Важно Веб-технологии на службе у Malware и злоумышленников

Тема в разделе "SafenSoft", создана пользователем SNS-amigo, 16 июл 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Данная авторская тема поначалу была создана для объяснения возможностей защиты SafenSoft SysWatch.
    Цель: Оперативно информировать пользователей об угрозах разного типа и показать как и чем защищаться.


    malware.jpg
    ------------------------------------------------------------------------------------------------------------

    Техники обфускации обманывающие антивирусные сканеры


    Итальянские исследователи (Альфредо Де Сантис, Джанкарло Де Майо, Умберто Ферраро Петрильо) в своей научной работе описали три новые техники обфускации, которые могут обмануть антивирусные сканеры и успешно распространять вредоносные программы методом drive-by-download. Техники основаны на новых стандартах HTML5. По их мнению, увеличение количества Malware в Сети объясняется именно внедрением новых веб-технологий.
    Basic_ Drive_by_Download_Concept.png
    Рис. Стандартный способ реализации drive-by-download-атак.

    Для обфускации используются некоторые программные интерфейсы HTML5, хотя принципиальная схема drive-by остается прежней.

    На предварительном этапе происходит шифрование вредоноса и его размещение на сервере. Как только жертва загружает зараженную страницу, то одновременно скачивает вредоносную программу, которая дешифруется и запускается на исполнение.
    Из двух указанных этапов первый остается без изменений. Как и раньше, следует найти подходящий «дырявый» сервер и сделать инъекцию кода.

    Второй этап гораздо интереснее. Для доставки вредоноса и дешифровки применяются программные интерфейсы HTML5. Именно это позволяет остаться незамеченным для антивирусов, которым пока незнакомы подобные методы.

    В научной работе исследователи описывают три инновационных метода обмана антивирусов. Дело в том, что многие антивирусные системы отслеживают стандартные процедуры декодирования или деобфускации. Есть несколько способов избежать обнаружения.

    1. Делегированная подготовка (Delegated Preparation): вредонос разбивается на фрагменты в «базе данных», а деобфускация перекладывается на браузер с помощью Web-SQL API или IndexeDB API.

    2. Распределенная подготовка (Distributed Preparation): обычно процедуры деобфускации выглядят безобидно по отдельности, но подозрительно все вместе. Это их свойство используется при распределенной деобфускации, когда вредонос разбивается на фрагменты, и они расшифровываются в разных контекстах.

    3. Деобфускация пользователем (User-driven Preparation): разновидность распределенной подготовки, когда расшифровка и исполнение программы размазаны по времени, которое пользователь проводит на зараженной веб-странице. Для внесения элемента случайности действия вредоноса инициируются непосредственно действиями пользователя, не подозревающего об этом.

    Эксперимент показал, что такая тактика позволяет обмануть большинство систем обнаружения и антивирусных сканеров.

    Исследователи призывают разработчиков защитных систем модернизировать свои программы с учетом возможностей HTML5, пока еще есть время. Исследовательская работа во вложении (на английском).


    [​IMG] В основе всех решений SafenSoft лежит технология V.I.P.O. (Valid Inside Permitted Operations), которая основана на гибком разграничении системных привилегий при работе компьютера:
    • сканирование системы и создание профиля всех приложений информационной системы;
    • формирование списка доверенных приложений;
    • функционирование системы в соответствии с установленными привилегиями;
    • предотвращение выполнения потенциально опасных приложений;
    • запрет запуска новых приложений без разрешения пользователя.

    Систему, находящаяся под защитой SNS SW, не удалось бы заразить и скомпрометировать подобным образом, потому что выполнение потенциально опасных приложений было бы невозможно, а запуск любых новых приложений без разрешения пользователя был бы остановлен. Более того, защита системы при помощи SNS SW от скачанных браузером опасных файлов осуществляется в пару кликов, после чего ни один из них не будет скачан или запущен на выполнение.
     

    Вложения:

    Последнее редактирование модератором: 29 авг 2016
    lilia-5-0, shestale, Охотник и 3 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Техника удаленной установки руткита для UEFI BIOS

    Исследователи из компании Trend Micro обнаружили, что итальянская компания Hacking Team, промышляющая созданием современного шпионского ПО для правительственных спецслужб и частной индустрии, использовала руткит для BIOS UEFI для того, чтобы устанавливать агент Remote Control System Galileo (RCS Galileo) на целевую систему.

    galileo.png

    Даже если пользователь переустановит операционную систему, отформатирует жесткий диск или заменит его новым, агент Remote Control System все равно будет инстаалирован в систему после первого запуска Windows.

    Целью разработанного Hacking Team вредоносного руткита являются Insyde BIOS UEFI (устанавливаемые в основном на ноутбуки), но не исключено, что он будет работать и на AMI BIOS, используемых в большинстве персональных компьютеров.

    Специалисты Trend Micro пока не уверены, смогут ли упомянутые вредоносные программы завершить установку руткита без физического доступа к целевой системе, или им достаточно будет удаленной установки.

    Сценарий атаки примерно такой:
    - злоумышленник получает доступ к целевому компьютеру, например, с флешки или другого внешнего источника (в том числе и по сети);
    - в систему копируются три файла, файл dropper.mod содержит действующих агентов (файлы scout.exe и soldier.exe);
    - далее компьютер перезагружается в UEFI-оболочку, сбрасывает BIOS на дефолт;
    - устанавливает руткит в BIOS и перепрошивает ее;
    - затем перезагружает систему.

    htbios1.png htbios2.png
    htbios3.png

    Если пользователь переустановит систему или форматирует жесткий диск, то в новой системе после первого ее запуска запускается дроппер и заново устанавливает агентов. При всех последующих загрузках системы проверяется наличие этих агентов.

    Проанализировать руткит стало возможным только после утечки исходного кода шпионской программы Hacking Team. Неизвестные злоумышленники взломали её систему защиты и выложили похищенные данные в Интернет. Помимо США и Великобритании, компания поставляла свою продукцию спецслужбам Египта, Бахрейна, Саудовской Аравии, Судана, Омана, Ливана.

    После утечки данных Hacking Team стало известно, что компания перегруппировалась и планирует переработать свое ПО RCS, которая позволит ее клиентам возобновить «уголовные и информационные расследования» против граждан своих стран и неугодных лиц.

    В данное время пока неизвестно число пользователей, компьютеры которых пострадали от работы этого руткита. Эксперты Trend Micro рекомендуют своевременно обновлять BIOS и использовать только сложный пароль для ее защиты.

    Исследовательская работа во вложении (на английском).

     

    Вложения:

    lilia-5-0, Dragokas, shestale и 4 другим нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Техника удаленной слежки за пользователями Android-устройств: BeNews

    В похищенных данных у Hacking Team также найдена информация о других методах несанкционированного проникновения, используемых компанией.

    Последняя находка – поддельное Android-приложение, которое использовалось Hacking Team для установки их флагманского инструмента для слежения. Приложение называется BeNews, как рассказывает Wish Wu, инженер Trend Micro, занимающийся вопросами мобильных угроз, а название было заимствовано от давно закрытого одноименного новостного портала.

    Внутри приложения есть бэкдор ANDROIDOS_HTBENEWS.A, который использовался для загрузки предыдущей версии системы RCS (Remote Control System, Galileo) на Android-устройства. Вредоносный компонент эксплуатировал уязвимость повышения привилегий CVE-2014-3153. Инструмент разработан для того, чтобы инфицировать неисправленные версии Android – от Froyo 2.2 до KitKat 4.4.4.

