Рубрика «Блог компании ESET NOD32» - 13

в 13:56, , рубрики: ransomware, Блог компании ESET NOD32

Немецкая фирма heise Security обнаружила новый тип crypto-вымогателя, причем главная плохая новость заключается в том, что в таком случае пользователь теряет доступ не к отдельным файлам, а к разделу диска (тому) как таковому. Вредоносная программа Petya выбрала в качестве мишени не отдельные файлы, а таблицу размещения файлов NTFS, известную как MFT. В таком случае для операций шифрования используется работа с диском на низком посекторном уровне, таким образом полностью теряется доступ ко всем файлам на томе.

Немецкая фирма обнаружила новый тип вымогателя - 1

Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

Читать полностью »

в 9:53, , рубрики: linux, Malware, remaiten, антивирусная защита, Блог компании ESET NOD32, метки:

В первой части нашего ресерча мы рассмотрели несколько особенностей вредоносной программы Linux/Remaiten, а именно, внутреннее устройство загрузчика бота, его взаимодействие с управляющим C&C-сервером, обрабатываемые ботом команды, а также сканер telnet для поиска других потенциальных жертв. Мы также отметили присутствие компонентов вредоносной программы для микропроцессоров архитектур MIPS и ARM. Кроме этого, мы удивились, обнаружив намек на присутствие ботов для таких платформ Power PC и SuperH.

Злоумышленники используют бот Linux-Remaiten для компрометации embedded-устройств, часть 2 - 1

Во второй части мы более детально остановимся на процессе заражения вредоносной программой других устройств, а также другой интересной функции, которая позволяет Linux/Remaiten завершать процессы других ботов и программ в Linux.

Читать полностью »

в 8:18, , рубрики: Windows 10, Блог компании ESET NOD32

Microsoft жжет. Недавно мы писали о присутствии специальных системных файлов с названиями LXss.sys и LXCore.sys в новейшем билде Windows 10, который используется разработчиками программ и драйверов, а также тестировщиками в служебных целях. В драйверах содержался код разбора заголовков ELF-файлов, а также прочие системные функции, характерные для Linux и отсутствующие в Windows NT by design. Уже тогда стало очевидно, что Microsoft собирается всерьез заняться интеграцией подсистемы Linux в Windows 10.

Microsoft подтвердила слухи об интеграции подсистемы Linux в Windows 10 - 1

У компании уже имелся подобный опыт. Оригинальная концепция Windows NT (на которой основана Windows 10) подразумевала присутствие там трех подсистем: родной MS Win32, UNIX POSIX, а также IBM OS/2. Обе последние подсистемы отвалились где-то по дороге, которая вела к превращению Windows 2000 в Windows XP, а сама POSIX перекочевала в отдельный инструмент без возможности присутствия в дистрибутиве Windows по умолчанию. То же касается микропроцессорной архитектуры Alpha, от поддержки которой Microsoft также отказалась с выходом Windows XP. Остается только гадать, сколько продержится в Windows подсистема Linux.

Читать полностью »

в 13:19, , рубрики: linux, Malware, Блог компании ESET NOD32

Специалисты ESET активно отслеживают деятельность вредоносных программ, которые используются злоумышленниками для компрометации встраиваемых устройств (embedded devices), например, роутеров. Недавно мы обнаружили IRC-бот, который содержит в себе функции нескольких уже известных вредоносных программ для Linux: Linux/Tsunami (a.k.a Kaiten) и Linux/Gafgyt. Вредоносная программа получила название Linux/Remaiten и оснащена новыми функциями, которые отличают ее от этих вредоносных программ.

Злоумышленники используют бот Linux-Remaiten для компрометации embedded-устройств, часть 1 - 1

Мы наблюдали три версии Linux/Remaiten – 2.0, 2.1 и 2.2. На основе обнаруженных артефактов в коде мы установили, что сами авторы назвали это вредоносное ПО как «KTN-Remastered» или «KTN-RM». В нашем исследовании мы опубликуем данные анализа Remaiten, а также расскажем о его уникальном механизме распространения, который был выбран злоумышленниками. Этот механизм различается в разных версиях бота.

Читать полностью »

в 8:37, , рубрики: java, security, Блог компании ESET NOD32

Oracle выпустила обновление для Java, которое закрывает опасную уязвимость в ПО с идентификатором CVE-2016-0636. Обновление адресуется платформе Java Standart Edition (SE), при этом увеличивая номер версии до 8u77 (актуальная версия). Уязвимость актуальна только для плагинов Java в веб-браузерах и не затрагивает прочие выпуски ПО, например, используемые для запуска standalone приложений в Windows.

Oracle выпустила экстренное обновление для Java - 1

Читать полностью »

в 12:25, , рубрики: Malware, Блог компании ESET NOD32

Наши аналитики обнаружили необычную троянскую программу для Windows, которая специализируется на заражении съемных USB-накопителей и отличается от других аналогичных вредоносных программ интересными особенностями. Одной из таких особенностей трояна является тот факт, что каждый его экземпляр является уникальным и находится в прямой зависимости от конкретного зараженного им накопителя, причем он не оставляет никаких следов работы в скомпрометированной системе жертвы. Такой метод используется как механизм самозащиты от копирования своего тела с диска с последующим анализом его функций.

