Pull to refresh

На Yahoo и Google стало меньше клик-фрода

Lumber room
Почти на один процент (если быть точным, то на 0,9%) снизилось количество мошеннических кликов в поисковых системах Yahoo и Google, составив 11,9% в третьем квартале этого года против 12,8% во втором. В то же время в поисковиках «второго эшелона» этот же показатель возрос с 20,3% до 23,2%.

Таковы результаты свежего отчета, представленного аналитической компанией Click Forensics.

Между тем рекламодатели жалуются на то, что Yahoo и Google предоставляют им совсем небольшой «кредит» на мошеннические клики — менее 10%. Таким образом компании теряют прибыль, однако проблема вряд ли решится в скором времени.
Rating 0
Views 267
Comments 0

Криминалистическая экспертиза зараженных TDL4 компьютеров

ESET NOD32 corporate blog
Началось все с того, что в начале прошлого лета у нас появился ряд задач, связанных с быстрым извлечением скрытого контейнера файловой системы руткита Win32/Olmarik, тогда еще в версии TDL3. Немного поразмыслив, мы разработали первую версию утилиты TdlFsReader, которая справляется с TDL3 и TDL3+. Через какое-то время она была опубликована в свободном доступе и многим помогла в задачах криминалистических экспертиз. Однако в конце лета появилась четвертая версия данного руткита, которая имела уже принципиальные отличия в файловой системе: теперь это уже больше походило на полноценную файловую систему.

image
Читать дальше →
Total votes 28: ↑22 and ↓6 +16
Views 12K
Comments 7

Duqu: история Stuxnet продолжается…

ESET NOD32 corporate blog
На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 7.2K
Comments 5

Форензика. Компьютерная криминалистика. Н.Н. Федотов

Information Security *
image

Уважаемые хабраюзеры!

Позвольте порекомендовать вам единственную и по-настоящему стоящую книгу по тематике компьютерной криминалистики на русском языке.

Аннотация говорит сама за себя:
Читать дальше →
Total votes 87: ↑76 and ↓11 +65
Views 17K
Comments 70

Как я учил Африканцев из ЮАР защищать SAP

Digital Security corporate blog Information Security *
Открываем рубрику Infosectravel, — будем писать заметки о поездках на конференции и выставки по ИБ по всему миру таких как Кувейт, Африка, Австралия и т.д. Хотя и европейские и американские ивенты такие как BlackHat и Confidence и прочие тоже без внимания не оставим.

Приветствуем пожелания и замечания. Формат совсем новый, хотя пара попыток уже была (Кувейт, BlackHat, Confidence) и сами не знаем пока, что получится в итоге.

Случилось так, что на майские праздники я поехал отнюдь не отдыхать в Турцию, а работать в Африку :)
В двух словах, с 7 по 9 мая в Йоханнесбурге — столице ЮАР — проходила международная выставка-конференция по безопасности ITWEB. В этом году мы решили принять в ней активное участие, выступить с докладом да и пообщаться с клиентами, которых не часто увидишь воочию. Поездка казалась тем более заманчивой, что мои коллеги по причине повышенной криминальной обстановки региона ехать отказались.

Первые впечатления

Первое, что я увидел, заселившись в гостиницу, было ЭТО. Простите за качество фотографии — использовал для съемки то, что было под рукой.
image

Отлично, новый маклерен. А я слышал, в Африке дети голодают… Потом были мазератти и бентли, но это было уже не так эпично.
Читать дальше →
Total votes 47: ↑37 and ↓10 +27
Views 44K
Comments 61

Анализ Simplelocker-a — вируса-вымогателя для Android

Pentestit corporate blog Information Security *Reverse engineering *


Добрый день уважаемые хабрачитатели, сегодня специалисты нашей компании хотели бы представить вашему взору разбор одного попавшегося не так давно нам на глаза Android вируса, если можно его так назвать, SimpleLocker. Для того, чтобы узнать о нём побольше, мы проделали немалую работу, которою в общем можно разбить на 3 шага:

Шаг 1. Анализ манифеста и ресурсов
Шаг 2. Декомпиляция приложения
Шаг 3. Анализ кода
Читать дальше →
Total votes 18: ↑11 and ↓7 +4
Views 14K
Comments 4

Forensic system administration

Webzilla corporate blog System Analysis and Design *
Среди всех служебных обязанностей системного администратора, самой интересной, сложной и продуктивной, на мой взгляд, является детективная работа по мотивам случившегося «инцидента». При этом, в отличие от реальной криминологии, системный администратор сам себе одновременно и детектив, и эксперт по вещественным доказательствам.