    BeNews_04.png

    Приложение BeNews, как средство для сбора данных, компания продавала правоохранительным органам и агентствам безопасности по всему миру, а те использовали его в качестве приманки для загрузки RCSAndroid на целевое устройство.

    BeNews_05.png

    BeNews может обойти ограничения Google Play с помощью технологии динамического загрузки. Сейчас Google проверяет Play Store на наличие потенциально вредоносных приложений. Однако Hacking Team, похоже, сделала все для того, чтобы BeNews не классифицировалось как вредонос после загрузки.

    Как известно, приложения Android запрашивают разрешение на определенные действия. Изначально BeNews просит разрешения только на 3 безопасные действия для того, чтобы Google не заблокировал его. После проверки BeNews использует динамическую загрузку и затем выполняет вредоносный компонент.

    В 400 ГБ данных, похищенных у Hacking Team, блогеры Trend Micro обнаружили исходный код для бэкдора и сервера, а также готовую запись в Google Play и документ с надписью "core-android-market-master.zip", который включает в себя подробные инструкции о том, как клиенты могут управлять бэкдором.

    Исследовательская работа во вложении (на английском). В pdf-документе, в отличие от веб-сайта, представлен оригинальный скриншот с незатертыми данными аккаунта в GP.


    [​IMG] У SNS пока нет защитного решения для защиты Android-устройств, но есть SafenSoft P&P, которое может заинтересовать пользователей iOS.
    Мое мнение по поводу защиты андроидов есть в той же теме, подкрепленное ссылкой на информацию от компании Dr.Web. Я бы не стал заморачиваться с бесплатной защитой для "решета", каким априори являются андроидные системы. Но всвязи с тем, что всё больше мобильные устройства участвуют в интернет-банкинге и онлайн-платежах, видимо придется разработать защитное решение, как в случае с iOS.
     

    Вложения:

    lilia-5-0, shestale, Охотник и 3 другим нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование скрытых возможностей удаленного контроля систем Skype и MSN

    По словам активистов организации по борьбе с вредоносными программными средствами Malware Must Die, правительство Вьетнама несколько лет назад (2012-2013 г.) приобрело у Hacking Team инструмент, представляющий собой так называемую "расширенную постоянную угрозу" (Advanced Persistent Threat, APT). Данный случай показывает, что даже в странах с ограниченными финансовыми и техническими ресурсами некие структуры пытаются использовать возможности довольного дорогого коммерческого шпионского инструментария Hacking Team.

    apt_infographic.jpg

    Хотя термин APT изначально относился к государственным структурам, занимающихся кибершпионажем, APT-методы также используются киберпреступниками для кражи данных из коммерческих организаций для получения финансовой выгоды. В отличие от большинства вредоносных программ, которые случайным образом заражают любой компьютер, эксплуатируя определенную уязвимость, APT ориентируются на конкретные организации с целью хищения конкретных данных или нанесения определенного ущерба.

    Кроме того, MMD представила документа свидетельствующие о том, что Hacking Team принимала участие в организации антикоммунистической акции во Вьетнаме. В ходе атаки были использованы скрытые возможности систем MSN и Skype. По словам Malware Must Die, еще нужно более глубоко проанализировать содержимое дампа за 2012-2013 гг. (в утекшем архиве Hacking Team) для того, чтобы подтвердить эту информацию, т.к. ничто не получает данные из Skype и MSN, кроме RCS (Remote Control System), но полезная нагрузка Shellcode + DLL, похоже, принадлежит Hacking Team.

    См. описание и скриншоты в прилагаемом документе.

    "Возможно, когда-то лидеры на рынке информационной безопасности Fire Eye, Palo Alto Networks и Лаборатория Касперского и обнаружат связь между APT и Hacking Team", - отметил основатель французской фирмы Vupen, продающей эксплоиты, Чауки Бекра (Chaouki Bekrar). Данное замечание выглядит как насмешка: Hacking Team приобрела у Vupen уязвимости нулевого дня, согласно просочившимся в СМИ данным.

    Hacking Team, продающая вредоносные шпионские программы правоохранительным структурам и разведывательным ведомостям по всему миру, оказалась под пристальным вниманием из-за недавней утечки 400 ГБ конфиденциальных файлов и электронной переписки Hacking Team. Архив с просочившимися электронными письмами, созданный WikiLeaks в результате атаки, демонстрирует, что Hacking Team принимала участие в реализации специальных проектов не только на Западе, Ближнем Востоке, Африки, но и в Индонезии, и Вьетнаме.

    ht1.png ht2.png


    [​IMG] Напомню технологию проактивной защиты V.I.P.O.:
    - использует устойчивые алгоритмы хеширования, контролирует файловую и реестровую активность для сохранения целостности системных файлов и установленных пользователем программ;
    - позволяет исполняться только процессам, которые заведомо являются доверенными, запуск неизвестного процесса будет предотвращен, пока пользователь не обозначит степень доверия к нему;
    - контролирует и блокирует загрузку неизвестных исполняемых модулей, что позволяет предотвратить инфицирование системы, используя уязвимости доверенных приложений.
    То есть при работающей защите SNS установка самовольно загрузившихся приложений невозможна, т.к. все опасные действия тут же будут заблокированы. Так же можно жестко задать контроль Skype от внешних изменений и установок дополнений.
     

    Вложения:

    Последнее редактирование: 31 июл 2015
    lilia-5-0, shestale, Охотник и ещё 1-му нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование скрытых возможностей кибероружия, эксплуатирующего уязвимости нулевого дня

    Портал WikiLeaks опубликовал миллион электронных писем итальянской компании Hacking Team, согласно которым США потратили миллиарды долларов на создание кибероружия, эксплуатирующего уязвимости нулевого дня. Электронное оружие направлено на осуществление кибератак как на устройства отдельных пользователей, так и на целые страны.

    ht3.png

    По мнению источников WikiLeaks, США вышли далеко за рамки эксплуатации брешей, например, в SSL и OpenSSL, чем АНБ занималось в течение многих лет без предупреждения об этом общественности. Конкретно, АНБ накопило тысячи рабочих эксплоитов для уязвимостей, которые затрагивают множество различных современных устройств, включая периферийные устройства и сетевое оборудование. О существовании данных эксплоитов не было известно даже некоторым сотрудникам АНБ, которые отвечают за государственную безопасность своей страны. АНБ также скупало информацию об эксплойтах по всему миру. США постоянно тратят крупные суммы денег на обновление данного арсенала кибероружия. В том числе и при прямом содействии компании Hacking Team.

    Было бы наивно и глупо списывать весь кибершпионаж только на одно АНБ. Кибершпионажем в США занимаются не только крупные агентсва, но и тысячи более мелких, имеющих федеральный или закрытый непубличный статус. Но т.к. их бюджет — тайна за семью печатями, мы "подсчитаем", например, бюджет Министерства обороны. Так, имея далекоидущие планы на "пятилетку" (до 2019 года), это министерство запросило выделить ему 26,6 млрд долларов на нужды кибербезопасности и, разумеется, для осуществления кибершпионажа, и только $ 5.060.000.000 на один 2015 финансовый год.
    spyfiles.jpg
    По заданию ЦРУ, другие агентства под видом мелких дочерних компаний могут специализироваться на получении доступа к компьютерам, которые не подключены к Интернету, получая финансы на создание и использование технологий, способных тайком передавать данные из так называемых воздушных компьютерных зазоров, в которых зачастую и содержатся главные тайны потенциальных противников.

