Pull to refresh
  • by relevance
  • by date
  • by rating

Руткит руткитом вышибают

Information Security *
Выпускники Массачусетского Технологического Института (MIT) из компании Verdasys предложили оригинальный, по их мнению, метод защиты ценной информации на ПК от различного рода труднообнаружимых троянов, кейлогеров, сниферов и тому подобной чертовщины. Суть метода заключается в применении собственного пакета утилит, который «заползет» в систему глубже, чем любая злонамеренная программа, и сможет удерживать защищенный канал связи, даже когда компьютер уже безнадежно заражен.

Пакет SiteTrust Verdasys намерена распространять по OEM-каналам. Например, вместе с набором ПО, который предоставляют своим клиентам банки. В этом случае, в момент, когда клиент заходит на страничку своего аккаунта в системе интернет-банкинга, SiteTrust запускает копию браузера, как процесс под своим управлением, отделяя важные транзакции от других потоков данных. Всю вводимую пользователем информацию SiteTrust снимает напрямую с клавиатуры и зашифровывает.
Читать дальше →
Total votes 25: ↑23 and ↓2 +21
Views 820
Comments 28

Найдена возможность заражения BIOS

Information Security *
Еще раз миру доказано что нет ничего не возможного, особенно в сфере высоких технологий. Двое специалистов по компьютерной безопасности из Аргентины Альфредо Ортега и Анибал Сакко на конференции по комбезу CanSecWest продемонстрировали широкой аудитории метод помещения вредоносного кода в BIOS!
Читать дальше →
Total votes 159: ↑140 and ↓19 +121
Views 7.4K
Comments 106

Патч руткиту не товарищ!

ESET NOD32 corporate blog
Во вторник, на прошлой неделе, вышло внеплановое обновление от Microsoft, под номером MS10-015 . Данный патч устранял уязвимость, которая позволяет локально повысить свои привилегии, и вносил модификации непосредственно в ядро ОС. Это обновление повлекло довольно непредвиденные последствия — некоторые пользователи испытывали проблемы после его установки. А конкретнее, после перезагрузки системы, которая требуется для установки этого обновления, стала проявляться критическая ошибка в одном из системных драйверов, которая в дальнейшем демонстрировала BSoD.

image
Читать дальше →
Total votes 56: ↑43 and ↓13 +30
Views 17K
Comments 34

100% Virus Free Podcast #3

Lumber room
image

Темами сегодняшнего выпуска стали:

■ Обновление от MS, несовместимое с руткитом TDSS
■ Экономика бесплатных антивирусов
■ Сайт Колумбийского правительства атакует пользователей
■ Кибермошенник осужден на 13 лет за махинации с пластиковыми картами
■ Уязвимость в Google Buzz
Читать дальше →
Total votes 16: ↑3 and ↓13 -10
Views 187
Comments 1

TDL4 – первый полноценный руткит для x64 систем (Win7, Vista …)

ESET NOD32 corporate blog
В конце прошлой недели была обнаружена принципиально новая версия нашумевшего руткита TDL3 (есть некоторые факты позволяющие утверждать, что этот зверь появился даже несколько раньше), основной особенностью этой версии стала полноценная поддержка x64 систем.

TDL4 удаётся успешно обходить защитный механизм проверки цифровой подписи в х64 версиях windows-систем. Авторы TDL4 применили довольно изящный способ обхода, который заключается в использовании техник заражения MBR и старта вредоносного кода раньше самой операционной системы. Подобные методологии уже активно применялись такими вредоносными программами, как Mebroot, StonedBoot и др.

Последней распространенной версией TDL3, о которой мы проводили летом подробное исследование, была 3.273. Сейчас отcчет версий ведется с начала, и рассматриваемая в статье версия идет под номером 0.02 (версию можно увидеть в конфигурационном файле бота). Столь странный номер версии наводит на мысли, что авторы пока только отлаживают новые технологии, появившиеся в этой версии, и в дальнейшем нас ожидает что-то более интересное. С точки зрения функционала принципиальных изменений, кроме нового способа инсталляции драйвера через заражение MBR и небольших изменений в скрываемой файловой системе, мы не заметили. Драйвер очень похож на то, что мы уже видели в TDL3 и, вероятнее всего, был просто пересобран с учетом особенностей х64 систем. Предыдущая версия руткита использовала для загрузки вредоносного функционала механизм инфицирования системных драйверов без изменения их размера, но так как в х64 системах при загрузке драйвером проверяется цифровая подпись, злоумышленники от этого механизма отказались.

