Как стать автором
Обновить
51.07
Сначала показывать

Исследование целевой атаки на российского оператора грузовых железнодорожных перевозок

Время на прочтение15 мин
Количество просмотров3.5K

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности, это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками при атаке на одну крупную транспортную компанию в марте 2024 года.

Читать далее
Всего голосов 6: ↑6 и ↓0+10
Комментарии2

И полетят тут телеграммы: троян-бэкдор с управлением через Telegram атакует серверы на ОС Linux

Время на прочтение2 мин
Количество просмотров4.1K

Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.

Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.

Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.

Читать далее
Всего голосов 4: ↑4 и ↓0+6
Комментарии9

Исследование целевой атаки на российское предприятие машиностроительного сектора

Время на прочтение23 мин
Количество просмотров5.1K

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров. Наши специалисты расследовали этот инцидент и установили, что пострадавшая компания столкнулась с целевой атакой. В ходе ее проведения злоумышленники рассылали по электронной почте фишинговые сообщения с прикрепленной вредоносной программой, отвечающей за первоначальное заражение системы и установку в нее других вредоносных инструментов. Целью этой атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети. Кроме того, мы зафиксировали факт выгрузки данных с зараженного компьютера ― как в виде хранившихся на компьютере файлов, так и в виде снимков экрана, созданных во время работы ВПО.

Читать далее
Всего голосов 8: ↑7 и ↓1+8
Комментарии13

Использование IDA+IDAPython+Xdbg при восстановлении обфусцированного семпла

Время на прочтение6 мин
Количество просмотров3.1K

При изучении вредоносных программ динамического анализа в изолированных системах-песочницах в большинстве случаев достаточно для того, чтобы выявить природу той или иной угрозы и на основе полученной информации пополнить вирусную базу антивируса. Однако иногда в вирусную лабораторию попадают образцы, требующие глубокого понимания непосредственного алгоритма их работы. И тогда без статического анализа уже не обойтись. Например, для бэкдоров может понадобиться разбор протокола общения с C&C-сервером или алгоритма генерации доменных имен. А при анализе шифровальщиков необходимо выяснять, каким алгоритмом и какими ключами шифровались файлы. При этом часто такие троянские приложения запакованы или обфусцированы, и потому статический анализ может быть осложнен. Пример разбора такой сложной угрозы мы сегодня и рассмотрим. 

Итак, перед нами некая вредоносная программа для платформы Windows. Первым делом загрузим ее в IDA Pro Disassembler и попытаемся выполнить автоанализ. Как ни странно, это нам не удается, поскольку тот спотыкается уже в самом начале — на функции Main. Это значит, что для разбора образца нам потребуется приложить определенные усилия.

Читать далее
Всего голосов 11: ↑11 и ↓0+11
Комментарии4

Решения CTF 2023 от «Доктор Веб». Часть 5

Время на прочтение7 мин
Количество просмотров1.9K

Друзья, сегодня мы завершаем публикацию решений нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Перед вами разбор пятого уровня сложности. Предыдущие уровни вы можете изучить здесь: часть 1, часть 2, часть 3, часть 4.

Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.

Читать далее
Всего голосов 6: ↑4 и ↓2+4
Комментарии1

Решения CTF 2023 от «Доктор Веб». Часть 4

Время на прочтение8 мин
Количество просмотров1.5K

Друзья, продолжаем публиковать решения нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Каждую неделю мы выкладываем по 5 решений — сегодня рассказываем о четвертом уровне сложности. Предыдущие уровни вы можете изучить здесь: часть 1, часть 2, часть 3.

Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии0

Решения CTF 2023 от «Доктор Веб». Часть 3

Время на прочтение5 мин
Количество просмотров2K

Друзья, продолжаем публиковать решения нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Каждую неделю мы выкладываем по 5 решений — сегодня рассказываем о третьем уровне сложности. Предыдущие уровни вы можете изучить здесь: часть 1, часть 2

Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.

Читать далее
Всего голосов 8: ↑8 и ↓0+8
Комментарии0

Решения CTF 2023 от «Доктор Веб». Часть 2

Время на прочтение3 мин
Количество просмотров2.6K

Друзья, продолжаем публиковать решения нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Каждую неделю выкладывать по 5 решений — сегодня рассказываем о втором уровне сложности. 

Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии1

Решения CTF 2023 от «Доктор Веб». Часть 1

Время на прочтение3 мин
Количество просмотров4K

Друзья, начинаем публиковать решения нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Каждую неделю мы будем выкладывать по 5 решений — сегодня начнем с самых простых.

Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.

