Как стать автором

Антивирусная защита *

Защита компьютерных систем от вредоносного ПО

Статьи Посты Новости Авторы Компании

esetnod32 5 ноя 2016 в 12:05

Злоумышленники продолжают использовать вредоносное ПО Linux/Moose для компрометации устройств

5 мин

5.1K

Блог компании ESET NOD32Антивирусная защита*

В прошлом году наши специалисты опубликовали подробный анализ вредоносной программы Linux/Moose, а также деятельности злоумышленников, которые использовали ее для компрометации embedded-устройств. Moose использовался для компрометации сетевых роутеров, подавляющее большинство которых работает под управлением Linux.

Скомпрометированные устройства использовались операторами для кражи незашифрованного сетевого трафика, а также предоставления услуг proxy другим злоумышленникам. На практике, операторы использовали перехват трафика для кражи HTTP cookie от популярных сетевых сервисов, которые затем использовались для выполнения на этих сервисах нелегитимных действий, включая такие как накрутка количества просмотров публикации, установка отметок нравится и добавление новых фолловеров аккаунтов.

Читать дальше →

+8

Nuteralie 4 ноя 2016 в 23:28

Усиленный ботнет Aidra заразил 3500 устройств меньше, чем за неделю

4 мин

12K

Сетевые технологии*Антивирусная защита*DNS*

Данные о новой атаке появились из блога пользователя с ником Unixfreakjp. В его публикации идет речь о новом, более мощном, чем Mirai, ботнете интернета вещей. Ему удалось заразить около 3500 устройств в срок за пять дней. На сегодня эта атака стала самой «удачной» из подобных за последнее время. Благодаря высокой скорости атаки, количество затронутых бот-клиентов достигло такого уровня с момента обнаружения загрузочного файла. После атаки на Dyn это происшествие, вероятно, станет только началом грядущих более неприятных событий для всего интернета.

В этой заметке мы раскрываем подробности того, как работает червь и рассказываем, кого подозревают в организации атаки.

Читать дальше →

+22

Cloud4Y 3 ноя 2016 в 11:10

Девайсы IoT – любимая цель DDoS атак

5 мин

3.4K

Блог компании Cloud4YIT-инфраструктура*Антивирусная защита*Облачные вычисления*Хостинг

Перевод

Вирусы паразитируют на растущем числе устройств интернета вещей, тогда как их владельцы могут даже не подозревать об этом. Количество вирусов, направленное на Интернет вещей (IoT) многократно возросло за прошлый год. В 2015 зарегистрировано рекордное количество атак, при этом зарегистрировано 8 новых семейств вирусов. Истоки более половину всех атак — в Китае и США, но число атак из России, Германии, Нидерландов, Украины и Вьетнама также постоянно растет. Низкий уровень безопасности на многих устройствах интернета вещей делает их легкими целями, а владельцы устройств часто даже не подозревают об их инфицировании.

Только в этом месяце стало известно о крупной DDoS-атаке, запущенной из 3 различных типов ботнетов (ботнеты видеонаблюдения, домашних маршрутизаторов и зараженных веб-серверов). По прогнозам количество таких атак с использованием устройств интернет вещей будет неуклонно расти.

Рисунок 1.Новые семейства уязвимостей. В 2015 число угроз для устройств интернета вещей многократно возросло, и многие уязвимости продолжают быть активными в 2016.

Читать дальше

+4

esetnod32 2 ноя 2016 в 14:47

Злоумышленники используют 0day уязвимости в кибератаках на пользователей

2 мин

6.6K

Блог компании ESET NOD32Антивирусная защита*

Компания Microsoft обнародовала информацию о нашумевших уязвимостях, на которые ранее указывала Google в своем посте. Злоумышленники использовали связку из двух RCE+LPE уязвимостей для удаленного исполнения кода через Flash Player и обхода sandbox в браузере с использованием win32k.sys. Уязвимость в Flash Player с идентификатором CVE-2016-7855 была закрыта Adobe обновлением APSB16-36. Обновление для win32k.sys пока не вышло, хотя уязвимость актуальна для всех поддерживаемых версий Windows.

Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб-браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб-браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE-уязвимости в этом драйвере, правда, при их использовании только на Windows 10.

Читать дальше →

+12

esetnod32 2 ноя 2016 в 12:58

Группировка Sednit использует буткит в кибератаках

7 мин

4.4K

Блог компании ESET NOD32Антивирусная защита*

Первые две части [1,2] нашего детального анализа деятельности группировки Sednit были посвящены механизмам первоначальной компрометации пользователей, а также описанию бэкдоров группировки под названием SEDRECO, XAGENT и XTUNNEL. Эти бэкдоры использовались для кибершпионажа за скомпрометированными пользователями, а также для эксфильтрации данных из зараженных систем.

