Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
Сначала показывать

Security Week 2221: вредоносный код в логах Windows

Блог компании «Лаборатория Касперского» Информационная безопасность *

Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь, а еще подробнее она описана автором исследования в этом видео. Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.

Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2.7K
Комментарии 1

Новости

Смотреть нельзя слушать: что важнее при проведении UX-тестов

Блог компании «Лаборатория Касперского» Графический дизайн *Дизайн
Что важнее при юзабилити-тестировании — слушать, что говорит респондент, или наблюдать за его действиями? Стоит ли все, что вы услышали от пользователя, считать истиной и основой для дальнейших выводов и решений? Это вопросы, которые так или иначе встают перед UX-исследователями и определяют подход к анализу данных.

Меня зовут Диана Канивец, я старший специалист по исследованию пользовательских интерфейсов в «Лаборатории Касперского». В своей практике я долгое время совмещала проектирование интерфейсов и проведение UX-исследований, а теперь специализируюсь на UX-исследованиях для сложного B2B-направления. Предлагаю разобраться в непростой (а казалось бы!) теме: куда наблюдателю лучше направлять свое внимание во время юзабилити-тестов.

image
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 805
Комментарии 0

Security Week 2220: уязвимость в офисных устройствах Zyxel

Блог компании «Лаборатория Касперского» Информационная безопасность *
Компания Zyxel на прошлой неделе закрыла критическую уязвимость в трех офисных брандмауэрах серий Zywall ATP и USG FLEX. Проблему обнаружила компания Rapid7, которая выложила технический отчет с видео, демонстрирующим эксплуатацию дыры. Уязвимость получила идентификатор CVE-2022-30525 и рейтинг опасности в 9,8 балла из 10 по шкале CvSS.



Причина такого высокого рейтинга — возможность удаленного выполнения команд без авторизации на устройстве, которое по своей природе должно быть доступно извне. Подверженные устройства Zyxel рекламируются как готовое решение для защиты небольшого подразделения крупной организации, обеспечивают (в зависимости от модели) работу VPN-шлюза, фильтрацию доступа к веб-сайтам и даже сканирование электронной почты. Скорее всего, баг связан с функцией zero-touch provisioning для быстрого внедрения новых устройств.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 2.1K
Комментарии 0

Security Week 2219: мобильные трояны со встроенной подпиской

Блог компании «Лаборатория Касперского» Информационная безопасность *
Эти истории слышали все: купил телефон, вроде бы ничего такого не делал, пока не обнаружил отсутствие денег на счету. Одной из причин внезапного добавления платных услуг на мобильном телефоне может быть вредоносное ПО. На прошлой неделе специалисты «Лаборатории Касперского» опубликовали обзор технических приемов в свежих вредоносных программах такого типа. Их можно называть троянами-подписчиками: звучит слегка неуклюже, зато точно передает суть.



На скриншоте выше показаны три примера приложений с вредоносной добавкой, которые какое-то время висели в официальном магазине приложений Google Play. Во всех присутствовал троян семейства Jocker. Так как в данном случае стоит задача прорваться сквозь проверки в аппстор, первоначальная версия приложения не содержит вредоносного кода. После установки активируется загрузчик, подгружающий «дополнительную функциональность», но и он срабатывает после простой проверки: опубликовано ли приложение в магазине? Если нет, программа считает, что выполняется в сендбоксе проверяющего и скрывает вредоносную функциональность.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2.6K
Комментарии 2

Security Week 2218: уязвимости нулевого дня в 2021 году

Блог компании «Лаборатория Касперского» Информационная безопасность *
Недавно команда Google Project Zero опубликовала подробный отчет об обнаружении уязвимостей нулевого дня в 2021 году. Такие отчеты Project Zero готовит с 2014 года, пытаясь оценить эволюцию угроз нулевого дня и найти способы усложнить обнаружение и эксплуатацию подобных уязвимостей атакующими.



