Рубрика «Блог компании ESET NOD32» - 27

в 16:48, , рубрики: Pwn2Own, Блог компании ESET NOD32, информационная безопасность, метки:

Недавно HP анонсировала информацию о предстоящем контесте Pwn2Own и правила его проведения. Традиционно Pwn2Own представляет из себя соревнование для security-ресерчеров или команд, на котором можно продемонстрировать работу эксплойтов для уязвимостей в ПО и неплохо на этом заработать. В качестве испытания участникам предлагается удаленно исполнить код либо непосредственно через уязвимость в новейшей версии одного из браузеров, либо через уязвимость в одном из плагинов к нему (Remote Code Execution).

HP выплатит рекордные $150K за эксплойт на Pwn2Own 2014

В этом году организаторы контеста приготовили специальный большой гонорар за т. н. «Exploit Unicorn». Участникам предлагается продемонстрировать работу эксплойта, который может быть использован для удаленного исполнения кода в новейшем браузере Internet Explorer 11 x64 на Windows 8.1 x64 с последующим повышением своих привилегий в системе (Local Privilege Escalation, LPE), т. е. для запуска своего кода в режиме ядра минуя ограничения OS (user-mode restrictions escape). При этом в эксплуатируемой системе должен быть активен MS EMET. Атака на систему должна быть проведена с использованием двух уязвимостей, одна RCE уязвимость в браузере для удаленного исполнения кода и другая в компоненте OS для выхода за пределы sandbox (aka IE11 EPM). Оба эксплойта должны работать с включенным в системе EMET.

Читать полностью »

в 17:46, , рубрики: spyeye, Блог компании ESET NOD32, информационная безопасность, метки:

По информации krebsonsecurity федеральные власти Атланты в ближайшее время официально объявят об аресте и предъявленных обвинениях уроженцу Твери Александру Панину (предполагаемый Gribodemon). Указывается, что именно Панин был автором одного из самых известных в мире банковских вредоносных инструментов SpyEye.

В США арестован предполагаемый автор SpyEye

В 2013 году Панин находился в розыске по линии Интерпола на основании ордера No. 1:11-CR-557, выданного окружным судом Джорджии. В прошлом году он был задержан властями Доминиканской Республики и экстрадирован в США.

В США арестован предполагаемый автор SpyEye
[Ордер № 1:1-CR-557]

Читать полностью »

в 22:04, , рубрики: Malware, POS, security, Блог компании ESET NOD32, информационная безопасность, метки: , ,

На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.

В США очередная крупная утечка данных кредитных карт

После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

Читать полностью »

в 11:49, , рубрики: Malware, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодетеля, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.

Злоумышленники используют Win32/Boaxxe.BE для организации кликфрода

Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Читать полностью »

в 7:20, , рубрики: windows, Блог компании ESET NOD32, информационная безопасность

Мировой ландшафт угроз становится насыщеннее и активнее с каждым годом, каждый день появляется множество модификаций различных существующих вредоносных программ, а также новые вредоносные программы и иные инструменты, используемые атакующими. Ушедший год только закрепил основной тренд разделения вредоносных программ или их использование на два вида: используемые злоумышленниками для извлечения личной материальной выгоды и используемые атакующими для направленных атак, watering hole с целью компрометации определенной компании, отрасли индустрии или региона земного шара.

Итоги 2013: угрозы и эксплуатация Windows

Несмотря на то, что Remote Code Execution уязвимости в популярном ПО (браузерах) играют существенную роль для удаленной доставки вредоносного контента, в котором заинтересованы атакующие (основной тренд drive-by), они часто прибегают к гораздо более простым методам установки вредоносных объектов в систему используя человеческий фактор. Использование двойных расширений у файлов, убедительное фишинговое сообщение, нацеленность на определенных людей (с учетом проведенной разведки), поддельные иконки файлов, документы с убедительным содержанием, все это составляет арсенал атакующих, которые заинтересованы в установке вредоносного кода в систему предполагаемой жертвы.

Читать полностью »

в 8:38, , рубрики: Блог компании ESET NOD32, информационная безопасность

Несколько недель назад стало известно о масштабной компрометации клиентов американской ритейлерной корпорации Target. Злоумышленникам удалось установить вредоносный код на компьютеры, которые связаны с терминалами оплаты (POS, Point Of Sale) покупок с использованием кредитных карт. В результате хорошо спланированной злоумышленниками операции по внедрению и эксплуатации вредоносного кода, конфиденциальные данные кредитных карт более 50 млн. пользователей оказались скомпрометированы. Кроме этого, чуть позже появилась информация, что атакующие получили доступ и к такой конфиденциальной информации клиентов и сотрудников Target как адреса электронной почты и телефонные номера.

Компрометация Target: последние данные

Для кражи данных кредитных карт использовались инструменты, которые популярны у кардеров, например memory-grabber, для извлечения информации из памяти нужного процесса при выполнении транзакции. Одним из первых, кто предоставил подробную информацию о новом вредоносном коде, была компания iSight. Новый вредоносный код получил название Trojan.POSRAM (iSight). Антивирусные продукты ESET обнаруживают его как Win32/Spy.POSCardStealer.R (Symantec: Infostealer.Reedum.B, Microsoft: Trojan:Win32/Ploscato.A). Этот вредоносный код был написан специально для компрометации POS, но атакующие использовали и другие инструменты, известные как greyware или HackTool для проведения тех или иных операций (среди них был и вполне легитимный инструмент Sysinternals PsExec, снабженный действительной цифровой подписью). Это свидетельствует о том, что они имели удаленный доступ к скомпрометированным компьютерам (backdoor).

