Антивирусная защита *

Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представляет собой архив, с названием типа video_*случайный набор цифт*, а в архиве exe'шник с ютубовской иконкой. И да, вирустотал зеленый.

Продолжая исследование операции кибершпионажа с явными следами участия в схеме крупного интернет-провайдера, мы обнаружили, что известное шпионское ПО FinFisher (FinSpy) сменила другая программа. Новая спайварь Win32/StrongPity2 заметно напоминает программу, авторство которой приписывают кибергруппе StrongPity. Все продукты ESET, включая бесплатный инструмент ESET Online Scanner, детектируют и блокируют угрозу, а также устраняют StrongPity2 из скомпрометированной системы.



Как мы писали в сентябре, в двух странах мира для распространения FinFisher использовались атаки man-in-the-middle, и в большинстве случаев упомянутый «man» с немалой долей вероятности находился на уровне интернет-провайдера. По данным телеметрии ESET, кампании были прекращены 21 сентября 2017 года – в день публикации нашего отчета.

8 октября в одной из двух стран стартовала идентичная кампания, использующая ту же самую (причем довольно необычную) структуру перенаправлений НТТР для переадресации браузеров «на лету», только теперь вместо FinFisher распространялся Win32/StrongPity2. Мы изучили новое шпионское ПО и обнаружили сходство с программой, которую в прошлом предположительно использовала группа StrongPity.

Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.

Завершилась масштабная операция по ликвидации сети ботнетов Gamarue (Andromeda), действовавшей на протяжении нескольких лет. Операция с участием ESET, Microsoft и правохранительных структур продолжалась больше года.

Введение

Gamarue (Win32/TrojanDownloader.Wauchos по классификации ESET) известен с конца 2011 года и продавался в дарквебе под названием Andromeda bot. Бот пользовался спросом, чем обусловлено существование 464 независимых ботнетов на момент ликвидации. В прошлом Wauchos лидировал по числу атак, отраженных продуктами ESET.

В рамках операции ESET обеспечила технологическую экспертизу – мы отслеживали ботнеты в составе сети Wauchos, идентифицировали их C&C-серверы для последующей нейтрализации, отслеживали другие вредоносные программы, которые устанавливались в зараженные системы.

Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
2. Пользователи обнаруживали, что их учетная запись заблокирована.
3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.

Операционные системы — это очень сложные конструкции, в которых находится место для ошибок, проблем и других нежелательных явлений. Особые опасения вызывают искусственно созданные «явления», которые мы называем вирусами, троянскими конями, сетевыми червями и шпионскими программами. Операционные системы семейства Linux считаются неплохо защищёнными от подобного рода проблем, но вероятность их возникновения далеко не нулевая. Для защиты от вредоносного ПО специалисты по безопасности разрабатывают программы, которые обычно называют антивирусами.



Сегодня мы рассмотрим десять лучших антивирусов для Linux. В Сети можно найти немало рассуждений о «самых лучших антивирусах», но мы полагаем, что доверять стоит не рассуждениям, а фактам. Программы, представленные здесь, отлично показали себя в независимых исследованиях, и именно поэтому они попали в этот обзор.

В феврале 2014 года вирусная лаборатория ESET представила исследование OpenSSH бэкдора и вредоносной программы Linux/Ebury для кражи учетных данных. Дальнейшее исследование показало, что этот компонент является ядром набора из нескольких семейств вредоносных программ, задействованных в «Операции Windigo». Открытие легло в основу отчета, описывающего эту киберкампанию.


В феврале 2017 года мы обнаружили образец Ebury с поддержкой новых функций. Номер новой версии – 1.6.2а. На момент обнаружения этого образца последней известной нам версией была 1.5.х, выявленная несколькими месяцами ранее. В ходе дальнейшего расследования мы поняли, что инфраструктура, отвечающая за кражу учетных данных, все еще функционирует, и Ebury активно используется кибергруппой Windigo.

