Обнаружение угроз с BI.ZONE TDR на примере бэкдора XZ Utils
29 марта была опубликована уязвимость CVE‑2024‑3094. Масштабы данной уязвимости пока трудно оценить, поскольку ПО является встроенным во многие дистрибутивы. Но уже понятно, что этот бэкдор, добавленный разработчиком, дает возможность удаленно выполнить произвольные команды.
build‑to‑host.m4, используемого инструментарием Automake при сборке. Вредоносный код использует sshd через службу systemd‑notify, которая в свою очередь использует библиотеку liblzma. В результате анализа исходного кода бэкдора было выяснено, что злоумышленник может получить возможность выполнения удаленного кода в системе (RCE) через взаимодействие функции RSA_public_decrypt, передав полезную нагрузку в system(). На данный момент о каких-либо признаках эксплуатации данного бэкдора неизвестно.VENDOR-ADVISORY: https://access.redhat.com/security/cve/CVE-2024-3094.
CVSS Score: 10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
- XZ Utils 5.6.0;
- XZ Utils 5.6.1.
- Fedora Rawhide;
- Fedora 41;
- Fedora 40;
- Debian 5.5.1 alpha-0.1;
- OpenSUSE Tumbleweed;
- Kali Linux (обновленные с 26 по 30 марта 2024 года).
- Понижение версии XZ Utils до 5.4.6 Stable.
В рамках оказания сервиса по мониторингу и реагированию на киберугрозы BI.ZONE TDR (BI.ZONE Threat Detection and Response) работа с инцидентом ведется на всех этапах его жизненного цикла: до, во время и после того, как он произошел. Направление по предотвращению инцидентов у нас называется threat prediction. Наши специалисты выполняют поиск критических уязвимостей и мисконфигураций. В частности, есть процесс по анализу подверженности клиентов новым уязвимостям с помощью BI.ZONE EDR, в том числе в случае появления информации о критических уязвимостях, подобных CVE‑2024‑3094.
Рассказываем, как threat prediction помогает обнаружить такие уязвимости и проинформировать клиентов.
- Первым шагом необходимо проверить, на каких хостах установлено данное ПО, в данном случае XZ Utils и библиотека liblzma. Для этого с помощью BI.ZONE EDR мы собираем все установленное на хостах ПО, а также его версии. В случае обнаружения уязвимой версии уже можно отправлять информацию об этом клиенту.
- Также довольно часто библиотеки не просто установлены пакетом, а встроены и используются в рамках другого ПО. Для обнаружения такого мы используем YARA‑правила.
Сразу после поступления информации об уязвимости выполняются тестирование и подготовка детектирующего YARA‑правила. Далее с помощью все того же BI.ZONE EDR правило запускается на всем необходимом скоупе хостов, в данном случае это хосты Linux и macOS. - Информирование клиента, в случае обнаружения результата на первом шаге, выполняется очень быстро. Уже в течение нескольких часов информация о наличии уязвимых пакетов будет донесена до клиентов. Сканирование YARA‑правилами занимает гораздо больше времени, поскольку сканирование может затянуться.
В случае дополнительного обнаружения уязвимых пакетов информация об этом также передается клиентам. -
Использование слабых паролей.
С помощью BI.ZONE EDR на Linux- и Windows-хостах мы обнаруживаем слабые пароли. Агент читает хеши паролей из файлов shadow и SAM и сравнивает с хешами из словаря топ‑500 паролей. В случае совпадения хешей создается инцидент. Сами пароли или хеши никуда не передаются. - Активный протокол SMBv1 на Windows-хосте.
BI.ZONE EDR читает определенные заданные ключи реестра и умеет находить несоответствия различным security-гайдам. Например, на хосте указано значение ключа:
hkey_local_machine\system\CurentControlSet\services\lanmanserver\parameters\smb1 == 1
Это значит, что на хосте активен протокол SMB первой версии, что является недопустимым и несет большие риски. - Отключенный XProtect на macOS‑хосте.
BI.ZONE EDR выполняет инвентаризацию настроек штатных элементов безопасности ОС macOS. Таким образом мы можем обнаружить, например, отключенный или необновленный антивирус XProtect на Mac.
Алгоритмически процесс выглядит примерно так:
Процесс кажется довольно простым, но, к сожалению, далеко не все могут точно сказать, на каких хостах установлена какая версия ПО, и уж тем более далеко не все могут быстро запустить YARA‑сканирование. В нашем случае в этом помогает BI.ZONE EDR.
Threat prediction помогает клиенту превентивно защищать инфраструктуру не только от трендовых уязвимостей. Примеры других мисконфигураций, устранение которых позволяет сделать инфраструктуру более защищенной:
Важно вести непрерывный мониторинг инфраструктуры и быстро нейтрализовывать угрозы. В этом поможет BI.ZONE TDR — сервис, в рамках которого мы помогаем обнаруживать сложные угрозы и проводить активное реагирование, чтобы не допустить развития атаки.