Как стать автором
Обновить
28
Карма
0
Рейтинг

Пользователь

Исследование целевых атак на российские НИИ

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования мы установили, что на НИИ была осуществлена целевая атака с использованием ряда специализированных бэкдоров. Изучение деталей инцидента показало, что сеть института была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.

В этой статье мы восстановим хронологию заражения сети, идентифицируем обнаруженные бэкдоры и обратим внимание на выявленные пересечения в их коде и сетевой инфраструктуре. Также мы попробуем ответить на вопрос: кто стоит за атаками?   

Читать далее
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 5.4K
Комментарии 10

Исследуем Spyder – еще один бэкдор группировки Winnti

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *

В конце прошлого года в нашу лабораторию за помощью обратилась зарубежная телекоммуникационная компания, сотрудники которой обнаружили в корпоративной сети подозрительные файлы. В ходе поиска следов вредоносной активности аналитики выявили образец весьма интересного бэкдора. Его анализ показал, что мы имеем дело с очередным модульным APT-бэкдором, использующимся хакерской группой Winnti.

Последний раз деятельность Winnti попадала в наше поле зрения, когда мы анализировали модификации бэкдоров ShadowPad и PlugX в рамках расследования атак на государственные учреждения стран Центральной Азии. Оба эти семейства оказались схожи концептуально и имели примечательные пересечения в коде. Сравнительному анализу ShadowPad и PlugX был посвящен отдельный материал.

В сегодняшней статье мы разберем бэкдор Spyder именно так окрестили найденный вредоносный модуль наши вирусные аналитики. Мы рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 2.5K
Комментарии 0

Приглашаем к бета-тестированию Dr.Web Enterprise Security Suite 13.0

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *IT-инфраструктура *

Вниманию всех, кто интересуется антивирусной тематикой, защитой сетей –
или просто любит досконально разбираться в работе тех или иных
программных продуктов.

Мы запустили бета-тестирование 13-й версии Dr.Web Enterprise Security
Suite – решения для централизованной защиты компьютерных сетей любого
масштаба. Ключевое нововведение 13-й версии - это дополнительная функциональность, позволяющая более бережно относиться к ресурсам защищаемых систем. Он был реализован по запросам наших пользователей, эксплуатирующих системы АСУ ТП, в том числе отнесенные к КИИ. Также мы поработали над упрощением администрирования защиты, добавили новые фичи для UNIX-систем и ряд других важных, но пока ещё не обкатанных изменений. Подробнее о новинках версии можно прочитать здесь.

Приглашаем всех желающих поучаствовать в бета-тестировании. Ваши
замечания и предложения помогут нам разобраться с возможными ошибками и
недочётами и внести дополнительные улучшения.

Для участия в бета-тестировании Dr.Web Enterprise Security Suite 13.0 заходите сюда. Обращаем внимание, что для доступа к бета-разделу потребуется регистрация.

Подробнее о Dr.Web Enterprise Security Suite

И да, для самых активных тестеров мы уже готовим подарки!

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.3K
Комментарии 0

На волне тренда. Egregor ransomware — шифровальщик для целевых атак

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *


На исходе каждого года, а также в первые дни января любая отрасль коллективно обсуждает тенденции и прогнозы, которые будут формировать нашу действительность на протяжении всего календаря. Большая и дружная IT-индустрия и, в частности, сфера информационной безопасности в лице многочисленных экспертов, энтузиастов и комьюнити активно протирают хрустальные шары и делятся видением ситуации. В основном в наступившем 2021-м предрекают дальнейшее распространение цифрового вымогательства, а точнее — целевых атак на крупные компании с целью не менее крупного шантажа.

Мы в «Доктор Веб» не очень любим давать прогнозы, но в ушедшем году атаки шифровальщиков сформировали настолько явную тенденцию, что есть все основания полагать: наконец-то предновогоднее предсказание сработает. Что, конечно же, добавит работы всем нам.
В качестве небольшой иллюстрации мы решили опубликовать небольшой разбор шифровальщика, который впервые был обнаружен в сентябре прошлого года, но уже успел натворить много бед. Его образец оказался в нашей вирусной лаборатории, после чего был подвергнут стандартной процедуре.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 2K
Комментарии 1

Без шума и пыли: разбор RAT-троянов на базе Remote Utilities

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *


В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 9.3K
Комментарии 2

Сравниваем код модульных APT-бэкдоров

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *


В июле 2020 года мы выпустили исследование целевых атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. Список тогда получился настолько внушительный, что одни только IoC’и заняли несколько страниц текста. В процессе расследования этих инцидентов среди прочего ВПО мы изучили образцы мультимодульных бэкдоров PlugX, которые использовались для первичного заражения локальных сетей пострадавших организаций. Применение программ этого семейства свидетельствует о возможной причастности к атакам китайских APT-групп.

Главный объект изучения сегодняшней статьи — бэкдор ShadowPad — попал в нашу вирусную лабораторию с одного из зараженных компьютеров локальной сети госучреждения Киргизии. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. В ходе экспертизы мы также обнаружили несколько модификаций PlugX, установленных на том же компьютере.

