Рубрика «Блог компании ESET NOD32» - 26

в 9:49, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

В этом посте мы публикуем информацию о вредоносной кампании «Windigo», с использованием которой злоумышленники компрометировали тысячи Linux и UNIX серверов. Скомпрометированные серверы использовались для кражи учетных данных SSH, перенаправления пользователей веб-сервисов на вредоносный код и рассылку спама. Эта операция началась как минимум в 2011 г. и привела к компрометации различных крупных серверов и компаний, включая, известную cPanel – компания, которая разрабатывает одноименную известную панель управления хостингом. Другой крупной жертвой этой кампании стал известный ресурс kernel.org, который представляет из себя основной репозиторий исходного кода для ядра Linux.

Операция Windigo

Мы уже частично писали про вредоносные программы, которые использовались в этих кампаниях, в наших отчетах в прошлом и в этом году [1,2,3], однако, теперь у нас есть более полная картина происходящего, а также анализ других вредоносных программ, которые использовали злоумышленники. Ранее были упомянуты бэкдоры Linux/Ebury и Linux/Cdorked, которые применялись для кражи учетных данных различных сервисов на сервере, а также для перенаправления посетителей веб-сервисов на вредоносные ресурсы. Кроме них, в операцию Windigo была вовлечена вредоносная программа Perl/Calfbot, с помощью которой зараженные серверы могли генерировать миллионы спам-сообщений в день.

Читать полностью »

в 23:31, , рубрики: ddos, Блог компании ESET NOD32, информационная безопасность, метки:

Похоже, что эта неделя запомнится как самая насыщенная по количеству кибератак на государственные ресурсы различных стран. Ранее СМИ сообщали, что DDoS-атакам подверглись различные российские сайты, в том числе, ЦБ, «Первый канал», канал «Россия» и ресурс президента РФ kremlin. Несколько часов назад стало известно, что на сей раз DDoS-атаке подверглись веб-ресурсы НАТО: nato.int и Cyber Center ccdcoe.org, которые ушли в оффлайн и остаются там на момент написания этого поста. Но в отличие от атак на российские ресурсы, ответственность за которые никто не взял, на сей раз ответственные лица дали о себе знать.

Сайт НАТО «положен» КиберБеркутом

На веб-сайте КиберБеркута размещено сообщение «КиберБеркут атакует НАТО», в котором указанная группа берет на себя ответственность за проведение этой операции. В сообщении говорится, что кибератака связана с возможными действиями блока НАТО на территории Украины.

Мы, КиберБеркут, заявляем, что сегодня в 18:00 мы начали атаку на ресурсы НАТО:
ccdcoe.org
nato.int
nato-pa.int

Читать полностью »

в 10:34, , рубрики: Pwn2Own, Блог компании ESET NOD32, информационная безопасность, метки:

В эти дни в Ванкувере проходит мероприятие Pwn2Own, на котором участникам предлагается продемонстрировать свои работающие эксплойты для удаленного исполнения кода через уязвимости в браузерах и плагинах. За первый день соревнований были успешно pwned почти все заявленные плагины и браузеры (за исключением плагина Oracle Java, эксплойт отозван VUPEN): Internet Explorer 11, Mozilla Firefox, а также плагины Adobe Reader XI & Adobe Flash Player в IE11, все на up-to-date Windows 8.1 x64 (с sandbox-escape).

Pwn2Own 2014: первые результаты

Как обычно французская компания VUPEN в центре внимания.

«Я считаю, что наша индустрия [поиска уязвимостей & разработки эксплойтов] является обычным бизнесом. Сегодня большое количество компаний, подобных VUPEN, занимаются продажей информации об уязвимостях заказчикам, которые напрямую связаны с государством. Такой бизнес стал достаточно распространенным явлением. Ни один из наших эксплойтов не был обнаружен в атаках in-the-wild. Все наши клиенты используют проданные эксплойты для обеспечения миссии национальной безопасности.» — Chaouki Bekrar для ThreatPost — VUPEN cashes in four times at Pwn2Own.

