Рубрика «Блог компании ESET NOD32» - 28

в 14:53, , рубрики: hesperbot, Блог компании ESET NOD32, метки:

В сентябре мы сообщали о новом банковском трояне, который называется Hesperbot (обнаруживается как Win32/Spy.Hesperbot). Киберпреступники, использующие этот инструмент, по-прежнему активны, в ноябре были зафиксированы новые случаи использования этого вредоносного ПО.

Мы уже показывали, что географическое распределение заражений этой вредоносной программы достаточно локализовано в нескольких конкретных странах. Для заражений пользователей использовались спам-кампании с фишинговыми сообщениями на родном для пользователей этих стран языке. Как и ожидалось, злоумышленникам не понадобилось много времени на то, чтобы начать ориентироваться на новые страны. В дополнение к тем четырем, которые мы уже указывали (Турция, Чехия, Португалия, Великобритания), в прошедшем месяце были зафиксированы новые версии вредоносного кода для пользователей Германии и Австралии.

За прошлый месяц были зафиксированы крупные случаи заражений в Чехии, также злоумышленники добавили скрипты веб-инъекций (web injection) в файлы конфигураций для чешского ботнета. Ниже на диаграмме показано распределение заражений Hesperbot по странам, которое мы зафиксировали в ноябре с помощью ESET LiveGrid.

Читать полностью »

в 20:46, , рубрики: patch tuesday, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Компания выпустила серию обновлений для своих продуктов, которые закрывают 24 уникальных уязвимостей (6 исправлений со статусом Critical и 5 со статусом Important). Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Это последний patch tuesday в этом году, в рамках него MS исправляет уязвимости для таких продуктов как Internet Explorer, Windows, Office, Exchange и др., причем на исправление продуктов Office нацелено сразу три обновления.

Microsoft и Adobe выпустили набор обновлений, декабрь 2013

Обновление MS13-096 закрывает эксплуатируемую in-the-wild уязвимость в Office CVE-2013-3906 (Win32/Exploit.CVE-2013-3906.A). Мы более подробно писали о ней здесь. Злоумышленники использовали специальным образом сформированный .doc файлы для установки в систему вредоносного кода через эксплойт. Уязвимость существует в коде обработки встроенного в документ специального изображения (TIFF codec). MS Word использует этот компонент для открытия встроенных в документ других объектов, в этом случае TIFF-изображения. Обновлению подлежат Windows Vista и Server 2008, а также Office 2003-2007-2010. Для применения обновления нужна перезагрузка.

Читать полностью »

в 11:25, , рубрики: zeroaccess, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

Компания заручившись поддержкой ФБР и Europol начала операцию по выведению из строя одного из самых крупных на сегодняшний день ботнетов, который приносил злоумышленникам большие деньги. Вредоносным кодом ZeroAccess (aka ZAccess, Sirefef) скомпрометировано более 2 млн. компьютеров и он используется злоумышленниками для выполнения различных мошеннических операций и извлечения материальной выгоды, один из самых известных компонентов — кликер, который позволяет генерировать переходы по рекламным ссылкам на компьютерах ничего не подозревающих пользователей (с предполагаемой ежемесячной прибылью киберпреступников $2,7 млн).

Microsoft начали охоту за ZeroAccess

Про одну из последних модификаций этой вредоносной программы мы писали в блоге. Современная версия ZAccess использует скрытное заражение системного файла services.exe (aka SCM). Причем вредоносный код имеет в своем арсенале и компоненты для 64-битной версии Windows. Подобный способ обеспечения своего выживания является достаточно эффективным, при этом нужно отметить, что авторы этого вредоносного ПО подходили к его разработке весьма серьезно, так предыдущие версии содержали специальный сложно обнаруживаемый руткит, который глубоко скрывал компоненты вредоносной программы. В прошлом году стало очевидно, что злоумышленники переключились на разработку обновленной версии, которая использует модификацию services.exe. Очевидно это связано с все большим доминированием 64-битных ОС и невозможностью применения 32-битных руткит-технологий на этих ОС ввиду очевидных ограничений.