Уязвимостью нулевого дня считается такая прореха в софте или сервисе, которая до обнаружения разработчиком активно эксплуатируется. Особую опасность такие уязвимости представляют потому, что максимально увеличивают шансы на успех кибератаки. Главный и самый позитивный вывод отчета: 2021 год стал рекордным по обнаружению zero-day, всего уязвимостей нулевого дня было обнаружено 58, более чем в два раза больше, чем в 2020 году. Полный список уязвимостей по годам Project Zero ведет в открытой таблице.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.1K
Комментарии 4

Как мы сделали мобильные устройства круглосуточно доступными для распределенной QA-команды и не только

Блог компании «Лаборатория Касперского» IT-инфраструктура *Тестирование мобильных приложений *DIY или Сделай сам
Мы можем гонять тесты на эмуляторах, но некоторые вещи нельзя проверить без реальных устройств. Не получится виртуально протестировать функционал VPN, GPS, прохождение девайс-специфичных FRW и сценариев и многое другое. Изначально для решения таких проблем мы использовали россыпь устройств, которые передавали из рук в руки. И хотя это помогало тестированию, мы постоянно упирались в поиски конкретного устройства и логистику по его передаче. С этим нужно было что-то делать.

image

Меня зовут Дмитрий Мухаев, я — тест-менеджер в мобильном штабе «Лаборатории Касперского». В этой статье я расскажу о том, как с помощью мобильной фермы мы сделали парк из более чем 500 устройств доступными в режиме 24/7 любому в большой распределенной команде из QA, UX, саппорта и отдела документирования и локализации, а это в общей сложности более 200 пользователей.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 3.2K
Комментарии 4

Security Week 2217: расшифрованный шифровальщик

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе специалисты «Лаборатории Касперского» сообщили об успешной расшифровке данных, зашифрованных программой-вымогателем Yanluowang. Был опубликован краткий обзор шифровальщика, а данные для расшифровки добавлены в проект NoRansom, в котором собрана представительная коллекция инструментов для восстановления файлов.



Не все шифровальщики могут попасть в NoRansom: надежно, без ошибок в реализации, зашифрованные данные, ключ от которых хранится только у злоумышленников, восстановить невозможно. Но во многих шифровальщиках либо сам метод шифрования имеет уязвимости, либо ключи для расшифровки рано или поздно оказываются «на стороне добра», в результате получения доступа к серверной инфраструктуре атакующих. В некоторых случаях ключи для расшифровки выкладывают сами организаторы вредоносной атаки. В случае Yanluowang речь идет об уязвимости алгоритма шифрования.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 3.7K
Комментарии 0

Security Week 2216: когда кнопка Mute не работает

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams:



Если у вас выключен микрофон и вы начинаете говорить, программа напоминает вам, что микрофон-то выключен и надо бы его включить обратно! А как они узнали, что микрофон выключен? И где эта проверка происходит, на клиенте или где-то на сервере? Для подробного исследования вопроса авторы работы перехватывали поток данных с микрофона и сравнивали с сетевым трафиком от клиента к серверу, дебажили работу самих клиентов и даже применяли машинное обучение. Результаты получили разнообразные, но можно сделать вывод, что наибольший режим приватности на конференц-звонках происходит при работе через веб-интерфейс.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.1K
Комментарии 7

Тестировало тестирование тестировщика, или Как мы используем и тестируем распределенную систему тестирования

Блог компании «Лаборатория Касперского» Тестирование IT-систем *C# *Тестирование веб-сервисов *Микросервисы *

Привет, Хабр!

Вам наверняка знакома ситуация, когда обновления, которые необходимо выкатить, — это россыпь отдельных файлов, которую надо соединить, протестировать на всех видах продуктов и поддерживаемых ОС, а потом загрузить на серверы, чтобы апдейты получили конечные пользователи.

Но что, если обновлений насчитывается 250+ типов? А если поддерживаемых ОС — порядка 250? И для тестирования требуется 7500+ тестовых машин? Такой вот типичный хайлоад. Который должен постоянно масштабироваться…

Я — Иван Лауре, менеджер по тестированию в «Лаборатории Касперского». Именно так, как я описал выше, выстроено «выкатывание» у нас. В этой статье я расскажу о центральной части всего процесса — как мы тестируем обновления для более чем 500 уникальных версий ПО, да и саму распределенную систему тестирования. Не сомневаюсь, что наш опыт будет вам полезен.

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 3.3K
Комментарии 9

Security Week 2215: криптокошелек со встроенным трояном

Блог компании «Лаборатория Касперского» Информационная безопасность *Криптовалюты
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали исследование троянской программы, которая распространялась вместе с криптокошельком. Особенности атаки указывают на ее связь с известной группировкой Lazarus. Совместная работа с корейским центром реагирования на киберугрозы KrCERT помогла исследовать не только клиентский вредоносный код, но и серверную инфраструктуру.