Троян для Windows специализируется на краже данных из изолированных air-gapped компьютеров - 1

В нашем исследовании мы представим технические особенности этой вредоносной программы, которая использует особую технику компрометации съемного носителя. Эта техника отличается от старого известного способа, основанного на использовании файлов autofun.inf или специальным образом сформированных файлов ярлыков. Вредоносная программа прибегает к методу компрометации переносимых (portable) версий таких известных приложений как Firefox, NotePad++ и TrueCrypt. При запуске такого приложения пользователем, оно скрытно запускает в системе пользователя этот троян.

Читать полностью »

в 8:41, , рубрики: apple, Блог компании ESET NOD32

Известно, что в отличие от своих конкурентов, таких как Google и Microsoft, у Apple отсутствует понятие bug bounty, т. е. денежного вознаграждения за обнаруженные уязвимости в своих продуктах. К основным продуктам, которые больше всего притягивают ресерчеров, относятся операционные системы OS X и iOS, а также веб-браузер Safari. Также как и в других случаях обнаружения существенных уязвимостей в ядре для jailbreak, последний кейс с значительной уязвимостью в криптографических алгоритмах сервисов компаниия, также, судя по всему, не стал исключением. Уязвимость была обнаружена исследователями университета Johns Hopkins и была исправлена Apple в вышедших обновлениях для OS X, iOS и watchOS.

Отсутствие программы bug bounty сыграло с Apple злую шутку - 1

Издание NY Times отмечает, что недавно запланированное разбирательство в суде, где представители ФБР должны были встретиться с менеджерами Apple, было отложено из-за того, что некая фирма предложила ФБР свой способ извлечения зашифрованных данных с iDevice. Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.

Читать полностью »

в 18:16, , рубрики: android, Блог компании ESET NOD32, информационная безопасность

Исследователи израильской компании NorthBit продемонстрировали один из первых экспериментальных полнофункциональных эксплойтов для Android всех версий до 5.1. Эксплойт основан на уже закрытой обновлением Nexus Security Bulletin — September 2015 уязвимости с идентификатором CVE-2015-3864 (Stagefright), которая наделала в прошлом году много шума. Уязвимость присутствовала в библиотеке Android под названием Stagefright, которая используется в системном компоненте mediaserver. Она позволяла атакующим получать полный доступ к устройству через отправку специальным образом сформированного MMS-сообщения пользователю.

Security-ресерчеры продемонстрировали полнофункциональный эксплойт для Android - 1

Эксплойт NorthBit получил название Metaphor. Кроме детального описания механизма эксплуатации уязвимости, исследователи представили уязвимые места в Android для обхода защитных механизмов DEP & ASLR, которые используются для защиты от эксплойтов, полагающихся на размещении шелл-кода в области данных, а также опираются на фиксированные адреса в памяти Android для стабильной эксплуатации уязвимости. Как и в Windows, обход выполняется за счет известных методов ROP и heap-spray.

Читать полностью »

в 15:53, , рубрики: windows, Блог компании ESET NOD32

Известный гуру внутреннего устройства Windows и архитектуры ARM Алекс Ионеску опубликовал на ресурсе GitHub исходный текст базовой части гипервизора (инструмент виртуализации). Гипервизор содержит в себе множество замечательных свойств, включая, компактный размер, поддержку современных архитектур микропроцессоров, минимальное использование ассемблера в исходных текстах, а также комментарии по его использованию. При его разработке упор делался на максимальную компактность.

На GitHub опубликован исходный код компактного гипервизора - 1

Опубликованный проект является настоящей находкой для системных программистов, а также исследователей по безопасности, которые интересуются низкоуровневыми функциями ОС. Гипервизор получил название SimpleVisor, поддерживает только современные 64-битные системы и был успешно протестирован на совместимость с такими система как Windows 8.1 на микропроцессоре архитектуры Intel Haswell, а также Windows 10 на архитектуре Intel Sandy Bridge.

Читать полностью »

в 6:28, , рубрики: Pwn2Own, Блог компании ESET NOD32, информационная безопасность

Завершился первый день известного контеста Pwn2Own 2016, который проходит в Ванкувере. Соревнование представляет из себя площадку, на которой security-ресерчеры могут продемонстрировать свои эксплойты для различных продуктов, включая, веб-браузеры и плагины к ним. На этот раз система проведения Pwn2Own была несколько изменена и была введена система очков за успешные эксплуатации уязвимостей, а также в списке продуктов появилось известное ПО для виртуализации VMware Workstation.

Pwn2Own 2016: первые итоги - 1

Как не трудно догадаться, в случае с VMware Workstation участникам предлагается продемонстрировать успешный «побег» из виртуальной машины (VM escape) и запуская эксплойт на виртуальной машине, его код должен выполниться на хосте. Правилами регламентируется, что все запускаемое ПО, а также ОС, должны быть полностью обновлены (up-to-date).

Читать полностью »

1...10...121314...2030...37
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js