Все началось с того, что специалисты белорусской антивирусной компании «ВирусБлокада» 9 июля обнаружили интересную вредоносную программу, драйвера которой имели легальную цифровую подпись от Realtek. На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов (Shell Link) для не санкционированного распространения с различных USB-накопителей. Увидев это информационное сообщение мы тоже обратили внимание на эту угрозу, и заметили у нее достаточно интересный ландшафт распространения (данные получены через нашу систему раннего обнаружения угроз ThreatSense.Net).

В феврале 2013 г. появилась информация о новом рутките Avatar, которая, судя по-всему, имеет происхождение с одного из подпольных форумов. В частности, на сервисе pastebin было опубликовано описание его возможностей. Информация о новом рутките горячо обсуждалась в security-сообществе, поскольку описываемые возможности этого руткита действительно впечатлали. Среди них, например, возможности загрузки драйвера без участия жесткого диска, заражение бут-драйверов ОС, новые схемы защиты ботнета и другие. Также заявлялся обход нескольких security/AV-продуктов и известных антируткитов.

Известная кибергруппа Hacking Team (@hackingteam), которая специализируется на разработке и продаже специального шпионского ПО для правоохранительных органов и спецслужб различных государств стала объектом кибератаки, в результате которой для общественности стал доступен архив с 400ГБ различной конфиденциальной информации. В сеть утекла личная переписка Hacking Team с их клиентами, заключенные договора на продажу своих кибер-изделий различным государствам, а также большое количество другой информации, связанной с деятельностью компании.



В результате утечки стало известно, что к услугам HT прибегали не только государственные структуры, но и частные компании. Также из опубликованных данных видно, что одним из клиентов HT были российские структуры или фирмы. Архив содержит и информацию о наработках кибергруппы (Exploit_Delivery_Network_android, Exploit_Delivery_Network_Windows), а также огромное количество различной поясняющей информации (wiki).

Пока индустрия, в целом, отходит от удара, нанесенного ей Heartbleed, отдельные компании выпустили свои пресс-релизы и комментарии, в которых разъясняют свою причастность к сабжу. Ниже дана справка по известным вендорам в кратком виде.

Сервис: Facebook
Затронут уязвимостью: неясно
Нужно сменить пароль?: Да. We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to… set up a unique password.

Сервис: Tor
Затронут уязвимостью: косвенно, через другие серверы
Нужно сменить пароль?: зависит от целевого сервера. If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.
Детальнее см. https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

Сервис: LinkedIn
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. We didn't use the offending implementation of OpenSSL in www.linkedin.com or www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.

Руководство российского представительства ESET недавно вернулось из столицы Словакии Братиславы – исторической родины компании.


Попытка проникнуть в офис ESET. Андроид спокоен. Несмотря на то, что технический директор ESET вооружен до зубов бейсбольными битами, Андроид легко отличает сувенирное оружие от настоящего и распознает в Григории Васильеве «своего». Никаких ложных срабатываний.



Стильный графический интерфейс продуктов ESET – далеко не единственное, что радует глаз! Взять хотя бы зеленый ресепшн ESET, оформленный в футуристическом стиле.

Adobe объявила, что стала целью крупной кибератаки, в которой личные данные клиентов оказались под угрозой. Речь идет о компрометации почти трех млн. аккаунтов и утечки исходных текстов продуктов, в т. ч. Adobe Acrobat, ColdFusion, ColdFusion Builder. По сообщению компании злоумышленникам удалось получить доступ к таким персональным данным клиентов [в зашифрованном виде] как: данные аккаунтов (логин, пароль) / customer ID, номера кредитных карт и другие важные сведения.

Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders. At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems. We deeply regret that this incident occurred. We’re working diligently internally, as well as with external partners and law enforcement, to address the incident.

