avatar

Microsoft выпустили набор обновлений, февраль 2014

Опубликовал в блог Новости IT технологий
0
Компания Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 31 уникальную уязвимость (4 исправления со статусом Critical и 3 исправления со статусом Important). В выпущенном шестого февраля расширенном уведомлении об исправляемых уязвимостях не содержалась информация об обновлениях для браузера Internet Explorer. Однако вчера Microsoft включили в Patch Tuesday два критических исправления (Internet Explorer & VBScript flaw), одно из которых MS14-010 закрывает 24 уязвимости типа Remote Code Execution (RCE) во всех версиях браузера IE6-11 на WinXP-8.1 x32/x64. Второе MS14-011 исправляет критическую RCE уязвимость (VBScript Scripting Engine) во всех версиях ОС WinXP-8.1. Для применения исправлений нужна перезагрузка.



Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Обновления закрывают уязвимости в продуктах , Internet Explorer, .NET Framework и Security Software. Отметим, что ранее, на прошлой неделе, MS обновляла Flash Player в составе IE10+ через Windows Update для закрытия CVE-2014-0497 (Adobe APSB14-04).

Читать дальше →
avatar

HP выплатит рекордные $150K за эксплойт на Pwn2Own 2014

Опубликовал в блог Новости IT технологий
0
Недавно HP анонсировала информацию о предстоящем контесте Pwn2Own и правила его проведения. Традиционно Pwn2Own представляет из себя соревнование для security-ресерчеров или команд, на котором можно продемонстрировать работу эксплойтов для уязвимостей в ПО и неплохо на этом заработать. В качестве испытания участникам предлагается удаленно исполнить код либо непосредственно через уязвимость в новейшей версии одного из браузеров, либо через уязвимость в одном из плагинов к нему (Remote Code Execution).



В этом году организаторы контеста приготовили специальный большой гонорар за т. н. «Exploit Unicorn». Участникам предлагается продемонстрировать работу эксплойта, который может быть использован для удаленного исполнения кода в новейшем браузере Internet Explorer 11 x64 на Windows 8.1 x64 с последующим повышением своих привилегий в системе (Local Privilege Escalation, LPE), т. е. для запуска своего кода в режиме ядра минуя ограничения OS (user-mode restrictions escape). При этом в эксплуатируемой системе должен быть активен MS EMET. Атака на систему должна быть проведена с использованием двух уязвимостей, одна RCE уязвимость в браузере для удаленного исполнения кода и другая в компоненте OS для выхода за пределы sandbox (aka IE11 EPM). Оба эксплойта должны работать с включенным в системе EMET.

Читать дальше →
avatar

В США арестован предполагаемый автор SpyEye

Опубликовал в блог Новости IT технологий
0
По информации krebsonsecurity федеральные власти Атланты в ближайшее время официально объявят об аресте и предъявленных обвинениях уроженцу Твери Александру Панину (предполагаемый Gribodemon). Указывается, что именно Панин был автором одного из самых известных в мире банковских вредоносных инструментов SpyEye.



В 2013 году Панин находился в розыске по линии Интерпола на основании ордера No. 1:11-CR-557, выданного окружным судом Джорджии. Тогда же он был задержан властями Доминиканской Республики и экстрадирован в США.


[Ордер № 1:1-CR-557]

Читать дальше →
avatar

В США очередная крупная утечка данных кредитных карт

Опубликовал в блог Новости IT технологий
0
На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.



После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

Читать дальше →
avatar

Злоумышленники используют Win32/Boaxxe.BE для организации кликфрода

Опубликовал в блог Новости IT технологий
0
В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодетеля, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.



Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Читать дальше →
avatar

Microsoft и Adobe выпустили набор обновлений, январь 2014

Опубликовал в блог Новости IT технологий
0
Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 6 уникальных уязвимостей (4 исправления со статусом Important). Это первый patch tuesday в этом году и мы называем его «light patch tuesday», поскольку он не содержит ни одного критического обновления и ни одного обновления для браузера Internet Explorer. Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Исправления ориентированы на операционную систему, Office и ПО Microsoft Dynamics AX. Для применения обновлений нужна перезагрузка.



Обновление MS14-002 закрывает известную с прошлого года (SA 2914486) LPE уязвимость CVE-2013-5065 в версии драйвера ndproxy.sys, который поставляется в составе XP и Windows Server 2003. Атакующие использовали специальным образом сформированный запрос к драйверу через интерфейс IOCTL для исполнения своего кода в режиме ядра (user-mode restrictions escape). Для доставки этого эксплойта использовался специальный PDF-документ, который эксплуатирует уязвимость в устаревшей версии Adobe Reader и используется для преодоления ограничений sandboxing (Adobe Reader sandbox bypass). Вредоносный документ с эксплойтом обнаруживается ESET как PDF/Exploit.CVE-2013-5065.A.

Читать дальше →
avatar

Cryptolocker 2.0 или подделка?

