Рубрика «Вирусы (и антивирусы)» - 3

В этом посте мы хотим рассказать об одном из сложных случаев заражения пользователей, который нам довелось расследовать, и в котором были использованы многие из популярных техник.

Злоумышленники постоянно совершенствуют методы внедрения вредоносного кода на веб-страницы зараженных сайтов. Если раньше это бывала модификация статического контента или php-скриптов CMS, то сейчас прибегают к использованию более сложных техник.

Расследование об информационной безопасности в Яндексе. Rdomn – скрытая угроза

В наши дни чаще всего заражению подвергается веб-сервер: устанавливаются вредоносные модули, внедряются вредоносные shared objects, либо же исполняемый файл перекомпилируется с вредоносной функциональностью. Для внедрения вредоносного JavaScript активно используется, например, Flash.
Читать полностью »

В этом посте мы публикуем информацию о вредоносной кампании «Windigo», с использованием которой злоумышленники компрометировали тысячи Linux и UNIX серверов. Скомпрометированные серверы использовались для кражи учетных данных SSH, перенаправления пользователей веб-сервисов на вредоносный код и рассылку спама. Эта операция началась как минимум в 2011 г. и привела к компрометации различных крупных серверов и компаний, включая, известную cPanel – компания, которая разрабатывает одноименную известную панель управления хостингом. Другой крупной жертвой этой кампании стал известный ресурс kernel.org, который представляет из себя основной репозиторий исходного кода для ядра Linux.

Операция Windigo

Мы уже частично писали про вредоносные программы, которые использовались в этих кампаниях, в наших отчетах в прошлом и в этом году [1,2,3], однако, теперь у нас есть более полная картина происходящего, а также анализ других вредоносных программ, которые использовали злоумышленники. Ранее были упомянуты бэкдоры Linux/Ebury и Linux/Cdorked, которые применялись для кражи учетных данных различных сервисов на сервере, а также для перенаправления посетителей веб-сервисов на вредоносные ресурсы. Кроме них, в операцию Windigo была вовлечена вредоносная программа Perl/Calfbot, с помощью которой зараженные серверы могли генерировать миллионы спам-сообщений в день.

Читать полностью »

Недавно наши исследователи выполнили анализ OpenSSH бэкдора и похитителя паролей Linux/Ebury. Этот анализ является результатом совместной работы ESET с немецким CERT-Bund, шведским центром SNIC и европейской организацией CERN, а также другими организациями, которые входят в международную рабочую группу (Working Group). Linux/Ebury представляет из себя сложный бэкдор, используемый злоумышленниками для похищения аутентификационных данных OpenSSH, а также получения доступа к скомпрометированному серверу (backdoor).

Детальный анализ бэкдора Linux/Ebury

Согласно предыдущим отчетам, этот бэкдор уже активен как минимум два года. Linux/Ebury может дистрибуцироваться в двух различных формах: вредоносная библиотека и патч к бинарным файлам OpenSSH. Вредоносная библиотека представляет из себя модификацию файла libkeyutils.so. Эта библиотека является общей для компонентов OpenSSH и загружается его исполняемыми файлами, такими как, ssh, sshd и ssh-agent. В анализе будет опубликована информация о том, как вредоносный код осуществляет кражу аутентификационных данных учетных записей и как системные администраторы могут обнаружить зараженную систему.

Читать полностью »

Прошу прощения за такой громкий заголовок, но никак иначе назвать я это не могу. Сегодня хотели взять счета на продление антивируса, и получили ошеломляющую новость. Оказывается с 1-го января 2014 года в Беларуси перестали продаваться любые антивирусные продукты и не только они.

Хочу сразу отметить что я не юрист и если я что-то не так понял — сообщите мне об этом лично и я подправлю пост.

А все дело в том, что 17 декабря 2013 президентом РБ был подписан Приказ № 94 Оперативно-аналитического центра при президенте РБ. О перечне технических нормативных правовых актов, взаимосвязанных с техническим регламентом

По сути там описано, что для того, чтобы продать что-то из этого списка — это что-то нужно сперва сертифицировать в РБ. По факту производители чхать хотели на нас всех и на «огромную страну» с населением в 9.5 млн. человек.

Читать полностью »

Есть такая давольно популярная линейка рутеров в Европах — AVM Fritz!Box. Это и рутер и мини АТС и для VOIP- и для аналоговой или ISDN-телефонии и медиа-сервер и вообще все-что-хочешь в одном.
Особенно топовые модели у AVM всегда отличались «умом и сообразительностью»(TM). Вплоть до того, что некоторые модели имеют систему «умный дом» (на базе FHEM сервера) и кучу других вкусностей.

Та же функция перенаправления звонка, например.

Например, звонок с сотового из Германии в Россию обычно сильно дорог, но Фритц можно настроить так, что он будет входящий на одну из линий звонок перенаправлять (через другую VOIP линию) на набраный затем российский номер. Таким образом можно звонить «через дом» заграницу с мобильного на два порядка дешевле…

Ваш покорный слуга плотно подсел на фритцы лет дтцать назад и ниразу не жалел (до недавного времени).
Скажу сразу — уязвимость это мягко сказано — это просто огромная дыра. И по моему скромному мнению, во всей этой истории AVM себя повела не совсем, скажем так, адекватно.

Читать полностью »

Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают.
2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич:

  • Антиотладочные механизмы
  • Скрытие от unhide, lsof, ps, ldd
  • Скрытие файлов и директорий
  • Скрытие удаленных подключений
  • Скрытие процессов
  • Скрытие логинов
  • Скрытие от локального сниффинга трафика через PCAP
  • 2 бекдора с полноценными шеллами (с PTY):
  • — Crypthook accept()-бекдор
  • — Обычный accept()-бекдор
  • PAM-бекдор для аутентификации под любым пользователем
  • Очистка логов utmp/wtmp для PTY
  • Обфускация строк скомпилированной библиотеки через xor.

Давайте рассмотрим их подробно.Читать полностью »

Наша антивирусная лаборатория обнаружила высокую активность сложной банковской вредоносной программы российского происхождения Win32/Corkow, с помощью которой были заражены тысячи компьютеров. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время.

Банковский троян Win32/Corkow атакует российских пользователей

Подобно другим банковским вредоносным инструментам как, например, Hesperbot, который был раскрыт исследователями ESET в сентябре прошлого года, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут расширять возможности этого вредоносного ПО необходимыми для них плагинами. Подобные модули или плагины обеспечивают для злоумышленников доступ к конфиденциальным данным пользователя через следующие возможности: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.

Читать полностью »

Власти США пугают хакерами посетителей Олимпиады в Сочи

Доказывая снова всю абсурдность проведения зимней олимпиады в Сочи в 2014 году телеканал NBC показал, что данные всех прибывших участников будут взломаны, как только они доберутся до Сочи.
Читать полностью »

imageСреди документов опубликованных Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, были обнаружены материалы описывающие некоторые детали технологий шпионажа используемых АНБ. Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего сорок восемь страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Данный список не является исчерпывающим. Представлены техники связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства радиоэлектронной разведки связанные с мобильной связью и оборудование для наблюдения. В этой статье я расскажу об этих методах шпионажа, далее будет четыре дюжины слайдов(осторожно, трафик).
Читать полностью »

В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодетеля, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.

Злоумышленники используют Win32/Boaxxe.BE для организации кликфрода

Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js