Pull to refresh

Как оказалось, популярность iPad — хорошее подспорье для мошенников

Lumber room
«Хакеры используют популярность Apple iPad с целью распространения вредоносного ПО», сообщает BitDefender.

Под катом подробности (а также пример честного способа зарабатывания денег при помощи iPad).
Читать дальше →
Total votes 77: ↑49 and ↓28 +21
Views 210
Comments 42

Теория о сокрытии процессов руткитами (DKOM)

Information Security *
В данной статье мы попробуем рассмотреть в теории один из самых серьезных методов сокрытия информации руткитами, а именно прямая манипуляция объектами ядра (Direct Kernel Object Manipulation, DKOM), применяемая для сокрытия процессов от операционной системы в целом. Если Вы скрипт-кидди, то читайте «скрываем процессы в винде!».
Читать дальше →
Total votes 78: ↑51 and ↓27 +24
Views 3.2K
Comments 16

Волшебная формула или как увидеть угрозу

«Лаборатория Касперского» corporate blog Information Security *Algorithms *
Всякая система работает по уникальному алгоритму, без алгоритма — это не система. Гибкому, жёсткому, линейному, разветвляющемуся, детерминированному, стохастическому — не важно. Важно, что для достижения наилучшего результата система подчиняется неким правилам. Нам часто задают вопрос об алгоритмах нашего продукта, в частности: как удаётся лучше конкурентов вычислять будущие угрозы? По понятным причинам все-все детали этой волшебной формулы раскрыть нельзя, но можно легонько приоткрыть дверь нашей технологической кухни и кое-что узнать.
Приоткрыть дверь и узнать кое-что
Total votes 14: ↑8 and ↓6 +2
Views 8.2K
Comments 7

Вот что будет, если установить топ-10 программ с Download.com

Information Security *
Recovery mode
Translation


Мы установили десять самых популярных программ с Download.com, и вы не поверите, что произошло! Впрочем, наверное, вы и сами можете догадаться: что-то ужасное. Что-то ужасное — вот что произошло. Присоединяйтесь к нашему веселью!

Уже не первый год мы сетуем на то, что нельзя спокойно порекомендовать скачать бесплатную программу, а недавно мы рассказали, как можно безопасно испытывать любое ПО при помощи виртуальной машины. И мы подумали: а почему бы не повеселиться и не посмотреть, что же, в самом деле, произойдёт, если скачивать программы как обычный ничего не подозревающий пользователь?

Ради эксперимента мы будем просто прощёлкивать все экраны установки с настройками по умолчанию на чистой виртуальной машине. Мы установим десять приложений из списка самых популярных загрузок. И предположим, что наш персонаж — рядовой пользователь.
Читать дальше →
Total votes 358: ↑324 and ↓34 +290
Views 320K
Comments 381

Познакомимся с WannaCry поближе

Information Security *
Sandbox
Атака программы-вымогателя нанесла ущерб многим компаниям и организациям по всему миру, включая испанскую телекоммуникационную компанию Telefonica, больницы в Великобритании и американскую компанию доставки FedEx. Вредоносная программа, относящаяся к классу криптовымогателей, стала известна как «WannaCry».

Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. После чего он требует перечислить какое-то количество биткойнов за расшифровку.
Читать дальше →
Total votes 53: ↑49 and ↓4 +45
Views 109K
Comments 69

81% пользователей Tor могут быть деанонимизированы благодаря анализу роутинга

Information Security *
Индийский исследователь полагает, что при помощи всего одного сервера можно деанонимизировать более 80% трафика, проходящего через Tor. В процессе используется технология Netflow, встроенная в роутеры Cisco и специальная программа, анализирующая трафик Tor. Об этих выводах сообщает ресурс The Stack.



Профессор Самбудхо Чакраварти, исследователь темы анонимности и приватности в сети в Институте информационных технологий Индрапрастха в Дели последние шесть лет занимается исследованием, в частности, анонимности в сети Tor. Из его исследований вытекает, что в лабораторных условиях можно деанонимизировать сеть, подобную Tor, на 100%, а в реальных – раскрыть (узнать IP-адрес) до 81% узлов.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 18K
Comments 9

Криптовымогатели: прошлое, настоящее, будущее

Information Security *


В конце нулевых на компьютерах в России и странах СНГ начала распространяться на тот момент ещё новая и необычная зараза. Незнакомая для пользователей разновидность зловредного программного обеспечения блокировала нормальную работу компьютера и требовала отправить SMS-сообщение на платный номер для получения кода разблокировки. Требования подкреплялись ложными угрозами: на компьютере найдено нелицензионное программное обеспечение или какая-то разновидность порнографии. Пользователя-новичка легко напугать, если представиться органами правопорядка, подростка за монитором родительского компьютера — выводящим порнографию и требующим оплату окошком.