Читать полностью »

в 18:45, , рубрики: adobe, patch tuesday, windows, Блог компании ESET NOD32, метки:

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 6 уникальных уязвимостей (4 исправления со статусом Important). Это первый patch tuesday в этом году и мы называем его «light patch tuesday», поскольку он не содержит ни одного критического обновления и ни одного обновления для браузера Internet Explorer. Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Исправления ориентированы на операционную систему, Office и ПО Microsoft Dynamics AX. Для применения обновлений нужна перезагрузка.

Microsoft и Adobe выпустили набор обновлений, январь 2014

Обновление MS14-002 закрывает известную с прошлого года (SA 2914486) LPE уязвимость CVE-2013-5065 в версии драйвера ndproxy.sys, который поставляется в составе Windows XP и Windows Server 2003. Атакующие использовали специальным образом сформированный запрос к драйверу через интерфейс IOCTL для исполнения своего кода в режиме ядра (user-mode restrictions escape). Для доставки этого эксплойта использовался специальный PDF-документ, который эксплуатирует уязвимость в устаревшей версии Adobe Reader и используется для преодоления ограничений sandboxing (Adobe Reader sandbox bypass). Вредоносный документ с эксплойтом обнаруживается ESET как PDF/Exploit.CVE-2013-5065.A.

Читать полностью »

в 12:30, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

В предыдущем посте, посвященном вымогателям (ransomware), мы указывали на активизацию семейства FileCoder, которое используется злоумышленниками для шифрования файлов пользователя с последующим требованием выкупа за расшифровку. Уже с июля 2013 года злоумышленники удвоили свои усилия по распространению этого вида вредоносного ПО. Кроме этого, за этот период времени было зафиксировано появление новой модификации Win32/Filecoder.BQ, которая больше известна как Cryptolocker и представляет из себя наиболее опасный вариант шифровальщика. При заражении Cryptolocker пользователь либо теряет свои данные, либо вынужден платить злоумышленникам за расшифровку.

Cryptolocker 2.0 или подделка?

Как видно на статистике ниже, наиболее всего Cryptolocker активен в США. Очевидно, что этот регион является наиболее привлекательным для злоумышленников в силу достаточной состоятельности пользователей. Злоумышленникам проще таким образом получить прибыль, ведь многие пользователи готовы заплатить требуемую сумму только чтобы вернуть себе доступ к оригинальным файлам. Не только Cryptolocker, но и такие известные банковские вредоносные инструменты как Zeus или SpyEye также в свое время ориентировались в первую очередь на США из-за наибольшей монетизации.

Читать полностью »

в 12:53, , рубрики: banking trojan, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

Недавно мы обнаружили новое банковское вредоносное ПО, которое было добавлено в наши базы как Win32/Qadars. Первое публичное освещение этой угрозы было выполнено компанией LEXSI. Qadars был довольно активен в последнее время, заражая пользователей по всему миру. Как и другое банковское вредоносное ПО, он осуществляет кражу данных онлайн-банкинга и средств пользователя через механизм веб-инъекций (web injection). Наши исследователи обнаружили, что Qadars использует большой спектр таких веб-инъекций для различных задач по работе с системой онлайн-банкинга.

Qadars – новый банковский троян с возможностью обхода двухфакторной аутентификации

Ранее мы писали про банковский троян Hesperbot, который содержит специальный компонент для мобильных платформ. Этот компонент позволяет обходить механизм двухфакторной аутентификации на основе кодов подтверждения проводимой банковской операции mTAN. Qadars использует схожий с Hesperbot подход по установке мобильного компонента через веб-инъекцию на странице онлайн-банкинга специального сообщения. Разница между ними заключается в том, что Qadars использует уже существующий мобильный вредоносный код Android/Perkele, а не опирается на свой собственный.

Читать полностью »

в 13:09, , рубрики: aslr, windows, Блог компании ESET NOD32, метки:

Мы уже неоднократно упоминали ASLR, по справедливому замечанию MS, эта технология позволяет сделать разработку эксплойтов гораздо более дорогостоящим мероприятием, поскольку кроме эксплуатации самой уязвимости в ПО злоумышленнику нужно опереться на те или иные предсказуемые адреса в памяти в момент эксплуатации, которых ASLR его лишает. Как мы видим, в последнее время, в том числе, и с выпуском новейших Windows 8/8.1 MS решили более серьезно подойти к развертыванию данной особенности в системе. Если в узком смысле ASLR понимается как просто перемещение образа по непредсказуемым адресам с каждой перезагрузкой, то в более общем смысле эта возможность на уровне системы должна лишить атакующих любой возможности зацепится за те или иные адреса функций системных библиотек и иных системных объектов (ASLR bypass mitigation / Address Space Information Disclosure Hardening) в тех нескольких десятках байт шелл-кода, который может быть исполнен минуя DEP (ROP).

Мы не будем касаться истории ASLR, которая известна уже почти всем, отметим лишь некоторые не совсем очевидные возможности, которые Microsoft использует для улучшения ASLR в своих флагманских ОС Windows 7-8-8.1.

Читать полностью »

1...1020...262728...30...37
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js