Вчера появилась информация об аресте одного из операторов ботнета Bredolab в аэропорте Еревана. А в Нидерландах было обезврежено 143 сервера, входящих в состав данного ботнета. Мы уже давно ведем мониторинг вирусного семейства Win32/TrojanDownloader.Bredolab. Этот троянец-загрузчик, в первую очередь, предназначен для распространения других вредоносных программ.

Уже много раз обсуждалась тема червя Stuxnet на Хабре. Казалось бы, осветили данное событие со всех сторон, однако все же много важных моментов осталось за кадром. Дело в том, что за всем этим «желтоватым» информационным шумом, фигурирующем сейчас в СМИ, не видно сути. А ведь до сих пор никто не может ответить точно на вопрос, зачем и кому могла быть выгодна такая атака. Прямых фактов не у кого нет, а фигурируют лишь домыслы, сделанные на довольно шатком фундаменте косвенных улик. Но давайте поговорим обо всем по порядку.

На конференции VB’2010, которая прошла в Ванкувере на прошлой неделе, очень много говорили об этой атаке, причем с разных ракурсов. Наиболее интересным по данной теме было выступление «An indepth look into Stuxnet» от исследователя из Symantec, Liam O'Murchu. В рамках его доклада была проведена любопытная демонстрация, которая показывала результат эксплуатации SCADA-системы.

По числу эксплуатируемых уязвимостей программа Adobe Acrobat Reader является одной из самых «дырявых» и, в тоже время, наиболее популярной у злоумышленников. Атаки с использованием уязвимостей в приложениях Adobe для проведения client-side атак уже давно стали трендом. В прошлый раз о громкой 0-day уязвимости мы писали летом. Недавно у злоумышленников появился новый повод для творчества.

В конце прошлой недели была обнаружена принципиально новая версия нашумевшего руткита TDL3 (есть некоторые факты позволяющие утверждать, что этот зверь появился даже несколько раньше), основной особенностью этой версии стала полноценная поддержка x64 систем.

TDL4 удаётся успешно обходить защитный механизм проверки цифровой подписи в х64 версиях windows-систем. Авторы TDL4 применили довольно изящный способ обхода, который заключается в использовании техник заражения MBR и старта вредоносного кода раньше самой операционной системы. Подобные методологии уже активно применялись такими вредоносными программами, как Mebroot, StonedBoot и др.

Последней распространенной версией TDL3, о которой мы проводили летом подробное исследование, была 3.273. Сейчас отcчет версий ведется с начала, и рассматриваемая в статье версия идет под номером 0.02 (версию можно увидеть в конфигурационном файле бота). Столь странный номер версии наводит на мысли, что авторы пока только отлаживают новые технологии, появившиеся в этой версии, и в дальнейшем нас ожидает что-то более интересное. С точки зрения функционала принципиальных изменений, кроме нового способа инсталляции драйвера через заражение MBR и небольших изменений в скрываемой файловой системе, мы не заметили. Драйвер очень похож на то, что мы уже видели в TDL3 и, вероятнее всего, был просто пересобран с учетом особенностей х64 систем. Предыдущая версия руткита использовала для загрузки вредоносного функционала механизм инфицирования системных драйверов без изменения их размера, но так как в х64 системах при загрузке драйвером проверяется цифровая подпись, злоумышленники от этого механизма отказались.

Итак, теперь заражение осуществляется следующим образом:

На прошлой неделе на Хабре уже писали о заявлении HD Moore и найденной им уязвимости, которая содержится в достаточно большом количестве приложений и работает на всех версиях MS Windows. Но все оказалось куда серьезнее, так как речь идет не просто о найденной уязвимости, а о концептуальной ошибке в дизайне механизма загрузки динамических библиотек. По этому поводу вчера Microsoft официально выпустила Security Advisory (2269637), что означает официальное признание серьезности данной уязвимости. Но давайте попробуем разобраться в сути этой проблемы, так как она ничуть не менее серьезная, нежели недавно найденная уязвимость в загрузке LNK-файлов.

Уязвимость заключается в том, что многие программы при вызове функции LoadLibrary() не проверяют корректность пути, по которому эта библиотека может быть загружена. Таким образом, они позволяют произвести подмену выполняемой библиотеки. Это связано с тем, что поиск загружаемой библиотеки осуществляется в первую очередь в директории, содержащей образ исполняемого файла, который породил процесс (подмененная библиотека выполняется с привилегиями пользователя, запустившего процесс). К примеру, Georgi Guninski предложил следующую демонстрацию (PoC) данной уязвимости:

Все началось с того, что специалисты белорусской антивирусной компании «ВирусБлокада» 9 июля обнаружили интересную вредоносную программу, драйвера которой имели легальную цифровую подпись от Realtek. На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов (Shell Link) для не санкционированного распространения с различных USB-накопителей. Увидев это информационное сообщение мы тоже обратили внимание на эту угрозу, и заметили у нее достаточно интересный ландшафт распространения (данные получены через нашу систему раннего обнаружения угроз ThreatSense.Net).