Читать далее
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

Linux-бэкдор взламывает сайты под управлением WordPress

Время на прочтение4 мин
Количество просмотров5.1K

Компания «Доктор Веб» выявила вредоносную программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы.

Читать далее
Всего голосов 7: ↑4 и ↓3+1
Комментарии10

Как мы принимаем звонки в техподдержку и офис через Telegram

Время на прочтение3 мин
Количество просмотров3.1K

Telegram поддерживает множество параллельных звонков на одном аккаунте,  хорошо распространен по миру, и это может быть в полной мере востребовано бизнесом. Рассказываем, как "Доктор Веб” перевел в “телегу” значительную часть звонков в службу поддержки и офис, сэкономив на телефонии и одновременно улучшив качество сервиса.

Наш опыт организации решения для международной телефонии на базе Telegram может пригодится всем, у кого есть входящий поток голосовых звонков из разных стран. Также предлагаемое решение будет полезно вам, если ваш бизнес напрямую связан с присутствием в современной быстро развивающейся экосистеме Telegram.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии1

Dr.Web FixIt! — новый облачный сервис для расследования ИБ-инцидентов

Время на прочтение6 мин
Количество просмотров4K

Hello, world!

В начале августа 2022 года мы представили облачный сервис Dr.Web FixIt! широкой публике. Он предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов (ВКО) на платформе Windows и устранения их последствий. В основе FixIt! лежит обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз. Сервис задумывался как отдельное многофункциональное средство борьбы с киберугрозами, которое дополняет существующие на рынке антивирусные инструменты. Однако это также и мощное диагностическое решение, помогающее оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии2

Исследование целевых атак на российские НИИ

Время на прочтение8 мин
Количество просмотров6.1K

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования мы установили, что на НИИ была осуществлена целевая атака с использованием ряда специализированных бэкдоров. Изучение деталей инцидента показало, что сеть института была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.

В этой статье мы восстановим хронологию заражения сети, идентифицируем обнаруженные бэкдоры и обратим внимание на выявленные пересечения в их коде и сетевой инфраструктуре. Также мы попробуем ответить на вопрос: кто стоит за атаками?   

Читать далее
Всего голосов 10: ↑8 и ↓2+10
Комментарии10

Исследуем Spyder – еще один бэкдор группировки Winnti

Время на прочтение12 мин
Количество просмотров3.1K

В конце прошлого года в нашу лабораторию за помощью обратилась зарубежная телекоммуникационная компания, сотрудники которой обнаружили в корпоративной сети подозрительные файлы. В ходе поиска следов вредоносной активности аналитики выявили образец весьма интересного бэкдора. Его анализ показал, что мы имеем дело с очередным модульным APT-бэкдором, использующимся хакерской группой Winnti.

Последний раз деятельность Winnti попадала в наше поле зрения, когда мы анализировали модификации бэкдоров ShadowPad и PlugX в рамках расследования атак на государственные учреждения стран Центральной Азии. Оба эти семейства оказались схожи концептуально и имели примечательные пересечения в коде. Сравнительному анализу ShadowPad и PlugX был посвящен отдельный материал.

В сегодняшней статье мы разберем бэкдор Spyder именно так окрестили найденный вредоносный модуль наши вирусные аналитики. Мы рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.

Читать далее
Всего голосов 11: ↑11 и ↓0+11
Комментарии0

На волне тренда. Egregor ransomware — шифровальщик для целевых атак

Время на прочтение4 мин
Количество просмотров2.5K


На исходе каждого года, а также в первые дни января любая отрасль коллективно обсуждает тенденции и прогнозы, которые будут формировать нашу действительность на протяжении всего календаря. Большая и дружная IT-индустрия и, в частности, сфера информационной безопасности в лице многочисленных экспертов, энтузиастов и комьюнити активно протирают хрустальные шары и делятся видением ситуации. В основном в наступившем 2021-м предрекают дальнейшее распространение цифрового вымогательства, а точнее — целевых атак на крупные компании с целью не менее крупного шантажа.

