Программа Orbit Downloader (Innoshock) представляет из себя менеджер загрузок (download manager) и используется для ускорения загрузки файлов из интернета, а также содержит возможности по скачиванию видео из популярных сервисов, например, YouTube. Он выпускается, по крайней мере, с 2006 г. и как многие другие программы доступен для использования на бесплатной основе. Разработчик этого менеджера загрузки получает доход от инсталляторов, таких как OpenCandy, который используется для установки ПО сторонних производителей и позволяет отображать рекламные объявления для получения прибыли.



Подобный вид рекламы представляет из себя уже довольно типичное явление и является одной из причин, по которой аналитики ESET могут причислить подобное ПО к семейству «потенциально нежелательных приложений» (Potentially Unwanted Application, PUA). Подобный процесс классификации программ к PUA является довольно рутинной работой для аналитиков и требует тщательного изучения всех деталей, поскольку причины по которым ПО может быть отнесено к PUA определяются индивидуально.

В начале мая мы опубликовали анализ руткита Win32/Rootkit.Avatar. Однако в нем недоставало информации об устаналиваемой им на зараженные системы полезной нагрузке и плагинах. Наша антивирусная лаборатория отслеживала активность этой вредоносной программы. В середине июля мы обнаружили еще один дроппер Win32/Rootkit.Avatar, в котором присутствовала информация об активных C&C серверах для взаимодействия. Александр Матросов, Евгений Родионов и Антон Черепанов выполнили подробный анализ этого руткита, из которого видно, что он продолжает свою активность. Мы так же раскрываем новую информацию о методах самозащиты руткита в режиме ядра.

Вчера я наткнулся на интересный аккаунт в твиттере, который привлек внимание странными твитами, адресованными ресерчерам. Внимание привлекли следующие свойства:

• Твиты были адресованы секьюрити ресерчерам (Микко Хиппонен, tachion24, Charlie aka Kafeine, Брайану Кребсу и Security Obscurity aka SecObscurity), которые занимаются, в т. ч. исследованиями наборов эксплойтов (exploit kits) и пишут о них.
• Название аккаунта «paunch big hecker» недвусмысленно намекает на известного человека под ником Paunch, автора Blackhole exploit kit.
• Содержание твитов намекает на то, что это ссылки на страницы статистики наборов эксплойтов (Nuclear Pack, Cool Exploit Kit), причем указываются сами названия наборов.

Такое своеобразное название аккаунта очевидно было выбрано для того, чтобы привлечь больше внимания.

Компания отозвала Critical фикс MS13-061, который был выпущен в рамках Patch Tuesday и нацелен на исправление Remote Code Execution уязвимостей в Exchange Server версий 2007, 2010 и 2013. В частности проблемы возникли с установкой патча на системы Exchange Server 2013 «the Content Index for mailbox databases shows as Failed and the Microsoft Exchange Search Host Controller service is renamed.».



В случае если патч был установлен, следует воспользоваться KB 2879739 для исправления ситуации.

Вчера компания Microsoft выпустила набор security-обновлений для своих продуктов, среди которых было обновление MS13-063, которое исправляет возможность обхода таких «смягчающих» механизмов эксплуатирования как DEP & ASLR. Техника обхода этих механизмов в эксплойтах была продемонстрирована ресерчерами NSFocus Security Labs на конференции CanSecWest и VUPEN на Pwn2Own 2013.

Мы уже писали про механизмы EMET v4, в котором появилась возможность противодействия к использованию метода ntdll!LdrHotPatchRoutine для загрузки кода нужной библиотеки в памяти, обходя т. о. ограничения накладываемые DEP&ASLR. LdrHotPatchRoutine используется ОС как часть «хот патчинга» (исправления компонентов без применения перезагрузки) и позволяет загружать динамические библиотеки из различных мест, включая сеть (через UNC адреса). MS13-063 вводит для ОС исправление, аналогичное по возможностям тому, что было продемонстрировано в EMET.



Эксплуатирование LdrHotPatchRoutine тесно связано с обходом ASLR при использовании всем известной структуры UserSharedData (KUSER_SHARED_DATA), которая проецируется по жестко заданным адресам в режиме пользователя (0x7ffe0000) и в режиме ядра (0xffdf0000). Структура используется для быстрого доступа компонентов ОС, работающих в режиме пользователя и ядра к некоторым разделяемым служебным данным (информация отладки, таймера, версия ОС и др.). При использовании некоторых указателей на функции в UserSharedData атакующий может быстро выяснить адрес необходимой функции. В частности, 64-битные версии Windows до Windows 8 хранили в этой структуре указатели на функции 32-битной версии ntdll, которую ОС использует для WoW64.

