All streams
Search
Write a publication
Pull to refresh
54
0
Send message

Tavis Ormandy & AV-продукты ESET

Reading time1 min
Views2.7K
Известный исследователь по безопасности Google Tavis Ormandy (taviso) опубликовал детали эксплуатации уязвимости в AV-продуктах ESET. Сама экспериментальная уязвимость универсальна и присутствовала в антивирусном движке, который используется во многих продуктах (Windows, Linux, OS X), включая, ESET Smart Security, ESET NOD32, ESET Cyber Security Pro для OS X, ESET NOD32 для Linux Desktop.



Уязвимость была закрыта обновлением 11824, которое уже доставлено всем пользователям наших продуктов. Tavis Ormandy своевременно связался с нашими разработчиками и описал детали уязвимости, что позволило нам оперативно выпустить security-обновление. Информация об уязвимости была опубликована уже после выпуска обновления 11824.

Adobe исправила критическую уязвимость Flash Player

Reading time1 min
Views8.9K
Adobe выпустила внеплановое обновление APSB15-14, которое закрывает критическую уязвимость CVE-2015-3113 (HeapOv) в Flash Player. Уязвимость была обнаружена аналитиками компании FireEye и использовалась в направленных атаках для удаленного исполнения кода (Remote Code Execution).



Обнаруженный эксплойт позволял удаленно исполнять код в веб-браузере MS Internet Explorer (IE) на Windows XP — Seven, а также в Firefox на Windows XP. Он использует известный механизм Flash vector object corruption для выполнение операции heap-spray и обхода ASLR, а также ROP для обхода DEP.
Читать дальше →

Сноуден: АНБ шпионит за иностранными антивирусными компаниями

Reading time1 min
Views21K
Издание The Intercept опубликовало очередную порцию информации из секретных документов беглого сотрудника АНБ Эдварда Сноудена. Проект по шпионажу за различными антивирусными компаниями носил название «CAMBERDADA» и использовался для отслеживания их деятельности. Список вендоров указан ниже на скриншоте (из презентации АНБ). Видно, что в списке отсутствуют американские вендоры Symantec и McAfee, а также британская Sophos.



В одном из документов указано, что американские и британские спецслужбы собирали электронные письма, которые пользователи отправляли антивирусным компаниям, предупреждая их о появлении новых вредоносных программ. Там также указывается, что подразделение АНБ под названием Tailored Access Operations (TAO), которое известно как «наступательное подразделение» (offensive security unit), могло «перепрофилировать» вредоносное ПО для выполнения других функций, например, для обхода функций безопасности антивирусов.

Читать дальше →

Злоумышленники использовали украденный цифровой сертификат для вредоносной кампании Duqu2

Reading time2 min
Views11K
Несколько дней назад в нашу антивирусную лабораторию поступил исполняемый PE-файл (драйвер), который содержал действительную цифровую подпись. Мы добавили его в базу как Win64/Duqu.AC. Сертификат был выдан известной тайваньской компании Foxconn (Hon Hai Precision Industry Co.), которая специализируется на производстве электроники, а также является одной из крупнейших компаний, занимающейся производством компонентов флагманских устройств таких известных компаний как Apple, Canon, Sony.



Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.

Читать дальше →

Microsoft выпустила набор обновлений для Windows

Reading time2 min
Views43K
Microsoft выпустила набор необязательных (не security) обновлений, которые улучшают производительность и повышают стабильность работы Windows. Было выпущено 17 обновлений, среди которых KB3064209 и KB3058168 являются наиболее интересными. KB3064209 (June 2015 microcode update for Intel processors in Windows) для Windows 7-8.1 обновляет системные файлы ОС, которые отвечают за реализацию функций ее загрузки на самых ранних этапах (Hvax64.exe, Hvix64.exe, Hvloader.efi, Hvloader.exe, Hvservice.sys, Kdhvcom.dll, Mcupdate_genuineintel.dll).



Другое обновление KB3058168 (Update that enables Windows 8.1 and Windows 8 KMS hosts to activate a later version of Windows) является очередным улучшением Windows 8 для ее последующего обновления до Windows 10, оно доставляет новую версию файла Cryptxml.dll, а также обновленные версии конфигурационных файлов, необходимых для успешной активации Windows 10 с использованием сервиса KMS (Key Management Service).

