Разработчики известного сервиса антивирусного онлайн-сканирования VirusTotal внедрили специальные механизмы обнаружения вредоносных программ, которые могут располагаться в прошивке компьютера (firmware). Теперь отчеты о сканировании таких файлов содержат различную информацию о потенциальном производителе прошивки, необходимые идентификаторы исполняемых PE-файлов, которые хранятся в образе прошивки, а также информацию о цифровых сертификатах, использовавшихся для подписания этих файлов.



Известным примером вредоносной программы для прошивок UEFI является обнаруженный в прошлом году руткит Hacking Team. Успешная компрометация ОС на таком уровне представляет для злоумышленников весьма сложную задачу, но позволяет получить полный контроль над процессом запуска ОС на самом раннем этапе. Ниже указана информация, которую сервис предоставляет по образам прошивок. С ее помощью можно установить вероятность компрометации прошивки.

Специалисты израильской security-компании Perception Point сообщили об обнаружении опасной 0day уязвимости в ядре Linux с идентификатором CVE-2016-0728. Уязвимость относится к типу Local Privilege Escalation (LPE) и охватывает все версии и модификации Linux, в которых используется ядро версии 3.8 и выше. Как не трудно догадаться, с ее помощью атакующие могут поднять свои привилегии в системе до максимального уровня root. Эксплойт может быть использован в системе уже после того как атакующие получили к ней удаленный доступ и запустили его на исполнение. Он также может использоваться вредоносными программами для получения в системе максимальных привилегий.



На ядре Linux основана и одна из самых востребованных на сегодняшний день мобильных ОС — Android. Таким образом, те версии Android, которые используют ядро Linux указанных версий также подвержены данной уязвимости. Это относится к версиям Android KitKat (4.4-4.4.4) и выше.

Ранее мы писали о серии кибератак на промышленные объекты Украины с использованием трояна BlackEnergy. Одной из самых известных жертв трояна стала энергетическая компания «Прикарпатьеоблэнерго», которая снабжала электроэнергией Ивано-Франковскую область на западе Украины. Еще одной известной жертвой BlackEnergy стала компьютерная сеть аэропорта Борисполь, на одном из компьютеров которой также был обнаружен троян. Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.



В ведомстве также указали, что кибератакам подверглись «Киевоблэнерго», «Черновцыоблэнерго», «Хмельницкоблэнерго» и «Харьковоблэнерго». Украинская security-компания CyS Centrum, которая также занималась расследованием этих кибератак, в своем исследовании назвала в качестве жертв упоминавшийся аэропорт Борисполь, а также компанию «Международные авиалинии Украины», на компьютерах которых был обнаружен драйвер BlackEnergy.

Компания анонсировала в своем блоге информацию, согласно которой владельцы компьютеров с микропроцессором современной архитектуры Intel Core Skylake и установленной на них Windows 7 или Windows 8.1 досрочно лишаться возможности получать необходимые обновления. Пользователям таких ОС на микропроцессорах указанной архитектуры предлагается обновиться до Windows 10 в течение 18 месяцев. После июля 2017 г. не перешедшие на эту ОС пользователи будут лишены возможности получать обновления в полном объеме.



Microsoft указывает, что устройства на архитектуре Skylake под управлением Windows 10 работают гораздо эффективнее чем указанные версии Windows. Возможно, это стало одной из причин того, что компания досрочно прекратит их поддержку (т. н. best supported Windows experience) и, таким образом, будет стимулировать пользователей к переходу на новую ОС. После июля 2017 г. критические и прочие обновления для Windows 7 и 8.1 на Skylake будут доставляться только в том случае, если компания сможет обеспечить их «полную совместимость и надежность» с другими архитектурами.

В свободно распространяемом клиенте протокола SSH (OpenSSH) была исправлена опасная уязвимость с идентификатором CVE-2016-0777. Эта уязвимость относилась к типу Information Disclosure и присутствовала в клиенте OpenSSH версий 5.x, 6.x, и 7.x до версии 7.1p2. Она располагалась в функции resend_bytes файла исходного текста roaming_common.c и позволяла процессу на стороне сервера получить доступ к части памяти клиента с конфиденциальными данными, в том числе, с данными приватных ключей шифрования, которые используются клиентом в процессе организации защищенного подключения.