    Так ForAllSecure из Питтсбурга, по контракту с Пентагоном целенаправленно работает по программе выявлении уязвимостей в программном обеспечении и автоматическом генерировании кода атаки. Например, их продукт Mayhem был использован для анализа более чем 37000 готовых компьютерных программ и нашел в них как минимум 14000 ошибок, которые можно использовать более таргетированно...

    Hacking-Team-Database.jpg

    Но вернёмся к нашим "баранам", тьфу, то бишь Hacking Team... Возможно сами они считают себя уникальными и суперпродвинутыми, т.к., судя по их рекламным буклетам (см. документ во вложении и видеопрезентацию по ссылке), способны взломать любые электронные замки и похитить любую конфиденциальную информацию. Но всё гораздо прозаичнее. Всё программное обеспечение, включая ОС Windows и приложения, изначально было предназначено для раскрытия информации о своём использовании и перехвату потоков данных, которые создаются и передаются в Интернет во время их использования.

    Далеко за списком ходить не надо, это и сама ОС, и все приложения от Microsoft, включая средства администрирования, и также приложения от её партнеров. Потому средства удаленного администрирования, удаленного контроля и удаленного рабочего стола так легко позволяют "читать" всё, что создается и передаётся вашим компьютером:
    - всё, что веб-браузеры показывают пользователю, что он вводит и передает сам;
    - всё, что открывается, закрывается, копируется на внешние устройства или удаляется в корзину;
    - всё, что инсталлируется, используется, удаляется, воспроизводится с дисков и других накопителей;
    - всё, что печатается, создается и используется ВСЕМИ текстовыми и офисными приложениями, включая UNICODE языки;
    - всё, что получается и оправляется почтовыми клиентами, включая сторонние приложения;
    - всё, что передается и получается при помощи мессенджеров и средств создания конференций;
    - всё, что воспроизводится при помощи аудиоаппаратуры (микрофон, вебкамера, устройства голосового управления и пр.);
    - всё, что вы снимаете веб-камерой, сканируете, скриншотируете, обрабатываете и просматриваете на своем ПК;
    - всё, что вы вводите в командной стране, в полях "Выполнить", "Ввод лицензионного ключа", а также, какие сочетания клавиш используете, какие настройки в системе и приложениях производите, в том числе и недокументированные;
    - все апплеты, триггеры активности, показания датчиков, в том числе SMART жестких дисков и пр. пр...

    Чемпионы по активной передаче информации, в том числе по специальному коду доступа, это несомненно SKYPE, Windows Mail, Windows Live.

    Hacking Team после выполнения очередного задания спецслужб США получили от них коды доступа к средствам Windows, благодаря чему им стало еще легче открывать и ранее не слишком закрытые "двери" и "окна". В контактах они утверждают, что "работают только с правительственными учреждениями и спецслужбами", и "не работают со странами из черного списка США, НАТО..." и пр. организаций, находящихся под протекторатом США, но на самом деле это далеко не так. Если крупный индустриальный клиент платит бабло, эта хакерская группа, называющая себя компанией, всегда готова пойти на сделку.


    [​IMG] Для защиты компьютеров корпоративной сети, серверов и домашних ПК компания-разработчик SafenSoft создала линейку продуктов Safe'n'Sec SysWatch, которые эффективно предотвращают внедрение программ-шпионов в информационную систему.
    Модуль SysWatch Workstation входит в пакет Safe'n'Sec Enterprise Suite для корпоративных клиентов. Пользователи домашних ПК имеют возможность надёжно защитится от вредоносной активности при помощи новейших версий Safe'n'Sec SysWatch Personal 3.10-3.11, ставших результатом объединени продуктов SysWatch Personal (без сканера) и SysWatch Deluxe (со сканером). Антивирусный сканер теперь входит в персональный продукт, ставший полностью бесплатным.
    Авторская запатентованная технология V.I.P.O., относящаяся к классу HIPS-систем информационной безопасности, обеспечивает защиту от всех типов вредоносного ПО. Решения SafenSoft не позволяют программам-шпионам внедриться и закрепиться в системе, а значит ценная информация и персональные данные пользователя останутся в целости и сохранности.
    Антивирусные сканеры от ЛК, BitDefender и F-Prot регулярно получают обновление не только антивирусных, но и антишпиоснких баз, таким образом шпионские программы могут быть выявлены еще и при помощи сканирования системы, отдельных файлов и папок.
     

    Вложения:

    Последнее редактирование: 31 июл 2015
    lilia-5-0, Охотник и Theriollaria нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Техника перехвата и расшифровки cookie-файлов с последующей компрометацией пользователя

    Исследователи безопасности из бельгийского Католического университета Лёвена (Katholieke Universiteit Leuven) Мэти Ванхоф и Фрэнк Писсенс опубликовали научный труд, описывающий новые атаки на алгоритм шифрования RC4.

    Осуществление таких атак позволяет злоумышленнику перехватывать cookie-файлы жертвы и расшифровать их за короткий срок времени. Доклад будет представлен на симпозиуме USENIX в Вашингтоне в августе этого года. Документ во вложении. Видеопрезентация внизу.

    В документе содержится описание выявленных особенностей алгоритма, которые позволяют взламывать шифрование на web-ресурсах, работающих по TLS с RC4, а также с WPA-TKIP, Wi-Fi Protected Access Temporal Key Integrity Protocol для похищения cookie-файлов.
    крак-печенье1.png
    На примерах показано, как атакующий может использовать эти особенности для расшифровки cookie-файлов пользователя, которые должны были быть защищены шифрованным каналом. Сфера применения атак не ограничивается только перехватом и расшифровкой cookie-файлов. Так, преступник может выполнять действия от имени жертвы, к примеру, публиковать обновления статуса и получать сообщения, получать доступ к персональной информации и пр.

    крак-печенье2.png

    По словам Ванхофа и Писсенса, новый метод позволяет расшифровать cookie-файлы в рамках 75 часов. В то же время им удалось сократить продолжительность атак до 52 часов. Для того чтобы осуществить кибератаку, злоумышленнику потребуется перехватить из TLS-трафика несколько зашифрованных cookie-файлов, преобразовать их в вероятные значения cookie и продолжать перебор, пока не будет найдено правильное.

    Для взлома WPA-TKIP эксперты разработали метод, позволяющий генерировать большое количество идентичных пакетов. Пакет расшифровывается с помощью списка подбираемых незашифрованных значений, а неподходящие кандидаты отбрасываются благодаря избыточной структуре пакетов. Из расшифрованного пакета исследователи извлекли ключ TKIP MIC, который может быть использован для внедрения и расшифровки пакетов.

    Эксперты также атаковали TLS, который используется в HTTPS, и показали, как расшифровать защищенный cookie с вероятностью 94%, используя 9_2_27.png шифротекстов. Данный метод позволил Ванхофу и Писсену осуществить атаку в пределах 75 часов. При завидном везении злоумышленнику хватит и гораздо меньше времени.