Читать дальше →

Dubsmash 2 — очередной порно-кликер для Android

Reading time3 min
Views43K
Недавно специалисты антивирусной компании Avast обнаружили троянскую программу, которая представляет из себя порно-кликер для Android. Она размещалась в магазине Google Play Store и называлась Dubsmash 2. Вредоносная программа маскировалась под легитимное приложение и была скачана более 100 тыс. раз. Она не наносит прямого ущерба пользователю, такого как кража данных онлайн-банкинга или данных аккаунтов. Вместо этого, кликер генерирует трафик или клики на порно-ресурсы. В случае использования жертвой мобильного интернета, такая операция может стоить пользователю существенных растрат.



Менее месяца спустя наши исследователи также обнаружили множество вариантов этой вредоносной программы в Google Play. Ниже на скриншоте представлено это вредоносное приложение в Google Play.

Читать дальше →

Новая версия вредоносного ПО Duqu используется для кибершпионажа

Reading time2 min
Views6.3K
Вчера наши аналитики добавили в базу новые записи в рамках обновления 11766: Win64/Duqu.AA, Win64/Duqu.AB, Win32/Duqu.D, Win32/Duqu.E. Записи относятся к 64- и 32-битным версиям файлов новой версии известного вредоносного state-sponsored-ПО под названием Duqu (aka Duqu.B). Эта версия, как и предыдущая, использовалась в операциях кибершпионажа (т. н. intelligence-gathering attacks) против различных телекоммуникационных компаний, а также security-компаний (Kaspersky). С помощью нее злоумышленники пытались извлечь различные конфиденциальные данные с компьютеров корпоративных жертв.



По информации Symantec, Duqu.B использовался для кибератак на телекоммуникационные компании Европы, а также Северной Африки. Кроме этого, жертвами могли стать пользователи США, Великобритании, Швеции, Индии, и Гонконга.

Читать дальше →

Анонсированы новые версии OS X & iOS

Reading time1 min
Views13K
Компания Apple анонсировала OS X El Capitan (v10.11) и iOS 9. В связи с шумихой вокруг разоблачений беглого агент NSA Эдварда Сноудена и информации о том, что спецслужбы могут получать доступ к данным устройств, для iOS упор был сделан на privacy & security. Кроме уже ранее введенных в iOS 8 механизмов MAC address randomization и шифрования данных с использованием passcode (кода разблокировки iDevice), к которому доступ не имеет никто кроме пользователя, в iOS 9 passcode был расширен до шести символов.



Руководитель Apple также подтвердил, что с технической точки зрения iOS 9 не содержит каких-либо возможностей по отслеживанию активности пользователя или сбору каких-либо метаданных, которые позволяли бы идентифицировать владельца устройства без его ведома (your device belong only to you). В таком случае устройства Apple намного безопаснее их аналогов на Google Android, которые так и не включили функцию шифрования данных по умолчанию.
Читать дальше →

Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 3

Reading time6 min
Views9K
В прошлых частях [1], [2] анализа вредоносной программы Linux/Moose мы рассмотрели почте все ее механизмы работы. В этой части мы рассмотрим возможности удаления из системы других вредоносных программ, а также протокол работы бота с конфигурационным C&C-сервером.



Мы уже упоминали, что бот имеет в своем составе возможности по удалению из системы других вредоносных программ. Конфигурационный C&C-сервер передает ему список имен исполняемых файлов процессов. Каждый час бот проходит по списку процессов /proc/pid/ и просматривает командную строку, с которой был запущен процесс. В командной строке указано название процесса, а также переданные ему во время запуска аргументы. Проходя по этому списку процессов, Moose будет посылать сигнал kill каждому процессу из вышеупомянутого «черного списка». Этот список жестко зашит в тело вредоносной программы.
Читать дальше →

Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 2

Reading time11 min
Views12K
В прошлой части нашего анализа вредоносной программы Linux/Moose мы детально остановились на общих схемах ее работы, статистике использования прокси, а также привели информацию о механизме поиска новых роутеров для заражения. В этой части мы более подробно остановимся на механизме заражения роутеров, а также рассмотрим реализацию прокси, с помощью которой операторы ботнета используют скомпрометированный роутер как туннель для передачи трафика.



В отличие от других сообщений, которыми бот обменивается с C&C-сервером в формате специального бинарного протокола с использованием порта с номером 81, для уведомления сервера о найденной цели для заражения используется стандартный протокол HTTP на тот же самый порт. Ниже приведен скриншот такого сообщения.
Читать дальше →

Microsoft заставит пользователей обновлять Windows 10

Reading time1 min
Views166K
Вчера компания Microsoft объявила дату выхода Windows 10 — 29 июля 2015. Также вчера пользователи Windows 7 & 8/8.1 смогли наблюдать у себя в области обновлений значок запущенного процесса GWX (Get Windows X). Файлы GWX располагаются в директории C:\Windows\System32\GWX и будут присутствовать там только в случае установленного обновления KB3035583. Этот процесс предлагал пользователям «зарезервировать» свою копию Windows 10 для своевременного обновления. В дальнейшем, GWX будет использоваться для обновления до Windows 10.