Мы в «Доктор Веб» не очень любим давать прогнозы, но в ушедшем году атаки шифровальщиков сформировали настолько явную тенденцию, что есть все основания полагать: наконец-то предновогоднее предсказание сработает. Что, конечно же, добавит работы всем нам.
В качестве небольшой иллюстрации мы решили опубликовать небольшой разбор шифровальщика, который впервые был обнаружен в сентябре прошлого года, но уже успел натворить много бед. Его образец оказался в нашей вирусной лаборатории, после чего был подвергнут стандартной процедуре.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии1

Без шума и пыли: разбор RAT-троянов на базе Remote Utilities

Время на прочтение8 мин
Количество просмотров18K


В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.
Читать дальше →
Всего голосов 3: ↑3 и ↓0+3
Комментарии2

Сравниваем код модульных APT-бэкдоров

Время на прочтение7 мин
Количество просмотров2.2K


В июле 2020 года мы выпустили исследование целевых атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. Список тогда получился настолько внушительный, что одни только IoC’и заняли несколько страниц текста. В процессе расследования этих инцидентов среди прочего ВПО мы изучили образцы мультимодульных бэкдоров PlugX, которые использовались для первичного заражения локальных сетей пострадавших организаций. Применение программ этого семейства свидетельствует о возможной причастности к атакам китайских APT-групп.

Главный объект изучения сегодняшней статьи — бэкдор ShadowPad — попал в нашу вирусную лабораторию с одного из зараженных компьютеров локальной сети госучреждения Киргизии. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. В ходе экспертизы мы также обнаружили несколько модификаций PlugX, установленных на том же компьютере.

Рассмотрим некоторые алгоритмы работы обоих бэкдоров и уделим внимание сходствам в коде, а также некоторым пересечениям в их сетевой инфраструктуре.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

Расследуем целевую шпионскую атаку на российский ТЭК

Время на прочтение7 мин
Количество просмотров5.7K


Наш опыт расследования инцидентов в сфере компьютерной безопасности показывает, что электронная почта по-прежнему является одним из самых распространенных каналов, используемых злоумышленниками для первичного проникновения в атакуемые сетевые инфраструктуры. Одно неосмотрительное действие с подозрительным (или не очень) письмом становится точкой входа для дальнейшего заражения, поэтому киберпреступники активно применяют методы социнженерии, пусть и с переменным успехом.

В этом посте мы хотим рассказать о нашем недавнем расследовании спам-кампании, нацеленной на ряд предприятий топливно-энергетического комплекса России. Все атаки происходили по одному сценарию с использованием поддельных электронных писем, при этом над текстовым содержанием этих писем, кажется, никто особо не старался.
Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии1

Охота за уязвимостью. Выполняем произвольный код на виртуальных машинах NVIDIA GeForce NOW

Время на прочтение5 мин
Количество просмотров9.6K

Введение


На фоне пандемии коронавируса возросла популярность облачных сервисов, позволяющих играть в видеоигры. Эти сервисы предоставляют вычислительные мощности, необходимые для запуска игр, и в режиме реального времени транслируют геймплей на устройства пользователей. Самое очевидное преимущество такой системы — игрокам нет необходимости иметь мощное железо. Чтобы запустить клиент сервиса и скоротать время на самоизоляции, хватит и вполне бюджетной машины: все вычисления происходят на удаленном сервере.

Одной из таких облачных платформ является GeForce NOW от компании NVIDIA. Согласно Google Trends, по всему миру пик поисковых запросов для этого сервиса пришелся на февраль. Это коррелирует с началом действия ограничений во многих странах Азии, Европы, Северной и Южной Америки и других регионах. В то же время для России, где режим самоизоляции начался позже, в марте, мы видим аналогичную картину, но с соответствующей задержкой.

Учитывая высокий интерес к GeForce NOW, мы решили рассмотреть эту платформу с точки зрения безопасности.
Читать дальше →
Всего голосов 24: ↑24 и ↓0+24
Комментарии19

Wulfric Ransomware – шифровальщик, которого нет

Время на прочтение5 мин
Количество просмотров11K
Порой так хочется заглянуть какому-нибудь вирусописателю в глаза и спросить: зачем и почему? С ответом на вопрос «как» мы справимся сами, а вот узнать, чем думал руководствовался тот или иной создатель вредоносного ПО, было бы очень интересно. Тем более, когда нам попадаются такие «жемчужины».

Герой сегодняшней статьи – интересный экземпляр шифровальщика. Задумывался он, по всей видимости, как очередной «вымогатель», но его техническая реализация больше похожа на чью-то злую шутку. Об этой реализации сегодня и поговорим.

К сожалению, проследить жизненный цикл этого энкодера практически невозможно – слишком уже мало статистики по нему, так как распространения он, к счастью, не получил. Поэтому оставим за скобками происхождение, методы заражения и прочие упоминания. Расскажем лишь о нашем случае знакомства с Wulfric Ransomware и о том, как мы помогли пользователю спасти его файлы.
Читать дальше →
Всего голосов 27: ↑27 и ↓0+27
Комментарии9

Информация

Сайт
www.drweb.ru
Дата регистрации
Дата основания
Численность
Неизвестно
Местоположение
Россия