    [​IMG] Safe`n`Sec WebServer – новейшая система безопасности, разработанная специально для защиты корпоративных сайтов и веб-серверов. Программный комплекс Safe`n`Sec WebServer представляет собой модульную систему предотвращения вторжений, сохранения и контроля целостности операционной системы и программного обеспечения сервера, а также контроля исправного функционирования веб-сайта. Подробнее >>>
     

    Вложения:

    lilia-5-0, orderman, Охотник и ещё 1-му нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Milano проверит систему на предмет работы Hacking Team

    Информационный мир заполнили сообщения о новых уязвимостях "нулевого дня", эксплоитах и других угрозах, вызванных масштабной утечкой данных компании Hacking Team. В результате чего забили тревогу не только крупные компании, которые теперь едва успевают выпускать экстренные патчи, но и простые пользователи. В свете данных проблем компания Rook Security выпустила инструмент, который позволит каждому узнать, не стал ли он жертвой хитрых поделок миланской компании.

    Программу назвали RookMilano (или просто Milano), она совершенно бесплатна и прицельно ориентирована на поиск уязвимостей, сопряженных с работой Hacktool и Spyware от Hacking Team. Документация во вложении.

    милано.png милано2.png милано3.png
    Рис.1-3. Окно работы программы и результаты на моем ПК.

    милано4.png
    Рис.4. Место сохранения отчета в Windows 8.1

    Milano может выполнить быстрое (Quick) или глубокое (Deep) сканирование системы. Специалисты Rook Security сейчас перебирают 400 Гб-ный архив Hacking Team вручную, используя динамический и статический анализ. Исследования они сопоставляют с данными VirusTotal, Kaspersky Whitelisting и PaloAlto Firewalls Wildfire.

    [​IMG]

    Если Milano обнаружит на машине пользователя подозрительные файлы, создатели утилиты убедительно рекомендуют считать данную машину скомпрометированной, так как осечки маловероятны.

    Проверьте свой ПК незамедлительно!

    Как уже знают читатели этого раздела и темы, беспокойства пользователей и компаний не напрасны. Уже найдены: руткит для UEFI BIOS, способный пережить переустановку системы и смену HDD, Android-приложение, следящее за пользователями, различные эксплоиты и другие Malware, разработанные и используемые группой Hacking Team в своих хакерско-шпионско-коммерческих целях.

    Атаки с применением этих инструментов вряд ли заставят себя долго ждать. Так эксперты компании FireEye выяснили, что эксплоиты для 0day-уязвимостей в Adobe Flash, которые использовали Hacking Team, в Японии задействовали для атак на местные компании.

    Официальный сайт Rook Security: https://www.rooksecurity.com
    Страница загрузок: https://www.rooksecurity.com/resources/downloads/
    Ссылка на загрузку Milano версии 1.0.1 в спойлере

    Точно известно, что пострадали сайты ассоциации International Hospitality and Conference Service Association и косметической компании Cosmetech. На оба ресурса, с помощью эксплоита, поместили малварь известную как SOGU Malware (довольно распространенный на Востоке бэкдор). FireEye заявляют, что образец SOGU, использованный в этой атаке, был скомпилирован 13 июля и замаскирован под файлы, принадлежащие Trend Micro.

    Напомним, что Adobe выпустила соответственный патч 14 июля. То есть хакеры успели раньше, по словам представителей FireEye, атака длилась почти два дня.


    [​IMG] SafenSoft SysWatch в ручном режиме — разрешить установку приложения.
    запуск.png
     

    Вложения:

    lilia-5-0, Охотник и Theriollaria нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Техника удаленной слежки за пользователями Android-устройств: RCSAndroid

    Исследователям из Trend Micro удалось обнаружить в архиве данных Hacking Team еще один вредоносный инструмент: троян удаленного доступа (RAT, "крыса") для операционной системы Android.

    Выявленный ими инструмент RCSAndroid — это один из самых профессионально разработанных и сложно организованных вирусов для платформы Google.

    Скомпрометированные с помощью кода Hacking Team устройства нельзя очистить без привилегий суперпользователя. Более того, для корректного удаления вредоносного инструмента некоторым пользователям может потребоваться помощь компании, разработавшей взломанное устройство.

    Основной функционал RCSAndroid позволяет:
    - делать снимки экрана с помощью команды "ScreenCap" и прямого чтения кадрового буфера;
    - вести мониторинг буфера обмена;
    - собирать пользовательские пароли (от Wi-Fi, мобильных приложений и интернет-сервисов, в том числе Skype, Facebook, Twitter, Google, WhatsApp, Mail, и LinkedIn);
    - вести запись через микрофон;
    - перехватывать сообщения SMS, MMS и Gmail;
    - собирать данные о местоположении;
    - вести запись через переднюю и заднюю камеры;
    - собирать информацию об устройстве;
    - собирать контакты и декодировать сообщения от IM-аккаунтов, в том числе из различных приложений (Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram, and BlackBerry Messenger);
    - подслушивать голосовые вызовы в любой сети или приложении, внедрившись в системную службу mediaserver.

    Чтобы избежать обнаружения и удаления агента приложения, RCSAndroid обнаруживает эмуляторы или песочницы, запутывает код, используя DexGuard, а также использует другие известные техники.

    Заметьте, уязвимыми являются ВСЕ версии мобильной ОС Google, начиная с Ice Cream и заканчивая Jelly Bean. Анализ Trend Micro показал, что в настоящий момент Hacking Team готовят новой эксплойт для Android 5.0 Lollipop.

    RCSAndroid_05.png
    Рис.1. Список команд оболочки бэкдора RCSAndroid.

    RCSAndroid_06.png
    Рис.2. Захват и запись разговоров агентом RCSAndroid.


    [​IMG] Защита программной среды веб-сервера и блокирование любой подозрительной активности сопровождается комплексом защитных мер для сохранения веб-сайта в исправном состоянии и защиты ценной информации, доступ к которой может быть получен через проникновение на сайт. Safe`n`Sec WebServer позволяет защитить веб-сервер и веб-сайт предприятия от всего спектра типовых угроз от действий кибер-преступников, таких как, например:
    bul.png Загрузка исполняемых кодов
    bul.png Загрузка исполняемых модулей, не включённых в список доверенных
    bul.png Несанкционированное выполнение команд ОС
    bul.png Раскрытие информации
    bul.png Модификация сайта
    bul.png Изменение конфигурации сервера
    Подробнее >>>


    См. также комментарий к посту #3.
     
    lilia-5-0, orderman, Охотник и 2 другим нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование Google Play Store для распространения вредоносов

    Как недавно выяснилось, в интернет-магазине Google Play Store распространяется под видом легитимных приложений немало троянов-порнокликеров. Данный факт подтвердили специалисты компании ESET, которые и обнаружили в Google Play Store 60 различных троянов-порнокликеров, замаскированных под легитимные приложения, и скачанных пользователями за последние три месяца как минимум 210 тыс. раз.

    Один из них, классифицируемый ESET как Android/Clicker, был загружен в Play Store под видом различных поддельных версий приложения Dubsmash, примерно 9 раз, что способствовало инфицированию устройств десятков тысяч ничего не подозревавших пользователей, скачавших программы. [Мобильный антивирус ESET NOD32 Mobile Security детектирует вредоносную программу как Android/Clicker.]