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (8 августа) секьюрити-фиксы покрывают более 20 уникальных уязвимостей (3 исправления со статусом Critical и 5 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13-059 нацелено на исправление одиннадцати Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.

Обновление MS13-063 устраняет уязвимости CVE-2013-2556, CVE-2013-3196, CVE-2013-3197, CVE-2013-3198 типа Elevation of Privelege в 32-битных Windows XP, Windows Server 2003, Windows 8 и во всех версиях Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. CVE-2013-2556 присутствует в коде реализации Address Space Layout Randomization (ASLR). Уязвимость позволяет атакующему обойти возможности ASLR и заранее рассчитать нужный адрес загрузки компонента в памяти. Т. е. такая возможность потенциально может быть частью эксплойта, который эксплуатирует другую уязвимость типа Remote Code Execution для удаленного исполнения кода. Другие три уязвимости присутствуют в коде ядре и связаны с использованием memory-corruption в NT Virtual DOS Machine (NTVDM) для запуска своего кода в режиме ядра. Эти уязвимости были обнаружены ресерчерами VUPEN в рамках Pwn2Own 2013.



Критическое обновление MS13-061 устраняет три RCE уязвимости (CVE-2013-2393, CVE-2013-3776, CVE-2013-3781) в Microsoft Exchange Server 2007, 2010 и 2013. Уязвимости могут быть использованы злоумышленниками через специально сформированный файл при его просмотре через интерфейс в браузере Outlook Web Access. При этом атакующий может запустить произвольный код на Exchange Server.

Как уже отмечалось в предыдущем посте, посвященном аресту основателя Freedom Hosting, некоторые веб-сайты доменов .onion (Tor-домены), располагающиеся на хостинге у «Freedom Hosting» подверглись атаке. Речь идет о компрометации ПО веб-серверов, которые внедряют специальный IFRAME к веб-страницам. После открытия такой страницы и активации IFRAME, пользователь перенаправляется на набор эксплойтов, где ему доставляется специальный JavaScript (heap spraying exploit), эксплуатирующий незакрытую уязвимость в браузере Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle). Вредоносный скрипт описан здесь.



https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.

Файловые вирусы уже хорошо известны и давно изучены, но подобные инфекторы, в абсолютном большинстве случаев, нацелены на модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro) было обнаружено достаточно давно и мало чем может удивить сегодня. Однако недавно нашей антивирусной лабораторией была обнаружена новая модификация Expiro, которая способна заражать 64-битные файлы. Кроме того, тело этой модификации является универсальным и полностью кроссплатформенным, так как может заражать 32-битные и 64-битные файлы (и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В нашей системе именований вирус получил название Win64/Expiro.A (aka W64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.

Инфектор нацелен на получение максимального деструктивного профита и выполняет заражение исполняемых файлов как на локальных, так и на сетевых дисках. В полезную нагрузку этой вредоносной программы входит установка расширений для браузеров Google Chrome и Mozilla Firefox. Вредоносный код похищает хранимые на компьютере цифровые сертификаты и пароли браузера Internet Explorer, Microsoft Outlook, FTP-клиента FileZilla. Такие расширения служат для перенаправления пользователя на вредоносные URL, а также похищение различной конфиденциальной информации. Вирус отключает ряд сервисов на скомпрометированном компьютере, включая Windows Defender и центр обеспечения безопасности (Windows Security Center), а также может завершать ряд процессов.

Ботнеты, использующие возможности анонимной сети TOR, не являются чем-то принципиально новым и уже обсуждались несолько лет назад на конференции Defcon 18 («Resilient Botnet Command and Control with Tor»). В прошлом году мы смогли подтвердить некоторые интересные факты, касающиеся использования этих идей в настоящих ботнетах используемых злоумышленниками. Эта тема уже обсуждалась в начале 2013 г. в блоге Rapid7 («Skynet, a Tor-powered botnet straight from Reddit»). В начале июля ресерчер Данчо Данчев опубликовал информацию о командных серверах C&C руткита, использующего TOR.

Этим летом мы отмечали рост ботнетов, которые используют TOR. В июле было обнаружено два различных семейства вредоносных программ, использующих скрытый протокол сервиса TOR для взаимодействия с командным C&C сервером. Такой сервис хорошо подходит при организации скрытого канала связи, но в то же время является довольно медленным способом кражи больших объемов данных с зараженного компьютера. Для киберпреступников этот путь использования скрытой службы протокола общения с C&C является предпочитетельным при получении обновлений о данных конфигурации или загрузки дополнительных вредоносных модулей.