Читать полностью »

в 12:17, , рубрики: Блог компании ESET NOD32

Недавно мы проанализировали четыре вредоносных инструмента, которые использовались в направленных атаках на пользователей Тайваня и Вьетнама. С использованием нашей системы телеметрии мы зафиксировали, что это вредоносное ПО доставлялось пользователям через кампании по распространению фишинговых сообщений. Один из файлов вредоносной программы был доставлен в систему пользователя через почтовый веб-интерфейс вьетнамского государственного учреждения. Злоумышленники использовали специальные фишинговые почтовые сообщений, которые содержали убедительный текст, а также специальные фальшивые документов для заманивания пользователя и усиления эффекта атаки.

Исследование направленной атаки

По результатам этого исследования нам удалось установить следующие факты:

  • Один и тот же компонент вредоносного кода несколько раз использовался в этих кампаниях.
  • Атаки требовали ручного вмешательства злоумышленника (оператор).
  • В атаках обнаружены следы известной группы APT1 (aka Comment crew).
  • Для первоначального вектора атаки, т. е. для установки вредоносного кода, использовались фишинговые сообщения, которые якобы содержали важные документы.
  • Плохая подготовка злоумышленников: опечатки в конфигурации, наивная реализация криптографических алгоритмов, недостаточная практика в написании кода.
  • Вредоносные программы с четко заданным поведением: одна из угроз не сохраняет свое присутствие после перезагрузки, а другая не делает никаких вредоносных функций до перезагрузки.

Читать полностью »

в 8:41, , рубрики: Malware, Блог компании ESET NOD32, метки:

Не так давно в открытом доступе появилось письмо, которое некоторые известные участники AV/Security сообщества направили различным антивирусным компаниям с целью разъяснить свою позицию по обнаружению state-sponsored/government malware (т. н. кибероружие), а также прояснить слухи касаемо возможного сотрудничества таких компаний со спецслужбами разных государств для создания временного коридора по задержке обнаружения соответствующих вредоносных объектов.

Само письмо представлено здесь и просит дать разъяснение от компаний по следующим вопросам.

  • Наблюдали ли вы активность вредоносного ПО, которое явно имеет state-sponsored происхождение без его фактического обнаружения, т. е. добавления в базы?
  • Обращались ли к вам правительственные структуры с запросом на то, чтобы отсрочить (снять) обнаружение с того или иного вредоносного объекта? Если да, то не могли бы вы предоставить информацию о таком разрешенном к использованию ПО и на какой период времени откладывалось обнаружение?
  • Как бы вы ответили на подобный запрос от правительственных структур в будущем?

Читать полностью »

в 15:35, , рубрики: Блог компании ESET NOD32, информационная безопасность

На этой неделе стало известно, что злоумышленники используют незакрытую на текущий момент уязвимость CVE-2013-5065 типа elevation of privilege (EoP) в Microsoft Windows XP и Server 2003 при организации направленных атак для поднятия своих полномочий в системе. Уязвимость не относится к типу RCE (Remote Code Execution), а используется только для обхода ограничений user-mode на исполнение кода в системном адресном пространстве. Используя баг в драйвере NDProxy.sys, злоумышленники могут исполнить свой код в режиме ядра.

Microsoft предупреждает об эксплуатации CVE 2013 5065 ITW

Сам шелл-код, который выполняет операцию эксплуатации уязвимой версии ndproxy, доставляется через вредоносный PDF-документ и используется совместно с применением уязвимости CVE-2013-3346 в Adobe Reader, Acrobat, которая позволяет обходить ограничения sandboxing в ридере и исполнить произвольный код (Adobe Reader sandbox bypass). CVE-2013-3346 была закрыта Adobe еще в августе этого года бюллетенем APSB13-15 и не грозит пользователям с обновленными версиями этих программ.

Читать полностью »

в 17:45, , рубрики: internet explorer, windows, Блог компании ESET NOD32, метки:

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).

MS отключает sandboxing для Internet Explorer 11 по умолчанию

Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.