    Android/Clicker - это вредонос, предназначенный для смартфонов и планшетов, работающих на базе операционной системы Android. В отличие от банковских или SMS-троянов, он не наносит пользователю прямого ущерба в виде кражи персональной или финансовой информации, а генерирует трафик на ресурсы с контентом "для взрослых".

    вирус1.png вирус2.png

    В Google Play Store также был обнаружен еще 51 троян с подобным функционалом. Четыре из них были загружены более 10 тыс. раз, а один – более 50 тыс. раз. Этот же троян инфицировал другие приложения: менеджер загрузок, игры Pou 2, Clash of Clans 2, Dubsmash 2-3, Subway Surfers 2-3, Minecraft 3, Hay Day 2, Minecraft, а также различные чит-коды и видео-загрузчики.

    О вредоносности приложений в Google PS неоднократно сообщала и компания Trend Micro.

    Администрация Google Play Store уже удалила обнаруженные вредоносные приложения из своего онлайн-магазина. Но факт остается фактом, приложениям каким-то образом удается обходить систему Google Bouncer, проверяющей программы на вирусы, поэтому от появления новых вредоносов в Google Play Store никто не застрахован.


    [​IMG] Если бы владельцы Google Play заботились о безопасности устройств пользователей, работающих на Android, то они бы выбрали одно из защитный решений Safe`n`Sec, разработанных для бизнеса и госструктур.
    Подробнее >>>
    См. также комментарий к посту #3.
     
    lilia-5-0, Охотник, Theriollaria и ещё 1-му нравится это.
  10. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.839
    Симпатии:
    1.829
    А перед этим...By Tyler Lee on 07/14/2014
    В интервью изданию Sydney Morning Herald он заявил, что угроза вирусного ПО преувеличена самими производителями антивирусных программ для того, чтобы извлечь дополнительную прибыль.

    "Я считаю, что 99% пользователей не получат никакой выгоды от использования антивируса. Процедуры отбора приложения в Google Play достаточно, чтобы отсеять заражённое программное обеспечение. Среднему пользователю нет никакого смысла устанавливать антивирус на свое устройство," - говорит Адриан Людвиг.
    [​IMG]
    Оцей школярь :)
     
    Последнее редактирование: 25 июл 2015
    lilia-5-0, Theriollaria, Охотник и ещё 1-му нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    +
    Да, гуглерская система безопасности в очередной раз облапошилась.
     
    Охотник и Theriollaria нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование Skype для рассылки вирусных ссылок
    (SNS-amigo специально для SafeZone.cc)
    skype-hak.png
    Эта проблема появилась три недели назад. С начала июля пользователи Skype со всего мира стали жаловаться на получение неких коротких ссылок от сервиса goo.gl, или сообщений следующего вида "Hi! I recommend this site" (Привет, я рекомендую этот сайт!") [malware_URL]. В ряде потоков сообщений в обращении даже использовался логин или имя получателя.

    skype_malware.png

    Ссылки вели на страницы с вирусами или агрессивной рекламой, например, на страницы сайта с таблетками для похудения (Weightloss), а также сайты-сервисы plus.google.com, youtube.com, yahoo.com, amazon.com, социальные сети и даже порносайты. Некоторые из ссылок вели в российскую область всемирной Сети, конкретно на некие сомнительные сайты знакомств для взрослых.

    Служба поддержки и Community первым делом рекомендовали пользователям срочно сменить пароли на своей учетной записи и заблокировать неизвестных пользователей. Но это не всегда помогало. Фальсифицированные аккаунты все равно присылали вредоносные ссылки. Множество реальных акканутов оказались скомпрометированы и стали рассылать вирусные сообщениям своим собеседникам. Пользователи забеспокоились и логично предположили, что заражена вся система Skype.

    Как следуют из постов на форуме сообщества пользователи проверяли свои ПК всеми имеющимися антивирусными средствами, включая расширенные инструменты поиска вредонсоных программ Malwarebytes, AdwCleaner и др., но никакие вирусные угрозы, связанные с этой проблемой, не были обнаружены. Хорошо, что некоторые пользователи догадались сообщить людям из списка контактов, чтобы они не переходили по ссылке в сообщении от них.

    Как оказалось, вирусные ссылки появились не только в ОС Windows, но и на всех устройствах поддерживающих технологию Skype (на мобильных платформах Windows, Apple, Android, а также в OS X). У некоторых пользователей Skype был установлен только на вирутальной машине и они тоже получили вредоносные ссылки. Т.е. можно заключить, что заражение произошло на уровне серверов Skype, а конечные пользователи и их системы ни при чём.

    На данный момент за три недели на англоязычном Skype-community набралось уже три десятка страниц с вопросами, просьбами и даже проклятиями в адрес Skype-сервиса и Microsoft. Некоторые пользователи вписывают в обращение свои данные (логин и пароль) в надежде, что это какое-то недоразумение, специалисты скоро разберутся и всё исправят. Модераторы оперативно чистят топик и удаляют вставленные недоумевающими и возмущенными пользователями ссылки на зараженне сайты. Но кардинального решения проблемы с вирусными ссылками в Skype так и нет.

    Старожилы Skype, наверное, помнят, что подобные атаки на пользователей были и раньше, к примеру, в 2012-2013 гг, а весной этого года распространялись ссылки, замаскированные под url-адрес на видео, но на самом деле ведущие на вирусный плагин, который предлагалось установить для просмотра ролика. Если кто-то случайно скачивал плагин по ссылке, то она автоматически рассылалась списку контактов в Skype. Сам компьютер в таком случае рекомендовалось оперативно проверить антивирусом и удалить найденные вредоносные программы.


    [​IMG] В продуктах SNS запуск и установка самовольно загруженных приложений невозможны. Любое новое приложение само не сможет запуститься. Испытать его работу можно в ограниченной среде, где все опасные действия будут заблокированы. А нужно пользователю приложение, которые выполняет в системе опасные действия? Вряд ли. SNS поможет пользователю принять правильное решение. Так же можно жестко задать контроль Skype от внешних изменений и установок дополнений.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Дополнение к статье "Использование Skype для рассылки вирусных ссылок"

    Поддержка пользователей распространила руководство по удалению внедренных вирусных модулей из Skype.
    Дополняем его скриншотами русскоязычной версии Skype.

    Открываем меню Инструменты - Настройки - Дополнительно.
    Кликаем на ссылке "Контроль доступа других программ к Skype".
    Выбираем все программы, какие там будут и удаляем.
    Если у вас там нет никаких программ, значит ваш Skype пока чист.

    sk0.png sk1.png sk2.png

    Для полного удаления внедренных модулей придется полностью выйти из Skype или перезагрузить ПК.

    Ранее мы описывали способ удаления из Skype рекламы и блокировки приложений при помощи настроек Internet Explorer (ссылка).
    В данном случае этот способ также не будет лишним.
     
    lilia-5-0, Охотник, Theriollaria и ещё 1-му нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование эксплоитов для торговли и обогащения

    ИБ-эксперт Влад Цирклевич (Нью-Йорк, США) исследовал чёрный рынок эксплоитов для уязвимостей нулевого дня и, основываясь только на данных, утекших у Hacking Team, электронной переписке в частности, в своем исследовании подробно рассказал о текущей стоимости эксплоитов, условиях продаж и покупателях.