По числу эксплуатируемых уязвимостей программа Adobe Acrobat Reader является одной из самых «дырявых» и, в тоже время, наиболее популярной у злоумышленников. Атаки с использованием уязвимостей в приложениях Adobe для проведения client-side атак уже давно стали трендом. В прошлый раз о громкой 0-day уязвимости мы писали летом. Недавно у злоумышленников появился новый повод для творчества.

По итогам продаж 2008 года российское представительство ESET (автор антивируса NOD32) заняло первое место среди всех офисов ESET (в соревновании не принимают участие штаб-квартиры в Словакии и США, только регионы — более 100).
Российский офис стал лучшим в мире всего за четыре года работы.

• Да, в стране, где есть два сильных местных антивируса.
• Да, в стране, где высокий уровень пиратства.
• Да, не помешали ни кризис, ни падение цены на нефть.


Как нам это удалось?

Команда разработчиков YouTube объявила о том, что теперь HTML5 будет стандартом по умолчанию для проигрывания роликов, вместо Flash. HTML5 будет использоваться для проигрывания содержимого сервиса на веб-браузерах Google Chrome, MS IE11, Apple Safari 8 и бета-версий Mozilla Firefox. Еще несколько лет назад YouTube запустил экспериментальную версию проигрывателя на HTML5 для устройств или OS, которые не поддерживают Flash Player или просто не хотят его использовать (например, iOS).

Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.

По статистике ZeuS Tracker, на сегодняшний день всего зафиксировано 1296 командных центра данного ботнета, из них активны сейчас только 697.

За четыре года наш коллектив вырос с 3 до 70 человек, появилось три офиса плюс общение со штаб-квартирами. Поэтому по ходу пришлось менять и стиль, и правила работы в компании. В итоге в области коммуникаций это вылилось в следующий свод правил — часть уже можно встретить в литературе по тайм-менеджменту, часть придумали сами. Возможно, это будет полезно и вашей компании. Подходит для компаний, где у всех есть компьютер и e-mail.

Компания Mandiant вынесла на суд общественности свой детальный отчет, посвященный расследованию большого количества инцидентов, связанных с несанкционнированными проникновениями во внутренние сети различных организаций и их компьютеры по всему миру. Период времени, за который были собраны эти данные, впечатляет — 7 лет. В отчете указывается, что эти случаи имели целью похищение всевозможной конфиденциальной информации этих скомпрометированных организаций, а также были осуществлены одной и той же группой. Mandiant пришла к выводу, что за серией этих атак стоит крупная организация китайского происхождения и сами эти операции по вторжению в частные сети организаций велись под прикрытием китайского правительства и спецслужб на протяжении семи лет (!). Более того, эта организация, на самом деле, является крылом или подразделением Народно-освободительной армии Китая. В нашем посте мы приводим выводы, которые были сделаны Mandiant за семилетний период анализа деятельности этой теневой организации. Детальную версию отчета, включая технические подробности вы можете найти здесь.

Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

• Исходный текст буткита, km драйверов и всего что работает в km.
• Билдер дропперов.
• Плагины.
• Веб-инжекты.
• LPE эксплойты.
• Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.

Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.

Не успела компания Apple выпустить первое обновление для iOS 8 — 8.0.1, которое исправляет первые уязвимости и баги в различных сервисах новой версии мобильной ОС, как ей пришлось срочно отзывать это самое обновление. iOS 8.0.1 содержит исправления для браузера Safari, сервиса AirDrop, непосредственно функций звонков и экранных клавиатур сторонних производителей. Однако, при установке этого обновления на устройство, у него могут наблюдаться сбои связи, а также проблемы с работоспособностью Touch ID. Проблема с Touch ID может оставить пользователя с заблокированным устройством. Также пользователь останется без сотовой связи.

We have received reports of an issue with the iOS 8.0.1 update. We are actively investigating these reports and will provide information as quickly as we can. In the meantime we have pulled back the iOS 8.0.1 update.

