Pull to refresh

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Information Security *Network technologies *Network hardware
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views 10K
Comments 11

Кембридж: особенность компиляторов позволяет добавлять в исходный код вредоносы и обходить ручной аудит

Information Security *Compilers *Research and forecasts in IT

Исследователи Кембриджского университета описали способ вставки в исходный код программ уязвимости или вредоносного кода, который позволяет успешно проходить ручной аудит. Фактически, они рассказали о методе атак, который использует особенность компиляторов.

Читать далее
Total votes 12: ↑11 and ↓1 +10
Views 1.9K
Comments 2

Неизвестные взломали сайт DeFi и украли $120 млн в криптовалюте

Decentralized networks Information Security *Cryptography *Finance in IT Cryptocurrencies

Неизвестные украли средства из нескольких криптовалютных кошельков, подключенных к децентрализованной финансовой платформе BadgerDAO. Сумма похищенного составляет около $120 млн.

Читать далее
Total votes 11: ↑10 and ↓1 +9
Views 7.4K
Comments 8

RTM Group: данные нескольких десятков компаний были украдены через вредоносный код в модулях 1С

Product Management *Software IT-companies 1C *


По информации издания «Коммерсантъ», в 2021 году ИБ-специалисты из RTM Group обнаружили вредоносный код в доработанном программистами на аутсорсинге ПО для 1С — модулях «Бухгалтерия», «Управление торговлей» и «Управление нашей фирмой». Скомпрометированные версии модулей были установлены в бухгалтерии и других отделах нескольких десятков компаний. В компании 1С назвали такой возможный вариант работы модулей технически несостоятельным, но признали, что данные модули могут быть доработаны сторонними разработчиками для использования в преступных целях.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 4.6K
Comments 10

Фальшивая реклама на Google от Trojan.Qhost.WU

Antivirus protection *
Троян, без ведома пользователей подменяющий рекламные объявления (тексты и ссылки) Google, обнаружен специалистами BitDefender. Названная Trojan.Qhost.WU, эта троянская программа изменяет на зараженном компьютере Hosts-файл с доменными именами и IP-адресами, которые, соответственно, и передаются серверам доменных имен для загрузки нежелательного контента.

Опасность, которую несет в себе этот троян, двойная. Во-первых, проблемы могут возникнуть у держателей рекламных площадок, так как Trojan.Qhost.WU просто-напросто переадресует пользователей на другие сайты. Лишая, тем самым, рекламодателей потенциального заработка. Ну и, во-вторых, вирус может быть опасен и для пользователей, так как сайты, на которые ведут «поддельные» рекламные объявления могут с большой долей вероятности содержать вредоносный код.

via 3DNews
Total votes 21: ↑16 and ↓5 +11
Views 1.3K
Comments 10

О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры

Information Security *
Сегодня мы хотим рассказать вам о новом виде drive-by download атаки с помощью Flash-баннеров, и о том, как с ним бороться. Такая атака позволяет злоумышленникам распространять вирусы через сайт, не взламывая его. Вредоносное ПО распространяется через рекламные Flash-баннеры, с помощью которых веб-мастера хотят монетизировать свой сайт. При этом они сами могут не подозревать, что установленный на веб-странице баннер сделал их портал частью сети распространения вирусов.

Вредоносный код
Выполнение вредоносного JavaScript-кода, например, в контексте веб-браузера, возможно благодаря принадлежащего классу ExternalInterface методу call(), который появился в версии ActionScript 3.0. Процесс выполнения JavaScript-кода в контексте веб-браузеров, поддерживающих возможность работы с ActiveX, реализуется через компонент ActiveX для Shockwave Flash. А для веб-браузеров без такой возможности используется плагин для Shockwave Flash. Компонент ActiveX или плагин разбирает байткод переданного ему на обработку Flash-файла и формирует JavaScript-код, который будет выполнен в контексте веб-браузера, если во Flash-файле присутствует такой функционал. После того как JavaScript-код сформирован, происходит его дальнейшая передача на обработку через функции JavaScript, заранее заложенные в компоненте ActiveX или плагине для Shockwave Flash. На рисунке 1 показан список таких функций.

image

Рис.1 – JavaScript-функции, с использованием которых происходит формирование и дальнейшее выполнение кода, переданного в ExcternalInterface.call()

Ниже показан безвредный JavaScript-код тестового Flash-баннера, сформированный для выполнения в контексте веб-браузера компонентом ActiveX или плагином для Shockwave Flash.

