Антивирусная защита *

В посте расскажем, как кибергруппа OceanLotus (APT32 и APT-C-00) недавно использовала один из общедоступных эксплойтов к CVE-2017-11882, уязвимости повреждения памяти в Microsoft Office, и как вредоносное ПО группы обеспечивает персистентность в скомпрометированных системах, не оставляя следов. Дальше опишем, как с начала 2019 года группа использовала самораспаковывающиеся архивы для запуска кода.

OceanLotus специализируется на кибершпионаже, приоритетные цели – страны Юго-Восточной Азии. Атакующие подделывают документы, привлекающие внимание потенциальных жертв, чтобы убедить тех выполнить бэкдор, а также работают над развитием инструментария. Методы, используемые для создания приманок, варьируются в разных атаках – от файлов с «двойным расширением», самораспаковывающихся архивов, документов с макросами до известных эксплойтов.

По данным правозащитной организации «Kämpa för munkar», активность гипновирусов выросла за последний месяц вдвое.

На карте, сделанной с американского спутника, видны зараженные ареалы.



Статистика утверждает, что более половины файлов, гуляющих в сети, заражены той или иной разновидностью этой дряни, в том числе:

• файлов на торрентах – 5 %,
• порнороликов – 21 %,
• фильмов производства «Marvel Studios» — 60 %,
• фильмов с участием Николаса Кейджа – 95 %,
• книг Дэна Брауна – 100 %.

В представлении неискушённых людей работа администратора безопасности выглядит как захватывающий поединок антихакера со злыми хакерами, которые то и дело вторгаются в корпоративную сеть. А наш герой в режим реального времени ловким и быстрым введением команд отбивает дерзновенные выпады и в итоге выходит блестящим победителем.
Прямо королевский мушкетёр с клавиатурой вместо шпаги и мушкета.

А на деле всё выглядит обыденно, незатейливо, и даже, можно сказать, скучно.

Знания в сфере информационной безопасности – сила. Актуальность непрерывного процесса обучения в этой области обусловлена стремительно меняющимися тенденциями киберпреступлений, а также потребностью в новых компетенциях.

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Подход Group-IB к киберобразованию: обзор актуальных программ и практических кейсов».

Вебинар начнется 28-го марта 2019 года в 11:00 (МСК), проведет его Анастасия Баринова, ведущий тренер по компьютерной криминалистике.

Что интересного будет на вебинаре?

На вебинаре мы расскажем о:

• Современных трендах киберобразовательных программ;
• Популярных темах и форматах для технических специалистов и других подразделений;
• Курсах по информационной безопасности от Group-IB – программа, результаты, сертификация.

Несмотря на все преимущества межсетевых экранов Palo Alto Networks, в рунете не так много материалов по настройке этих устройств, а также текстов, описывающих опыт их внедрения. Мы решили обобщить материалы, накопленные у нас за время работы с оборудованием этого вендора и рассказать об особенностях, с которыми столкнулись в ходе реализации различных проектов.

Для знакомства с Palo Alto Networks в этой статье будут рассмотрены настройки, необходимые для решения одной из самых распространенных задач межсетевого экранирования, — SSL VPN для удаленного доступа. Также мы поговорим о вспомогательных функциях для общей настройки межсетевого экрана, идентификации пользователей, приложений и политик безопасности. Если тема заинтересует читателей, в дальнейшем мы выпустим материалы с разбором Site-to-Site VPN, динамической маршрутизации и централизованного управления с помощью Panorama.

Не впервые злоумышленники атакуют игровую индустрию, компрометируют разработчиков, добавляют бэкдоры в среду сборки игр, а затем распространяют вредоносное ПО под видом легитимного. В апреле 2013 года «Лаборатория Касперского» сообщала о подобном инциденте. Эта атака приписана кибергруппе, названной Winnti.

Недавно внимание специалистов ESET привлекли новые атаки на цепочки поставок. Две игры и одна игровая платформа были скомпрометированы для внедрения бэкдора. Эти атаки нацелены на Азию и игровую индустрию, за ними снова стоит группа Winnti.

Судя по сообщениям на хакерских форумах, правоохранители задержали создателя банковского трояна Anubis, известного под псевдонимом maza-in.

В 2017 году про maza-in даже писал американский Форбс.

Замучали сообщения от пользователей Касперский фри антивирус, вылезает окно о заражении «Trojan.Multi.BroSubsc.gen». Предлагает вылечить через перезагрузку, потом с долей вероятности опять повторяется, по кругу.



Как выяснилось, все просто…

В последние годы правительственные структуры и коммерческие организации стали все больше использовать веб-приложения. Но с ростом количества веб-приложений выросли и киберугрозы, направленные на них. Компании стали уделять все больше внимания информационной безопасности.

Настал тот самый момент, когда вы подали списки о категорировании объектов КИИ во ФСТЭК и приступаете к перенастройке сети?

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Взгляд криминалиста на защиту объектов критической инфраструктуры в 2019 году».

Вебинар начнется 13-го марта 2019 года в 11:00 (МСК), проведет его Веста Матвеева, ведущий специалист отдела Расследований.

Что интересного будет на вебинаре?

Данный вебинар не будет посвящен рассказу о формальном выполнении требований ФЗ-187 или необходимых для этого средствах защиты.

1. Криминалист Group-IB расскажет, от чего стоит защищаться сегодня и как не потерять контроль над собственной сетью при атаке.
2. Также мы поделимся собственным взглядом на проблему защиты инфраструктуры на основании обширного опыта расследований компьютерных атак на объекты КИИ.

