Рубрика «антивирусная защита» - 6

image

Вирусы-вымогатели, как и другие виды вредоносного ПО, с годами эволюционируют и видоизменяются — от простых локеров, которые не давали пользователю войти в систему, и «полицейских» вымогателей, пугавших судебным преследованием за выдуманные нарушения закона мы пришли к программам-шифровальщикам. Эти зловреды шифруют файлы на жёстких дисках (или диски целиком) и требуют выкуп не за возврат доступа к системе, а за то, что информация пользователя не будет удалена, продана в даркнете или выставлена на всеобщее обозрение в сети. Причём выплата выкупа совершенно не гарантирует получение ключа для расшифровки файлов. И нет, это «сто лет назад уже было», а по-прежнему актуальная угроза.
Читать полностью »

О программе-вымогателе Sodinokibi недавно говорили в новостях, но мало кто погружался в подробности о работе этого вредоносного ПО. Сегодня мы постараемся ближе познакомиться Sodinokibi, рассмотрим принципы работы вымогателя, чтобы обозначить приоритетные векторы защиты информационных систем от новой угрозы.

Программа-вымогатель Sodinokibi: детальное изучение - 1
Читать полностью »

Как известно, выполняемый в анклаве код серьёзно ограничен в своей функциональности. Он не может делать системные вызовы. Он не может осуществлять операции ввода-вывода. Он не знает базового адреса сегмента кода хост-приложения. Он не может jmp'ить и call'ить код хост-приложения. Он не имеет представления о структуре адресного пространства, которой руководствуется хост-приложение (например, какие именно страницы промаппены или что за данные размещены на этих страницах). Он не может просить операционную систему промаппить ему кусок памяти хост-приложения (например, через /proc/pid/maps). Наивные попытки прочитать вслепую произвольную область памяти хост-приложения, – не говоря уже о попытках записи, – рано или поздно (скорее первое) приведут к принудительному завершению анклавной программы. Так происходит всякий раз, когда запрашиваемая анклавом область виртуального адресного пространства оказывается недоступной хост-приложению.

Сможет ли вирусописатель при таких суровых реалиях задействовать SGX-анклавы для реализации своих злонамеренных целей?

– Хак для зондирования адресов на предмет возможности их считывания
– Хак для зондирования адресов на предмет возможности записи
– Хак для перенаправления потока управления
– Что дают злодею три перечисленные выше хака
– Как злодей задействует эти хаки для создания ранзомвари

SGX-малварь: как злодеи эксплуатируют новую технологию Intel не в тех целях, ради которых она задумывалась - 1

Читать полностью »

Безопасность. Слово означающие защищённость человека или организации от чего-либо/кого-либо. В эпоху кибербезопасности мы всё чаще задумываемся не столько о том, как защитить себя физически, сколько о том, как защитить себя от угроз извне (киберугроз).

Сегодня мы поговорим о том, как можно проникнуть в современную корпоративную сеть, которая защищена на периметре различными, даже очень хорошими, средствами сетевой безопасности и самое, главное поговорим о том, как с этим можно бороться.

image

Давайте посмотрим на современную сеть, которая используют самые новомодные технологии в области безопасности.Читать полностью »

Защита облачных сервисов Office 365: тестирование Check Point Cloud Guard SaaS - 1

Привет! Меня зовут Борис, и я отвечаю за информационную безопасность клиентских и внутренних сервисов в Linxdatacenter. Сегодня мы поговорим о том, как защитить от утечки и потери данных корпоративную почту в Office 365.  Страшный сон ИТ-инженера — толпа коллег с паническими криками о неоткрывающихся документах и исчезнувшей почте. А когда все данные синхронизируются в публичном облаке, кошмар от реальности отделяет одно действие неосторожного пользователя. Есть несколько способов застраховаться от этой беды, но не все одинаково хороши. В течение нескольких недель мы упорно искали решение для душевного спокойствия ИТ-отдела и тестировали его. Сегодня я хочу рассказать о результатах тестирования и о продукте, который мы выбрали для использование в продуктиве.
Читать полностью »

image

Известный программист и предприниматель Джон Макафи мог быть арестован американскими правоохранительными органами, сообщают зарубежные СМИ. Макафи – один из пионеров в области разработки защитного ПО, создатель антивируса McAfee и одноименной компании. Однако уже долгое время он известен не столько своим вкладом в кибербезопасность, сколько напряженными отношениями с законом и экстравагантными выходками. В 2012 году власти Белиза выдвинули против Макафи обвинение в убийстве. Предприниматель вынужден был бежать в Гватемалу, изменив внешность, но вскоре его арестовали и экстрадировали в США.
Читать полностью »

Несколько историй из жизни JSOC CERT, или Небанальная форензика - 1
Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.Читать полностью »

Сервер браузера Pale Moon взломали и заразили вирусом - 1

Группа разработчиков браузера Pale Moon объявила на официальном форуме о том, что архивный сервер archive.palemoon.org, на котором размещены старые версии программного обеспечения, был взломан хакерами и использовался для распространения вредоносных программ, скрытых в файлах программы установки. Взлом произошёл предположительно ещё 27 декабря 2017 года, но был обнаружен только в этом месяце, после чего скомпрометированный сервер был немедленно отключён.

В хранящиеся на сервере файлы, в том числе установщики и PE-файлы, взломщики внедрили загрузчик вредоносного ПО, который был определён компанией ESET как Win32/ClipBanker.DY. Когда зараженный файл запускается, в системе появляется бэкдор — дефект алгоритма, который позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом.
Читать полностью »

image

Всем привет. Сегодня рассмотрим вариант запуска meterpreter сессии на машине Windows 10 с самыми свежими патчами (включая Windows Defender). И все также будем обходить антивирусы. Meterpreter — расширенная многофункциональная начинка (payload, нагрузка), которая может быть динамически расширена во время выполнения. В нормальных условиях это обеспечивает вас основной оболочкой и позволяет вам добавлять новые особенности к ней по мере необходимости.
Будем мы это делать с помощью Python, и посмотрим, как поведут себя антивирусные средства.

Предугадывая вопрос «А нужен ли нам Python на машине жертвы для запуска ехе?», отвечу сразу – нет, не нужен, все уже внутри.
Читать полностью »

Введение

В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреждая их цифровую подпись.

Другая — CVE-2017-13315. Она дает троянцу расширенные полномочия, и тот может самостоятельно устанавливать и удалять приложения. Детальный анализ Android.InfectionAds.1 размещен в нашей вирусной библиотеке, с ним можно ознакомиться здесь. Мы же подробнее остановимся на уязвимости CVE-2017-13315 и посмотрим, что она из себя представляет.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js