn tới bị treo. Nay với phiên bản 6.0, tốc độ quét của công cụ Nmap tăng lên hơn 90% so với phiên bản 5.0, giúp Nmap giữ vững ngôi vương là công cụ quét và phân tích mạng nhanh nhất hiện nay

Nmap 6.0 hiện đã có thể được tải về tại: http://nmap.org/download.html

xnohat – HVA News