Более недели назад Microsoft объявили о начале операции b54, направленной на выведение из строя ботнетов, построенных с использованием вредоносного кода Citadel. Операция, главным образом, преследует цель разрушения налаженной схемы по извлечению денежной прибыли из этих ботнетов злоумышленниками. Кроме этого, она включает в себя действия по очистке компьютеров от вредоносного кода ботов, совместно с ISP.

В рамках этой операции Microsoft выложили в открытый доступ материалы гражданских исков к John Doe (ответчики, точная личность которых пока не установлена). В одном из документов указаны предписания, согласно которым должна протекать эта операция. Ее суть сводится не к тотальному демонтажу управляющих серверов различных ботнетов (Citadel позволяет задавать конфигурации билдера таким образом, что каждый пользователь crimeware toolkit получает в распоряжение собственный ботнет из ботов, которые были созданы этим билдером), а к переориентированию ботнета таким образом, чтобы он не позволял злоумышленникам получать контроль над уже зараженной системой. Такая схема достигается с использованием приема перезаписи части контактной информации о доменах, к которым обращается бот Citadel (C&C) со стороны регистратора этих доменов.

Мы составили рейтинг компонентов Windows, которые оказались наиболее исправляемыми в первую половину 2013 г., в рамках исправлений «Patch Tuesday». В рейтинге не учавствовали компоненты, ориентированные только на Windows Server и компоненты других продуктов, например, Microsoft Office.



На графике под столбец «Другие» мы объединили компоненты, для которых исправлялось не более двух уязвимостей. В таблице ниже дается подробная информация по каждому компоненту.



Как видно, наиболее исправляемыми компонентами оказались: браузер Internet Explorer, драйвер подсистемы Windows — Win32k.sys, .NET Framework и ядро ОС ntoskrnl. Красным шрифтом отмечены уязвимости, которые были заявлены как эксплуатируемые itw, на момент их закрытия.

Microsoft анонсировали выпуск серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (6 июня) секьюрити-фиксы покрывают в общей сложности 23 уникальных уязвимости (одно исправление со статусом Critical и 4 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь.

Критическое обновление MS13-047 нацелено на устранение уязвимостей типа Remote Code Execution, которые присутствуют во всех версиях браузера Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10 (для всех ОС Windows XP — 8 — RT, x32 и x64, для серверных версий ОС как Moderate). Для применения фикса нужна перезагрузка. Кроме Internet Explorer, обновлению подверглись компоненты ОС различных версий и последняя версия Microsoft Office 2011 для Mac.

Компания выпускает security-фиксы для своих продуктов каждый второй вторник месяца с анонсированием в два этапа. За несколько дней до выхода самих обновлений выкладывается минимальная информация, которая включает в себя информацию об обновляемых продуктах, список обновлений, которые будут доставлены, и типы уязвимостей, которые подлежат устранению. Непосредственно выход самих обновлений сопровождается публикацией расширенной информации, такой как, идентификаторы уязвимостей (Exploitability Index), исправляемые компоненты продуктов, техника эксплуатирования.

Прошлый месяц ознаменовался дебатами между Google и Microsoft о сроках разглашения информации о 0day уязвимостях.

Методы распространения вредоносных программ являются ключевым фактором для киберпреступников, так как чем быстрее распространится эта угроза, тем больший урон может быть нанесен. В середине мая 2013 г. мы наблюдали массивную спам-кампанию в Skype и Gtalk, в которой злоумышленники использовали методы социальной инженерии.

Менее чем за 48 часов с начала этой кампании, более полумиллиона пользователей перешли по вредоносным ссылкам, которые рассылались в сообщениях. Важно отметить, что эти ссылки были укороченные и преобразовывались в полный адрес с помощью различных веб-сервисов, через которые мы смогли получить статистику переходов пользователей по этим ссылкам. Было зафиксировано использование сервиса Google URL Shortener, адреса которого начинаются с goo.gl, причем более 490,000 пользователей прошли по этим ссылкам.

