Привет! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), в команде PT Sandbox.
Рубрика «руткиты»
«Песочные» технологии: об архитектуре и техниках обхода песочниц
2024-09-18 в 9:02, admin, рубрики: cybersecurity, dos-песочницы, pt sandbox, sandbox, буткит, детектирование, Песочница, песочницы, руткиты, угрозыДоверенная загрузка Шрёдингера. Intel Boot Guard
2017-04-18 в 6:27, admin, рубрики: Intel 64, Intel Boot Guard, Intel ME, UEFI BIOS, Блог компании «Digital Security», доверенная загрузка, защита прошивки, информационная безопасность, реверс-инжиниринг, руткиты, метки: Intel Boot Guard, UEFI BIOS
Предлагаем вновь спуститься на низкий уровень и поговорить о безопасности прошивок x86-совместимых компьютерных платформ. В этот раз главным ингредиентом исследования является Intel Boot Guard (не путать с Intel BIOS Guard!) – аппаратно-поддержанная технология доверенной загрузки BIOS, которую вендор компьютерной системы может перманентно включить или выключить на этапе производства. Ну а рецепт исследования нам уже знаком: тонко нарезать реверс-инжинирингом имплементацию данной технологии, описать её архитектуру, наполнив недокументированными деталями, приправить по вкусу векторами атак и перемешать. Подбавим огня рассказом о том, как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику использовать эту технологию для создания в системе неудаляемого (даже программатором) скрытого руткита.
Кстати, в основе статьи – доклады «На страже руткитов: Intel BootGuard» с конференции ZeroNights 2016 и 29-й встречи DefCon Russia (обе презентации здесь).
Эволюция вирусов: от студенческих забав до нарушения работы ядерной программы Ирана
2016-04-21 в 7:19, admin, рубрики: total 360, антивирус, антивирусная защита, антивирусы, Блог компании 360 Total Security, движок avira, защита от вирусов, информационная безопасность, руткиты, червиКомпьютерные вирусы могут доставить немало проблем. Если какие-нибудь рекламные баннеры на рабочем столе просто раздражают, то пропажа денег с электронных счетов и банковских карт – это уже в прямом смысле удар по кошельку. Но антивирусы все равно не дают стопроцентную защиту, и определенный риск заражения компьютера по-прежнему остается. Сегодня мы вспомним историю вирусов, а заодно изучим разницу между троянами, руткитами и червями.
Атака клонов: Современные технологии ботовождения
2016-01-21 в 8:46, admin, рубрики: c++, forth, Алгоритмы, биометрия, ботоведение, информационная безопасность, покерный бот, робототехника, руткиты, метки: ботоведение «Сейчас вы напишите самую сложную в своей жизни программу, которая будет просто складывать два числа»
Рыжова Ирина Михайловна
Интеллектуально-азартные онлайн-игры – лакомый кусок для ботоводов. Даже если разработчики игрового софта тратят большие деньги на отлов ботов, – как в онлайн покер-румах, например – всё равно велика вероятность наткнуться на «умного бота», игра с которым будет в одни ворота. Особенно, если бот абсолютное неуязвим… Ибо никакие деньги не защитят систему, через которую проходят большие деньги.
Рис. 1. Ботоводы наступают
Скрытая угроза
Интеллектуально-азартные онлайн-игры – небезопасны. В особенности небезопасны те из них, где вращаются живые деньги. Их небезопасность проявляется прежде всего в том, что невозможно знать наверняка, с кем играешь: с живым человеком, или же с – ботом. Во втором случае игра будет в одни ворота. В играх «на интерес», – шахматы и шашки на маил.ру, к примеру, – владельцы онлайн-игр смотрят на ботовождение сквозь пальцы. В многопользовательских онлайн-играх, где в какой-то степени фигурируют живые деньги, отлову ботов уделяется несколько большее внимание. Однако даже если подходить к пресечению ботоводства в высшей степени серьёзно – как это например сделано в онлайн покер-румах – всё равно велика вероятность наткнуться на бота.
Разработчики софта для игры в покер тратят большие деньги на разоблачение ботов, и тем не менее, ботоводство в онлайн-покере процветает. Ибо никакие деньги не смогут защитить систему, через которую проходят большие деньги. Ботоводы и ловцы ботов, – анализируя уловки оппонентов и принимая соответствующие контрмеры, – попеременно одерживают победу. Кто-то может думать, что битве между ними никогда не будет конца. Однако, существует схема безопасного ботовождения, перед которой ловцы ботов – пасуют. Она интересна тем, что даже если «борцы за справедливость» будут иметь на руках подробно прокомментированные исходные коды бота, они не смогут установить факт его использования. Реализация данной схемы – мероприятие дорогостоящее, однако поскольку потенциальная выгода велика, схема вполне актуальна.
Установка, настройка и использование сканера уязвимостей chkrootkit
2014-11-18 в 7:35, admin, рубрики: CentOS, chkrootkit, freebsd, rkhunter, безопасность, Блог компании «FirstVDS/ FirstDEDIC», информационная безопасность, руткиты, Серверное администрированиеВ предыдущей моей публикации про сканер уязвимостей rkhunter в комментариях хабрапользователем Indexator был упомянут сканер chrootkit. При схожем функционале c rkhunter, есть ряд отличий, который будет интересно рассмотреть в этой статье. Интересно также то, что совсем недавно была выпущена новая версия сканера, разработка которого казалась замороженной c 2009 года.
Руткиты: проблемы безопасности и тенденции развития
2013-07-12 в 8:07, admin, рубрики: Блог компании Журнал Хакер, вирусный анализ, вирусы, Вирусы (и антивирусы), журнал хакер, информационная безопасность, руткиты, метки: вирусный анализ, вирусы, журнал хакер, руткитыВ настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.
Основные тенденции в компьютерной безопасности
Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.
Новый руткит для 64-разрядной системы Linux: внедрение iframe
2012-11-23 в 13:09, admin, рубрики: kaspersky, kaspersky lab, linux, Блог компании «Лаборатория Касперского», вирусы, Вирусы (и антивирусы), касперский, лаборатория касперского, руткиты, метки: Kaspersky, kaspersky lab, linux, вирусы, касперский, лаборатория касперского, руткиты Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.
Читать полностью »
Microsoft обновляет старые версии Skype вне зависимости от желания пользователей
2012-09-18 в 23:42, admin, рубрики: microsoft, skype, Вирусы (и антивирусы), руткиты, метки: microsoft, skype, руткиты Верный, старый Скайп обновился, считайте — только что предал меня. Год назад я отключил обновления. В какой-то момент новые улучшеные уродливые смайлы и увеличивающийся с каждой версией объем потребляемой памяти вынудили отключить обновление. Это случай когда старое лучше нового.
Выглядело это так: вдруг я услышал звук выхода из скайпа. Никаких диалоговых окон.
Запустил по новой и вот он новый Скайп!
Тень сомнения пробежала по извилинам — и точно — дрянь пролезла через Windows Update!
Хотя моя версия Скайпа была выпущена еще до покупки Майкрософтом.
Читать полностью »