Ранее мы писали, что для домашних пользователей Windows 10, Microsoft будет доставлять обновления сразу же как только они будут доступны, отказываясь таким образом от менее безопасной модели patch tuesday, при которой все выпускаемые обновления должны были ждать одного дня. Теперь стало известно, что для домашних пользователей обновления будут устанавливаться автоматически после скачивания и пользователь не сможет запретить или отложить их установку.
Читать дальше →

Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 1

Reading time11 min
Views22K
Вредоносное ПО Linux/Moose используется злоумышленниками для компрометации различных устройств под управлением Linux, включая, сетевые роутеры. На скомпрометированном роутере или другом устройстве Linux/Moose будет перехватывать сетевой трафик и обеспечивать ее операторов прокси-сервисом. Как правило, злоумышленников интересуют служебные файлы сессий HTTP (cookie) от популярных сетевых сервисов. Они будут использоваться злоумышленниками для выполнения в них различных нелегитимных действий через прокси.



Вредоносная программа представлена обычными исполняемыми ELF-файлами, из которых удалена вся отладочная информация. Linux/Moose использует в своей работе многопоточность, для выполнения различных задач он создает более 30 потоков. Многие из них используются для автоматического поиска и заражения других устройств.
Читать дальше →

Reuters: США планировали нацелить Stuxnet на Северную Корею

Reading time1 min
Views16K
Агенство Reuters опубликовала информацию о том, что спецслужбы США планировали нацелить вредоносное ПО схожее с червем Stuxnet на ядерные объекты Северной Кореи, как они это уже делали пять лет назад в случае с Ираном. Предполагалось, что при попадании на компьютер, вредоносная программа будет активироваться только в случае обнаружения настроек корейского языка в системе. Специалистов по развертыванию вредоносной программы постигла неудача, поскольку им не удалось получить доступ к основным компьютерам, задействованным в ядерной программе.


Читать дальше →

Фальшивые приложения Minecraft в Google Play загрузили сотни тысяч раз

Reading time3 min
Views10K
Специалистами компании ESET было обнаружено более 30 фальшивых приложений (т. н. scareware), имитирующих либо саму игру Minecraft, либо специальные приложения-взломщики для этой игры. Эти приложения были скачаны пользователями Android более 600 тыс. раз. Последние нововведения безопасности этого магазина приложений значительно усложнили механизм загрузки туда вредоносных и фальшивых приложений. В то же время, наше исследование показало, что прилагаемых Google усилий явно недостаточно.



Злоумышленники используют такие приложения для зарабатывании на кликах от специальных запугивающих баннеров. Такие баннеры уведомляют пользователя о том, что его устройство «заражено опасным вирусом». После того как пользователь пройдет по ссылке, для него будет активирована платная SMS-подписка стоимостью 4.80 евро в неделю.
Читать дальше →

Logjam — новая уязвимость в TLS

Reading time2 min
Views14K
Новая уязвимость под названием Logjam обнаружена в различных реализациях протокола TLS. Уязвимость аналогична другой под названием FREAK, о которой было написано ранее. Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит DH при условии поддержки сервером шифра DHE_EXPORT, который задается в процессе «рукопожатия» (handshake) между клиентом и сервером. Т. о. атакующему значительно проще организовать атаку типа Man-in-the-Middle (MitM). Уязвимость затрагивает как серверное ПО, использующее OpenSSL (Logjam, FREAK and Upcoming Changes in OpenSSL), так и веб-браузеры.



Уязвимости подвержены веб-браузеры Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari. На текущий момент уязвимость исправлена только в IE, для которого было выпущено обновление MS15-055. В свою очередь, остальные браузеры ожидают обновления, как и пакет свободно распространяемого ПО OpenSSL. Уязвимость актуальна и для OS X, iOS, Android.
Читать дальше →

Apple выпустила первые обновления для Watch OS

Reading time1 min
Views2.6K
Apple выпустила набор обновлений APPLE-SA-2015-05-19-1 Watch OS 1.0.1 для Watch OS, под управлением которой работают ее умные часы (Apple Watch Sport, Apple Watch, Apple Watch Edition). Исправляемые security-уязвимости мало чем отличаются от аналогичных для iOS или OS X. Злоумышленники могут исполнять произвольный код в ОС, несанкционированно обходить механизмы защиты от эксплуатации типа ASLR, повышать свои привилегии в системе (LPE) и др.