В современном мире трудно найти человек использующего интернет, но не устанавливающего дополнительных расширений для своего браузера. Такие расширения как Flash установлены у подавляющего большинства пользователей. А ведь именно появление таких плагинов повлияло на изменение ландшафта в современном эксплойтостроении. Теперь безопасность на стороне пользователя не может контролироваться только со стороны разработчиков браузера. Не менее важна и безопасность каждого из установленных плагинов, ведь злоумышленники могут использовать его для внедрения в систему вредоносного кода. К примеру, появление уязвимостей в продуктах небезызвестной компании Adobe влечет за собой рост количества эксплойтов, нацеленных именно на эти уязвимости.

В последнее время снова много стали говорить о рутките TDSS, а точнее о последней его модификации TDL3. По классификации ESET, данный руткит относится к вредоносным программам семейства Win32/Olmarik. По нашим статистическим данным, наибольшую активность, он проявляет в США. Другие антивирусные компании также подтверждают сей факт.

Стоит отметить, что за достаточно небольшой промежуток времени появилось уже несколько независимых исследований по этой теме: раз , два, три. Сегодня Центр вирусных исследований и аналитики российского представительства ESET обнародовал свой аналитический отчет «Руткит Win32/Olmarik: технологии работы и распространения», который был подготовлен по итогам длительного мониторинга и анализа различных модификаций этого руткита. Ниже мы приводим выдержки из этого документа.

В нашем исследовании присутствует описание не только технологий внедрения и функционирования, но и способов монетизации распространения. В нашем отчете присутствует ряд технологических моментов, нерассмотренных в других аналитических работах.
WIN32/OLMARIK распространяется посредством специальной программы – дропера, задачей которой является скрытая установка руткита. Тело дропера зашифровано и обфусцированно для того, чтобы затруднить детектирование антивирусным ПО. Во время расшифрования дропер использует некоторые приемы для противодействия отладке, эмуляции и определения выполнения в среде виртуальной машины.

Началась эта история уже более десяти дней назад, когда стало известно об очередной уязвимости в продуктах компании Adobe, приводящей к возможности удаленного выполнения вредоносного кода. Началось активное распространение этой заразы, в частности, эксплойт вошел в состав многих эксплойт-паков, активно распространяющихся в данный момент времени. Но самое интересное началось после того, как вечером 10 июня появился публичный код эксплойта в составе Metasploit.

Ассоциация компаний Интернет-индустрии (Internet Industry Association, IIA) Австралии выпустила интересный документ под названием internet industry code of practice (icode). Документ позиционируется как отраслевой стандарт, призванный, прежде всего, повысить защищенность локального сегмента от киберпреступности. Разрабатывался документ компаниями из области информационных технологий в тесном контакте с правительственными структурами. Стандарт является добровольным. Но, очевидно, если он покажется свою состоятельность и эффективность, может быть принят в отрасли на обязательной основе.

Компания Eset уже на протяжении нескольких лет выступает спонсором конференции, посвящённой практическим аспектам информационной безопасности — CONFidence. И каждый год мы предлагаем задание в виде crackme, за быстрое решение которого выдаются ценные призы. В этом году наш польский офис, официальное открытие которого состоялось в начале года, подготовил весьма оригинальное задание. Ведь конференция проходила в их родном городе, в Кракове.



Если вы хотите попробовать свои силы, тогда не читайте информацию подкатом, так как там мы опубликовали описание алгоритма проверки регистрационного кода. Скачать crackme можно здесь.

В последних числах мая в Хельсинки прошла ежегодная конференция, посвященная сетевым угрозам CARO (Computer Antivirus Research Organization). Интересно, что прошлогодняя CARO’2009 проходила в Будапеште (Венгрия). В связи с этим вспомнился бородатый анекдот про переселение финно-угорских народов, «кто умел читать, пошел на юго-запад». Тем не менее, Хельсинки – очень интересный с точки зрения туризма город, поэтому российское представительство ESET с удовольствием отправило своих делегатов на конференцию (эксперты из других представительств ESET тоже были). Гостеприимным «хозяином» конференции в 2010 году стала финская компания F-Secure.