Я сейчас исключаю из рассмотрения инциденты с осмысленным злым умыслом, это отдельный топик. Речь про стихийные проблемы (сервер упал/завис, виртуальная машина начала тормозить а потом перестала, приложение потеряло 100500 транзакций и считает, что всё хорошо).

Суть происшествия


Иногда она тривиальная («самопроизвольно перезагрузился сервер», или «упал самолёт»). Иногда она крайне трудная для объяснения («клиенты жалуются что у не получается поменять регион», при этом все сотрудники с клиентскими аккаунтами регион поменять могут). Чаще всего, чем дальше от системного администратора источник жалобы, тем более размытой становится жалоба: «клиент говорит, что после заказа в интернет-магазине плюшевого медведя он не может поменять регион на IE7 при использовании LTE-коннекта через USB-модем, а ещё он получает 500ую ошибку при попытке отменить операцию и нажатии „назад“).

Ещё более сложным является случай, когда несколько проблем сливаются вместе: „сервер внезапно перезагрузился, а на другом сервере был таймаут работы с базой данных, а клиенты в это время писали, что у них не грузятся картинки“. Сколько тут проблем? Одна, две, три, а может и больше? Какие из проблем надо молча объединить (база данных и отсутствие картинок), а какие надо учитывать раздельно? А если в этот момент ещё придёт жалоба, что пользователь не может залогиниться в систему — это обычное „забыл пароль“ или тоже симптом? А если таких пользователей два? Или кто-то мимоходом говорит, „что-то у меня почта не проходит“?

Подсознательно в момент начала проблем, каждая новая жалоба тут же объединяется с существующими (и может завести не туда), плюс резко увеличивает стресс из-за того, что приходится думать не о трёх симптомах, а о восьми, например. А в голове хорошо только семь удерживаются. Но в то же время в моей практике бывало так, что пришедший „новый“ симптом с лёгкостью приводил к сути проблемы и её устранению…… за вычетом того, что серьёзная проблема (с которой всё началось) не имеет никакого отношения к радостно и быстро починенной ерунде. А время потрачено.

Простого совета для такой ситуации нет. В сложных ситуациях я обычно выписываю всё, что слышу и замечаю, не анализируя, но фиксируя время.

То есть журнал (в sticky notes) выглядит так:
  • Мониторинг сработал на srv1 (22:05)
  • (имя) сказал про проблемы с почтой (22:07)
  • Не могу залогиниться на srv12 (22:08)/refused — Зашёл 22:16, dmesg чисто, аптайм большой
  • Не могу залогиниться на srv13 (22:10) (timeout) — отвалился офисный wifi (22:11)
  • Не открывается панель (22:12)
  • Саппорт пишет, что клиент жалуется, что ничего не работает, 22:15

Не стоит увлекаться (не время печатать), но симптомы стоит выписывать. Один это случай или несколько, важные это симптомы или нет, станет понятно потом. Я обычно начинаю выписывать примерно после третьего отвлекающего обращения.

Вторым аспектом проблемы является доказательство существования проблемы. Самая ненавистная фраза, которой не удаётся избежать:

У меня всё работает


После того, как Энийские Авиалинии пожаловались производителю на то, что самолёты иногда падают, разработчик проверил, что самолёты взлетают/садятся и закрыл тикет с 'Unable to reproduce'. Сотрудники поддержки Энийских Авиалиний продолжают собирать статистику по падению самолётов и пытаются научиться воспроизводить падение в лабораторных условиях.

Читать дальше →
Total votes 29: ↑26 and ↓3 +23
Views 17K
Comments 6

Восстанавливаем локальные и доменные пароли из hiberfil.sys

Information Security *
Sandbox
Утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.