    Давно известен факт, что эксплоиты для уязвимостей нулевого дня стоят от 5 тыс. до 500 тыс. долларов. Но переговоры по их покупке заставляют по-другому взглянуть на ценность брешей нулевого дня. Hacking Team приобретала эксплоиты в рассрочку, выплачивая сумму частями в течение 2-3х месяцев, с учетом того, что уязвимость обнаружится, а производитель выпустит патч, тогда и стоимость ее снизится.

    Так, цена на инструмент Starlight-Muhlen, который Hacking Team хотела приобрести, составляла $100 тыс, но по данным одного из продавцов, стоимость эксклюзивного эксплоита для iOS могла доходить $500 тыс.

    По словам Цирклевича, документы позволяют сделать определенные выводы по поводу тех или иных средств для обеспечения безопасности. К примеру, Hacking Team постоянно требовались новые эксплоиты для компрометации песочниц. Компания жаловалась на бесполезность инструментов для их обхода, из чего можно сделать вывод, что песочницы – это весьма эффективное средство защиты ПО.

    Судя по электронной переписке, Hacking Team испытывала трудности в поиске продавцов, согласных иметь с ней дело, т.к. многие предпочитали сотрудничать с правоохранительными органами напрямую и отказывались от посредников. Компания занялась поисками уязвимостей нулевого дня в 2009 году, и, похоже, что за шесть лет смогла приобрести только пять – это три бреши в Adobe Flash, уязвимость локального повышения привилегий и обхода песочницы в Windows и брешь в Adobe Reader.

    Среди тех частных лиц, кто сотрудничал с Hacking Team называются малайзиец Евгений Цзин (Малайзия), россиянин Виталий Торопов и итальянец Росарио Валотта. Среди крупных и мелких поставщиков Hacking Team были D2Sec и VUPEN (на невысокое качество их эксплойтов Hacking Team жаловались в переписке), а также Netragard, COSEINC, Qavar Security, Ability Ltd, DSquare Security, Keen Team, LEO Impact Security, ReVuln, Security Brokers.

    passw.png

    PS. Многие пользователи задаются вопросом: "Как же у таких продвинутых хакеров, как Hacking Team, взломали и украли базу данных?" Дело в том, что эти продвинутые хакеры использовали слабые пароли вроде ‘P4ssword’, ‘wolverine’ и ‘universo’. :Biggrin::Biggrin::Biggrin:


    [​IMG] SysWatch анализирует активность приложений и блокирует все опасные действия, которые могут привести к неработоспособности системы или порче/потере конфиденциальной информации пользователя, обеспечивает защиту от различных видов вредоносного ПО, уязвимостей "нулевого дня" и других действий злоумышленников.
    Подробнее об основных возможностях и алгоритме обработки неизвестного приложения >>>
     
    lilia-5-0, Theriollaria, Охотник и 3 другим нравится это.
  15. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.839
    Симпатии:
    1.829
    Вот лошары, думали прокатит :Biggrin:
     
    Охотник и SNS-amigo нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Воры, обычно не ждут, что их обворуют, а тут как раз вор у вора украл. По понятиям, взлом хранилища Hacking Team оказался благом, т.к. позволил донести до общественности все их деяния и связи. В "источниках" третья ссылка — это та база документов, с которой работал исследователь.
     
    Охотник и Phoenix нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Технология целенаправленной фишинговой атаки на целую страну

    Пользователи компьютеров уже привыкли, что нежелательные почтовые отправления — это спам, и научились его игнорировать. Но зачастую при помощи методов социальной инженерии спам может быть замаскирован под почтовую рассылку используемого вами сервиса, банка, платежной системы, выглядеть как сообщение от вашего абонента, знакомого, родственника и т.д. и т.п. В таких случаях в сознании пользователей может сработать врожденный интерес и естественное стремление людей доверять друг другу, им будет невдомек, что тут задействованы технические механизмы кражи информации.

    Современные веб-технологии, подкрепленные техническими средствами и вычислительной мощностью, далеко ушли от банальной рассылки спама компаниями, ищущими новых клиентов. Теперь это зачастую средства кибератаки, извлечения прибыли и продвинутый инструмент для крупных финансовых и политических афер. И масштабы их деятельности находятся вне зоны сознания отдельно взятых пользователей. Так они могут быть направлены не только против первых лиц государства, правительства, неугодных политических деятелей, но и против отдельно взятой страны, если её экономические и иные ресурсы вдруг окажутся в сфере далеко идущих интересов финансовых воротил планеты.

    Спам
    Нежелательное почтовое сообщение, которое обычно рассылается по многим случайно выбранным адресам и содержит рекламу продуктов или услуг. Также применяется для атак фишинга и других видов сетевого мошенничества. Поток спама можно минимизировать с помощью специальной программы — почтового фильтра.

    Спим или мгновенный спам
    Нежелательное мгновенное сообщение, которое обычно отправляется большому числу пользователей в виде массовой рассылки и содержит рекламные материалы или ссылки на веб-страницы продуктов. Также может применяться для фишинг-афер и распространения вредоносных программ.

    Фишинг
    Попытка ввести пользователя в заблуждение с целью получения конфиденциальной информации, например, номера кредитной карты, страховки или паролей. Как правило, в атаках фишинга применяются якобы законные адреса электронной почты или мгновенные сообщения в сочетании с подложными веб-сайтами для отправки мошеннических запросов данных.

    Социальная инженерия
    Способ обмана, вынуждающий пользователей сообщать конфиденциальные сведения; в социальной инженерии используется естественное стремление людей доверять друг другу, а не технические механизмы кражи информации. Часто связана с атаками фишинга, фарминга, спама и прочими видами мошенничества в Интернете.

    Недавно исследователи из компании ESET NOD32, проанализировав результаты работы облачной технологии ESET Live Grid, выявили, что 98% всех обнаружений Python/Liberpy.A приходились на Венесуэлу, маленькую страну на севере Южной Америки.

    Эта вирусная угроза представлет собой исполняемый PE-файл «Liberty2-0.exe», написанный на языке Python, а по функционалу — клавиатурный шпион (кейлоггер), который отправлял злоумышленникам информацию о нажатых пользователем клавишах на клавиатуре, а также о перемещениях курсора мыши. Другой исполняемый файл с похожим именем – «Liberty1-0.exe» обнаруживался антивирусными продуктами ESET NOD32 как Python/Spy.Keylogger.G. Первая версия вредоноса распространялась злоумышленниками начиная с августа 2014 г., а вторая — с января 2015.

    Подверженные заражению ОС: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Vista, Windows XP.

    Образец обнаружения в VT
    https://www.virustotal.com/ru/file/...42c97dde4b8ae0134f445401ce37b0ae856/analysis/

    Техническое описание обнаружения в Symantec (Trojan.Seaduke)
    Trojan.Seaduke Technical Details | Symantec

    Техническое описание обнаружения в Trend Micro (WORM_PYBERTY.A)
    WORM_PYBERTY.A - Threat Encyclopedia - Trend Micro USA

    Расширенный анализ подтвердил, что злоумышленники нацеливали Liberty2-0.exe и Liberty1-0.exe только на пользователей Венесуэлы, т.е. это вредоносное ПО было использовано злоумышленниками для компрометации пользователей Латинской Америки в рамках операции, которую исследователи из ESET назвали Liberpy.