Читать дальше →
Total votes 49: ↑42 and ↓7 +35
Views 12K
Comments 14

Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

Group-IB corporate blog Information Security *
Tutorial
Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.

image

Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 11K
Comments 8

Кибер-безопасность. Еженедельный обзор 27 мая — 02 июня 2013

Цифровое оружие и защита corporate blog Information Security *
Представляем первую общедоступную версию аналитического отчёта об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 4.3K
Comments 2

Кибер-безопасность. Еженедельный обзор 3 июня — 9 июня 2013

Цифровое оружие и защита corporate blog
Представляем аналитический отчёт об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка


Читать дальше →
Total votes 2: ↑1 and ↓1 0
Views 1.8K
Comments 0

Кибер-безопасность. Еженедельный обзор 10 июня — 16 июня 2013

Цифровое оружие и защита corporate blog Information Security *
Представляем аналитический отчёт об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка


Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 3.6K
Comments 2

Кибер-безопасность. Еженедельный обзор 17 июня — 23 июня 2013

Цифровое оружие и защита corporate blog Information Security *

Сводка


За прошедшую неделю опубликована информация о закрытии множества уязвимостей. Наиболее оперативное обновление требуется для продуктов Oracle: опубликована информация о закрытии множества уязвимостей Java.

В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в защитных продуктах Symantec Endpoint Protection и ClamAV, маршрутизаторах Huawei и сервероном firmware от HP; повышение привилегий в ОС FreeBSD.
Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views 3.6K
Comments 4

Кибер-безопасность. Еженедельный обзор 24 июня — 30 июня 2013

Цифровое оружие и защита corporate blog Information Security *

Сводка


За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для продуктов Mozilla.

В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в Mozilla Firefox и Thunderbird, а также VMware vCenter Chargeback Manager; повышение привилегий через Mozilla Maintenance Service.
Читать дальше →
Total votes 5: ↑1 and ↓4 -3
Views 1.8K
Comments 0

Кибер-безопасность. Еженедельный обзор 1 июля — 7 июля 2013

Цифровое оружие и защита corporate blog Information Security *

Сводка


За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для серверных продуктов HP.

В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в HP LeftHand Virtual SAN Appliance — серверном программном обеспечении виртуализации SAN для инфраструктуры VMware, HP StoreOnce D2D backup system и серии устройств HP ProCurve, а также продуктах Apple QuickTime и Winamp; повышение привилегий в MongoDB и две уязвимости удаленного отказа от обслуживания в ядре Linux.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 3.9K
Comments 0

Кибер-безопасность. Еженедельный обзор 8 июля — 14 июля 2013

Цифровое оружие и защита corporate blog Information Security *

Сводка


За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для продуктов Microsoft и Adobe.

В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в Microsoft Internet Explorer версий с 6 по 10, Microsoft .NET Framework с 2 по 4.5, Silverlight 5, а также Adobe ColdFusion 10 и Adobe Flash Player; повышение привилегий в Microsoft Windows и Windows Defender.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 3.6K
Comments 0

Продвинутые методы неявного вызова php кода, использующиеся во вредоносных скриптах

Information Security *Website development *PHP *
Логичным продолжением заметки про неявные вызовы php кода во вредоносных скриптах будет ее вторая часть, в которой я рассмотрю более сложные и менее очевидные варианты использования различных обработчиков и загрузчиков php, а в конце статьи приведу несколько примеров, как еще хакеры неявно вызывают вредоносный код и php скрипты на сайте.

В качестве примера вредоносного кода снова будем использовать вызов

echo 'Test'


Поскольку цель статьи показать различные подходы и механизмы скрытого выполнения кода, то для простоты функция, которая выполняет наш «вредоносный код» будет объявлена рядом с вызываемым ее неявно кодом. В реальной жизни вредоносный код и его вызов находятся далеко друг от друга, как минимум в разных php скриптах, но чаще код подгружается из базы данных, мета-данных изображений, с другого сервера, после чего выполняется функцией eval, assert, preg_replace и им подобными.

Читать дальше →
Total votes 59: ↑50 and ↓9 +41
Views 21K
Comments 11

Расследование об информационной безопасности в Яндексе. Rdomn – скрытая угроза

Яндекс corporate blog Information Security *
В этом посте мы хотим рассказать об одном из сложных случаев заражения пользователей, который нам довелось расследовать и в котором были использованы многие из популярных техник.

Злоумышленники постоянно совершенствуют методы внедрения вредоносного кода на веб-страницы зараженных сайтов. Если раньше это бывала модификация статического контента или php-скриптов CMS, то сейчас прибегают к использованию более сложных техник.