Заключительная часть нашего исследования посвящена интересному механизму скрытного поддержания своего присутствия в системе, который также используется группировкой для маскировки своего присутствия. Sednit использует для этих целей буткит-технологии, позволяющие компрометировать Windows на самом раннем этапе ее загрузки.

Читать дальше →

+18

esetnod32 28 окт 2016 в 13:51

Злоумышленники специализируются на компрометации сетевых роутеров в Бразилии

5 мин

6.7K

Блог компании ESET NOD32Антивирусная защита*

Недавно мы писали о масштабной DDoS-атаке, которая была организована ботнетом Mirai, состоящим из устройств т. н. Internet of Things (IoT). Кибератака была настолько мощной, что привела к сбоям в работе крупнейших интернет-сервисов. Между тем, Mirai имеет в своем арсенале всего лишь один способ компрометации роутеров — подбор стандартных паролей.

Подобные кибератаки на роутеры наблюдались еще с 2012 г., однако, в связи со значительным увеличением количества работающих роутеров в последнее время, риск их компрометации резко возрастает. Учитывая, что многие из них до сих пор поставляются со стандартными паролями, можно лишь предполагать какой огромной можно создать бот-сеть из таких устройств.

Читать дальше →

+11

esetnod32 20 окт 2016 в 19:22

Деятельность кибергруппировки Sednit под микроскопом

3 мин

5.8K

Блог компании ESET NOD32Антивирусная защита*

Мы уже несколько раз писали о деятельности кибергруппировки Sednit (APT28, Fancy Bear, Pawn Storm, Sofacy) в предыдущих постах нашего корпоративного блога. Эта группировка пыталась скомпрометировать более 1000 пользователей в различных организациях с использованием фишинговых атак, а также эксплойтов нулевого дня. Атакующие заинтересованы в краже конфиденциальной информации с компьютеров скомпрометированных пользователей.

Sednit осуществляла кибератаки на пользователей как минимум с 2004 г., при этом для их реализации использовались изощренные методы с обходом настроек сетевой безопасности. Исследователи ESET отслеживали деятельность группировки Sednit на протяжении последних двух лет. Sednit уличали в кибератаках на Комитет по выборам в Конгресс Демократической партии, немецкий парламент, серверы французского телеканала TV5Monde, а также антидопинговое агенство WADA.

Читать дальше →

+7

esetnod32 19 окт 2016 в 19:07

Top 5 угроз для пользователей онлайн-игр

7 мин

10K

Блог компании ESET NOD32Антивирусная защита*

Онлайн-игры являются на сегодняшний день очень распространенными, поэтому неудивительно, что их пользователи становятся мишенью для злоумышленников. В этом посте мы рассмотрим наиболее распространенные типы атак, которые угрожают игрокам. Как в случае и с другими пользователями, игроки могут стать жертвой фишинговых сообщений, а также фальшивых приложений.

На сегодняшний день известно существенное количество экземпляров троянов Win32/PSW.OnLineGames, которые специализируются на краже конфиденциальной информации онлайн-игр или осуществлении иных мошеннических операций с очками персонажей игры пользователя. Рассмотрим каждую из угроз более подробно.

Читать дальше →

+13

esetnod32 17 окт 2016 в 15:51

Исследование руткита Cremes

7 мин

5.3K

Блог компании ESET NOD32Антивирусная защита*

В августе этого года мы публиковали информацию о новом state-sponsored вредоносном ПО под названием Cremes (aka Remsec). Антивирусные продукты ESET обнаруживают его компоненты как Win32/Cremes и Win64/Cremes. Cremes является сложным трояном со множеством компонентов, которые используются для кибершпионажа. Информация о Cremes также была опубликована специалистами Федеральной Службы Безопасности (ФСБ), поскольку Cremes использовался для кибершпионажа за сотрудниками государственных учреждений.

Cremes включает в себя и Ring 0 компонент (руткит), который используется злоумышленниками как LPE-шлюз (kernel gate) для исполнения своего кода в режиме ядра. В отличие от уже таких хорошо известных руткитов и буткитов как ZeroAccess, TDL4, Mebroot, Gapz и др., Cremes не обременяет себя сложными процедурами компрометации MBR и ранних стадий загрузки ядра NT для исполнения своего Ring 0 кода в системе в обход DSE, вместо этого он использует для этого легитимные драйверы.