    Злоумышленники использовали фишинговые сообщения электронной почты для распространения своего вредоносного ПО. Оно отправлялось с сообщением в качестве вложения.

    000.jpg
    Рис. Пример фишингового сообщения, которое использовалось злоумышленниками

    Когда пользователь скачает и откроет вложение, то его компьютер будет заражен вредоносной программой, которая начнет инфицировать накопители информации и съемные USB-носители, подключаемые к компьютеру. Дальше по цепочке эти носители будут способствовать распространения вредоносной программы на компьютеры других пользователей, государственных и коммерческих организаций. Схожие методы распространения вредоносов используются в таком вредПО, как Win32/Dorkbot, JS/Bondat и VBS/Agent.NDH.

    Зараженный компьютер постоянно передает данные с компьютера пользователя управляющему C&C-серверу злоумышленников. Частота этого взаимодействия зависит от версии бота. В случае с первой версией это 10 мин., со второй — примерно час.

    001.jpeg
    Рис. Схема работы вредоносной программы.

    Описание работы вредоноса по пунктам:
    1. Злоумышленники инициируют вредоносную кампанию по рассылке фальшивых e-mail сообщений со ссылкой на вредоносное ПО.
    2. Пользователь получает электронное письмо и проходит по ссылке, которая ведет на загрузку и установку вредоносного ПО.
    3. Активировавшийся бот начинает незаметно посылать похищенную с компьютера пользователя информацию злоумышленникам.
    4. Пользователь подключает съемный USB-носитель, Liberpy заражает его и прячет свои файлы в скрытой папке в папках пользователя.
    5. Зараженный носитель подключают к другому ПК, который также заражается (при условии слабых настроек безопасности в Windows).

    Бот Liberpy взаимодействует с управляющим C&C-сервером через HTTP-протокол на достаточно распространенный 80-й порт, что позволяет хорошо маскировать его деятельность. Кроме того, вредоносная программа не использует шифрование трафика при работе с удаленным сервером, т.е. передает его в открытом виде. Оба этих фактора значительно упростили анализ механизмов взаимодействия бота с C&C-сервером и позволили специалистам ESET провести операцию по демонтажу ботнета, подсчитать число его ботов и определить их географию.

    Согласно полученным данным, ботнет Liberpy преимущественно состоит из компьютеров под управлением Windows 7, далее 25% приходятся на Windows XP, 10% принадлежат Windows 8 вместе с Windows Vista и единственная система работала под управлением Windows Server 2012. Скорее всего, эта серверная система была заражена через съемный накопитель.

    Наиболее пострадавшей от деятельности Liberpy страной стала Венесуэла, см. географическое распределение ботов на диаграмме. На Венесуэлу приходится 1,953 ботов из общего числа 2,047.

    002.jpg 004.jpg 005.jpg
    Рис. География распространения вредоносной программы (данные ESET Live Grid).
    .....Рис. Детальная статистика распространения ботов по странам (ESET Live Grid).
    ..............Рис. Распространение вредоносной программы по странам (ESET Live Grid).


    По самым скромным подсчетам жертвами ботнета на основе этой вредоносной программы стали более 2 тыс. компьютеров. Их владельцы могли лишиться различной конфиденциальной информации, включая, учетные данные аккаунтов различных интернет-сервисов.

    Почему именно Венесуэла стала объектом пристального интереса группы злоумышленников и их заказчиков, думаю, объяснять не надо. Во всяком случае политическая тематика не входит в наши планы и сферу интересов участников форума.

    Подробные документы во вложении (на русском и английском языках).

    [​IMG] В продуктах SNS запуск и установка самовольно загруженных приложений невозможны. Любое новое приложение само не сможет запуститься. Испытать его работу можно в ограниченной среде, где все опасные действия будут заблокированы. А нужно пользователю приложение, которые выполняет в системе опасные действия? Вряд ли. SNS поможет пользователю принять правильное решение и не даст неизвестному приложению самовольно запуститься и установиться. Если есть угроза вирусной атаки или за компьютером сидит дилетант или вообще ребенок, то родителю нужно уметь усилить защиту, включив в настройках Усиленный режим защиты (см. скриншот). Его опции можно использовать также частично. Знание, когда надо использовать выделенные на скриншоте опции, приходит со временем.

    усиленный режим.jpg

    Если не хотите использовать SNS, полагаясь на купленный комплексный антивирусный продукт, то хотя бы создайте учетную запись ограниченного пользователя, чтобы пользоваться Интернетом оттуда. Только не давайте ребенку быть админом компьютера, на котором хранятся важные документы или семейный фотоархив. В последующих вероятных потерях этой информации будете виноваты только вы, взрослый.
     

    Вложения:

    lilia-5-0, Theriollaria и Охотник нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Технология удаленного обмена вредоносными наработками

    Symantec Security Response опубликовала отчет, из которого следует, что хакерская группа Black Vine ("Черная лоза" или "Черный виноград") делилась эксплоитами для уязвимостей нулевого дня с другими злоумышленниками. Бреши в Internet Explorer позволяют выполнить код из-за ошибки использования после освобождения памяти CVE-2012-4792 (при обработке объекта "CDwnBindInfo") и CVE-2014-0322.

    Уязвимые версии браузера Internet Explorer: 6.x, 7.x, 8.x, 9.x, 10.x, 11.x

    Злоумышленники использовали эти бреши для отправки вредоносных программ пользователям официальных интернет-ресурсов для инфицирования их компьютеров. В случае успеха такой кибератаки устройства пользователей инфицируются специально подобранными вредоносами, включая Sakurel и Hurix (в обнаружениях Symantec это Trojan.Sakurel и Mivast соответственно).

    Symantec SR отмечает, что Black Vine таким образом совершила крупные атаки на множество компаний, военных организаций, а также на сельскохозяйственные предприятия и мн.др. Основными целями хакеров являются аэрокосмическая и медицинская промышленность. Специалисты Symantec считают, что именно Black Vine ответственна за нападение на медицинскую страховую компанию Anthem. Но специалисты из других компаний по ИБ расходятся во мнениях.

    Большинство пострадавших от вредоносных инфекций Black Vine расположены в США, меньше в Китае, Канаде, Италии, Дании и Индии.

    figure1_victims.png

    Немало эксплойтов для уязвимостей нулевого дня использовались в других шпионских кампаниях. Например, Black Vine использовала те же самые эксплойты одновременно с хакерской группой Hidden Lynx в атаке на ИБ-фирму Bit9. Эксперты отмечают, что это подтверждает существование так называемого проекта Elderwood Project, который позволяет злоумышленникам обмениваться вредоносными наработками.

    ru-watering-hole.jpg

    Объектом атак Elderwood Project была интеллектуальная собственность компаний, участвующих в цепочке выполнения оборонных заказов. Заражение происходило путём внедрения троянских программ на рабочие станции сотрудников компаний. Хакеры из Elderwood Project использовали как классические инструменты мошенничества, так и сравнительно новые методы незаконного проникновения. В числе прочих, преступниками применялась тактика «хищник у водопоя» (англ. «Watering hole»): в течение длительного времени хакер изучал сетевое поведение будущей жертвы – часто посещаемые сайты, порталы, прочие открытые сетевые ресурсы. Затем на выбранных сайтах размещалась троянская программа, которая, подобно хищнику у водопоя, поджидает выбранную цель и внедряется в компьютер, а затем и в корпоративную сеть.