За пару лет распространение получили утилиты для быстрой очистки — подобные программы-вымогатели лишь вмешивались в нормальную работу, но не вредили машине. Однако вскоре по Сети начали гулять куда более разрушительные и действенные зловреды. Они шифровали содержимое накопителей компьютера и требовали деньги для восстановления файлов. Live CD быстрой помощи бессилен против правильно выполненнего криптовымогателя — ключ шифрования остаётся только у злоумышленников.
Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 31K
Comments 84

Затишье перед IoT-бурей или спустя год после Mirai

Cloud services *


С момента массовой атаки на IoT-устройства, осуществленной создателями ботнета Mirai, прошло более года. Стоит отметить, что гаджеты из мира «интернета вещей» были выбраны для атаки не случайно. Очень немногие производители таких систем действительно серьезно относятся к защите устройств от внешнего вмешательства. В большинстве случаев разработчики стараются сделать гаджет функциональным, приятным взгляду, но забывают о безопасности. Массовая атака на IoT-системы была лишь вопросом времени и в прошлом году это время пришло.

Для распространения зловреда Mrai понадобилось никаких уязвимостей нулевого дня и прочих сложных вещей. Как оказалось, разработчики большинства умных устройств устанавливают неизменный пароль для доступа к учетной записи администратора. Всего создатели Mirai предусмотрели подбор 61 различных комбинаций для доступа к учетной записи администратора. Большая часть пораженных червем систем была изготовлена с использованием компонентов компании XiongMai Technologies, так что камеры различных производителей оказались подвержены одним и тем же уязвимостям.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 5.8K
Comments 1

ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter

Information Security *Network hardware

Одна из моделей роутеров, заражаемых VPNFilter

На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.

О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.
Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views 36K
Comments 21

Вот что будет, если установить топ-10 программ с Download.com: развитие событий

Software
Вчерашний пост на Хабре со схожим названием подтолкнул меня к идее не только воспроизвести эксперимент, но продолжить его, попытавшись вылечить несчастную ОС.

image

Целью было узнать, легко ли вычистить систему, если ставить приложения с помоек наподобие Download.com.
Размышлизмов не будет, их достаточно в оригинальной статье.
Сразу к делу
Total votes 56: ↑51 and ↓5 +46
Views 34K
Comments 67

Криптомайнеры: теперь и в расширениях для Chrome

Software


Не так давно на Geektimes публиковалась новость о попытке команды The Pirate Bay монетизировать свой ресурс при помощи кода майнера, размещенного на страницах трекера. Эта практика, похоже, становится все более популярной. На днях появилась информация о том, что расширение SafeBrowse для Chrome содержит в своем коде криптомайнер. Число пользователей расширения составляет 140 000, так что прибыль, получаемая теми, кто размеcтил код, должна быть солидной.

Как и в случае с The Pirate Bay, майнер специализируется на получении анонимной криптовалюты Monero. Никаких уведомлений о новой функции расширения его пользователи не получили. Собственно, майнеры такого рода особо ничем не вредят. Но они потребляют ресурсы машины, на которой загружена веб-страница с кодом, а значит, нарушают нормальный рабочий процесс. В случае с обычным пользователем это просто неприятно. А вот если все это работает в пределах сети корпорации, то можно уже говорить о солидном убытке (неэффективная работа, потребление ресурсов и т.п.).
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 17K
Comments 19

Администрация Трампа обвиняет Северную Корею в разработке червя WannaCry

Software

Представители Белого Дома на встрече с журналистами 19 декабря 2017 года. Они официально предъявили обвинение в создании WannaCry Северной Корее

О зловреде WannaCry в этом году не писало лишь ленивое издание. Примерно в мае 2017 года в сети стали появляться статьи, которые описывали новую разновидность зловредного ПО, вирус, атакующий компьютеры в различных сетях. На Geektimes такой материал был опубликован 12 мая. Корпорация Microsoft начала предпринимать попытки решить проблему практически сразу после появления зловреда, но это помогло мало, поскольку далеко не все пользователи обновляют ОС на своих компьютерах вовремя. Более того, для младших версий операционных систем ситуация и вовсе была печальной, что привело к заражению 200 000 персональных компьютеров в примерно 150 странах.

