• Новый загрузчик Buhtrap

      Сегодня мы расскажем вам о новом подходе к рассылке ВПО группировкой Buhtrap.



      Модуль загрузчика


      19 декабря нам стало известно о вредоносной рассылке, содержащей исполняемый файл (md5: faf833a1456e1bb85117d95c23892368). Файл принимал различные названия: «Сверка за декабрь.exe», «Док-ты среда.exe», «Документы 19.12.exe», «Закрывающие документы среда.exe».

      Из интересного — файл написан на .Net, что не характерно для этой преступной группировки. Для декомпиляции .Net можно взять любое ПО: Reflector, dotPeek, dnSpy, ILSpy. В статье мы расскажем об особенностях реализации данного файла и о том, как мы его анализировали.
      Читать дальше →
    • OFFZONE 2018 приветствует новобранцев

        Когда: 15-16 ноября 2018 года
        Где: Digital October (Москва, Берсеневская набережная, 6, стр. 3)
        Официальный сайт: www.offzone.moscow
        CFP: offzone.moscow/cfp (до 5 октября 2018 года)
        Купить билет: offzone.moscow/ru/tickets



        Международная конференция OFFZONE 2018 впервые пройдёт 15-16 ноября в Москве и объединит на своей площадке профессионалов, признанных экспертов и исследователей в области практической кибербезопасности.

        Никаких пиджаков, никакого бизнеса — только hardcore research. В этом главный тезис конференции OFFZONE 2018. Она о знаниях, полученных на собственном опыте. Об исследованиях увлеченных людей. О труде, который позволил добиться серьезных результатов и, конечно, огромной любви к своему делу.

        Штаб конференции будет располагаться в одном из исторических центров Москвы — на территории пространства Digital October (ранее фабрика «Красный Октябрь»). На протяжении двух дней тематика постапокалипсиса и культовой игры Fallout будет сопровождать каждого, кому удастся попасть в штаб конференции.

        Участники – новые герои пространства OFFZONE, которые смогут не только получить уникальные опыт и знания специалистов-практиков, но и проверить свои навыки в деле. Но обо всем по порядку.
        Читать дальше →
      • Новая техника атак на основе Meltdown. Использование спекулятивных инструкций для детектирования виртуализации

          Атака Meltdown открыла новый класс атак на процессоры, использующий архитектурные состояния для передачи информации. Но спекулятивное исполнение, которое было впервые применено для атаки в Meltdown, позволяет не только выполнить код со снятием ограничений, но и узнать определенные детали работы процессора. Мы нашли новый способ реализации атаки с использованием архитектурных состояний. Он позволяет детектировать виртуализацию, опираясь на то, как процессор выбирает, отправлять инструкции на спекулятивное исполнение или нет. Мы сообщили о данном способе в Intel, и 21 мая 2018 года было выпущено оповещение об уязвимостях «Q2 2018 Speculative Execution Side Channel Update», в котором присутствует наша уязвимость CVE-2018-3640 или Spectre Variant 3a.
          Читать дальше →
        • Dimnie: от гиков с GitHub до корпоративных бухгалтеров

            Введение


            В то время как ИБ-сообщество России внимательно наблюдает за новыми атаками известных преступных групп Carbanak, Buhtrap и RTM, в стане финансовых угроз незаметно произошло пополнение. И вызвано оно не появлением совершенно нового банковского трояна, а добавлением банковского модуля к ранее известному шпионскому ПО Dimnie.

            Dimnie — троян для сбора информации (снимков экрана, клавиатурных нажатий и т.д.) и получения удаленного доступа к зараженным системам. Совсем недавно, в январе, нам попался один из его новых модулей для подмены платежей 1С, и тогда стало понятно, что авторы Dimnie кражей информации ограничиваться не хотят.

            Известность Dimnie приобрел еще в начале 2017 года, когда атаковал пользователей сервиса GitHub (более подробно об этом писали коллеги из Palo Alto Networks). Но согласно данным Virus Total, троян этот далеко не новый: злоумышленники вовсю используют его аж с середины 2014 года, — именно тогда впервые засекли образцы исполняемых файлов Dimnie.
            Читать дальше →
          • Результаты первого тура CTFzone

              На прошлых выходных, 15-16 июля, состоялся первый этап выборов президента CTFzone. Первый онлайн этап CTFzone является отборочным туром для основного круга президентских выборов, которые пройдут этой осенью в рамках конференции ZERONIGHTS 2017. В отборочном туре приняли участие 765 команд со всех уголков планеты – президентская компания CTFzone привлекла внимание участников из 81 страны мира.

              image
              Читать дальше →
            • PETYA malware. Recovery is possible


                27 июня в сети начали появляться сообщения о быстром распространении вредоносной программы – шифровальщика Petya, выполняющей шифрование данных на компьютере жертвы. Атаке подверглись крупные корпорации России, Украины, ЕС, США и ряда других стран. Специалисты компании BiZone провели подробный анализ работы вредоноса. Ниже приведены результаты исследования, а также рекомендации по его удалению с компьютера жертвы и восстановлению данных.
                Читать дальше →
              • BI.ZONE объявляет выборы президента CTFzone



                  Последний год по праву можно назвать «годом выборов». Повсюду переполох и шум, страсти не стихают уже который месяц. Настала очередь CTFzone!

                  Компания BI.ZONE объявляет о проведении выборов президента CTFzone. Выборы будут максимально свободными и независимыми – никаких партий и звезд политической арены, только Вы и Ваш кандидат. Командам предлагается сыграть роль избирательного штаба и помочь своему кандидату одержать победу.
                  Читать дальше →
                • Недокументированные возможности Windows: регистрация событий доступа к ключам реестра

                    Начиная с Windows 8 пользователи операционной системы могут заметить в журнале системных событий такое сообщение: «The access history in hive […] was cleared updating [...] keys and creating [...] modified pages». Что же скрывается за этим сообщением?
                    Читать дальше →
                    • +16
                    • 7,7k
                    • 3
                  • Недокументированные возможности Windows: скрываем изменения в реестре от программ, работающих с неактивным реестром

                      Можно ли создать такой ключ реестра, который будет виден в Windows в составе активного (подключенного) реестра, но не будет виден программам, работающим с неактивным (отключенным) реестром? Оказывается, если у вас есть возможность изменить лишь одну переменную ядра (например, с помощью драйвера), то да, способ есть.
                      Читать дальше →
                    • Так ли безопасно использование абсолютного пути в *nix системах, как мы привыкли считать?

                        image


                        Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):


                        …
                        Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
                        …

                        Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.


                        Читать дальше →

                      Самое читаемое