Microsoft жжет. Недавно мы писали о присутствии специальных системных файлов с названиями LXss.sys и LXCore.sys в новейшем билде Windows 10, который используется разработчиками программ и драйверов, а также тестировщиками в служебных целях. В драйверах содержался код разбора заголовков ELF-файлов, а также прочие системные функции, характерные для Linux и отсутствующие в Windows NT by design. Уже тогда стало очевидно, что Microsoft собирается всерьез заняться интеграцией подсистемы Linux в Windows 10.



У компании уже имелся подобный опыт. Оригинальная концепция Windows NT (на которой основана Windows 10) подразумевала присутствие там трех подсистем: родной MS Win32, UNIX POSIX, а также IBM OS/2. Обе последние подсистемы отвалились где-то по дороге, которая вела к превращению Windows 2000 в Windows XP, а сама POSIX перекочевала в отдельный инструмент без возможности присутствия в дистрибутиве Windows по умолчанию. То же касается микропроцессорной архитектуры Alpha, от поддержки которой Microsoft также отказалась с выходом Windows 2000. Остается только гадать, сколько продержится в Windows подсистема Linux.

Несколько дней назад мы писали про обнаруженную 0day уязвимость CVE-2014-1776, которая присутствует во всех версиях браузера Internet Explorer 6-11 для всех ОС, начиная с уже не поддерживаемой Windows XP и заканчивая Windows 8/8.1 (см. SA 2963983). Обнаруженный in-the-wild эксплойт к этой уязвимости нацелен на атаку IE версий 9-11 и использует специальным образом сформированный объект Flash Player для обхода ASLR через heap-spray (ActionScript, см. heap feng shui) и DEP через ntdll-ROP. Этот SWF-объект загружается в браузер через вредоносную веб-страницу, которая отвечает за создание необходимых условий срабатывания use-after-free уязвимости в IE. Мы добавили этот объект Flash Player в базу как SWF/Exploit.CVE-2014-1776.A.



Сегодня Microsoft опубликовала уведомление о выпуске обновления безопасности MS14-021, в котором сообщается, что компания выпустит внеплановое обновление для исправления этой уязвимости в ближайшие часы, причем обновление получат и пользователи Windows XP (обновление исправляет уязвимость не только в самом браузере, но и в ОС). Напомним, что компания закрыла поддержку Windows XP с прошлым patch tuesday от 8 апреля, выпустив для нее последние плановые обновления.

В конце прошлой недели была обнаружена принципиально новая версия нашумевшего руткита TDL3 (есть некоторые факты позволяющие утверждать, что этот зверь появился даже несколько раньше), основной особенностью этой версии стала полноценная поддержка x64 систем.

TDL4 удаётся успешно обходить защитный механизм проверки цифровой подписи в х64 версиях windows-систем. Авторы TDL4 применили довольно изящный способ обхода, который заключается в использовании техник заражения MBR и старта вредоносного кода раньше самой операционной системы. Подобные методологии уже активно применялись такими вредоносными программами, как Mebroot, StonedBoot и др.

Последней распространенной версией TDL3, о которой мы проводили летом подробное исследование, была 3.273. Сейчас отcчет версий ведется с начала, и рассматриваемая в статье версия идет под номером 0.02 (версию можно увидеть в конфигурационном файле бота). Столь странный номер версии наводит на мысли, что авторы пока только отлаживают новые технологии, появившиеся в этой версии, и в дальнейшем нас ожидает что-то более интересное. С точки зрения функционала принципиальных изменений, кроме нового способа инсталляции драйвера через заражение MBR и небольших изменений в скрываемой файловой системе, мы не заметили. Драйвер очень похож на то, что мы уже видели в TDL3 и, вероятнее всего, был просто пересобран с учетом особенностей х64 систем. Предыдущая версия руткита использовала для загрузки вредоносного функционала механизм инфицирования системных драйверов без изменения их размера, но так как в х64 системах при загрузке драйвером проверяется цифровая подпись, злоумышленники от этого механизма отказались.

Итак, теперь заражение осуществляется следующим образом:

На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java-кода за пределами песочницы JRE (Java Runtime Environment).