Читать полностью »

в 14:11, , рубрики: cybercrime, powerloader, skype, Блог компании ESET NOD32, метки: , , ,

Массивные атаки с целью установки вредоносного кода имеют большое негативное влияние на пользователей. Кроме этого, они показывают способность киберпреступников повторно использовать уже известные методы компрометации пользователей, которые будут действовать и в последующих случаях атак. Мы уже писали про массивную спам-атаку на пользователей Skype в мае этого года. Пользователи по всему миру получали сообщения от своих контактов через различные сервисы мгновенного обмена сообщениями Skype и Gtalk. Сообщения содержали вредоносные ссылки, которые приводили пользователя к установке нескольких видов вредоносного ПО, в т. ч. Win32/Rodpicom.C. За несколько часов было зафиксировано большое количество заражений пользователей этой вредоносной программой. Злоумышленники несколько раз прибегали к таким кампаниям и использовали различные языки при написании фишинговых сообщений для атак на пользователей разных стран, а также специальные методы заражения для усложнения их обнаружения.

Анатомия атаки на пользователей Skype

В этом посте мы подробно рассмотрим каждый этап такой атаки, чтобы понять какими методами пользовались злоумышленники для преодоления возможностей безопасности системы. Разумеется, различные методы социальной инженерии для доставки вредоносного кода предоставляют этим атакам дополнительные возможности по усилению эффекта.

Читать полностью »

в 11:39, , рубрики: windows, Блог компании ESET NOD32

Ранее мы писали про некоторые механизмы затруднения эксплуатации (mitigation) для Windows и приложений, которые Microsoft пыталась привнести с выпуском новых ОС. Как правило подобные механизмы основываются на следующих концептуальных подходах:

  • Разграничение прав доступа приложений к ресурсам ОС (User Account Control, Integrity Level). Vista+
  • Особые смягчающие факторы при работе с памятью DEP&ASLR. XP SP2/Vista+. DEP задается системными настройками и в Windows 8+ активен для всех приложений (поддержка процессора). ASLR работает для приложений, скомпилированных с его поддержкой.
  • Kernel ASLR/DEP, для компонентов, которые работают в режиме ядра. Vista SP1+. ASLR/DEP активен по умолчанию для модулей режима ядра, DEP от исполнения данных в пуле требует выделений из NonPagedPoolNx (Windows 8+).
  • Защита от перезаписи указателей на функции в SEH на уровне ОС (SEHOP). Vista SP1+. По умолчанию активен только для серверных выпусков.
  • Бесплатный инструмент EMET (v 4.1 last update) для повышения иммунитета системы от действий эксплойтов. Для Windows XP+.
  • Расширенная изоляция процессов AppContainer (aka sandboxing, расширенный Integrity Level). Windows 8+. Используется для Internet Explorer 10+ и всех приложений Modern UI aka Metro.
  • Блокирование доступа к получению информации об адресах объектов ядра для недоверенных приложений (KASLR bypass mitigation). Windows 8.1.

Новые механизмы смягчения в Windows 8.1

Читать полностью »

в 19:08, , рубрики: patchtuesday, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Компания выпустила серию обновлений для своих продуктов, которые закрывают 19 уникальных уязвимостей (3 исправления со статусом Critical и 5 со статусом Important). Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. В рамках этого patch tuesday MS выпускает три Critical обновления и одно Important для новейших версий браузера и ОС Internet Explorer 11, Windows 8.1 / RT 8.1.

Microsoft выпустили набор обновлений, ноябрь 2013

Обновление MS13-090 закрывает кросс-платформенную Remote Code Execution уязвимость во всех версиях Windows для компонента icardie.dll ActiveX (начиная c Windows XP SP3 и заканчивая Windows 8.1). Несколько дней назад компания FireEye сообщила о том, что злоумышленники использовали эксплойт c обходом DEP&ASLR [msvcrt.dll ROP] для браузера Internet Explorer версий 7-8-9 [Windows XP и Windows 7], через который в систему устанавливали вредоносный код (CVE-2013-3918) aka drive-by. Несмотря на то, что уязвимость присутствует во всех версиях ОС, пользователи, использующие последние версии браузера IE 10-11 на Windows 8 и 8.1, не подвержены эксплуатации, в т. ч. из-за механизмов смягчения, которые используются в этих ОС. Пользователи EMET также защищены от деструктивных действий этого эксплойта. Утром MS подтвердила закрытие этой уязвимости в рамках patch tuesday. Для применения исправлений нужна перезагрузка.

Читать полностью »

1...1020...272829...37
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js