Итак, теперь заражение осуществляется следующим образом:
Читать дальше →
Total votes 58: ↑53 and ↓5 +48
Views 17K
Comments 56

Ботнет TDL4 сдаётся в аренду?

ESET NOD32 corporate blog
Не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4 (Win32/Olmarik.AOV). Если кто не в курсе, данному руткиту удаётся удерживать звание самой технологичной массовой вредоносной программы вот уже на протяжении нескольких лет. Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах.

Дело в том, что после своей успешной установки, некоторые экземпляры этого руткита устанавливают в систему троянцев из семейства Win32/Glupteba. Это наводит на мысли о том, что ресурсы данного ботнета начали сдавать в аренду. Так же интересно, что нет дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4.
Читать дальше →
Total votes 51: ↑48 and ↓3 +45
Views 14K
Comments 19

Скрипт LizaMoon найден уже на 500 тысячах сайтов

Information Security *


Еще 31 марта во многих интернет-сми, в том числе, и на Хабре, появилась новость о том, что эксперты обнаружили массовую SQL-инъекцию вредоносного скрипта LizaMoon. На тот момент количество зараженных сайтов достигало около 200 тысяч. На днях команда специалистов провела повторный поиск (собственно, ничего сложного — специалисты использовали поиск Google для обнаружения зараженных сайтов). В результате выяснилось, что эпидемия не пошла на спад, наоборот — уже 1 апреля около полумиллиона сайтов содержали этот скрипт.

Читать дальше →
Total votes 68: ↑50 and ↓18 +32
Views 678
Comments 62

Теория о сокрытии процессов руткитами (DKOM)

Information Security *
В данной статье мы попробуем рассмотреть в теории один из самых серьезных методов сокрытия информации руткитами, а именно прямая манипуляция объектами ядра (Direct Kernel Object Manipulation, DKOM), применяемая для сокрытия процессов от операционной системы в целом. Если Вы скрипт-кидди, то читайте «скрываем процессы в винде!».
Читать дальше →
Total votes 78: ↑51 and ↓27 +24
Views 3K
Comments 16

Эволюция руткита TDL4 или полевые сводки последних месяцев

ESET NOD32 corporate blog
Мы уже давно ведем пристальное наблюдение за TDL4, а также за ботнетами, основанными на этом семействе руткитов. Но в последнее время особенно интересно было наблюдать за выходом исправлений со стороны Microsoft для блокирования методов загрузки неподписанных драйверов для x64 систем, использованных для установки Win64/Olmarik.

Начнем издалека, итак в апрельский день Х помимо всех остальных вышло исправление KB2506014, задачей которого было внести несколько изменений в модуль winloader.exe для x64 версий ОС и таким образом противодействовать загрузке не подписанных драйверов. До установки патча BCD (Boot Configuration Data) имеет три различных опции загрузки:

BcdLibraryBoolean_DisableIntegrityCheck – принудительное отключение проверки (чаще всего используется для отладочных целей);
BcdOSLoaderBoolean_WinPEMode – отключение в режиме установки или восстановления ОС
BcdLibraryBoolean_AllowPrereleaseSignatures – разрешить загружать модули имеющие тестовую цифровую подпись
Читать дальше →
Total votes 28: ↑27 and ↓1 +26
Views 10K
Comments 5

За год количество спама снизилось на 82,22%

Lumber room


В общем-то, неплохая новость: сейчас спама рассылается намного меньше, чем год назад. Для того, чтобы получить наглядное представление о сказанном, ниже представлен соответствующий график. Интересно, что в июле 2010 года количество спам-сообщений составляло 225 миллиардов, в июне 2011 аналогичный показатель составил «лишь» 40 миллиардов.

Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views 201
Comments 52

Легальные буткиты

«Лаборатория Касперского» corporate blog
Умница Русаков, которого многие до сих пор ошибочно называют РусТОКов, написал очередную статью на www.securelist.ru. И опять — про руткит-технологии. Впрочем, в этой статье не упоминается ни TDL 4, ни какая-либо другая вредоносная программа. Потому что статья — про опасности использования неаккуратно реализованных руткит-технологий в легальных продуктах, о чем автор прямо сообщает во введении. Кстати, за введение ему отдельное спасибо, потому что без него неподготовленный читатель вообще бы ничего не понял — несмотря на то, что в тексте довольно много картинок.