Оказывается, даже в каталоге Microsoft Store можно опубликовать вредоносную программу, и никто этого не заметит. Это очень удобно для злоумышленников, потому что большинство пользователей представляют себе каталоги вроде Microsoft Store, App Store и Google Play как некую безопасную гавань, где они защищены от вирусов (конечно же, это не так). Соответственно, тысячи пользователей беззаботно скачивают приложение, не подозревая ничего плохого. К сожалению для мошенников, сейчас эту лавочку частично прикрыли.

17 января 2019 года компания Symantec нашла в Microsoft Store восемь приложений со встроенными криптомайнерами. Все приложения относятся к классу PWA (Progressive Web Applications), они устанавливаются в Windows 10 и работают в отдельном окне (WWAHost.exe), не похожем на браузер, но фактически это браузерные приложения.

Использование контейнеров для разработки и развёртывания софта давно превратилось в стандартную практику. Возможность с лёгкостью обеспечить программе стандартное окружение, независимое от хоста, на котором она выполняется, быстро изменить настройки, добавить или изменить какие-то компоненты в контейнере, оценили многие разработчики. А ведь это лишь малая часть всех фишек, которые даёт технология контейнеризации.



Как всегда, развитие технологии и рост её популярности сопровождаются выявлением различных способов нестандартного использования, в том числе и вредоносного. В этой статье мы также рассмотрим угрозы безопасности процесса разработки, связанные с использованием контейнеров, и поговорим о том, почему процессы DevOps следует трансформировать в DevSecOps.

Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой.


Уупс

Быстро развивающийся модульный троян DanaBot подвергся новым изменениям. В версии, выпущенной в конце января 2019 года, реализован совершенно новый коммуникационный протокол, добавляющий несколько уровней шифрования в коммуникацию трояна и его C&C-сервера. Помимо этого, была изменена архитектура DanaBot и идентификаторы кампаний.

Мы продолжаем цикл статей, посвященных оптимизации security настроек средств защиты периметра сети (NGFW). Хочу сразу заметить, что приведенные рекомендации подходят не только для владельцев Check Point. По сути, если разобраться, угрозы одинаковы для всех, просто каждый NGFW-вендор это решает (или не решает) по-своему. До этого мы опубликовали мини курс “Check Point на максимум”, где показали, чем опасны “дефолтные” настройки. Это были рекомендации общего характера. Теперь же нам хотелось описать более конкретные шаги по возможному усилению защиты периметра. Данная статья носит исключительно рекомендательный характер! Не стоит слепо следовать этой инструкции без предварительного анализа возможных последствий для вашей сети!

Изучая свежую волну спама в России, мы обратили внимание на другую атаку. С середины января 2019 года известная кампания “Love you” доработана и перенацелена на Японию, где используется для распространения шифратора GandCrab 5.1.


По данным телеметрии, последняя версия “Love you” запущена 28 января 2019 года, ее активность примерно вдвое превысила первоначальную (см. график ниже). Как и в середине января, с помощью спама распространяется набор вредоносных полезных нагрузок с некоторыми обновлениями. Так, мы видели попытки загрузки криптомайнера, ПО для изменения системных настроек, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.

Привет, Хабр! Я редактор этого блога, а ещё иногда преподаю вирусологию в университете.

Я решил разнообразить учебный процесс и придумал несколько заданий для пятикурсников — таких, чтобы практика и актуальность, а не списывать код из 2003 года. Одно из заданий — придумать и отправить фишинговые письма вымышленным людям, которые могли бы существовать в реальности. Ведь если не знаешь, как нужно атаковать, то и не узнаешь, как защищаться, верно?

Я покажу лучшее из того, что получилось: какие письма мошенники могли бы посылать от имени Яндекс.Денег, как студенты прикидывались сервисами, а на десерт — приёмы, которые мошенники используют прямо сейчас (на примере нескольких писем, полученных нашими бдительными пользователями).

Безграмотные сотрудники опасны для компании. Они могут наломать таких дров, что те придётся вывозить составами. Это справедливо для любой отрасли и должности и информационной безопасности это касается в полной мере: щелчок по вложению или принесённая из дома заражённая флешка — и всё, в сеть компании проникает шифровальщик-вымогатель, работа парализована, ИТ-отдел разыскивает актуальные резервные копии, чтобы восстановить зашифрованные вирусом диски компьютеров, а финдир подсчитывает убытки от простоя.

В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифратора Shade (он же Troldesh), который детектируется продуктами ESET как Win32/Filecoder.Shade.

Похоже, что эта атака продолжает спам-кампанию по распространению шифратора Shade, обнаруженную в октябре 2018 года.

По самым скромным оценкам в 2017 году общемировой ущерб от кибератак составил триллион долларов, говорится в годовом исследовании BI.ZONE за 2017-2018 год. Оценить реальный ущерб почти невозможно, поскольку 80% компаний скрывают случаи взломов и утечек. Эксперты прогнозируют, что, если ничего не предпринять, через несколько лет размер ущерба вырастет до $8 трлн.



Мы в Binary District составили краткий пересказ исследования BI.ZONE, посвященного новым вызовам цифрового мира. Выбрали основные тренды в сфере киберпреступности и интересные факты из исследования, которые привлекли наше внимание: как быстро киберпреступный мир узнает об уязвимостях в MS Office, в чем проблема интернета вещей и почему выстраивание защиты своей инфраструктуры еще не гарантирует полную безопасность компании.