Первоначально мы перечисляли индикаторы компрометации (IoC) для версии 1.4 Ebury. CERT-Bund опубликовал IoC для версии 1.5. В данном посте представлен технический анализ версии 1.6, открытой в феврале 2017 года, а также IoC для версий 1.5 и 1.6.

Наличие записанных данных о тысячах банковских карт делает POS-терминалы критической системой, а потому не удивительно, что они становятся все более востребованной мишенью со стороны кибер-преступников. Атака на такие устройства анонимно из Интернета осуществляется относительно просто, а продажа данных на «черном рынке» является очень выгодным делом.

Недавно антивирусная лаборатория PandaLabs обнаружила заражения в большом количестве баров и ресторанов в США, чьи POS-терминалы были атакованы двумя вариантами вредоносной программы, предназначенной для кражи данных с банковских карт.

Fileless Monero WannaMine

Майнинг криптовалют (например, Bitcoin, Ethereum или Monero) уже не является какой-то диковинкой. Более того, за последние годы мы видели многочисленные атаки, чьей основной целью являлось установка ПО для майнинга. Например, не стоит забывать, что до появления WannaCry мы уже видели хакеров, которые использовали эксплойт EternalBlue от АНБ, чтобы проникать в компании и устанавливать этот тип программного обеспечения на устройства своих жертв.

Можно с уверенностью сказать, что это процветающий бизнес, т.к. сложность атак продолжает возрастать. Несколько дней назад мы обнаружили нового червя, который использует хакерские утилиты и скрипты для распространения внутри корпоративных сетей с последующей целью майнинга криптовалюты Monero в любой сети, где ему довелось «закрепиться».

Когда специалисты из службы Threat Hunting (в PandaLabs) обнаружили следующую команду, пытающуюся выполниться внутри одного из процессов на компьютере, то сразу же была активирована «тревога»:

В предыдущем уроке мы затронули проблему человеческого фактора в Информационной безопасности. В итоге мы сделали вывод, что не важно на сколько качественное и дорогое оборудование вы используете, т.к. все “упрется” в настройку, которая должна быть выполнена грамотно. В этом уроке мы рассмотрим https-инспекцию. Довольно многие недооценивают важность этой функции без которой немыслима современная защита сети. Но обо всем по порядку.

Защита веб-трафика

Практически все современные NGFW или UTM решения имеют функционал проверки веб-трафика. Это и категоризация сайтов и проверка скачиваемого контента и определение веб-приложений. Причем последний пункт (веб-приложения) очень важен, т.к. через один и тот же порт могут работать огромное кол-во сервисов. И если с проверкой HTTP-трафика практически у всех вендоров нет проблем, то HTTPS — настоящий вызов для современных средств защиты.

Если ваш системный диск зашифрован с помощью DiskCryptor система может перестать загружаться после обновления баз Windows Defender до версии 118.1.0.0 от 24.10.2017.

Defender определяет загрузчик как Win32/Tibbar.A и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.

От атаки шифратора Diskcoder.D (Bad Rabbit), начавшейся 24 октября, пострадали компании России и Украины, включая Киевский метрополитен. Собрали в посте первые результаты исследования вредоносной программы.

Пользователи популярной криптовалютной биржи Poloniex стали целью новой мошеннической кампании в Google Play. Под видом легитимного софта биржи в магазине распространялись два приложения для кражи данных. Фейки позволяют перехватывать логины и пароли от учетной записи в Poloniex, а также от аккаунта в Gmail.



Poloniex — это одна из ведущих бирж с возможностью торговать более чем 100 криптовалютами. Популярность площадки привлекает всевозможных мошенников. В данном инциденте злоумышленники воспользовались отсутствием у биржи официального мобильного приложения.

19 октября наши специалисты заметили, что Eltima, разработчик популярного бесплатного плеера Elmedia Player, распространяет с официального сайта зараженную OSX/Proton версию приложения. Мы обратились в Eltima, как только наличие проблемы подтвердилось, и сотрудники компании оставались на связи на протяжении инцидента.