В наши дни чаще всего заражению подвергается веб-сервер: устанавливаются вредоносные модули, внедряются вредоносные shared objects, либо же исполняемый файл перекомпилируется с вредоносной функциональностью. Для внедрения вредоносного JavaScript активно используется, например, Flash.
Читать дальше →
Total votes 109: ↑108 and ↓1 +107
Views 42K
Comments 33

Cisco вновь выходит в сегмент защиты персональных компьютеров

Cisco corporate blog Information Security *
К началу 2000-х годов на рынке защиты персональных компьютеров преобладал сигнатурный подход, заключающийся в обнаружении преимущественно известных угроз, для которых были разработаны соответствующие сигнатуры, которыми и оснащались средства защиты (антивирусы, host-based intrusion detection systems и т.п.). Одной из первых компаний, предложивших для борьбы с неизвестными угрозами применять поведенческие механизмы, стала компания Okena из Массачусетса, которую в 2003-м году приобрела компания Cisco. Продукт Okena StormWatch был переименован в Cisco Security Agent и сетевой гигант стал предлагать своим клиентам не только средства сетевой безопасности — межсетевые экраны Cisco Pix, системы обнаружения атак NetRanger и VPN-шлюзы, но и средства защиты ПК, выйдя на новый для себя рынок.

Однако 11-го июня 2010-го года компания приняла непростое и даже можно сказать неожиданное решение о закрытии данной линейки продуктов. Отчасти это было продиктовано тем, что защита ПК не входила на тот момент в приоритет Cisco, которая была сфокусирована на сетевой безопасности. Среди других причин назывался активный переход на мобильные устройства с их множеством операционных систем, для которых разрабатывать и поддерживать Cisco Security Agent было сложно. Но какой бы ни была истинная причина Cisco Security Agent перестал существовать и компания Cisco на долгие 3 года вновь сосредоточила свои усилия на средствах сетевой безопасности. Пока в 2013-м году, после приобретения мирового лидера в сегменте предотвращения вторжения и средств защиты следующего поколения – компании Sourcefire, у Cisco вновь не появилось решение по защите персональных компьютеров – FireAMP, где аббревиатура AMP означала Advanced Malware Protection. Про это решение я бы и хотел рассказать.

Читать дальше →
Total votes 18: ↑16 and ↓2 +14
Views 25K
Comments 15

Не все виджеты одинаково «полезны»

Information Security *Website development *
Иногда веб-мастера и владельцы сайтов добровольно (естественно, по незнанию) устанавливают себе на сайте компоненты, которые несут угрозу как посетителям, так и самому сайту. В основном это касается любителей халявы: бесплатные премиум шаблоны, “нулленые” коммерческие CMS, плагины, загруженные не с сайта разработчика и прочие “бесплатности”. К этому списку можно смело добавлять javascript и flash-виджеты для сайта: календарь, mp3-плейер, калькулятор, конвертер валют — все эти элементы, кроме полезных функциональных элементов сайта, могут принести целую “вязанку” нежелательного контента или даже распространять вредоносный код, заражая компьютеры и мобильные устройства посетителей сайта.

На первый взгляд подобные виджеты размещают только “Васи Пупкины” на страницах своих личных блогов, но за последнюю неделю мне довелось анализировать три коммерческих и достаточно посещаемых проекта, которые также использовали зараженные виджеты (один размещал калькулятор для подсчета суммы заказа, второй – календарь на новостном сайте, третий – онлайн-радио).


Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 24K
Comments 9

Экспресс-анализ вредоносных файлов в учебных целях

Information Security *
Экспресс-анализ вредоносных файлов, прежде всего, обфусцированных вредоносных скриптов (свежих, с пылу с жару) — пример как заинтересовать студентов вопросом [де]обфускации кода.
Глубокий и кропотливый анализ с простроением блок-схем алгоритмов и маршрутов выполнения (а-ля РД контроль НДВ ГТК) — не здесь.
Приступим
Total votes 5: ↑2 and ↓3 -1
Views 3.1K
Comments 12

Как ответить на вопрос — что такое «компьютерный вирус»

Studying in IT
Практически каждому специалисту в сфере ИТ/ИБ приходится отвечать на вопрос — что такое «компьютерный вирус». Хорошо ещё если это очередной вопрос очередного пользователя, когда можно и в Википедию направить и не вдаваться в детали.

А если надо разработать документ (положение, инструкцию, обоснование для бюджета), или, что сложнее, документ к какой-либо проверке? И хорошо бы не выдумывать своё, а взять готовое, проверенное, «железобетонное».
Какие источники, кроме Википедии, помогут?
Total votes 12: ↑7 and ↓5 +2
Views 4.1K
Comments 11
1