Security Week 18: непреднамеренный кибершпионаж

В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:


На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).

Безопасника, запросившего аудит, можно понять: куча записей с микрофона во временной директории Windows очень похожа на следы шпионской программы. До марта 2020 года такая активность аудиодрайвера могла пройти незамеченной. Но с переходом на удаленную работу на системный диск начали падать записи многих часов конференц-звонков. В некоторых случаях это даже приводило к переполнению накопителя. Что, видимо, и запустило расследование данного инцидента. Впрочем, странное поведение компьютера не всегда свидетельствует о вредоносной деятельности — иногда это просто ошибка.

В блоге ERNW нет данных о распространенности этой проблемы. Указывается лишь конкретная версия драйвера со сбоем — Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: неверная работа драйвера была незаметна при отладке, когда необходимый ключ прописан в реестре. И еще: такую «фичу» штатного ПО легко адаптировать для действительно вредоносных действий.

Что еще произошло
Исследования «Лаборатории Касперского». Первое — о снижении абсолютного числа атак вымогателей-шифровальщиков на пользовательские ПК. Не стоит расслабляться: операторы явно переключились с широкого распространения вредоносного ПО на точечные выпады в адрес компаний. Второе — отчет об активности APT-группировок в I квартале 2021 года.

Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время к базе данных можно было обратиться без авторизации.

Криптовалюты убивают бесплатные инструменты непрерывной интеграции. В блоге компании LayerCI, поставщика подобного решения, описаны попытки абьюза систем, позволяющих выполнять собственный код на чужих ресурсах, для майнинга криптовалют.

Больше 4 млн почтовых адресов появились в базе сервиса Haveibeenpwned после разгрома ботнета Emotet. Такой нестандартный источник данных позволит уведомить пользователей, чьи пароли украли в результате заражения компьютера вредоносной программой.