Уязвимость относится только к клиенту OpenSSH и не имеет отношения к его серверной части. Атакующий, который скомпрометировал легитимный SSH-сервер, может получить в свое распоряжение секретные приватные ключи клиента, используя настройку под названием roaming. Эта настройка по умолчанию активна для клиента и позволяет ему повторно подключиться к серверу после внезапного разрыва соединения, что и используется атакующими для эксплуатации.

Компания Microsoft выпустила обновления для своих продуктов, которые закрывают 25 уникальных уязвимостей (6 обновлений со статусом Critical и еще 3 Important). Обновлению подверглись различные компоненты и драйверы Windows, веб-браузеры Internet Explorer и Edge, Office, а также продукт Exchange Server. Обновления не закрывают каких-либо уязвимостей, которые использовались в кибератаках на пользователей. Для Internet Explorer и Edge было закрыто всего по две уязвимости.



В свою очередь, Adobe выпустила обновление APSB16-02, которое исправляет 17 уязвимостей в продуктах Reader и Acrobat, которые используются для просмотра и создания PDF-файлов. Большинство из закрытых уязвимостей позволяют атакующим удаленно исполнить код с использованием специального вредоносного файла PDF.

Компания Microsoft прекращает поддержку Windows 8 с завтрашнего дня (12 января). Прекращение поддержки обуславливается заранее фиксированной датой support lifecycle. Пользователи этой ОС могут перейти на актуальную версию ОС Windows 8.1 (обновление для Windows 8), обновиться до Windows 10 или же откатиться назад к Windows 7. После этой даты для Windows 8 перестанут выходить security и другие обновления, таким образом пользователи этой ОС останутся с пожизненными 0day уязвимостями в ней.



12-го числа компания выпустит набор обновлений patch tuesday, которые также коснутся и Windows 8. Это будет последний выпущенный для нее набор обновлений. Тогда же компания закончит поддерживать устаревшие версии веб-браузера Internet Explorer 7-10.

Google выпустила обновление безопасности для Android Nexus Security Bulletin — January 2016, которое закрывает 12 уязвимостей в этой мобильной ОС. Одна из исправленных уязвимостей CVE-2015-6636 (Remote Code Execution Vulnerability in Mediaserver) относится к типу Remote Code Execution (RCE) и позволяет злоумышленникам удаленно исполнить код с повышенными привилегиями в Android с использованием вредоносного мультимедийного файла. Для доставки этого файла может быть использовано MMS-сообщение или фишинговый веб-ресурс для браузера. Еще четыре критические уязвимости относятся к типу Elevation of Privilege (EoP) и позволяют атакующим повысить привилегии своего кода в системе до уровня ядра ОС.



Другие две уязвимости относятся к типу High, одна из них CVE-2015-6641 в компоненте Bluetooth позволяет атакующему подключиться по беспроводному подключению к устройству и получить доступ к личной информации пользователя. Другая уязвимость CVE-2015-6642 типа Information Disclosure в ядре позволяет обойти встроенные механизмы безопасности Android и получить повышенные привилегии в системе.

Вчера мы представили сведения о кибератаках на медийные компании Украины и промышленные объекты, в которых использовался троян BlackEnergy и новый компонент под названием KillDisk. KillDisk использовался для уничтожения файлов на скомпрометированных компьютерах и на выведении таких систем из строя. Кроме обзора возможностей двух этих вредоносных программ, нам удалось получить интересные сведения, которые связывают кибератаки с использованием BlackEnergy с недавними сообщениями в СМИ об успешных взломах энергетических систем на западе Украины, что привело к массовому отключению подачи электроэнергии.



По сообщениям СМИ, 23 декабря 2015 г. около половины жителей Ивано-Франковской области (с населением 1,4 млн.) на Украине остались без света на несколько часов. Новостной портал TSN указывает, что отключение электроэнергии было вызвано «хакерской атакой», в которой использовался «вирус».

BlackEnergy представляет из себя семейство вредоносного ПО, которое было активно начиная с 2007 года. В 2014 троян продолжил свою активность и вернулся в новой модификации (1,2). BlackEnergy был также активен в 2015 и использовался кибергруппой злоумышленников для атак на пользователей. Наши аналитики зафиксировали новую активность этого трояна, который использовался против медийных компаний Украины и предприятий электроэнергетики. С использованием трояна злоумышленники доставляли на компьютеры жертв специальный компонент KillDisk, специализирующийся на уничтожении файлов на диске.



