Неделя Безопасности 18: Непреднамеренный Кибершпионаж

В конце апреля в блоге ERNW появилась интересная статья.

заметка о подозрительной активности на корпоративных ноутбуках.

Рабочий ноутбук был передан специалистам компании по подозрению в чем-то, очень напоминающем кибершпионаж.

Предварительный анализ содержимого жесткого диска не выявил ничего интересного; следов вредоносной деятельности обнаружено не было.

Но после запуска системы в логах обнаружилось что-то странное:

Неделя безопасности 18: Непреднамеренный кибершпионаж

На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и записывает аудиофайл на жесткий диск.

В ходе расследования была обнаружена ошибка в драйвере аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неправильно обрабатывал ситуацию, когда запись в реестре отсутствовала, и начинался без участия пользователя.

знания, чтобы записывать звук с микрофона всякий раз, когда он был обращен к самому себе (например, когда исследователь открывал настройки звука).

Охранника, запросившего проверку, можно понять: куча записей микрофона во временной директории Windows очень похожи на следы шпионского ПО.

До марта 2020 года такая активность аудиодрайверов могла остаться незамеченной.

Но с переходом на удаленную работу на системный диск стали попадать записи многочасовых конференций.

В некоторых случаях это даже приводило к переполнению накопителя.

Что, видимо, и положило начало расследованию этого происшествия.

Однако странное поведение компьютера не всегда указывает на вредоносную активность – иногда это просто ошибка.

Блог ERNW не сообщает о распространенности этой проблемы.

Указана только конкретная версия драйвера с ошибкой - Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: некорректная работа драйвера была незаметна во время отладки, когда нужный ключ был прописан в реестре.

И еще: такую «особенность» штатного ПО можно легко адаптировать для действительно вредоносных действий.

Что еще произошло

Исследования Лаборатории Касперского.

Первый из них о снижаться абсолютное количество атак программ-вымогателей на компьютеры пользователей.

Расслабляться не стоит: операторы явно перешли от массового распространения вредоносного ПО к целенаправленным атакам на компании.

Второй - отчет о деятельности APT-групп в первом квартале 2021 года.

Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время доступ к базе данных был возможен без авторизации.

Криптовалюты убивают бесплатные инструменты непрерывной интеграции.

В блоге LayerCI, поставщика такого решения, описал попытки злоупотребления системами, позволяющими выполнять собственный код на чужих ресурсах для добычи криптовалют. Более 4 миллионов почтовых адресов появился в базе данных сервиса Haveibeenpwned после поражение Ботнет Emotet. Этот нестандартный источник данных позволит оповещать пользователей, пароли которых были украдены в результате заражения компьютера вредоносным ПО.

Теги: #информационная безопасность #Realtek