Управление ботсетью с мобильного телефона уже давно стало реальностью — нам уже встречались случаи управления ботнетом и через jabber. А несколько лет назад для этих целей пользовался большой популярностью у злоумышленников протокол IRC. На прошлой неделе нам попалась на глаза любопытная программа генерации ботов MSIL/Twebot.A, которая «привязывает» их к командному центру в виде твиттер-аккаунта, через который ведется все управление ботсетью.


Update:
Добавлено описание MSIL/Twebot.B.

Киберпреступники находятся в постоянном поиске возможных путей быстрого заработка на беспечных пользователях. В интернете постоянно появляются новые схемы SMS-мошенничества, так как этот способ заработка позволяет злоумышленникам быстро обогатиться. Новым трендом этой криминальной индустрии стала монетизация за счет популярности электронных библиотек.

В связи с широким распространением различных устройств для чтения электронных книг, число запросов осуществляющих поиск интернет-библиотек, стремительно растет. И уже ни для кого не новость, что любой всплеск активности в сети привлекает внимание киберприступников. Сейчас злоумышленники стали активно создавать ресурсы по распространению электронных или аудио книг, которые пользователи скачивают в виде самораспаковывающегося архива.

В прошедшие выходные состоялась конференция РусКрипто'2010. Каждый год она собирает ведущих специалистов в области ИБ. Конференция уже давно расширила свои тематические границы, и теперь криптографии посвящена только одна секция. А в рамках остальных рассматривается широкий круг практических вопросов, связанных с ИБ. Например, два года назад дебютировала секция «Интернет и информационная безопасность», а в этом году были добавлены секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» и «Penetration testing internals». Подобные преобразования с каждым годом привлекают к участию в конференции все больше специалистов-практиков, что выгодно отличает РусКрипто от других мероприятий по ИБ, где акцент часто делается на маркетинговой направленности участников и их докладов.
В этом году мы приняли активное участие в этой конференции, а также стали спонсорами студенческого конкурса РусКрипто CTF.
В рамках секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» был представлен наш доклад «Исследование вредоносных программ с точки зрения расследования инцидентов», (не судите строго качество записи, она была произведена любителями, и ни в коем случае не претендует на профессионализм).

Организация US-CERT недавно сообщила о найденном ими вредоносном функционале в программном обеспечении для зарядных USB-устройств от Energizer (Energizer DUO USB).

Совсем недавно мы писали о борьбе компании Microsoft с ботнетом Waledac. И теперь снова восторжествовала победа правосудия — удалось задержать непосредственно создателей другого ботнета под названием Mariposa. Это крупнейшая ботсеть, по аналитическим данным, состоящая почти из 13 миллионов машин зараженных пользователей. Помимо рядовых пользователей в него входили боты из банков и крупных компаний более чем из 190 стран мира.

Не так давно компания ESET официально заявила об открытии Вирусной лаборатории в одном из крупнейших научных, культурных и экономических центров Польши — в Кракове. Это одно из важнейших технологических подразделений, которое, как и наш Центр вирусных исследований и аналитики, должно улучшать качество обнаружения вирусных угроз, попадающих в лаборатории ESET со всего мира благодаря технологии глобального мониторинга ThreatSense.Net.

Вот уже более года продолжает свое существование один из самых продуктивных ботнетов для рассылки спама — Waledac. На свет появилась уже не одна модификация данного троянца. В антивирусных базах ESET он известен под именем Win32/Waledac.

Вы, наверное, уже не раз слышали упоминание о Waledac, так как практически ни один праздник в прошлом году не обошелся без рассылки спама с этой вредоносной программой внутри. По нашим измерениям, ботнет, созданный с помощью программы Waledac, может рассылать около нескольких миллиардов спам-писем ежедневно. Протокол сетевого взаимодействия данного ботнета был проанализирован независимыми исследователями и опубликован в ноябре прошлого года на конференции European Conference on Computer Network Defense.

Во вторник, на прошлой неделе, вышло внеплановое обновление от Microsoft, под номером MS10-015 . Данный патч устранял уязвимость, которая позволяет локально повысить свои привилегии, и вносил модификации непосредственно в ядро ОС. Это обновление повлекло довольно непредвиденные последствия — некоторые пользователи испытывали проблемы после его установки. А конкретнее, после перезагрузки системы, которая требуется для установки этого обновления, стала проявляться критическая ошибка в одном из системных драйверов, которая в дальнейшем демонстрировала BSoD.