Опубликовал в блог Новости IT технологий
0
В предыдущем посте, посвященном вымогателям (ransomware), мы указывали на активизацию семейства FileCoder, которое используется злоумышленниками для шифрования файлов пользователя с последующим требованием выкупа за расшифровку. Уже с июля 2013 года злоумышленники удвоили свои усилия по распространению этого вида вредоносного ПО. Кроме этого, за этот период времени было зафиксировано появление новой модификации Win32/Filecoder.BQ, которая больше известна как Cryptolocker и представляет из себя наиболее опасный вариант шифровальщика. При заражении Cryptolocker пользователь либо теряет свои данные, либо вынужден платить злоумышленникам за расшифровку.



Как видно на статистике ниже, наиболее всего Cryptolocker активен в США. Очевидно, что этот регион является наиболее привлекательным для злоумышленников в силу достаточной состоятельности пользователей. Злоумышленникам проще таким образом получить прибыль, ведь многие пользователи готовы заплатить требуемую сумму только чтобы вернуть себе доступ к оригинальным файлам. Не только Cryptolocker, но и такие известные банковские вредоносные инструменты как Zeus или SpyEye также в свое время ориентировались в первую очередь на США из-за наибольшей монетизации.

Читать дальше →
avatar

Qadars – новый банковский троян с возможностью обхода двухфакторной аутентификации

Опубликовал в блог Новости IT технологий
0
Недавно мы обнаружили новое банковское вредоносное ПО, которое было добавлено в наши базы как Win32/Qadars. Первое публичное освещение этой угрозы было выполнено компанией LEXSI. Qadars был довольно активен в последнее время, заражая пользователей по всему миру. Как и другое банковское вредоносное ПО, он осуществляет кражу данных онлайн-банкинга и средств пользователя через механизм веб-инъекций (web injection). Наши исследователи обнаружили, что Qadars использует большой спектр таких веб-инъекций для различных задач по работе с системой онлайн-банкинга.



Ранее мы писали про банковский троян Hesperbot, который содержит специальный компонент для мобильных платформ. Этот компонент позволяет обходить механизм двухфакторной аутентификации на основе кодов подтверждения проводимой банковской операции mTAN. Qadars использует схожий с Hesperbot подход по установке мобильного компонента через веб-инъекцию на странице онлайн-банкинга специального сообщения. Разница между ними заключается в том, что Qadars использует уже существующий мобильный вредоносный код /Perkele, а не опирается на свой собственный.

Читать дальше →
avatar

ASLR в новейших выпусках Windows

Опубликовал в блог Новости IT технологий
0
Мы уже неоднократно упоминали ASLR, по справедливому замечанию MS, эта технология позволяет сделать разработку эксплойтов гораздо более дорогостоящим мероприятием, поскольку кроме эксплуатации самой уязвимости в ПО злоумышленнику нужно опереться на те или иные предсказуемые адреса в памяти в момент эксплуатации, которых ASLR его лишает. Как мы видим, в последнее время, в том числе, и с выпуском новейших 8/8.1 MS решили более серьезно подойти к развертыванию данной особенности в системе. Если в узком смысле ASLR понимается как просто перемещение образа по непредсказуемым адресам с каждой перезагрузкой, то в более общем смысле эта возможность на уровне системы должна лишить атакующих любой возможности зацепится за те или иные адреса функций системных библиотек и иных системных объектов (ASLR bypass mitigation / Address Space Information Disclosure Hardening) в тех нескольких десятках байт шелл-кода, который может быть исполнен минуя DEP (ROP).

Мы не будем касаться истории ASLR, которая известна уже почти всем, отметим лишь некоторые не совсем очевидные возможности, которые Microsoft использует для улучшения ASLR в своих флагманских ОС Windows 7-8-8.1.

Читать дальше →
avatar

Hesperbot нацелился на Германию и Австралию

Опубликовал в блог Новости IT технологий
0
В сентябре мы сообщали о новом банковском трояне, который называется Hesperbot (обнаруживается как Win32/Spy.Hesperbot). Киберпреступники, использующие этот инструмент, по-прежнему активны, в ноябре были зафиксированы новые случаи использования этого вредоносного ПО.

Мы уже показывали, что географическое распределение заражений этой вредоносной программы достаточно локализовано в нескольких конкретных странах. Для заражений пользователей использовались спам-кампании с фишинговыми сообщениями на родном для пользователей этих стран языке. Как и ожидалось, злоумышленникам не понадобилось много времени на то, чтобы начать ориентироваться на новые страны. В дополнение к тем четырем, которые мы уже указывали (Турция, Чехия, Португалия, Великобритания), в прошедшем месяце были зафиксированы новые версии вредоносного кода для пользователей Германии и Австралии.

За прошлый месяц были зафиксированы крупные случаи заражений в Чехии, также злоумышленники добавили скрипты веб-инъекций (web injection) в файлы конфигураций для чешского ботнета. Ниже на диаграмме показано распределение заражений Hesperbot по странам, которое мы зафиксировали в ноябре с помощью ESET LiveGrid.

Читать дальше →