Читать полностью »

в 19:03, , рубрики: patch tuesday, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 23 уникальных уязвимости (2 исправления со статусом Critical и 3 со статусом Important). Как обычно, одно из обновлений (MS14-012) нацелено на исправление восемнадцати Remote Code Execution (RCE) уязвимостей во всех версиях браузера Internet Explorer 6-11 на Windows XP SP3/ XP x64 SP2 до Windows 8.1/RT 8.1. Злоумышленники могут использовать специальным образом подготовленную веб-страницу для удаленного исполнения кода через браузер (drive-by). Обновление также закрывает IE10 use-after-free уязвимость CVE-2014-0322 (SA 2934088), которая ранее использовалась в направленных атаках. Для применения обновления нужна перезагрузка.

Microsoft выпустили набор обновлений, март 2014

Другое критическое обновление MS14-013 устраняет double-free-уязвимость CVE-2014-0301 (RCE) в компоненте DirectShow (qedit.dll) для всех ОС начиная с Windows XP и заканчивая 8.1. Атакующие могут использовать специальным образом сформированный файл изображения (JPEG) для исполнения произвольного кода в системе.

Читать полностью »

в 10:02, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

Недавно наши исследователи выполнили анализ OpenSSH бэкдора и похитителя паролей Linux/Ebury. Этот анализ является результатом совместной работы ESET с немецким CERT-Bund, шведским центром SNIC и европейской организацией CERN, а также другими организациями, которые входят в международную рабочую группу (Working Group). Linux/Ebury представляет из себя сложный бэкдор, используемый злоумышленниками для похищения аутентификационных данных OpenSSH, а также получения доступа к скомпрометированному серверу (backdoor).

Детальный анализ бэкдора Linux/Ebury

Согласно предыдущим отчетам, этот бэкдор уже активен как минимум два года. Linux/Ebury может дистрибуцироваться в двух различных формах: вредоносная библиотека и патч к бинарным файлам OpenSSH. Вредоносная библиотека представляет из себя модификацию файла libkeyutils.so. Эта библиотека является общей для компонентов OpenSSH и загружается его исполняемыми файлами, такими как, ssh, sshd и ssh-agent. В анализе будет опубликована информация о том, как вредоносный код осуществляет кражу аутентификационных данных учетных записей и как системные администраторы могут обнаружить зараженную систему.

Читать полностью »

в 8:46, , рубрики: adobe, Блог компании ESET NOD32, информационная безопасность

В конце прошлой недели Adobe закрыла уязвимость в Flash Player CVE-2014-0502 через обновление APSB14-07. Согласно информации FireEye сразу несколько государственных и крупных частных веб-сайтов были скомпрометированы вредоносным iframe и перенаправляли посетителей на веб-страницу с эксплойтом к 0day уязвимости. Эксплойт использует преимущества устаревших библиотек, скомпилированных без поддержки ASLR, для создания стабильных и переносимых цепочек ROP для обхода DEP. В случае с Windows XP гаджеты ROP формируются с использованием msvcrt.dll. В случае с Windows 7 используется библиотека hxds.dll, которая поставляется в составе Microsoft Office 2007 or 2010 (см. MS13-106 «Security Feature Bypass»), а также out-of-date Java 1.6 & 1.7 с msvcr71.dll. Более подробную информацию об эксплуатации этих DLL см. в таблице.

Уязвимость Flash Player используется для направленных атак

После успешной эксплуатации вредоносный .swf загружает в систему пользователя средство удаленного доступа PlugX RAT (ESET: Win32/Korplug.BX, Microsoft: Backdoor:Win32/Plugx.H). Сам эксплойт обнаруживается ESET как SWF/Exploit.CVE-2014-0502.A (Microsoft: Exploit:SWF/CVE-2014-0502.A, Symantec: Trojan.Swifi). Такие браузеры как Internet Explorer (10 & 11 на Windows 8/8.1 через Windows Update) и Google Chrome обновили свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь, ниже в таблице указаны эти версии для различных браузеров.