Для начала автор с подозрительной прозорливостью придумывает несколько случаев той самой неаккуратной реализации, которая могла бы позволить злодеям использовать легальные драйверы, протекторы, крипторы и классические анти-руткиты в своих злодейских целях. Ему практически удается убедить читателя, что легальный подписанный драйвер представляет потенциальную угрозу безопасности, в том случае, если руткит-технологии реализованы в нем с тщательностью российского автопрома. Мало того, с подозрительной осведомленностью утверждая, что и по ту сторону баррикад не дураки имеются, автор запугивает читателей возможностью злодеев разобрать им же самим придуманную небрежную реализацию драйвера режима ядра по косточкам и полученные таким варварским способом знания опять же — использовать в злодейских целях.

image
«Однако нами была обнаружена аномалия — подмена MBR при чтении. Подмена реализуется фильтр-драйвером дискового стека» (Comodo Time Machine).
Читать дальше →
Total votes 25: ↑13 and ↓12 +1
Views 5.3K
Comments 14

Гипервизор против руткитов: как это работает

Information Security *
В последнее время наша компания разрабатывала детектор руткитов на базе аппаратной виртуализации. Проект задумывался с целью разобраться, как можно использовать новые возможности процессоров Intel и AMD для информационной безопасности. После нескольких итераций мы остановились на вполне работоспособном методе детектирования руткитов. О нем и пойдет речь.
Читать дальше →
Total votes 37: ↑33 and ↓4 +29
Views 11K
Comments 5

Microsoft обновляет старые версии Skype вне зависимости от желания пользователей

Instant Messaging *
Верный, старый Скайп обновился, считайте — только что предал меня. Год назад я отключил обновления. В какой-то момент новые улучшеные уродливые смайлы и увеличивающийся с каждой версией объем потребляемой памяти вынудили отключить обновление. Это случай когда старое лучше нового.

Выглядело это так: вдруг я услышал звук выхода из скайпа. Никаких диалоговых окон.
Запустил по новой и вот он новый Скайп!
Тень сомнения пробежала по извилинам — и точно — дрянь пролезла через Windows Update!
А ведь моя версия Скайпа была выпущена еще до покупки Майкрософтом.

Одно дело если бы оно пришло вместе с обычными обновлениями, которые накатываются с перезагрузкой.
Этот же метод смахивает на установку руткитом «полезного» ПО.



Напрашивается вывод
Total votes 98: ↑38 and ↓60 -22
Views 28K
Comments 61

Новый руткит для 64-разрядной системы Linux: внедрение iframe

«Лаборатория Касперского» corporate blog
Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.
image
Читать дальше →
Total votes 38: ↑27 and ↓11 +16
Views 17K
Comments 107

Руткиты: проблемы безопасности и тенденции развития

Журнал Хакер corporate blog Information Security *
В настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.



Основные тенденции в компьютерной безопасности


Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.

Читать дальше →
Total votes 49: ↑39 and ↓10 +29
Views 28K
Comments 14

Установка, настройка и использование сканера уязвимостей chkrootkit

FirstVDS corporate blog Information Security *
Tutorial
В предыдущей моей публикации про сканер уязвимостей rkhunter в комментариях хабрапользователем Indexator был упомянут сканер chrootkit. При схожем функционале c rkhunter, есть ряд отличий, который будет интересно рассмотреть в этой статье. Интересно также то, что совсем недавно была выпущена новая версия сканера, разработка которого казалась замороженной c 2009 года.


Читать дальше →
Total votes 28: ↑23 and ↓5 +18
Views 22K
Comments 0

Эволюция вирусов: от студенческих забав до нарушения работы ядерной программы Ирана

360 Total Security corporate blog Information Security *
Компьютерные вирусы могут доставить немало проблем. Если какие-нибудь рекламные баннеры на рабочем столе просто раздражают, то пропажа денег с электронных счетов и банковских карт – это уже в прямом смысле удар по кошельку. Но антивирусы все равно не дают стопроцентную защиту, и определенный риск заражения компьютера по-прежнему остается. Сегодня мы вспомним историю вирусов, а заодно изучим разницу между троянами, руткитами и червями.