Вредоносный код распространялся вместе с легитимной программой DeFi Desktop Wallet, имеющей открытый исходный код. Как и в предыдущих атаках Lazarus и связанных группировок, целью подобной операции, скорее всего, была чистая нажива — путем кражи и последующей реализации криптовалют.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.9K
Комментарии 1

Приглашаем на онлайновый митап про системы сборки С++ кодовой базы

Блог компании «Лаборатория Касперского» Программирование *Совершенный код *Отладка *
В четверг, 28 апреля, в 16 часов (МСК) мы проведем онлайновый митап под названием «Kaspersky Tech: Из CMake в Bazel. Переход для большой кодовой базы С++». Наши C++-разработчики из команд Engineering Productivity, которые используют системы сборки плюсового кода CMake и Bazel и переводят большие проекты с одной на другую, расскажут о своем опыте и проблемах, с которыми им довелось столкнуться.



Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 1.2K
Комментарии 0

Security Week 2214: готовые наборы для фишинга

Блог компании «Лаборатория Касперского» Информационная безопасность *
Черный рынок инструментов киберкриминала позволяет начинающему преступнику собрать все необходимое для атаки за умеренную плату. Обычно предметом исследования такого подпольного b2b становятся партнерские программы по распространению вымогателей-шифровальщиков и продажа иного вредоносного ПО. Недавно исследователи «Лаборатории Касперского» опубликовали обзор фишинг-китов — готовых инструментов для создания фишинговых страниц.


Очевидно, что некоторые кибермошенники могут не иметь достаточно знаний для создания собственных фишинговых страниц либо не желают тратить на это время. Кроме того, «наборы для фишинга» решают проблему малого срока жизни фишинговых страниц. Они часто поднимаются на бесплатных веб-хостингах и довольно быстро удаляются администрацией сервиса. Фишинговые страницы сканируются поставщиками защитных решений и сервисов, и их эффективность со временем снижается. Фишинг-киты предлагают какую-никакую автоматизацию процесса непрерывного обновления фишинговых страниц в попытке украсть данные пользователя. Как и в любых рыночных отношениях, фишинговые наборы бывают по разной цене и разных сортов, от совсем унылых до нетривиальных.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 2.3K
Комментарии 2

«Чтобы сразу как надо, не переделывая». Зачем мы учили дизайнеров проводить исследования, и к чему это привело

Блог компании «Лаборатория Касперского» Графический дизайн *Дизайн
В некоторых компаниях исследовательская лаборатория — это примерно как исследовательское агентство, только расположенное не снаружи, а внутри. В других компаниях исследователи связаны с проектными командами больше, чем с коллегами-ресерчерами. А у кого-то вообще нет формально выделенных исследователей, эту функцию может брать на себя UX-дизайнер, когда возникает такая необходимость. Мы в «Лаборатории Касперского» — я, UX Research Group Manager Лена Королева, и мой соавтор Senior Usability Researcher Даша Романова — попробовали жить в разных конфигурациях и можем рассказать:
  • в чем состоят плюсы и минусы каждого варианта;
  • какие подводные камни ждут вас при смене модели;
  • что делать, чтобы с минимальными потерями вырулить к новой «точке стабильности».

image
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3.6K
Комментарии 3

Security Week 2213: взлет и падение группировки LAPSUS$

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе британская полиция арестовала семь человек в возрасте от 16 до 21 года, предположительно связанных с хакерской группировкой. В том числе был арестован и позднее выпущен под залог 17-летний (по другим данным, ему 16 лет) житель Оксфорда, известный под никами WhiteDoxbin и Breachbase. WhiteDoxbin и остальные шесть арестованных, вероятно, связаны с группировкой LAPSUS$, которая за последние 4 месяца наделала много шума, успешно взломав инфраструктуру Nvidia, Microsoft, Okta и других компаний. Одновременно с новостью об арестах в телеграм-канале группы появилось сообщение, что несколько ее участников «берут кратковременный отпуск».