Читать дальше →

+8

Alex_2016 13 окт 2016 в 12:27

Пример интеграции корпоративного антивируса с SIEM-платформой

17 мин

7K

Блог компании Panda Security в России и СНГСистемное администрирование*IT-инфраструктура*Антивирусная защита*

Из-за огромного объема обрабатываемых данных IT-отделу зачастую сложно адекватно сфокусироваться на важных аспектах информационной безопасности предприятия. Интеграция корпоративного антивируса в SIEM-систему позволяет перейти от простого получения оперативных данных к полному пониманию ситуации.

Читать дальше →

+6

gmixo 7 окт 2016 в 16:11

Про безопасность в phpBB

2 мин

6K

*nix*Apache*Антивирусная защита*

Добрый день друзья! Начну с того что с php и phpbb знаком по той необходимости, что на своем проекте мы используем этот форум, так как не нашли более достойной альтернативы. Помимо периодических обновлений с php я не сталкиваюсь и с особенностями работы этого форума знаком мало.

Недавно случилось страшное — наш сервер с аптаймом чуть меньше года(после последней миграции) перезагрузился. На сервере развернут собственно сайт и форум phpbb 3.0.12.

Читать дальше →

-4

Alex_2016 4 окт 2016 в 14:05

Саймон Эдвардс (SE Labs): “Защита предприятия – это гораздо больше, чем затыкать дыры в компьютерных технологиях»

7 мин

1.7K

Блог компании Panda Security в России и СНГАнтивирусная защита*

Перевод

Я встретил Саймона Эдвардса в январе 2007 года на первом заседании AMTSO в Бильбао (Испания). В течение многих лет Саймон посвятил себя тестированию продуктов безопасности для Dennis Publishing, и в то время он также был техническим директором в Dennis Technology Labs. За многие годы он стал признанным авторитетом в своей области. Менее года назад он начал новую карьеру, открыв свой собственный бизнес — SE Labs. Сегодняшнее интервью с ним.

Читать дальше →

+2

esetnod32 27 сен 2016 в 16:08

Группировка Fancy Bear использует в кибератаках вредоносное ПО для OS X

3 мин

8.3K

Блог компании ESET NOD32Антивирусная защита*

Кибергруппировка Fancy Bear (Sofacy, APT 28, Sednit, Pawn Storm, TsarTeam) уже получила достаточную известность в медийном пространстве в связи с недавними кибератаками на сервера всемирного антидопингового агентства WADA. Позже в твиттере появился аккаунт, предположительно принадлежащий этой группировке, в котором время от времени анонсировалась публикация разных частей данных WADA, полученных Fancy Bear.

Вчера известная американская security-компания Palo Alto Networks опубликовала результаты исследования нового трояна для OS X под названием Komplex, который использовался Fancy Bear для кибератак на пользователей маков. AV-продукты ESET обнаруживают данное вредоносное ПО как OSX/Komplex.A. Komplex собирает основную информацию о системе пользователя и отправляет ее на сервер. К этой информации относится версия системы, имя пользователя, список запущенных процессов. После этого данные отправляются в зашифрованном виде на управляющий C&C-сервер.

Читать дальше →

+19

19 августа – 20 октября

RuCode.Финал. Чемпионат по алгоритмическому программированию и ИИ

Москва • Нижний Новгород • Екатеринбург • Ставрополь • Новосибриск • Калининград • Пермь • Владивосток • Чита • Краснорск • Томск • Ижевск • Петрозаводск • Казань • Курск • Тюмень • Волгоград • Уфа • Мурманск • Бишкек • Сочи • Ульяновск • Саратов • Иркутск • Долгопрудный • Онлайн

Alex_2016 23 сен 2016 в 12:40

«Crysis» во всем мире через RDP-протокол

2 мин

20K

Блог компании Panda Security в России и СНГАнтивирусная защита*

Перевод

Две недели назад мы наблюдали атаку шифровальщика на сервер, принадлежащий одной французской компании. Это был один из вариантов семейства шифровальщиков Crysis. Ежедневно мы видим тысячи попыток заражения со стороны шифровальщиков, но этот случай привлек наше внимание, т.к. файл, каким-то образом, появившийся на компьютере, предположительно никем не использовался и не должен был использоваться, при этом на компьютере не был запущен ни один почтовый агент или Интернет-браузер.

Читать дальше →

+13

esetnod32 20 сен 2016 в 17:07

Механизмы шифрования в современных вымогателях

13 мин

21K

Блог компании ESET NOD32Антивирусная защита*

Вымогатели представляют из себя основную угрозу для пользователей ПК, активность которой растет с течением времени. Согласно недавнему полугодовому отчету Cisco, вымогатели доминируют на рынке вредоносных программ и являются самым прибыльным типом вредоносного ПО для злоумышленников за всю историю. О вымогателях уже было написано достаточно много и большинство людей понимает, что они из себя представляют. Вымогатели используют различные приемы для блокирования доступа к компьютеру жертвы или ее файлам, после чего требуют выкуп за восстановление к ним доступа. В последнее время мы наблюдаем существенное увеличение активности вымогателей-шифровальщиков, которые специализируются на шифровании файлов пользователя. Рассмотрим используемые ими методы шифрования.

