Рубрика «антивирусная защита» - 22

Кибергруппировка Fancy Bear (Sofacy, APT 28, Sednit, Pawn Storm, TsarTeam) уже получила достаточную известность в медийном пространстве в связи с недавними кибератаками на сервера всемирного антидопингового агентства WADA. Позже в твиттере появился аккаунт, предположительно принадлежащий этой группировке, в котором время от времени анонсировалась публикация разных частей данных WADA, полученных Fancy Bear.

Группировка Fancy Bear использует в кибератаках вредоносное ПО для OS X - 1

Вчера известная американская security-компания Palo Alto Networks опубликовала результаты исследования нового трояна для OS X под названием Komplex, который использовался Fancy Bear для кибератак на пользователей маков. AV-продукты ESET обнаруживают данное вредоносное ПО как OSX/Komplex.A. Komplex собирает основную информацию о системе пользователя и отправляет ее на сервер. К этой информации относится версия системы, имя пользователя, список запущенных процессов. После этого данные отправляются в зашифрованном виде на управляющий C&C-сервер.

Читать полностью »

«Crysis» во всем мире через RDP-протокол - 1

Две недели назад мы наблюдали атаку шифровальщика на сервер, принадлежащий одной французской компании. Это был один из вариантов семейства шифровальщиков Crysis. Ежедневно мы видим тысячи попыток заражения со стороны шифровальщиков, но этот случай привлек наше внимание, т.к. файл, каким-то образом, появившийся на компьютере, предположительно никем не использовался и не должен был использоваться, при этом на компьютере не был запущен ни один почтовый агент или Интернет-браузер.Читать полностью »

Механизмы шифрования в современных вымогателях - 1Вымогатели представляют из себя основную угрозу для пользователей ПК, активность которой растет с течением времени. Согласно недавнему полугодовому отчету Cisco, вымогатели доминируют на рынке вредоносных программ и являются самым прибыльным типом вредоносного ПО для злоумышленников за всю историю. О вымогателях уже было написано достаточно много и большинство людей понимает, что они из себя представляют. Вымогатели используют различные приемы для блокирования доступа к компьютеру жертвы или ее файлам, после чего требуют выкуп за восстановление к ним доступа. В последнее время мы наблюдаем существенное увеличение активности вымогателей-шифровальщиков, которые специализируются на шифровании файлов пользователя. Рассмотрим используемые ими методы шифрования.
Читать полностью »

Вредоносная программа OSX-Keydnap распространяется с использованием доверенного приложения Transmission - 1 В прошлом месяце мы писали о вредоносном ПО OSX/Keydnap, которое специализируется на краже содержимого связки ключей Apple OS X (keychain). Оно также предоставляет злоумышленникам удаленный доступ к скомпрометированному компьютеру (backdoor). На момент написания прошлого анализа, специалистам ESET не было ясно то, каким образом жертвы подвергались компрометации OSX/Keydnap. Мы предполагали, что злоумышленники могли использовать для этого вложения при распространении фишинговых сообщений, а также размещать вредоносную программу на нелегитимных веб-сайтах.

Однако, на этот раз, мы обнаружили метод распространения Keydnap с привлечением легитимного веб-сайта. Исполняемый файл бэкдора распространяется с помощью перекомпилированной версии приложения open-source клиента BitTorrent под названием Transmission. При этом его загрузка была возможна с легитимного веб-сайта приложения, а само приложение подписано цифровой подписи.
Читать полностью »

Сегодня на календаре 16 Августа 2016.
Windows Defender удалил рабочий код с хоста. Как это было:

Обсуждая с коллегой новости о череде проблем у Microsoft, которые пестрят в новостях. Там зависло, там пропало, там еще что-то — видимо накаркал себе проблем.
Работая на виртуальном сервере с кодом под IIS вдруг получаю предупреждение о том что Windows Defender обнаружил Worm внутри многих ASP файлов на хосте и настоятельно рекомендует удалить.

Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные. До вчера этой проблемы не существовало. Любая попытка восстановить с репозитория файлы — вызывает возмущение у Defender, с последующим удалением файлов.
Проверка настроек показала что Windows Defender обновился 8/15/16 до версии 1.225.3982.0.
Сканер настойчиво видел Worm:VBS/VBSWGbased.gen в ASP (VBScript ) файлах.
Проверка одного из файлов на virustotal.com показала теже результаты. Из 53х тестовых проверок — только Microsoft Defender находит Worm:VBS/VBSWGbased.gen.

Читать полностью »

Попалось нам в руки новое решение от компании IXIA – Threat Armor. И у нас получилось его протестировать и разобраться, что же это за «чудо», которое появилось в начале этого года и уже успело получить большое количество золотых наград на всевозможных выставках в разных концах мира.

IXIA ThreatARMOR: меньше атак, меньше алармов SIEM, лучше ROI - 1


Читать полностью »

Неделю назад специалисты ФСБ опубликовали интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.

Cremes — новое продвинутое вредоносное ПО для кибершпионажа - 1

Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Читать полностью »

Цель статьи

В Интернете доступно некоторое количество статей по настройке антивирусной защиты в связке squid + ClamAV, но нет полного материала по настройке полной связки под CentOS 7. В рамках данной статьи будет показан процесс настройки прокси сервера со следующими возможностями:

  • фильтрация сайтов и ссылок по категориям;
  • антивирусная защита.

Аудитория

Системные администраторы Linux

imageЧитать полностью »

Цифровая революция, которую переживает современный мир, ведет к небывалому росту количества подключений. Для потребителей, компаний, государственных органов власти цифровизация — двигатель инноваций. Но с увеличением числа подключений больше возможностей получают и киберпреступники. Поэтому предприятия должны прилагать больше усилий для обеспечения информационной безопасности (ИБ).

МСЭ нового поколения Cisco Firepower серии 4100 крупным планом - 1

Читать полностью »

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome - 1Как, и тут покемоны?! А что делать: одним из основных критериев выбора значимых новостей по безопасности для меня по-прежнему является их популярность на Threatpost. Способ не идеальный, но достаточно объективный. Если в топе находится какая-то странная фигня, есть повод разобраться, как так получилось, как например это вышло с новостью про вредоносный код в метаданных PNG в топе 2014 года. Как правило объяснение таким казусам находится не в технических особенностях угрозы, а в том, как безопасность воспринимают люди. А это тоже интересно.

Новость про вредоносные приложения, маскирующиеся под Pokémon Go — она вообще на 100% про восприятие, точнее про то, что все вокруг сошли с ума. По данным исследователей из Proofpoint, киберпреступники воспользовались недоступностью игры в официальных магазинах приложений в ряде регионов, рассчитывая получить свои пять копеек незаконной прибыли от всеобщей популярности.

Впрочем, и в аутентичном приложении обнаружились проблемы. Исследователь Адам Рив обнаружил, что при регистрации учетной записи в игре, пользователям требуется предоставить полный доступ к своему аккаунту Google. То есть разработчик игры, компания Niantic Labs, получает возможность читать всю почтовую переписку, отправлять письма от имени игрока, может скачивать все документы с Google Drive, смотреть историю поиска и навигации, и многое другое. Примечательно, что на момент данного открытия альтернативный способ регистрации, не через Google, просто не работал.
Все выпуски дайджеста доступны по тегу.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js