С тех пор как злоумышленники, фактически, прекратили продажи вредоносного банковского ПО Citadel в прошлом году, АВ-индустрия не наблюдала появления новых «игроков» на этом рынке. Однако вчера, наши коллеги из RSA Security опубликовали собственные наблюдения, согласно которым на одном из подпольных форумов был выставлен на продажу новый crimeware toolkit под названием KINS. Стандартная версия этого банковского вредоносного тулкита, которая включает в себя дроппер, DLL-библиотеки и Zeus-подобные веб-инжекты стоит $5,000. Дополнительные модули могут быть приобретены за $2,000. Вторая неприятная новость заключается в том, что этот тулкит включает в себя буткит-компонент, что значительно повышает его выживаемость на скомпрометированных компьютерах.

В нашем рейтинге угроз, в этом году, троянская программа Win32/Bicololo присутствует во всех ежемесячных отчетах с различной статистикой активности. Несмотря на то, что активность угрозы имеет тенденцию к спаду последние несколько месяцев, мы зафиксировали увеличение количества вредоносных ссылок, которые используются для установки этого вредоносного ПО. Такие ссылки маскируются под файлы графических изображений.



Подобные ссылки рассылались злоумышленниками в различных социальных сервисах и мессенжерах. При переходе по ссылке, браузер предлагает пользователю сохранить файл на жестком диске, при этом, можно заметить, что загружаемый файл имеет расширение .scr, а не .jpg. При запуске такого файла «экранной заставки» можно увидеть, что вносимые ею в систему изменения (включая модификацию системного файла hosts) намекают на потенциальные вредоносные действия этой программы.

В связи с последней информацией по проекту PRISM, слежению за пользователями и муссирующейся в СМИ информации о «тотальной прослушке» Microsoft решились дать объяснение данной ситуации, а также опубликовать в открытом доступе письмо, которое было отправлено ими генеральному прокурору США. Содержание письма недвусмысленно намекает на то, что спецслужбы не хотят четко объяснить свою позицию на счет обнародованной Сноуденом информации, которая, в свою очередь, бросает большую тень на компанию и все ее сервисы, включая облако SkyDrive, почтовый-сервис Outlook и мессенжер Skype. В частности, в письме говорится[PDF]:

Last week we requested official permission to publicly explain practices that are the subject of newly-leaked documents that refer to Microsoft and have now been misinterpreted in news stories around the world. This request was rejected. While we understand that various government agencies are trying to reach a decision on these issues, this has been the response for weeks. In the meantime, the practical result of this indecision is continued refusals to allow us to share more information with the public.

На прошлой неделе мы просили оф. разрешение на то, чтобы опубликовать информацию о применяемых практиках, которые описаны в обнародованных документах, а теперь были неверно истолкованы в СМИ по всему миру. Эта просьба была отклонена. Хотя мы понимаем, что различные государственные учреждения пытаются принять решения по этим вопросам, мы получали этот ответ на протяжении нескольких недель. Между тем, практический результат такой нерешимости не позволяет нам поделиться более подробной информацией с общественностью.

Основные тезисы MS.

Тема использования уязвимостей нулевого дня для операций, проводимых с ведома государственных структур и с привлечением специальных security-компаний или подрядчиков, работающих на них, становится все более популярной и, отчасти, менее информативной. Популярной, поскольку эта информация уже не один год муссируется в СМИ, а менее информативной, поскольку, ведущиеся проекты засекречены и никто не заинтересован в их раскрытии, так как на таких контрактах замешаны большие деньги. Одной из причин актуальности этой темы является связь таких уязвимостей с появлением угроз, которые стали именоваться как «кибероружие» (cyberweapon). Связь заключается в том, что обнаружение этих уязвимостей происходило с расследованием случаев попадания угрозы на компьютеры жертвы. Очевидно, что кибероружие обнаруживают крупные AV-компании, вернее, изначально его может обнаружить и небольшая AV-компания, но причислить угрозу к кибероружию, по-сути, могут только крупные компании с соответствующим опытом, крупными заказчиками и видением ландшафта угроз. Такие названия как Stuxnet, Flame известны уже почти всем, кроме этого, в рамках таргетированных кампаний, используются и обычные вредоносные программы, которые могут быть «переориентированы» для своих целей.

Одним из важнейших атрибутов таргетированной атаки или кибероружия может считаться использование 0day уязвимостей, которые используются для скрытной установки вредоносного ПО в систему. Информация, которая стала появляться последние несколько лет как от самих AV-компаний, которые занимаются случаями расследований попадания угроз на компьютеры, так и от других security-компаний, занимающихся безопасностью, недвусмысленно намекает на то, что имеет место использование 0day уязвимостей в атаках, проводимых под прикрытием органов государственной безопасности конкретных государств, и с разрешения правительства. Об организациях, которые предоставляют подобные услуги, а также объяснение некоторых моделей подобного бизнеса, опубликовала статью газета NY Times, информацию из которой, с нашими комментариями, мы хотели бы привести.