Рассмотрим некоторые алгоритмы работы обоих бэкдоров и уделим внимание сходствам в коде, а также некоторым пересечениям в их сетевой инфраструктуре.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.6K
Комментарии 0

Расследуем целевую шпионскую атаку на российский ТЭК

Блог компании Доктор Веб Спам и антиспам Информационная безопасность *Антивирусная защита *


Наш опыт расследования инцидентов в сфере компьютерной безопасности показывает, что электронная почта по-прежнему является одним из самых распространенных каналов, используемых злоумышленниками для первичного проникновения в атакуемые сетевые инфраструктуры. Одно неосмотрительное действие с подозрительным (или не очень) письмом становится точкой входа для дальнейшего заражения, поэтому киберпреступники активно применяют методы социнженерии, пусть и с переменным успехом.

В этом посте мы хотим рассказать о нашем недавнем расследовании спам-кампании, нацеленной на ряд предприятий топливно-энергетического комплекса России. Все атаки происходили по одному сценарию с использованием поддельных электронных писем, при этом над текстовым содержанием этих писем, кажется, никто особо не старался.
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 5.2K
Комментарии 1

The hunt for vulnerability: executing arbitrary code on NVIDIA GeForce NOW virtual machines

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Облачные вычисления *

Introduction


Against the backdrop of the coronavirus pandemic, the demand for cloud gaming services has noticeably increased. These services provide computing power to launch video games and stream gameplay to user devices in real-time. The most obvious advantage of this gaming type is that gamers do not need to have high-end hardware. An inexpensive computer is enough to run the client, spending time in self-isolation while the remote server carries out all calculations.

NVIDIA GeForce NOW is one of these cloud-based game streaming services. According to Google Trends, worldwide search queries for GeForce NOW peaked in February 2020. This correlates with the beginning of quarantine restrictions in many Asian, European, and North and South American countries, as well as other world regions. At the same time in Russia, where the self-isolation regime began in March, we see a similar picture with a corresponding delay.

Given the high interest in GeForce NOW, we decided to explore this service from an information security standpoint.
Read more →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 5.5K
Комментарии 0

Охота за уязвимостью. Выполняем произвольный код на виртуальных машинах NVIDIA GeForce NOW

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *Облачные вычисления *

Введение


На фоне пандемии коронавируса возросла популярность облачных сервисов, позволяющих играть в видеоигры. Эти сервисы предоставляют вычислительные мощности, необходимые для запуска игр, и в режиме реального времени транслируют геймплей на устройства пользователей. Самое очевидное преимущество такой системы — игрокам нет необходимости иметь мощное железо. Чтобы запустить клиент сервиса и скоротать время на самоизоляции, хватит и вполне бюджетной машины: все вычисления происходят на удаленном сервере.

Одной из таких облачных платформ является GeForce NOW от компании NVIDIA. Согласно Google Trends, по всему миру пик поисковых запросов для этого сервиса пришелся на февраль. Это коррелирует с началом действия ограничений во многих странах Азии, Европы, Северной и Южной Америки и других регионах. В то же время для России, где режим самоизоляции начался позже, в марте, мы видим аналогичную картину, но с соответствующей задержкой.

Учитывая высокий интерес к GeForce NOW, мы решили рассмотреть эту платформу с точки зрения безопасности.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 8.6K
Комментарии 19

Злоумышленники распространяют опасный бэкдор под видом обновления для браузера Chrome

Информационная безопасность *Антивирусная защита *Google Chrome
Вирусные аналитики компании «Доктор Веб» сообщают о компрометации ряда сайтов — от новостных блогов до корпоративных ресурсов, — созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где пользователям предлагается установить важное обновление безопасности для браузера Chrome. Загружаемый файл представляет собой установщик вредоносного ПО, которое позволяет злоумышленникам дистанционно управлять инфицированными компьютерами. На данный момент «обновление» скачали более 2000 человек.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 4.1K
Комментарии 0

В Google Play обнаружен рекламный троян Android.Circle.1, способный выполнять BeanShell-скрипты

Информационная безопасность *Антивирусная защита *Аналитика мобильных приложений *
Вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play многофункционального Android-бота, которым злоумышленники управляют при помощи скриптов Java-интерпретатора BeanShell. Эта вредоносная программа сочетает функции рекламного трояна и кликера, а также может использоваться для проведения фишинг-атак.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 3.6K
Комментарии 0

Wulfric Ransomware – шифровальщик, которого нет

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *
Порой так хочется заглянуть какому-нибудь вирусописателю в глаза и спросить: зачем и почему? С ответом на вопрос «как» мы справимся сами, а вот узнать, чем думал руководствовался тот или иной создатель вредоносного ПО, было бы очень интересно. Тем более, когда нам попадаются такие «жемчужины».

Герой сегодняшней статьи – интересный экземпляр шифровальщика. Задумывался он, по всей видимости, как очередной «вымогатель», но его техническая реализация больше похожа на чью-то злую шутку. Об этой реализации сегодня и поговорим.