Эффективность зловреда объяснялась его способностью проникать на компьютеры жертв через открытые порты Server Message Block. Для этого вирус использовал разновидность SMB эксплоита, которая получила название «Ethernal Blue». Эксплоит, кстати, был разработан представителями НДА, а затем выложен в сеть группой Shadow Brokers. Но кто способен создать такой опасный вирус? По мнению администрации президента США, в случившемся виновата Северная Корея.
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views 5.7K
Comments 18

Открыть нельзя игнорировать

Инфосистемы Джет corporate blog Information Security *


Моя работа связана с тем, что я вру людям и эксплуатирую их доверчивость, любопытство, жадность и так далее. Работу я свою люблю и стараюсь подходить к ней творчески. Специфика моей деятельности связана с проведением атак методом социальной инженерии. И в этом посте я бы хотела рассказать о вредоносных вложениях.
Читать дальше →
Total votes 57: ↑56 and ↓1 +55
Views 26K
Comments 32

Как снизить риски, связанные с шифровальщиками-вымогателями

NIX corporate blog Information Security *System administration *Server Administration *
Translation
Сегодня, когда удалённая работа становится обыденностью, а нагрузка на специалистов по информационной безопасности, особенно в здравоохранении и других критически важных отраслях, ещё никогда не была столь высока, не ослабевает деятельность хак-групп, управляющих приложениями-шифровальщиками.

Многочисленные хак-группы, которые в течение нескольких месяцев проникали в различные сети и накапливали «силы», в первой половине апреля активировали десятки копий своих приложений-вымогателей. Атакам подверглись медицинские учреждения, биллинговые компании из сферы здравоохранения, производители, транспортные компании, правительственные учреждения и разработчики обучающего ПО. Это продемонстрировало, что, несмотря на глобальный кризис, подобные хак-группы пренебрегают функционированием критически важных служб. Впрочем, атакам подвергаются и компании из других сфер, так что организациям необходимо обращать особенное внимание на признаки компрометации.

В течение двух недель работы шифровальщиков несколько возросло количество атак с вымогательством. Однако после проведённого специалистами Microsoft исследования, а также по результатам расследования другого инцидента, проведённого командой DART (Microsoft Detection and Response Team), выяснилось, что многие случаи компрометации, обеспечившие возможность атак, произошли ещё раньше. Используя методику, характерную для атак с помощью управляемых людьми приложений-вымогателей, злоумышленники скомпрометировали целевые сети в течение нескольких предыдущих месяцев и ждали возможности монетизировать результат посредством развёртывания зловредов в наиболее подходящий момент.
Читать дальше →
Total votes 13: ↑11 and ↓2 +9
Views 4.9K
Comments 1

«Улов» на The Standoff: о многообразии пойманных троянов

Positive Technologies corporate blog Information Security *
С 12 по 17 ноября 2020 года на киберполигоне The Standoff прошла крупнейшая битва между командами атакующих и защитников. Действия разворачивались в течение 123 часов в городе FF — цифровом двойнике мегаполиса с характерной инфраструктурой: морским портом, аэропортом, нефтяным месторождением, деловым центром, парком развлечений и другими объектами.



Двадцать девять команд атаковали инфраструктуру, добиваясь реализации бизнес-рисков, опасных для различных компаний, работающих в городе, а другие шесть команд мониторили и изучали активность нападающих, тренировали навыки противодействия и расследования инцидентов. В общем, все как в жизни. Хотя кроме нападающих и обороняющихся была еще третья сторона, которая пристально наблюдала за их действиями, — глобальный SOC (подробнее о нем читайте в другой нашей статье). Прозванный Большим Братом, SOC объединил несколько команд PT Expert Security Center, которые в режиме нон-стоп анализировали события при помощи специальных средств защиты. Одной из таких команд был отдел обнаружения вредоносного ПО, который с помощью песочницы PT Sandbox вылавливал и исследовал троянские программы «редтимеров». Напомним, PT Sandbox может:

• сканировать файл правилами PT ESC,
• сканировать файл движками внешних антивирусных вендоров,
• обнаруживать вредоносную активность после запуска в изолированной среде поведенческими правилами,
• анализировать сетевой трафик правилами PT Network Attack Discovery,
• анализировать дампы процессов правилами PT ESC.

Сегодня мы расскажем о том, что и как нам удалось поймать, а также о том, какие находки нас особенно впечатлили.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 2.2K
Comments 0

Злоумышленники начали активно разрабатывать нативные зловреды под Apple M1. Первый пошел

Selectel corporate blog Information Security *Research and forecasts in IT *Software CPU

Один из доводов «маководов» в пользу своей системы — то, что под нее крайне мало зловредного ПО. А то, что есть, нужно запускать едва ли не вручную, с обходом всех систем защиты, поэтому опасности большинство зловредов под Mac не представляют. Но MacOS становится все популярнее, а значит, и злоумышленники активизируются. Тем более, что большинство пользователей MacOS имеют банковские счета и деньги на них. Так что с них есть что взять.