Первые упоминания о боевом эксплойте для этой уязвимости появились от компании Immunity, которая выпустила специальный модуль для своего продукта Immunity CANVAS еще в начале марта 7.03.2012. Эта уязвимость была закрыта 15 февраля в рамках критического обновления от Oracle. Буквально вчера поздним вечером, на момент подготовки этой публикации, появился публичный эксплойт для CVE-2012-0507 в составе Metasploit Framework. Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX (обновление безопасности от Apple появилось вчера). Последняя особенно интересна в свете увеличения количества вредоносных программ для нее, распространяющихся в том числе и посредством эксплуатации Java уязвимостей. Эксплойт из Metasploit Framework выглядит очень похожим на тот, что был обнаружен в обновленном Blackhole и складывается впечатление, что он был рипнут по большей части оттуда…

В последнее время я часто писал об эксплойтах для Java и они действительно в последний год самые пробивные в инцидентах массового распространения вредоносных программ. Разработчики наборов эксплойтов, таких как Blackhole, используют только так называемые 1-day уязвимости, т.е. уже содержащие официальное исправление от разработчиков. Потому что использование 0-day слишком дорого для их целей и совершенно себя не окупает, но бывают исключения, когда 0-day попадает на паблик вместе с PoC. Использование уязвимости нулевого дня на данный момент можно чаще всего увидеть в целенаправленных атаках. Кстати, довольно занимательный пост о ценах на 0-day и карме ресечеров можно почитать тут.

Вернемся к нашему эксплойту, на этой неделе снова было замечено распространение Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame конструкций для перенаправления на ресурс с набором эксплойтов.

Первым нам попался ресурс lifenews.ru, на котором содержался следующий iFrame:



Как видно из внедренного кода, сразу происходила атака именно CVE-2012-0507, а доменное имя, на котором был расположен Blackhole, очень схоже с именем атакованного веб-ресурса. Результат выполнения кода в iFrame можно увидеть даже визуально на модифицированной оригинальной странице.

Специалисты компании iSIGHT Partners сегодня сообщили о новой уязвимости CVE-2014-4114 в Windows 7+, которая была обнаружена ими месяцем ранее. По информации аналитиков компании уязвимость эксплуатировалась киберпреступной группой, следы которой ведут в Россию. Эксплуатация уязвимости возможна с использованием специальным образом сформированного документа MS PowerPoint, который содержит в себе встраиваемые объекты OLE. В компоненте подсистемы Windows, который отвечает за обработку встраиваемых объектов, содержится уязвимость, позволяющая загрузить .INF-файл с удаленного сервера и установить его в системе.



Эксплойт представляет из себя документ PowerPoint, который содержит в себе два объекта oleObject1.bin и oleObject2.bin. Каждый из этих файлов содержит ссылку на внешний IP-адрес. Один из них используется для загрузки .INF-файла, который будет использован для установки вредоносной программы, а второй содержит ссылку на саму вредоносную программу — дроппер BlackEnergy Lite (Win32/Rootkit.BlackEnergy). Этот дроппер будет установлен в систему с помощью загруженного .INF-файла. Мы недавно писали про вредоносную кампанию по распространению BlackEnergy Lite одной из хакерских групп, корни которой также уходят в Россию. В обоих случаях целями становятся страны НАТО.

В прошлом месяце мы писали о кампании по распространению вредоносного ПО «Home Campaign». Злоумышленники на протяжении длительного времени компрометировали веб-серверы, работающие под управлением Apache Linux, используя при этом вредоносный модуль Apache известный как Darkeech (обнаруживается ESET как Linux/Chapro). Этот код использовался для перенаправления пользователей веб-сайтов на набор эксплойтов Blackhole Exploit Kit. В процессе анализа атаки выяснилось, что ее полезной нагрузкой было семейство вымогателей (ransomware) Win32/Nymaim. Данный анализ посвящен техническим особенностям этой вредоносной программы и способам ее установки на компьютеры пользователей.