Подразделение Microsoft по борьбе с киберпреступлениями Microsoft Digital Crimes Unit объявили о начавшейся операции против ботнетов Citadel и связанной с ними киберпреступной группой. Спецоперация также включает в себя кампанию по очистке зараженных этой троянской программой компьютеров. Операция носит кодовое название b54 и осуществляется компанией совместно с ФБР, провайдерами ISP и различными командами CERT по всему миру. Целью является сорвать (disrupt) скоординированные действия ботнетов и злоумышленников, которые получают из них финансовую выгоду. После получения соответствующего ордера, компания выполнила специальную операцию по выведению из строя более 1,400 действующих ботнетов Citadel, которая включала в себя физическое изъятие серверов инфраструктуры. Отмечается, что прибыль киберпреступников, использующих Citadel, составляет более полумиллиарда долларов, которые были украдены со счетов различных организаций и частных лиц с использованием троянской программы Citadel. Пострадали около 5 млн. человек, особенно подверженными деятельности вредоносного кода оказались США, страны Европы, Гонконг, Сингапур, Индия и Австралия.

В минувшем месяце в мире было зафиксировано повышение активности семейства ZBot (ZeuS), рейтинг которого составил 1,36%. Под общим названием Win32/Spy.Zbot нами детектируются все возможные модификации этой троянской программы, включая Citadel и Gameover. Пиковая активность ZeuS пришлась на 2 мая, когда уровень его распространенности достиг 4,83%.

Главной целью злоумышленников, использующих ZeuS, является кража аутентификационных данных пользователей от различных сервисов, включая онлайн-банкинг. Похищенная таким образом информация используется для перевода денежных средств на подставные счета, с которых они оперативно обналичиваются «мулами» – лицами, готовыми снимать средства сомнительного происхождения за небольшой процент. Отметим, что внушительное количество модификаций ZeuS обусловлено утечкой исходных кодов этого трояна в 2011 году.

Сегодня мы хотим рассказать о кампании по распространению вредоносного ПО, которая использует тему сроков подачи налоговых деклараций в Словакии. Несмотря на то, что эта атака является в большей степени локальной, такой случай показывает насколько опасными могут быть используемые злоумышленниками методы социальной инженерии, в которых применяется обращающая на себя тема.

Недавно мы столкнулись с интересным образцом вредоносного кода, который обнаруживается ESET как Win32/Syndicasec.A. Он обращал на себя внимание по ряду следующих причин:

• Наша система телеметрии показывает весьма небольшой масштаб заражений данной угрозой, а география распространения ограничивается такими странами как Непал и Китай. Предыдущие версии этого вредоносного кода фиксировались нами начиная с 2010 года.
• Полезная нагрузка представляет из себя небольшой фрагмент кода на Javascript, который регистрируется с использованием подсистемы Windows WMI.
• Бэкдор использует веб-сайты поддельных блогов для получения информации о командных C&C серверах. Эти веб-сайты размещаются на доменах, зарегистрированных в Тибете.
• По своим характеристикам эта операция очень похожа на предыдущие шпионские кампании, направленные против тибетских активистов, такие как OS X Lamadai и другие.

Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.

В этом посте мы хотим представить наше расследование таргетированной атаки (targeted attack), которая использовалась для похищения конфиденциальной информации из различных организаций по всему миру. В ходе этого расследования было обнаружено, что следы этой атаки уходят в Индию, а наиболее пострадавшей страной является Пакистан. Кроме этого, действия злоумышленников были активны на протяжении как минимум последних двух лет. Отличительной особенностью атаки было использование действительного цифрового сертификата, который использовался для подписания вредоносных исполняемых файлов. Мы также обнаружили эксплойт, который злоумышленники использовали для установки вредоносного кода в систему.