Читать полностью »

в 11:21, , рубрики: 0day, internet explorer, Блог компании ESET NOD32, информационная безопасность, метки:

Несколько дней назад компания FireEye сообщила о том, что новая 0day use-after-free-уязвимость CVE-2014-0322 в Internet Explorer 10 эксплуатируется злоумышленниками для доставки вредоносного кода (drive-by). Указывается, что веб-сайт U.S. Veterans of Foreign Wars (vfw[.]org) был скомпрометирован вредоносным IFrame и использовался для перенаправления пользователей на другую вредоносную веб-страницу, с которой осуществлялась эксплуатация уязвимости с использованием файла Flash (.swf).

image

Эксплойт использует ActionScript heap-spray для обхода ASLR и ROP на гаджетах известных библиотек от DEP, а также умеет проверять присутствие EMET в системе. В случае обнаружения библиотеки EMET — EMET.DLL, эксплойт завершает свою работу. Для получения доступа к памяти процесса браузера вредоносный SWF использует метод Flash Vector object corruption (IE10 use-after-free vuln). После всех операций эксплойт загружает полезную нагрузку с удаленного сервера, расшифровывает ее и запускает на исполнение. Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а полезную нагрузку как Win32/Agent.QEP.

Читать полностью »

в 8:40, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

Наша антивирусная лаборатория обнаружила высокую активность сложной банковской вредоносной программы российского происхождения Win32/Corkow, с помощью которой были заражены тысячи компьютеров. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время.

Банковский троян Win32/Corkow атакует российских пользователей

Подобно другим банковским вредоносным инструментам как, например, Hesperbot, который был раскрыт исследователями ESET в сентябре прошлого года, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут расширять возможности этого вредоносного ПО необходимыми для них плагинами. Подобные модули или плагины обеспечивают для злоумышленников доступ к конфиденциальным данным пользователя через следующие возможности: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.

Читать полностью »

в 19:20, , рубрики: patch tuesday, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Компания Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 31 уникальную уязвимость (4 исправления со статусом Critical и 3 исправления со статусом Important). В выпущенном шестого февраля расширенном уведомлении об исправляемых уязвимостях не содержалась информация об обновлениях для браузера Internet Explorer. Однако вчера Microsoft включили в Patch Tuesday два критических исправления (Internet Explorer & VBScript flaw), одно из которых MS14-010 закрывает 24 уязвимости типа Remote Code Execution (RCE) во всех версиях браузера IE6-11 на WinXP-8.1 x32/x64. Второе MS14-011 исправляет критическую RCE уязвимость (VBScript Scripting Engine) во всех версиях ОС WinXP-8.1. Для применения исправлений нужна перезагрузка.

Microsoft выпустили набор обновлений, февраль 2014

Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Обновления закрывают уязвимости в продуктах Windows, Internet Explorer, .NET Framework и Security Software. Отметим, что ранее, на прошлой неделе, MS обновляла Flash Player в составе IE10+ через Windows Update для закрытия CVE-2014-0497 (Adobe APSB14-04).

Читать полностью »

в 10:12, , рубрики: adobe, Блог компании ESET NOD32

Компания Adobe выпустила внеплановое обновление APSB14-04 для Flash Player, которое закрывает CVE-2014-0497. Эксплойт для этой уязвимости используется злоумышленниками для доставки вредоносного кода (Remote Code Execution).

Adobe is aware of reports that an exploit for this vulnerability exists in the wild, and recommends users apply the updates referenced in the security bulletin.

В свою очередь Microsoft сообщила о выходе внепланового обновления для Internet Explorer 10 & 11 на Windows 8-8.1-RT 8.1. Эти браузеры обновляются автоматически (Windows Update) с выходом соответствующей версии Flash Player. Браузер Google Chrome также обновляется автоматически при выходе новой версии Flash Player. Для других браузеров дистрибутив новой версии можно скачать здесь.

Таким образом следующие версии Adobe Flash Player являются актуальными для браузеров.

Читать полностью »

1...1020...252627...30...37
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js