Кроме BlackEnergy, кибергруппа использовала еще один инструмент для получения доступа к зараженным системам. Он представляет из себя SSH бэкдор. Мы продолжаем отслеживать деятельность BlackEnergy и фиксировать новые возможности этого трояна. За получением дополнительной информации или предоставлением таковой, отправьте нам сообщение на электронный адрес threatintel@eset.com.

Специалисты компании Emsisoft обнаружили вредоносную программу — вымогатель, которая написана на JavaScript. Она получила название Ransom32 и используется злоумышленниками для вредоносных кампаний, аналогичных распространению многих других семейств такого типа вредоносного ПО. Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.



Использование JavaScript делает вымогатель кроссплатформенным, он может использоваться как для Microsoft Windows, так и для Linux и Apple OS X. Ключевой особенностью Ransom32 является модель распространения этого вымогателя для киберпреступников. Она представляет из себя модель Software as a service (SaaS), при этом для получения доступа к административной панели управления вредоносной программой и ее генерации, им нужно всего лишь указать адрес своего кошелька Bitcoin.

Компания Microsoft опубликовала у себя в блоге информацию о дополнительных мерах по обеспечению безопасности пользователей. Она будет сообщать своим пользователям о том, что их аккаунты Microsoft, включая, Outlook.com и OneDrive были скомпрометированы лицом или группой лиц, относящихся к state-sponsored кибергруппе.



Microsoft указывает, что используемые state-sponsored кибергруппами методы компрометации пользователей отличаются своей сложностью от тех, которые используют простые злоумышленники, действующие из своих личных и корыстных интересов. Уведомление пользователя о компрометации не будет однозначно говорить о том, что аккаунт был скомпрометирован, но указывает на то, что компания зафиксировала подозрительную активность. Активность означает то, что пользователю необходимо предпринять дополнительные меры по своей защите и защите своих аккаунтов Microsoft.

Технология SmartScreen представляет из себя компонент безопасности Windows, который используется для защиты пользователя от запуска подозрительных исполняемых файлов и посещения вредоносных ресурсов. Компонент изначально появился для веб-браузера Internet Explorer 8 и позволял ему уведомлять пользователя о посещении сомнительных ресурсов на основе специальной пополняемой Microsoft базы данных. Начиная с Windows 8 этот компонент также стал неотъемлемой частью ОС, повышая безопасность ОС путем блокирования запуска сомнительных исполняемых файлов.



Несколько дней назад Microsoft анонсировала улучшение SmartScreen, которое направлено на блокирование атак типа drive-by download, столь популярных у злоумышленников на сегодняшний день. Такой тип атак позволяет злоумышленникам автоматически устанавливать вредоносное ПО на компьютер пользователя с помощью эксплойта, при посещении им скомпрометированного веб-сайта.

Время от времени, различные кампании по распространению вредоносных программ достигают достаточно высокого уровня активности в одной или нескольких странах в течение нескольких дней. В такие дни, те пользователи, которые не защищают свой компьютер должным образом становятся особенно уязвимыми. Мы наблюдали один из подобных сценариев на прошлой неделе, когда был зафиксирован огромный рост количества обнаружений трояна Nemucod.



Nemucod обычно используется злоумышленниками как загрузчик или даунлоадер для загрузки других вредоносных программ на компьютер пользователя и их последующей установки. Количество обнаружений было очень высоким как в отдельных странах, так и по миру в целом. Это указывает на то, что вредоносная кампания не была нацелена на конкретную страну, а использовалась для заражения максимального количества пользователей в разных странах мира.

Компания Microsoft выпустила набор обновлений для своих продуктов, исправив в них 71 уязвимость. Всего было выпущено восемь Critical-обновлений (рекордное для одного месяца количество) и четыре обновления со статусом Important. Обновлением MS15-127 компания исправила опасную уязвимость в Windows Server 2008+ с идентификатором CVE-2015-6125. Уязвимость use-after-free присутствовала в компоненте службы DNS-сервера (Dns.exe) и позволяла атакующим удаленно исполнять код с высокими правами в системе (LocalSystem) через отправку на сервер специальным образом сформированного DNS-запроса.