Microsoft анонсировали выпуск серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (4 июля) секьюрити-фиксы покрывают в общей сложности 35 уникальных уязвимости (6 исправлений со статусом Critical и 1 со статусом Important). Детальный отчет Вы можете найти здесь.

Критическое обновление MS13-055 нацелено на устранение уязвимостей типа Remote Code Execution, которые присутствуют во всех версиях браузера Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10 (для всех ОС Windows XP — 8 — RT, x32 и x64, для серверных версий ОС как Moderate). Другое критическое обновление MS13-052 нацелено на устранение уязвимостей Remote Code Execution в платформе Silverlight и .NET Framework (для всех ОС Windows XP — 8 — RT, x32 и x64).

Компания анонсировала исправление для LPE 0day уязвимости CVE-2013-3660 (MS13-055), о которой мы более подробно писали в прошлом посте, посвященном patch tuesday.

В рамках нескольких апдейтов (MS13-052, MS13-053, MS13-054) компания исправляет уязвимость CVE-2013-3129, которая присутствует в коде различных компонентов (платформах .NET Framework, Silverlight и драйвере подсистемы Win32 — win32k.sys) при обработке файлов шрифтов TrueType. Специальным образом сформированный TrueType файл, при его открытии, может повлечь удаленное исполнение произвольного кода в системе (RCE). При этом злоумышленник может получить полный контроль над скомпрометированной системой.

В этом году мы неоднократно писали о вредоносных Apache-модулях и компрометации ими легитимных веб-серверов, что приводило к перенаправлению пользователей на вредоносные сайты. Было установлено, что различные случаи компрометации этих веб-серверов имеют схожие свойства и относятся к одной кампании по распространению вредоносного ПО, которую мы назвали «Home Campaign». Приведем некоторые факты об этой кампании:

• Кампания продолжается уже с февраля 2011 г.
• Скомпрометированные веб-серверы находились под управлением cPanel и Plesk.
• В кампании участвовало более 40 тыс. доменов.

Сегодня мы хотим рассказать о недавно обнаруженной троянской программе, которая ориентирована на похищение средств в системе «цифровой валюты» Litecoin. Litecoin представляет из себя аналог известной системы Bitcoin с некоторыми внутренними изменениями, подробнее об этом можно узнать здесь. На самом деле существует уже достаточное количество вредоносных программ, целью которых являются пользовательские средства в системе Bitcoin. Одним из последних представителей такого семейства вредоносных программ является Skynet, обнаруживаемый ESET как Win32/Scoinet. Ключевой особенностью Scoinet является использование им возможностей сервиса анонимности Tor при создании инфраструктуры ботнета, что препятствует их синкхолингу. Кроме этого, вредоносный код Scoinet использует возможности другого известного банковского трояна Zeus для сбора данных учетных записей пользователей, а также свободно распространяемое ПО CGMiner для «майнинга» BitCoins.

Сегодня Microsoft выложили .iso-образы Windows 8.1 (редакции Developer Preview) для всех желающих здесь (x32/x64 версии на различных языках). 8.1 не является новой ОС, поскольку позиционируется MS как обновление для Windows 8, которое доступно через Windows Store. Мы хотели бы рассказать о новых возможностях ОС, которые, на наш взгляд, выделяются среди прочих.

Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

• Исходный текст буткита, km драйверов и всего что работает в km.
• Билдер дропперов.
• Плагины.
• Веб-инжекты.
• LPE эксплойты.
• Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.

Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.

На прошлой неделе бета-версия тулкита EMET v4 вышла в релиз. Мы уже писали о некоторых новых возможностях 4-й версии и хотели бы остановиться более подробно на самом релизе, поскольку этот инструмент действительно заслуживает внимания. Повторимся, что Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак, которые имеют целью эксплуатирование flaws (или уязвимостей) в ПО и изменение потока выполнения кода. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR по-умолчанию, например, для устаревшей Windows XP.

В нашем посте мы хотим представить обзор основных возможностей четвертой версии EMET, которые помогают защититься от эксплойтов.

Вчера Oracle выпустили обновления для ПО Java, которые закрывают в общей сложности 40 уязвимостей, при этом 37 из них относятся к типу Remote Code Execution и могут использоваться для удаленного исполнения кода.


Выпуски Java подлежащие обновлению.

Одиннадцать уязвимостей имеют самый высокий рейтинг уязвимости (CVSS), что подчеркивает их потенциально высокую опасность эксплуатации для пользователей Java. Обновления адресуются для Windows и Mac OS X.



Таким образом текущая актуальная версия Java — 7u25.

Скачать новейшую версию Java 7u25 можно здесь. Если у Вас включена возможность авто-обновлений, проверьте установлена ли новейшая версия.