Публикуем пост, несмотря на то, что исследование не завершено. Информация является предварительной и, возможно, будет дополняться по мере поступления новых данных.

10 октября исследователи из китайской компании Qihoo 360 опубликовали статью, где предупреждают об эксплойте нулевого дня (CVE-2017-11826), влияющего на Office и который уже активно используется хакерами.

За последние несколько часов мы обнаружили спамовую кампанию, которая нацелена на предприятия и использует данный эксплойт. Это очень опасная атака, т.к. команды выполняются в Word без каких-либо OLE-объектов или макросов.

Представляю Вашему вниманию отчет о последней версии Dridex – известного банковского трояна, который прославился своей сложностью и способностью оставаться незамеченным даже на зараженных компьютерах.

Специалисты ESET обнаружили Android/DoubleLocker – первый шифратор, использующий службу специальных возможностей Android Accessibility Service. Малварь не только шифрует данные, но и блокирует устройство.

DoubleLocker построен на базе банковского трояна, использующего службу специальных возможностей ОС Android. Тем не менее, DoubleLocker не имеет функций, связанных со сбором банковских данных пользователей и стирания аккаунтов, вместо этого в нем предусмотрены инструменты для вымогательства.

Пока мир ждет, где нанесут новый удар знаменитые кибергруппы типа Lazarus или Telebots, вооруженные аналогами WannaCry или Petya, операторы менее резонансных кампаний
зарабатывают без лишнего шума. Одна из таких операций продолжается как минимум с мая 2017 года. Атакующие заражают веб-серверы Windows вредоносным майнером криптовалюты Monero (XMR).

Злоумышленники, стоящие за данной кампанией, модифицировали легитимный майнер на базе открытого исходного кода и использовали уязвимость в Microsoft IIS 6.0 CVE-2017-7269 для скрытой установки малвари на непропатченные серверы. За три месяца мошенники создали ботнет из нескольких сотен зараженных серверов и заработали на Monero больше 63 тысяч долларов.

Пользователи ESET защищены от любых попыток использования уязвимости CVE-2017-7269, даже если их машины пока не пропатчены, как это было с эксплойтом EternalBlue, используемым в распространении WannaCry.

Мобильный банкер, о котором мы впервые рассказывали в начале года, приобрел новые возможности и снова распространяется через Google Play.

В течение года BankBot эволюционировал, его версии появлялись в Google Play и на неофициальных площадках. Наконец, 4 сентября мы обнаружили в Google Play первый вариант, сочетающий все черты эволюции: улучшенную обфускацию кода, усложненные функции для доставки основных компонентов, сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service.

Атака на цепи поставок или атака с эксплуатацией доверия к сторонней организации (supply-chain attacks) — очень эффективный способ распространения вредоносного программного обеспечения в целевые организации. Это связано с тем, что при атаках на цепи поставок злоумышленники пользуются доверительными отношениями между производителем/поставщиком и клиентом, чтобы атаковать организации и отдельных лиц по различным мотивам. Червь Petya/Nyetya/NePetya, который был выпущен в сеть в начале 2017 года, показал насколько масштабны эти типы атак. Часто, как и в случае с Petya, исходный вектор атаки может оставаться скрытым в течение некоторого времени.

Недавно исследователи Talos заметили случай, когда серверы загрузки, используемые компанией-разработчиком для распространения легитимного пакета программного обеспечения, были использованы для загрузки вредоносного ПО на компьютеры ничего неподозревающих жертв. В течение некоторого периода версия CCleaner 5.33, распространяемая Avast, содержала многоступенчатую вредоносную нагрузку. 5 миллионов новых пользователей загружают CCleaner в неделю. Учитывая потенциальный ущерб, который может быть вызван сетью зараженных компьютеров подобного размера, решено было действовать быстро. 13 сентября 2017 года Cisco Talos уведомила Avast. В следующих разделах будут обсуждаться конкретные детали, касающиеся этой атаки.

Технические подробности