     

    Вложения:

    lilia-5-0, Охотник и Theriollaria нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894

    Задайте исполнение только нужных программ, благодаря динамическим «белым спискам» в SafenSoft SysWatch


    На этот раз не буду добавлять свои комментарии, а приведу цитату из прошлого.


    "В своём трактате «Искусство войны» военный теоретик древности Сунь Цзы писал: «Стратегия ведения войны такова: не полагайся на то, что враг не придет, полагайся на средства, которыми располагаешь, чтобы принять его». Потому сейчас важно понимать, что изменилась сама парадигма информационной безопасности. В то время, когда хакеры находят всё новые уязвимости, изобретают всё более изощрённые инструменты вторжения и шпионажа, антивирусные средства, по сути, застряли в прошлом. Сама концепция баз антивирусных сигнатур была создана в те времена, когда индустрия инфобезопасности ещё не знала таких терминов как таргетированная атака (Advanced persistent threat - APT), уязвимость нулевого дня, бэкдор, троян и т.д. Современные вендоры антивирусных решений слишком велики, чтобы признать собственную неповоротливость. Слишком медленно они реагируют на новые вызовы, слишком мало внимания уделяют разработкам принципиально новых средств защиты.

    По сути, антивирусные сигнатуры формируют так называемый «чёрный список» - перечень известных угроз, которым не разрешено выполняться на компьютере. В виду масштабного роста угроз, такой подход рано или поздно оказывается просто бессильным – все угрозы просто невозможно учесть. Однако, есть возможность пойти от обратного – учесть все программы и приложения, которым доверять можно. Так работает технология динамических «белых списков», один из компонентов проактивной защиты SafenSoft SysWatch. То есть пользователь компьютера или администратор сети разрешает исполнение только тех программ и действий пользователя, которые имеют гарантию безопасности. Все новые процессы – в том числе и скрытые – априори рассматриваются как потенциально опасные, для их исполнения запрашивается отдельное разрешение у пользователя/администратора. Таким образом достигается эффект превентивной защиты – у вредоносов практически не остаётся шансов проникнуть в систему.

    Технологии проактивной защиты успешно блокируют не только известные типы вредоносных кодов, но и угрозы нулевого дня. Проактивная защита прекрасно уживается с традиционными технологиями антивирусных сканеров, формируя надёжную комплексную защиту от известных и пока неизвестных угроз. Таким образом, сегодня существует возможность сформировать комплексную защиту информационной системы, произведя анализ состояния информационной безопасности и дополнив уже отлаженные средства новыми инструментами защиты от неизвестных угроз."

    Станислав Шевченко, технический директор, SafenSoft, сентябрь 2012
     
    lilia-5-0, Theriollaria и Охотник нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Технология таргетированных атак на Россию, Украину и другие страны, или Операция Potao

    Аналитики антивирусной лаборатории ESET NOD32 расследовали серию кибератак и вредоносных кампаний, в которых использовалось вредоносное ПО Win32/Potao. Несмотря на известность среди антивирусных лабораторий (первые образцы Win32/Potao обнаружены в 2011 г.), оно долго время оставалось неприметным. Целенаправленные кибератаки с использованием Potao на протяжении последних 5 лет были направлены на определенные компьютеры в Украине, России, Беларуси, Армении, Грузии, в других странах СНГ. Жертвами Potao стали компьютерные сети военных и правительства Украины, а также одно из ведущих украинских новостных агентств. Кроме этого, вредоносная программа использовалась злоумышленниками для шпионажа за участниками популярной в России и Украине финансовой пирамиды МММ. Злоумышленники скомпрометировали известное open-source для шифрования TrueCrypt и использовали его для распространения своего вредПО.

    Русскоязычный веб-сайт truecryptrussia.ru распространял приложение TrueCrypt, которое содержало бэкдор. Вредоносные экземпляры доставлялись только некоторым пользователям, что является индикатором направленности этой вредоносной кампании, потому бэкдор долгое время оставался незаметным для пользователей и посетителей указанного веб-сайта. Вышеуказанный домен использовался операторами в качестве управляющего C&C-сервера для вредоносной программы. В некоторых случаях Win32/Potao загружался на компьютер другой вредоносной программой - Win32/FakeTC.

    Из отчета ESET можно заключить, что Potao по своим направленным задачам представляет из себя универсальный модульный инструмент для кибершпионажа, аналогичный вредоносному ПО BlackEnergy, использовавшемуся кибергруппой Sandworm, или даже, Stuxnet. Кибератаки, в которых использовался Potao, относятся к типу Advanced Persistent Threat (APT) и являются направленными (таргетированными, targeted).

    Атаки 2011-2012 гг.

    За период с 2011 по 2013 гг. количество обнаружений Potao было низким. Распространенность возросла в 2014 и 2015 гг. Увы, нет статистики для Win32/Potao за 2011 г., т.к. в этот период времени Potao распространялся в рамках массовых кампаний, а не в направленных атаках. Основной причиной роста обнаружений Potao в 2014 и 2015 гг. стал добавленный злоумышленниками механизм заражения съемных USB-носителей.

    potao1.png
    Рис. Статистика распространения Win32/Potao по годам (ESET LiveGrid).

    potao2.png
    Рис. Хронология вредоносных кампаний с использованием Potao (ESET LiveGrid).

    Первая киберкампания с использованием Potao была зафиксирована в августе 2011 г., но она носила массовый характер. Исполняемые файлы вредоноса в этой кампании содержали зашифрованную строку GlobalPotao. Механизм распространения Potao в этой вредоносной кампании был довольно тривиальным, но довольно эффективным. Дропперы вредоносной программы распространялись в качестве вложений фишинговых сообщений электронной почты со значком документов MS Word. Подобная маскировка помогает усыпить внимание получателей, которые в процессе своей работы постоянно имеют дело с этим типом документов. Обошлось без эксплойтов, дропперы содержали фальшивый документ Word, который отображался пользователю для маскировки процесса установки вредоносной программы в систему.

    potao3.png
    Рис. Фальшивый decoy-документ (приманка) для маскировки процесса установки вредоноса.

    Другие дропперы Potao из вредоносных кампании 2011 г. содержали документы на армянском языке. Использовался даже документ, украденный у министерства труда и социальных дел Армении.

    Следующая вредоносная киберкампания была направлена на участников финансовой пирамиды «МММ». Исполняемые файлы Potao из этой кампании имели временные метки компиляции 27 апреля 2012 г. и идентификатор (ID) кампании 00km. Фальшивый decoy-документ использовал тему вступления в пирамиду.
    potao5.png potao4.png potao6.png
    Рис. Decoy-документы дроппера, которые использовались в кампаниях против участников МММ.

    В этой кампании обнаружены дропперы Potao с decoy-документами, которые содержали случайные последовательности кириллических символов. Это стало своего рода визитной карточкой этой кибергруппы. Идентификатор вредоносной кампании mmmL подтверждает использование злоумышленниками вредПО против пользователей МММ. Основатель МММ Сергей Мавроди, 19-го июня 2012 г. даже опубликовал на своем сайте предупреждение о том, что злоумышленники рассылают от его имени фишинговые сообщения со ссылкой на вредонос, размещенный на Dropbox.

    Продолжение следует...
     
    lilia-5-0, Охотник, Dragokas и 2 другим нравится это.

Поделиться этой страницей