Исправлению также подверглись две уязвимости в драйвере win32k.sys и пакете Office, которые находятся на стадии активной эксплуатации злоумышленниками. Первая CVE-2015-6175 используется атакующими для получения прав SYSTEM в Windows, а вторая CVE-2015-6175 для удаленного исполнения кода с использованием специальным образом сформированного файла Office.

Специалисты компании FireEye опубликовали данные о бутките под названием BOOTRASH, который используется кибергруппой с названием FIN1. FIN1 прибегает к использованию различного вредоносного ПО под общим названием Nemesis для компрометации банков и платежных терминалов. FireEye указывает, что кибергруппа использует механизм заражения системы на уровне секторов жесткого диска, компрометируя известную структуру Volume Boot Record (VBR), в которой расположены структуры данных файловой системы и код загрузчика.



Так называемая платформа злоумышленников Nemesis включает в себя набор различных файлов и инструментов, включая кейлоггер, инструменты передачи файлов, захвата скриншотов и управления работающими процессами. Все эти инструменты используются злоумышленниками для кражи финансовой информации у банков и платежных терминалов.

Google выпустила обновление безопасности для Android Nexus Security Bulletin — December 2015, которое закрывает 19 уязвимостей в ОС. Некоторые из них являются достаточно серьезными и позволяют атакующим удаленно исполнить код на устройстве с использованием специальным образом сформированных мультимедийных файлов, причем эти файлы могут быть доставлены пользователю через электронную почту, веб-браузер или MMS-сообщение.



Уязвимость CVE-2015-6616 в системном компоненте Mediaserver позволяет злоумышленникам удаленно исполнить код с повышенными привилегиями на устройстве через отправку MMS-сообщения (Remote Code Execution). Другая критическая LPE-уязвимость в ядре с идентификатором CVE-2015-6619 позволяет приложению получить максимальные права root в системе и полный доступ ко всем ресурсам устройства. Подобный тип уязвимостей используется для выполнения операции rooting.

Компания ESET оказала помощь Microsoft, польскому CERT и правоохранительным органам по всему миру в ликвидации ботнета Dorkbot с привлечением механизма sinkhole для управляющих C&C-серверов этого ботнета. Мы хотим опубликовать обзорный технический анализ этой вредоносной программы, некоторую статистическую информацию по заражениям и информацию о C&C-серверах.



Для оказания необходимой помощи в ликвидации этого ботнета, нами был использован большой накопленный опыт в отслеживании данной угрозы и защиты от нее пользователей. Исчерпывающая информация об этой угрозе была представлена еще в 2012 г. исследователем ESET Pablo Ramos на конференции Virus Bulletin.

Компания Google выпустила в релиз 47-ю версию своего популярного веб-браузера Chrome. Кроме исправления большого количества уязвимостей в веб-браузере, для него добавили новую функцию, которая уже была реализована в бета-версии. Мы писали о ней еще в марте этого года. Речь идет о запрете на использование драйвера win32k.sys в sandboxed-процессах Chrome. Тогда она находилась в тестовом режиме и присутствовала только в бета версии.



В новую версию веб-браузера добавили специальную настройку под названием "Использовать закрытую среду Win32k для плагинов PPAPI Windows", которая позволяет указать плагины, надлежащие специальному контролю. Речь идет в первую очередь о плагинах Flash Player и PDF Reader, эксплойты для которых не являются редкостью. С выставленной настройкой, для sandboxed-процессов Chrome, в контекстах которых запускаются эти проигрыватели, будет включаться запрещение на использование win32k.sys.

Adobe призвала веб-разработчиков отказываться от использования Flash и переходить на такие современные веб-стандарты как HTML5. В своем посте на официальном блоге компания указала на важность развития HTML5 и отходе от платформы Flash, который успешно может быть заменен новым стандартом. Название Flash также будет заменено в флагманском продукте Flash Professional CC на Animate CC. Он в свою очередь станет основным продуктом для создания содержимого HTML5.



Нужно отметить, что речь не идет о прекращении поддержки проигрывателя Flash Player для популярных веб-браузеров, его компания продолжит поддерживать. Речь идет о Flash как технологии и о том, чтобы стимулировать разработчиков к переходу на современную платформу HTML5, которую теперь будет поддерживать и Adobe. Сам проигрыватель Flash Player известен большим количеством своих уязвимостей, эксплойты для которых постоянно используются атакующими для установки вредоносных программ.