Всего было закрыто 13 уязвимостей, среди которых и известная уязвимость FREAK, о которой мы писали ранее. Уязвимость присутствует в компоненте Secure Transport и может позволить злоумышленникам расшифровать защищенный SSL-трафик (An attacker with a privileged network position may intercept SSL/TLS connections). Наибольшее количество закрытых уязвимостей относится к ядру Watch OS. Компания также отозвала некоторые цифровые сертификаты, см KB/204873.

Читать дальше →

Банковский троян Win32/Spy.Bebloh используется для кражи данных онлайн-банкинга

Reading time3 min
Views14K
В последнее время банковская троянская программа Win32/Spy.Bebloh значительно увеличила свою активность в немецкоговорящих странах. Это вредоносное ПО было обнаружено еще в 2009 г. и, по мере выхода новых версий Windows, обновлялось злоумышленниками.



Win32/Spy.Bebloh использует известный механизм компрометации ОС пользователя под названием Man-in-the-Browser (MitB), т. е. троянская программа выполняет внедрение своего вредоносного кода в запущенный процесс браузера. Используя этот метод выполняется кража конфиденциальных данных онлайн-банкинга за счет внедрения на легитимные-страницы фишингового содержимого.
Читать дальше →

Adobe выпустила набор обновлений для своих продуктов

Reading time1 min
Views7.7K
Adobe обновила свои продукты Flash Player [APSB15-09] и Reader, Acrobat [APSB15-10]. Для них было закрыто множество уязвимостей типа Remote Code Execution, которые могут использоваться злоумышленниками для удаленного исполнения кода через браузер с использованием вредоносного Flash (swf) содержимого. Для Flash Player было закрыто 18 уязвимостей, а для Reader и Acrobat 34.



В случае с Reader и Acrobat ситуация та же, исправлено большое количество RCE уязвимостей (HeapOv & Use-After-Free), которые могут использоваться атакующими для удаленного исполнения кода через уязвимую версию продуктов с использованием вредоносного PDF файла. Несколько исправленных уязвимостей относятся к методам обхода безопасности при вызове Javascript API. Актуальные версии продуктов указаны ниже в таблице.
Читать дальше →

Microsoft исправила важную уязвимость в Windows

Reading time1 min
Views11K
Microsoft выпустила набор исправлений для своих продуктов Windows, Internet Explorer, .NET Framework, Silverlight, Office. Всего было выпущено 13 обновлений, из которых 3 со статусом Critical, остальные Important. Обновление MS15-043 исправляет 22 уязвимости в веб-браузере IE 6-11 и движке VBScript (VBScript Scripting Engine, Vbscript.dll). Уязвимости могут использоваться атакующими для удаленного исполнения кода с использованием специальным образом сформированной веб-страницы, а также для обхода ASLR при разработке более стабильных эксплойтов.



Ранее мы писали про опасную 0day LPE уязвимость в Windows с идентификатором CVE-2015-1701. Уязвимость присутствует в драйвере Win32k.sys в составе Windows Server 2003 — Windows 7. Для исправления этой уязвимости было выпущено обновление MS15-051. Она использовалась в направленных кибератаках на государственные учреждения США совместно с другой RCE-уязвимостью Flash Player для обхода sandbox браузеров.
Читать дальше →

Анализ CPL malware, часть 2

Reading time6 min
Views5.7K
Тот факт, что в большинстве случаев URL-адреса хранятся в виде простого текста, либо ключ для их расшифровки располагается в самой функции расшифровки, позволяет нам извлекать эти URL-адреса автоматически из многих образцов CPL malware с использованием специального скрипта. В случае семпла, который хранит строки в виде открытого текста, строка с адресом может быть извлечена напрямую из CPL-файла. В противном случае, т. е. в случае, когда строка с адресом зашифрована, скрипт подвергает анализу функцию расшифровки, в которой хранится ключ. Исключение составили некоторые семплы вредоносного ПО, для которых скрипт не смог расшифровать зашифрованные строки. В таких семплах ключ расшифровки не был доступен в функции, а располагался в ресурсах CPL-файла. Для извлечения ключа оттуда вредоносный код использует стандартные API для работы с ресурсами: FindResource, LoadResource, SizeofResource and LockResource. Сам ресурс, в котором располагается ключ расшифровки, является зашифрованным.
Читать дальше →

Information

Rating
Does not participate
Registered
Activity