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (9 мая) секьюрити-фиксы покрывают 33 уникальных уязвимости (2 исправления со статусом Critical и 8 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Как и в прошлые месяцы обновления нацелены на исправление Critical уязвимостей в браузере Internet Explorer и имеют тип Remote Code Execution. Одно из таких обновлений закрывает уязвимость во всех версиях браузера, начиная с 6-й версии и заканчивая новейшей IE 10. Другое Critical исправление ориентировано на закрытие flaw в IE 8. 0day эксплойт для этой уязвимости был недавно использован для организации атаки на правительственные учреждения США с последующей доставкой вредоносного кода. Для применения патчей IE требуется перезагрузка.

В прошлой части нашего исследования мы обещали опубликовать продолжение анализа инцидента заражений серверов под управлением Linux с участием бэкдора Linux/Cdorked.A. Мы уже писали, что специалистами нашей лаборатории была установлена его главная задача, которая заключается в перенаправлении пользователей веб-сервера на вредоносные веб-сайты. Расследуя более детально этот инцидент мы пришли к следующим выводам:

• Всего было выявлено более 400 веб-серверов, зараженных Linux/Cdorked.A. Кроме того, 50 из них осуществляют хостинг для веб-сайтов, которые входят в Alexa ТОП 100,000 самых популярных веб-сайтов.
• Бэкдор осуществлял компрометацию веб-серверов не только под управлением Apache, но и Lighttpd, а также nginx.
• По данным наших систем телеметрии, эта угроза была активна уже с декабря 2012 г.
• Бэкдор использует дополнительные механизмы для обеспечения своей скрытности. В частности, нами было установлено, что вредоносный код не будет осуществлять перенаправление пользователей, если IP-адрес клиента находится в диапазоне адресов, указанных в черном списке. Этот черный список является довольно большим и включает в себя адреса, принадлежащие таким странам как Япония, Финляндия, Россия, Украина, Казахстан и Белоруссия. Кроме этого, проверка страны также выполняется по анализу HTTP-заголовка и параметру Accept-Language.
• Наша облачная технология показывает почти 100,000 пользователей AV-продуктов ESET, которые перенаправлялись на ссылки, сгенерированные скомпрометированными веб-серверами. При этом такое перенаправление на вредоносное содержимое было заблокировано антивирусом.
• В некоторых случаях мы наблюдали специальные перенаправления для платформ Apple iPad и iPhone.

В феврале 2013 г. появилась информация о новом рутките Avatar, которая, судя по-всему, имеет происхождение с одного из подпольных форумов. В частности, на сервисе pastebin было опубликовано описание его возможностей. Информация о новом рутките горячо обсуждалась в security-сообществе, поскольку описываемые возможности этого руткита действительно впечатлали. Среди них, например, возможности загрузки драйвера без участия жесткого диска, заражение бут-драйверов ОС, новые схемы защиты ботнета и другие. Также заявлялся обход нескольких security/AV-продуктов и известных антируткитов.

Сегодня стало известно, что новый 0day для браузера Internet Explorer версии 8 (исключая версии 6, 7, 9, 10) активно эксплуатируется в дикой природе и был использован для установки вредоносного ПО. В частности следы атаки были обнаружены на компьютерах правительственных чиновников США, ответственных за область ядерных исследований. Уязвимость имеет тип «Remote Code Execution» (CVE-2013-1347).

На прошлой неделе коллеги из Sucuri прислали нам модифицированную версию бинарного файла веб-сервера Apache, который перенаправлял некоторые, адресованные к нему запросы, на набор эксплойтов Blackhole Exploit Kit. Проведенный экспертами нашей антивирусной лаборатории анализ показал, что эта Linux-угроза, получившая название Linux/Cdorked.A, предназначена для перенаправления трафика на вредоносные сайты. Информация Sucuri об этом инциденте.

В процессе анализа мы пришли к выводу, что Linux/Cdorked.A представляет из себя наиболее сложный Linux-бэкдор из всех, что мы видели прежде. С помощью нашей облачной технологии ESET Live Grid мы получили статистику о сотнях скомпрометированных веб-серверов. В отличии от других подобных угроз, бэкдор не оставляет каких-либо следов своей деятельности на жестком диске скомпрометированного хоста, что заметно усложняет его обнаружение. Вместо этого, он хранит всю используемую им информацию в памяти, без привлечения жесткого диска. Кроме этого, злоумышленники используют обфусцированные HTTP-запросы для передачи служебной информации вредоносному коду, которые не фиксируются в лог-файле работы Apache. Таким образом следы взаимодействия вредоносного кода с C&C сервером также отсутствуют.