Так, если раньше доля MacOS составляла 6,5% (примерно 10 лет назад), то сейчас это уже пятая часть рынка, 20%. Соответственно, уже есть смысл создавать зловредное ПО, поскольку пользователей у MacOS — миллионы. Этим киберпреступники сейчас и занялись.
Читать дальше →
Total votes 27: ↑19 and ↓8 +11
Views 12K
Comments 6

Как и чем живет отдел обнаружения вредоносного ПО в Positive Technologies

Positive Technologies corporate blog Information Security *Programming *Reverse engineering *IT career

Привет, Хабр! Меня зовут Алексей Вишняков. Я возглавляю отдел обнаружения вредоносного программного обеспечения PT Expert Security Center. В одной из прошлых статей мы писали о том, что делают DevOps-инженеры у нас в компании, а сегодня я расскажу, чем занимается мой отдел и какие технические задачи нам приходится решать, поделюсь собственным опытом и выделю компетенции, которыми необходимо обладать, чтобы присоединиться к нашей команде.

Читать
Total votes 7: ↑4 and ↓3 +1
Views 3.4K
Comments 0

Как не дать злоумышленникам повысить привилегии в системе после успешного заражения

Positive Technologies corporate blog Information Security *Programming *Reverse engineering *Software

Всем привет! Этой статьей мы открываем цикл материалов от экспертного центра безопасности Positive Technologies (PT Expert Security Center). Мы расскажем о том, какие техники применяют злоумышленники при разработке инструментов для целевых и массовых атак и какие технологии есть «под капотом» нашей песочницы PT Sandbox для их детектирования.

Из первой статьи вы узнаете про самые интересные и распространенные у злоумышленников техники получения полного контроля над системой в целевых атаках. Рассмотрим, какие приемы используют киберпреступники для выдачи себя за другого пользователя, техники обхода UAC и выполнения произвольного кода с максимальными правами, а также разберем, как обнаружить все эти действия злоумышленников в PT Sandbox. Подробнее читайте под катом.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 4.7K
Comments 0

Компьютер заBIOSает? Изучаем буткиты

Positive Technologies corporate blog Information Security *Programming *Reverse engineering *Software

Самый популярный совет в случае, если что-то идет не так или работает медленно, ― перезагрузить компьютер. Вторая по популярности рекомендация ― переустановить ОС, чтобы избавиться от вирусов. Если не помогает ни первое, ни второе, то вам «повезло»: ваш компьютер инфицирован вредоносным ПО опаснейшего класса, которое называется буткит.

Мы начали погружение в тему буткитов и рассмотрели обширную группу так называемых legacy-буткитов (подробнее об этом рассказали на вебинаре от команды PT Expert Security Center «Компьютер заBIOSает? Изучаем буткиты»). Ответили на вопрос, почему вредоносы, нацеленные на системы на базе Legacy BIOS, все еще актуальны, поговорили о наиболее известных представителях буткитов, а также рассказали, как они работают, какие преследуют цели и применяют техники.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 6.7K
Comments 4

Как буткиты внедряются в современные прошивки и чем UEFI отличается от Legacy BIOS

Positive Technologies corporate blog Information Security *Programming *Reverse engineering *Software

Привет, Хабр! На связи Антон Белоусов и Алексей Вишняков, и мы продолжаем вместе с вами изучать буткиты — наиболее опасный класс вредоносного ПО. Гонка вооружений между разработчиками решений в области ИБ и вирусописателями не останавливается ни на секунду: первые активно внедряют новые механизмы противодействия киберугрозам, а вторые — инструменты их обхода. Как раз с точки зрения безопасности нас заинтересовал современный стандарт предзагрузки операционных систем UEFI. Поэтому в этом посте мы решили:

разобраться, чем загрузка в режиме UEFI отличается от загрузки в режиме Legacy BIOS;

рассказать о новых экземплярах буткитов, нацеленных на компрометацию UEFI;

выяснить, похожи ли они на своих предшественников (обширную группу так называемых legacy-буткитов мы подробно изучили в прошлый раз);

рассмотреть используемые злоумышленниками техники и слабые места систем на платформе UEFI.

Подробнее
Total votes 4: ↑4 and ↓0 +4
Views 7.9K
Comments 6
1