Читать дальше →

+22

Alex_2016 16 сен 2016 в 12:51

Разоблачение тестов антивирусов

2 мин

12K

Блог компании Panda Security в России и СНГАнтивирусная защита*

Перевод

На этой неделе Чад Скиппер из компании Cylance опубликовал статью «Security Testing Houses: Know the Truth!», которую должны прочитать люди, интересующиеся вопросами тестирования решений безопасности. В ней присутствует ряд серьезных обвинений в адрес некоторых тестовых лабораторий и производителей (без указания их названий), например:
– производители платят, чтобы тестовые результаты их продуктов показывали 100% эффективность
– подкуп тестовых лабораторий, чтобы скрыть негативные результаты тестирования.

Читать дальше →

+4

Alex_2016 12 сен 2016 в 10:44

Новые приемы шифровальщика Locky

2 мин

7K

Блог компании Panda Security в России и СНГАнтивирусная защита*

Перевод

В этой статье мы рассмотрим приемы одного из наиболее известных семейств шифровальщиков: Locky.

Недавно (наши коллеги из Avira сообщили об этом в июле) авторы шифровальщика добавили новую функцию, которая включает в себя офлайновый режим, а потому теперь зловред может шифровать файлы и без подключения к серверу. В данном случае слабое место – это ключ, который является единым для каждого компьютера, где шифруются файлы, но единый ключ используется только в том случае, если по каким-либо причинам шифровальщику недоступен C&C-сервер.

Но теперь авторы изменили способ, которым они заражают компьютеры. Обычно такие атаки используют небольшой троян-загрузчик, который скачивает и запускает шифровальщик. Например, когда атака использует файл с javascript, то он, как правило, скачивает небольшой исполняемый файл, который нужен только для того, чтобы получить шифровальщик и запустить его. Как я уже писал ранее, кибер-преступники постоянно делают различные изменения, чтобы попытаться избежать обнаружения со стороны решений безопасности.

Читать дальше →

+10

esetnod32 6 сен 2016 в 14:04

Анализ новых модификаций вымогателя TorrentLocker

12 мин

6.2K

Блог компании ESET NOD32Антивирусная защита*

В декабре 2014 г., специалисты ESET опубликовали white paper с информацией о семействе вымогателей-шифровальщиков под названием TorrentLocker, экземпляры которого распространялись с использованием фишинговых сообщений электронной почты от имени, якобы, местного почтового отделения, энергетических или телекоммуникационных компаний. Документ исчерпывающим образом описывал схему распространения этого типа вредоносного ПО, его основную функциональность, а также используемый сетевой протокол. Мы также указали на некоторые сходства кода TorrentLocker с банковским трояном Hesperbot. На протяжении прошлых нескольких месяцев, в нашем распоряжении оказались новые образцы семейства TorrentLocker, так что мы смогли отследить текущее состояние функций и кода этой вредоносной программы.

Читать дальше →

+10

esetnod32 31 авг 2016 в 15:30

Вредоносная программа OSX/Keydnap распространяется с использованием доверенного приложения Transmission

5 мин

9.5K

Блог компании ESET NOD32Антивирусная защита*

В прошлом месяце мы писали о вредоносном ПО OSX/Keydnap, которое специализируется на краже содержимого связки ключей Apple OS X (keychain). Оно также предоставляет злоумышленникам удаленный доступ к скомпрометированному компьютеру (backdoor). На момент написания прошлого анализа, специалистам ESET не было ясно то, каким образом жертвы подвергались компрометации OSX/Keydnap. Мы предполагали, что злоумышленники могли использовать для этого вложения при распространении фишинговых сообщений, а также размещать вредоносную программу на нелегитимных веб-сайтах.

Однако, на этот раз, мы обнаружили метод распространения Keydnap с привлечением легитимного веб-сайта. Исполняемый файл бэкдора распространяется с помощью перекомпилированной версии приложения open-source клиента BitTorrent под названием Transmission. При этом его загрузка была возможна с легитимного веб-сайта приложения, а само приложение подписано цифровой подписи.

Читать дальше →

+18

Alex_2016 29 авг 2016 в 12:23

Почему теневые копии не спасают от большинства шифровальщиков

2 мин

24K

Блог компании Panda Security в России и СНГАнтивирусная защита*

Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy, которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

Читать дальше →

+9

1 2 ...

26

27 28 ...