К сожалению, проследить жизненный цикл этого энкодера практически невозможно – слишком уже мало статистики по нему, так как распространения он, к счастью, не получил. Поэтому оставим за скобками происхождение, методы заражения и прочие упоминания. Расскажем лишь о нашем случае знакомства с Wulfric Ransomware и о том, как мы помогли пользователю спасти его файлы.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 10K
Комментарии 9

Еще один [почти] неудаляемый троянец под Android

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *
В конце прошлого года с помощью функции обнаружения изменений в системной области у некоторых наших пользователей было зафиксировано изменение системного файла /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции. Подробное рассмотрение этого случая позволило выявить новые образцы из семейства троянцев Android.Xiny, известного нам с 2015 года.

У его представителей мы впервые увидели установку атрибута «неизменяемый» на файлы, что существенно усложняло удаление троянцев с устройств.
Читать дальше →
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 21K
Комментарии 2

Обзор вирусной активности для мобильных устройств в ноябре 2019 года

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *
В прошедшем ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них были новые модификации троянцев семейства Android.Joker, подписывавшие пользователей на платные мобильные услуги. Киберпреступники вновь распространяли вредоносные программы семейства Android.HiddenAds, которые показывали надоедливую рекламу. Кроме того, была обнаружена новая версия бэкдора Android.Backdoor.735.origin, предназначенного для кибершпионажа.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3.9K
Комментарии 3

Обзор вирусной активности для мобильных устройств в октябре 2019 года

Блог компании Доктор Веб Информационная безопасность *Антивирусная защита *
Второй осенний месяц этого года оказался неспокойным для владельцев Android-устройств. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ – в частности, троянцев-кликеров Android.Click, которые подписывали пользователей на платные услуги. Среди найденных угроз также были вредоносные приложения семейства Android.Joker. Они тоже подписывали жертв на дорогостоящие сервисы и могли выполнять произвольный код. Кроме того, наши специалисты выявили других троянцев.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2.3K
Комментарии 0

Лицензионные соглашения у вредоносных программ

Блог компании Доктор Веб Управление продуктом *Законодательство в IT
Любое программное обеспечение — это объект интеллектуальной собственности. По сложившейся на рынке практике многие производители ПО оставляют за собой исключительные права на владение продуктом и лишь предоставляют клиентам возможность использовать одну или несколько его копий. Эти и другие юридические тонкости оговариваются в специальных документах — лицензионных соглашениях.

Вместе с информацией о регулировании прав и обязанностей сторон в них может прописываться отказ от ответственности за возможный ущерб или упущенную выгоду конечного пользователя из-за неправильной работы программ. Кроме того, в таких документах могут содержаться требования, обязывающие пользователей предоставлять те или иные конфиденциальные данные, а также другие не менее важные условия. При этом, чтобы начать работу с приложениями, почти всегда необходимо принять эти условия, даже если они спорные. Однако мы настолько привыкли к однотипным лицензионным соглашениям у компьютерных программ, что редко читаем эти длинные и скучные документы. Почти всегда пользователи автоматически принимают все их положения, не задумываясь о возможных последствиях.
Читать дальше →
Всего голосов 34: ↑31 и ↓3 +28
Просмотры 9.9K
Комментарии 35

Android-кликер подписывает пользователей на платные услуги

Блог компании Доктор Веб Антивирусная защита *Аналитика мобильных приложений *
Компания «Доктор Веб» обнаружила в официальном каталоге Android-приложений троянца-кликера, который способен автоматически подписывать пользователей на платные сервисы. Вирусные аналитики выявили несколько модификаций этой вредоносной программы, получившие имена Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. Чтобы скрыть их истинное предназначение, а также снизить вероятность обнаружения троянца, злоумышленники использовали несколько приемов.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 5K
Комментарии 8

Обзор вирусной активности в сентябре 2019 года

Блог компании Доктор Веб
По сравнению с прошлым месяцем в сентябре статистика серверов Dr.Web зафиксировала увеличение общего числа угроз на 19.96%. В то же время доля уникальных угроз снизилась на 50.45%. Чаще всего пользователей атаковали программы для показа рекламы, а также загрузчики и установщики ПО. В почтовом трафике вновь преобладали угрозы, которые для заражения устройств используют уязвимости документов Microsoft Office.

Выросло число обращений пользователей на расшифровку файлов, пострадавших от троянцев-шифровальщиков. При этом самым активным энкодером стал Trojan.Encoder.858 — на его долю пришлось 16.60% всех инцидентов. Кроме того, в базу нерекомендуемых и вредоносных сайтов было внесено почти вдвое больше интернет-адресов, чем в августе.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 4K
Комментарии 3

Опасный троянец распространяется через копию сайта Федеральной службы судебных приставов России

Информационная безопасность *Антивирусная защита *
image

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 5.5K
Комментарии 10

Банковский троянец Bolik распространяется под видом NordVPN

Антивирусная защита *

Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.


Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – Win32.Bolik.2.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 2.1K
Комментарии 0

Информация

В рейтинге
Не участвует
Откуда
Россия
Зарегистрирован
Активность