Читать дальше →
Total votes 20: ↑16 and ↓4 +12
Views 15K
Comments 4

Доверенная загрузка Шрёдингера. Intel Boot Guard

Digital Security corporate blog Information Security *Reverse engineering *UEFI *

Предлагаем вновь спуститься на низкий уровень и поговорить о безопасности прошивок x86-совместимых компьютерных платформ. В этот раз главным ингредиентом исследования является Intel Boot Guard (не путать с Intel BIOS Guard!) – аппаратно-поддержанная технология доверенной загрузки BIOS, которую вендор компьютерной системы может перманентно включить или выключить на этапе производства. Ну а рецепт исследования нам уже знаком: тонко нарезать реверс-инжинирингом имплементацию данной технологии, описать её архитектуру, наполнив недокументированными деталями, приправить по вкусу векторами атак и перемешать. Подбавим огня рассказом о том, как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику использовать эту технологию для создания в системе неудаляемого (даже программатором) скрытого руткита.

Кстати, в основе статьи – доклады «На страже руткитов: Intel BootGuard» с конференции ZeroNights 2016 и 29-й встречи DefCon Russia (обе презентации здесь).
Читать дальше →
Total votes 57: ↑57 and ↓0 +57
Views 45K
Comments 35

Атака клонов: Современные технологии ботовождения

Robotics
«Сейчас вы напишите самую сложную в своей жизни программу, которая будет просто складывать два числа»
Рыжова Ирина Михайловна


Интеллектуально-азартные онлайн-игры – лакомый кусок для ботоводов. Даже если разработчики игрового софта тратят большие деньги на отлов ботов, – как в онлайн покер-румах, например – всё равно велика вероятность наткнуться на «умного бота», игра с которым будет в одни ворота. Особенно, если бот абсолютное неуязвим… Ибо никакие деньги не защитят систему, через которую проходят большие деньги.


Рис. 1. Ботоводы наступают


Скрытая угроза


Интеллектуально-азартные онлайн-игры – небезопасны. В особенности небезопасны те из них, где вращаются живые деньги. Их небезопасность проявляется прежде всего в том, что невозможно знать наверняка, с кем играешь: с живым человеком, или же с – ботом. Во втором случае игра будет в одни ворота. В играх «на интерес», – шахматы и шашки на маил.ру, к примеру, – владельцы онлайн-игр смотрят на ботовождение сквозь пальцы. В многопользовательских онлайн-играх, где в какой-то степени фигурируют живые деньги, отлову ботов уделяется несколько большее внимание. Однако даже если подходить к пресечению ботоводства в высшей степени серьёзно – как это например сделано в онлайн покер-румах – всё равно велика вероятность наткнуться на бота.

Разработчики софта для игры в покер тратят большие деньги на разоблачение ботов, и тем не менее, ботоводство в онлайн-покере процветает. Ибо никакие деньги не смогут защитить систему, через которую проходят большие деньги. Ботоводы и ловцы ботов, – анализируя уловки оппонентов и принимая соответствующие контрмеры, – попеременно одерживают победу. Кто-то может думать, что битве между ними никогда не будет конца. Однако, существует схема безопасного ботовождения, перед которой ловцы ботов – пасуют. Она интересна тем, что даже если «борцы за справедливость» будут иметь на руках подробно прокомментированные исходные коды бота, они не смогут установить факт его использования. Реализация данной схемы – мероприятие дорогостоящее, однако поскольку потенциальная выгода велика, схема вполне актуальна.

Читать дальше →
Total votes 13: ↑9 and ↓4 +5
Views 12K
Comments 7

Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 5

Information Security *

Обход защиты (Defense Evasion)


Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)
Часть 9. Сбор данных (Collection)
Часть 10 Эксфильтрация или утечка данных (Exfiltration)
Часть 11. Командование и управление (Command and Control)

В разделе «Обход защиты» описываются техники, с помощью которых злоумышленник может скрыть вредоносную активность и предотвратить своё обнаружение средствами защиты. Различные вариации техник из других разделов цепочки атаки, которые помогают преодолеть специфические средства защиты и превентивные меры, предпринятые защищающейся стороной, включены в техники обхода защиты. В свою очередь, техники обхода защиты применяются во всех фазах атаки.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 5.1K
Comments 1
1