Новая версия Enhanced Mitigation Experience Toolkit (EMET) 4.0 вышла в бету. EMET использует необходимые превентивные методы для защиты приложений от различных рода атака, которые имеют целью эксплуатирование flaws в ПО и изменение потока выполнения кода. EMET помогает защитить приложения, в т. ч. от 0day эксплойтов, которые могут использовать ROP для обхода DEP и ASLR. Новая версия EMET вводит ряд дополнительных возможностей, которые позволяют обнаруживать различные сценарии эксплуатации и компрометации приложений.

Спамеры активно используют темы, заголовки которых постоянно появляются в СМИ. Трагедия, произошедшая в Бостоне, также не стала исключением. Мы зафиксировали спам-рассылку, которая использует тему этой трагедии и выяснили, что она имеет целью установку вредоносного кода Win32/Kelihos. С помощью нашей системы мониторинга ботнета Win32/Kelihos, было установлено, что киберпреступники переориентировали ботнет на рассылку спама, использующего эту тему. Следует отметить, что ботнет быстро переключили на рассылку именно этого типа спама, поскольку еще сутки назад он рассылал спам на другую тему.

Сегодня компания Oracle выпускает плановый набор Critical фиксов для Java. Обновления затрагивают Java SE (Standart Edition) версий 7 (7u15 и ниже), 6 (6u43 и ниже), 5 (5u41 и ниже). Исправлению подлежат 42 уязвимости, 39 из которых относятся к типу Remote Code Execution и могут быть успешно применены без фактической аутентификации, т. е. удаленно по сети, без применения логина и пароля для входа на удаленную систему (потенциальный drive-by installation).

Во вторник Microsoft выпустила плановую порцию обновлений, о которой мы писали в нашем блоге. В частности, речь шла об обновлении MS13-036, которое покрывает четыре уязвимости в драйверах режима ядра и касается таких компонентов, как драйвера подсистемы Win32 — win32k.sys (CVE-2013-1283, CVE-2013-1291, CVE-2013-1292) и драйвера файловой системы NTFS — ntfs.sys (CVE-2013-1293). Сегодня компания выпустила заметку, в которой рекомендует отказаться от установки этого обновления, если вы его еще не установили и удалить его, если вы его уже установили. По крайней мере, обновление было отозвано из центра загрузок и при последующих обновлениях, оно не будет пока доставляться пользователям. Речь идет о несовместимости с некоторыми сторониими Security/AV-продуктами и может приводить к BSOD на ранних этапах загрузки ОС.

Едва ли стоит напоминать, что HITB является одной из самых известных конференций для security-экспертов. В этом году она проходила в Амстердаме, Голландия, Hotel Okura. Офиц. твиттер конференции https://twitter.com/HITBSecConf. В этом году, кроме интересных докладов ресерчеров, конференция включала в себя несколько дней тренинга, который был посвещен уже ставшей очень популярной теме эксплуатации, включая, проектирование демо-эксплойтов, шелл-код, heap spray, ROP и другие. Мы хотим рассказать о некоторых интересных докладах из этой конференции.

Microsoft анонсировали выпуск очередной серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (4 апреля) секьюрити-фиксы покрывают в общей сложности 12 уникальных уязвимостей (2 исправления со статусом Critical и 7 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из критических обновлений (как и в прошлом месяце) нацелено на устранение уязвимости, которая присутствует во всех версиях Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10 (MS13-028). Уязвимость относится к классу Remote Code Execution и потенциально может быть использована для успешного осуществления drive-by download/installation атак. Также сразу три фикса со статусом Important нацелены на устранение уязвимостей в ядре, связаны с некорректной работой кода с объектами в памяти и имеют тип Elevation of Privilege.