Можно сказать, что LAPSUS$ вела себя нагло, открыто занимаясь поиском сотрудников компаний, готовых за вознаграждение предоставить доступ к корпоративной инфраструктуре или как-то еще посодействовать взлому. В отличие от других киберпреступников-вымогателей, деятельность этой группировки велась с необычной степенью открытости. Сейчас уже можно предположить, что и наглость, и безрассудный слив информации об атаках прямо в процессе взлома были скорее не стратегией, а следствием молодецкого задора участников. Конспирацию они тоже соблюдать не старались. Поводом для ареста стал слив персональных данных того же WhiteDoxbin другими киберпреступниками, которые, видимо, также не оценили инновационные практики ведения дел.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 5.7K
Комментарии 3

Security Week 2212: взлом шифрования методом Ферма

Блог компании «Лаборатория Касперского» Информационная безопасность *
Типичным следствием уязвимости в алгоритме шифрования становится лишь теоретическая возможность кражи секретных данных. Например, решение о полном отказе от алгоритма хеширования SHA-1 было принято еще до практической атаки в 2017 году, стоимость которой (в условных виртуальных вычислительных ресурсах) составила внушительные 100 с лишним тысяч долларов. Тем интереснее пример уязвимого алгоритма, который можно моментально взломать при помощи метода, известного уже более 300 лет.



Именно такую атаку показал исследователь из Германии Ханно Бок (оригинальная публикация на немецком, обзорная статья издания Ars Technica). Он нашел старую криптобиблиотеку, которая уже не поддерживается, но все еще используется в коммерческих решениях. Встроенная в библиотеку версия алгоритма шифрования RSA настолько слабая, что данные, зашифрованные с ее помощью, можно расшифровать «в домашних условиях».
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 4.9K
Комментарии 1

Security Week 2211: новый вариант Spectre

Блог компании «Лаборатория Касперского» Информационная безопасность *
Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.


Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 3K
Комментарии 2

Security Week 2210: поддельный драйвер для майнинга и утечка данных Nvidia

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе появились сообщения о вредоносной программе, распространяемой под видом драйвера для видеокарт Nvidia. Софт с характерным названием NVIDIA RTX LHR v2 unlocker by Sergey обещал снятие ограничений на мощность майнинга криптовалют с некоторых видеокарт, где подобный лимит установлен. В частности, в прошлом году Nvidia начала выпускать ускорители 3000-й серии с пометкой LHR (Lite Hash Rate), которые в нормальных условиях обеспечивают не более 50% возможной производительности при майнинге Ethereum.



Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.2K
Комментарии 0

Security Week 2209: криптография в смартфонах

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.


Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 2.1K
Комментарии 6

Security Week 2208: NFT-фишинг

Блог компании «Лаборатория Касперского» Информационная безопасность *
На прошлой неделе 32 пользователя платформы OpenSea подверглись фишинговой атаке, в результате чего у них были похищены токены NFT на сумму (по разным оценкам) от 1,7 до 3 миллионов долларов. Описание атаки приводит издание The Verge (см. также новость на Хабре). Немного подробнее атака описана, например, в этом треде в «Твиттере».



Это была классическая фишинговая атака, эксплуатирующая нормальную функциональность OpenSea как NFT-маркетплейса и протокола Wyvern, используемого для подписания смарт-контрактов. Почти за месяц до атаки был создан связанный с ней смарт-контракт. В течение некоторого времени пользователям площадки OpenSea рассылались фишинговые сообщения, якобы предлагающие «мигрировать на новый смарт-контракт OpenSea». На самом деле пользователи соглашались на передачу своих NFT без оплаты. В течение трех часов в субботу, 19 февраля, атакующий реализовал контракты и стал владельцем (по этой оценке) более чем 250 токенов.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.9K
Комментарии 4

Psion 5MX против Planet Gemini: иногда КПК возвращаются

Блог компании «Лаборатория Касперского» Смартфоны Старое железо Носимая электроника
Ох сколько раз было обсуждено в комментариях к моим статьям про ретрожелезо: какие же крутые штуки, ну почему так сейчас не делают? А дальше обязательно идет критика современных устройств: унылые, скучные, однообразные, всё исключительно ради денег. Но когда раз в сто лет кто-то выпускает настоящую реинкарнацию старой «легенды», получается нечто странное, примерно как сиквел «Матрицы».


Тем не менее, хорошо что такие римейки все же происходят. Я не про «Матрицу», а про Planet Gemini PDA — прямого потомка карманных компьютеров Psion пятой серии. Psion 5MX — мое самое любимое ретроустройство. Несмотря на это, Gemini я приобрел только через три года после официального выпуска — было жалко денег. Но теперь жаба успешно побеждена, и сегодня я хочу подробно сравнить старое устройство и новое, посмотреть на Gemini, этот относительно современный КПК на базе Android, с точки зрения ретрофаната.
Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры 7.6K
Комментарии 40

Информация

Дата основания
Местоположение
Россия
Сайт
www.kaspersky.ru
Численность
1 001–5 000 человек
Дата регистрации