Подготовка


Для осуществления задуманного нам понадобятся следующие утилиты:
Читать дальше →
Total votes 74: ↑73 and ↓1 +72
Views 107K
Comments 60

Forensic VS шрёдер: получение доступа к удаленным файлам

НеоБИТ corporate blog Information Security *Entertaining tasks CTF *
Основой одного из заданий online-этапа NeoQUEST-2016 стала форензика, а именно — работа со средствами восстановления предыдущего состояния разделов Windows. Профессионалы знают и часто пользуются при пентестах или расследовании инцидентов информационной безопасности возможностями данной технологии.

Многим известная Volume Shadow Copy – служба теневого копирования томов, впервые появившаяся в ОС Windows Sever 2003. Она позволяет делать и восстанавливать моментальные снимки файловой системы (снепшоты), в том числе и системного раздела. Также прошлые снепшоты раздела могут быть подмонтированы в букву диска или в папку, как и обычный раздел. Таким образом, удается получить доступ к предыдущему состоянию системы вместе со ВСЕМИ файлами, в том числе и к файлам, в настоящий момент удаленным с этого раздела. Все эти свойства Volume Shadow Copy могут быть использованы специалистами по информационной безопасности следующими способами:
  1. Доступ и копирование занятых системой или пользовательскими приложениями файлов (БД паролей приложений, почтовые ящики Outlook, Thunderbird, БД Active Directory).
  2. Доступ и копирование удаленных файлов (в том числе и надежно затертых шредером).
  3. Сокрытие исполняемых файлов и модулей вредоносного бэкдора (делается снимок файловой системы, в котором они присутствуют, после чего они удаляются с текущего раздела, оставаясь в теневой копии).

На использовании возможности из второго пункта и было основано решение задания на форензику NeoQUEST. Подробнее — под катом!
Читать дальше →
Total votes 13: ↑11 and ↓2 +9
Views 11K
Comments 0

Средства сбора данных в компьютерно-технической экспертизе

Information Security *

forensics data acquisition


В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.

Читать дальше →
Total votes 20: ↑17 and ↓3 +14
Views 33K
Comments 30

CTFzone write-ups – First comes Forensics

BI.ZONE corporate blog Information Security *CTF *


Прошло несколько дней после окончания CTFzone от компании BI.ZONE, а наши смартфоны до сих пор разрываются от уведомлений Telegram – чат с участниками битвы после конференции стал еще более оживленным. По отзывам игроков, многие задания CTFzone были очень нестандартными и действительно непростыми. Во время соревнования мы пообещали участникам, что, как только наши разработчики отоспятся и придут в себя, мы выложим райтапы для всех заданий в нашем блоге.

Начнем мы с направления Forensics, и в этой статье представляем вам решения на все таски – от задания на 50 до 1000. Мы знаем, что hackzard опередил нас и уже выложил райтапы к заданиям на 50 и 100, но с более крутыми тасками будет сложнее ;)
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views 9.6K
Comments 2

SHA2017 CTF: Нужно больше трафика

Information Security *CTF *
Tutorial


Всем доброго времени суток. Только что подошел к концу SHA2017 CTF и в этой статье, я бы хотел рассмотреть решение одного интересного таска Abuse Mail (300) из раздела Network.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 9.3K
Comments 1

Дампим память и пишем maphack

Qt *Reverse engineering *
Sandbox

image


В один из вечеров школьного лета, у меня появилась потребность в мапхаке для DayZ Mod (Arma 2 OA). Поискав информацию по теме, я понял, что связываться с античитом Battleye не стоит, ибо нет ни знаний, ни опыта для обхода защитного драйвера ядра, который вежливо расставил кучу хуков на доступ к процессу игры.


DayZ одна из немногих игр, где расположение важных для игрового процесса объектов, меняется не часто и сохраняется после перезахода(базы не двигаются, большинство техники тоже много времени стоит на месте). Этот факт открывает возможность атаки через дамп оперативной памяти.

Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 10K
Comments 4

Нарушения безопасности мобильных приложений как результат недостаточного внимания компаний-разработчиков

Перспективный мониторинг corporate blog Information Security *Development for iOS *Development of mobile applications *Development for Android *

Во второй половине 2017 года в Google Play разработчики загружали примерно по 2800 приложений каждый день. По AppStore данные пока не удалось найти, но вряд ли во много раз меньше. Каждое из этих приложений содержит определённое количество данных (data), которые хранятся или передаются через сотовые и Wi-Fi-сети.


image
Источник


Очевидно, что данные мобильных приложений являются основной целью злоумышленников: они не только крадут их, но и манипулируют ими в своих собственных интересах. Это также сопряжено с рядом проблем, таких как поддельные и альтернативные (часто ненадёжные) приложения, вредоносное ПО, утечка данных, слабозащищённые данные или ошибки защиты данных, а также инструменты для получения доступа к данным и их дешифровке.

Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 3.7K
Comments 1

Безопасность IoT. Выпуск 1. Умные часы, фитнес-трекеры и весы

Перспективный мониторинг corporate blog Information Security *Development of mobile applications *IOT

В своей прошлой статье я рассказывал, как съездил на DefCamp. Сегодняшняя статья — первая часть публикации о моих исследованиях в области безопасности интернета вещей, которые легли в основу выступления на конференции.

IoT быстро развивается: сейчас насчитывается более 260 компаний, включая «умные» города, заводы, шахты, нефтяные предприятия, предприятия розничной торговли, здравоохранение, образование и многое другое. В цикле публикаций будут освещены только направления носимой техники, умной медицины и умного дома, включая мобильные приложения.

Сегодня умная техника начинает обретать больший смысл, нежели подключение Bluetooth-гарнитуры к телефону, и становится обычным явлением, что говорит о понимании, с какой целью умная техника используется и какие сценарии позволяет автоматизировать.

Плохая новость — многие из этих новых устройств являются мишенями для атак. При этом вопросы безопасности или же решались задним числом или не решались вообще из-за отсутствия поддержки старых устройств. Подобные устройства представляют серьёзный риск для инфраструктуры (домашней или предприятия), если ими не управлять должным образом. Поэтому ниже рассмотрим, ряд вопросов, связанных с безопасностью умных вещей, доступными методами и инструментами взлома, а также особенностями обработки и защиты данных. Целью исследований является не выполнение или описание методик «взлома под ключ», а обзор подходов, которые в тех или иных условиях могут привести к доступу к данным, а также обзор ситуаций, где разработчики по какой-то причине решили не защищать пользовательские данные. Материалы представлены обзорно (полную информацию можно найти на официальном сайте.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 6.2K
Comments 1

Digital Forensics Tips&Tricks: Local User Accounts Membership

Information Security *
During the digital forensics analyze process, you may need to find out a local (non-domain) user accounts membership in built-in groups. For example in case when you checking some objects' ACLs which contain permissions only for local security groups.

I've tested a several system registry analyzers but didn't find at least one tool with such function. BTW if you know about such app, please write a it's name in comments.

So, I tried to understand how to check a user account membership manually and here is the solution. All you need is any of hex editors and patience of course :)
Читать дальше →
Total votes 16: ↑12 and ↓4 +8
Views 2.4K
Comments 1

Digital Forensics Tips&Tricks: How to Detect an Intruder-driven Group Policy Changes

Information Security *
First of all let's remember a standart group policy precedence: Local — Site — Domain — Organisation Unit (LSDOU). From less specific level to more specific. It means that Local GPO settings will apply first, then Site-level, Domain-level etc. And the last applied (OU GPO) settings have the highest precedence on the resulting system. However, if a domain administrator didn't set some settings in the higher-level GPOs (e.g. Enable/Disable Windows Defender service) but the same settings have been configured on the Local-level GPO — the last ones will be apply. Yes, even the machine is a domain member.

The Local GPO files are located in %systemroot%\System32\GroupPolicy hidden folder and, of course, it has two scopes (located in subfolders): for User and for Computer. Any user (here I mean a «bad guy» of course), having access to this folder(s), can copy a Registry.pol file and check/change a Local GPO settings. An intruder can use a third-part apllication, such as a RegPol Viewer:

image

Read more →
Total votes 16: ↑15 and ↓1 +14
Views 4.7K
Comments 0

Безопасность IoT. Выпуск 2. Умный дом

Перспективный мониторинг corporate blog Information Security *Development of mobile applications *IOT


Умный дом представлен широком набором устройством. Во второй части цикла публикаций о безопасности IoT будут рассмотрены умные ТВ приставки, умная кухня, голосовые помощники и освещение. Ссылка на 1 часть.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 4.5K
Comments 1

Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики

Group-IB corporate blog Information Security *Software


Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.
Читать дальше →
Total votes 24: ↑22 and ↓2 +20
Views 45K
Comments 55