Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется. Читать полностью »
Продолжу рассмотрение кейсов, связанных с применением решений по мониторингу ИБ с помощью решения класса NTA (Network Traffic Analysis). В прошлый раз я показал, как можно обнаруживать утечки информации, а в этот раз поговорим о выявлении вредоносного кода внутри корпоративной или ведомственной сети.
Конференция DEFCON 17. Посмеёмся над вашими вирусами! Часть 1
Далее можно загрузить это в IDA и увидеть, что всё в таблице импортированных адресов выглядит нормально, и мы можем проследовать по перекрёстным ссылкам для установки указателя на нужном файле. Так мы попадаем именно в точку расположения зависимого кода шифрования.
Таким образом, с помощью всего нескольких команд для дампа памяти мы нашли место, в котором спрятался Coreflood. Мы деассемблировали, извлекли и вставили заголовок PE, даже не имея его, и получили полностью восстановленную таблицу адресов менее чем за 20 секунд.
Следующая история называется «Дорогая, извини, что снова тебя побеспокоил – я ужал интернет»! Эта история повествует о том, что дефектный IP-генератор Conficker.B сканирует только часть интернета. Здесь мы снова возвращаемся к функции rand. Важной частью этой функции является самая последняя инструкция, которую я пометил зелёной стрелкой – она выполняет любое конечное значение в EAX с величиной 7FFF. Если вы не знакомы с принципами ассемблирования и не знаете, что может сделать эта инструкция, то вот небольшое демо по этому поводу.
Майкл: приветствую всех, я Майкл Лай, это Мэттью Ричард, вы можете звать его Мэтт или Ричард, потому что у него два имени, но это не имеет значения.
Мэтт: Тема нашего сегодняшнего разговора – высмеивание вредоносных программ, и это именно то, что мы стараемся делать.
Итак, не все, кто пишет код, делают это хорошо, люди совершают при этом множество ошибок. И не все, кто использует вирус, делают это правильно. Также существуют люди, которые терпят неудачу в обоих этих случаях. Так что усаживайтесь удобней, расслабьтесь и слушайте, возможно, эта информация окажется для вас полезной.
На всякий случай мы включили в презентацию фактический технический материал, чтобы вы хотя бы чему-то научились, если разговор не покажется вам смешным. Отмечу, что это всего лишь наше мнение, которое может не совпадать с мнением наших работодателей.Читать полностью »
Ведущие производители программного обеспечения (Microsoft, Oracle, SAP SE и т.д.) прилагают много усилий для того, чтобы обеспечить безопасное обновление операционной системы с соответствующими программы и защитить компьютеры от хакеров.
Но как оказалось, не так осторожны производители аппаратного обеспечения ПК. Компания Duo Security провела исследование в сфере обновления программного обеспечения пяти самых популярных производителей ПК: HP, Dell, Acer, Lenovо и Asus. Результаты показали, что перечисленные компании не обеспечивают должную безопасность своей продукции. Найденные слабые места позволяют хакерам захватить процесс обновления и установить вредоносный код.
Порой кажется, что ребята из Голливуда считают компьютеры чем-то магическим, изображая хакеров настоящими волшебниками, творящими чудеса. В кино компьютеры с легкостью взрывают небоскребы, отключают электричество в мегаполисах, блокируют работу транспорта и превращают Мэттью Лилларда (фильм «Хакеры») в предмет женского обожания. Но порой показанное на экране действительно соответствует реальности. Мир информационных технологий полон сюрпризов.
К началу 2000-х годов на рынке защиты персональных компьютеров преобладал сигнатурный подход, заключающийся в обнаружении преимущественно известных угроз, для которых были разработаны соответствующие сигнатуры, которыми и оснащались средства защиты (антивирусы, host-based intrusion detection systems и т.п.). Одной из первых компаний, предложивших для борьбы с неизвестными угрозами применять поведенческие механизмы, стала компания Okena из Массачусетса, которую в 2003-м году приобрела компания Cisco. Продукт Okena StormWatch был переименован в Cisco Security Agent и сетевой гигант стал предлагать своим клиентам не только средства сетевой безопасности — межсетевые экраны Cisco Pix, системы обнаружения атак NetRanger и VPN-шлюзы, но и средства защиты ПК, выйдя на новый для себя рынок.
Однако 11-го июня 2010-го года компания приняла непростое и даже можно сказать неожиданное решение о закрытии данной линейки продуктов. Отчасти это было продиктовано тем, что защита ПК не входила на тот момент в приоритет Cisco, которая была сфокусирована на сетевой безопасности. Среди других причин назывался активный переход на мобильные устройства с их множеством операционных систем, для которых разрабатывать и поддерживать Cisco Security Agent было сложно. Но какой бы ни была истинная причина Cisco Security Agent перестал существовать и компания Cisco на долгие 3 года вновь сосредоточила свои усилия на средствах сетевой безопасности. Пока в 2013-м году, после приобретения мирового лидера в сегменте предотвращения вторжения и средств защиты следующего поколения – компании Sourcefire, у Cisco вновь не появилось решение по защите персональных компьютеров – FireAMP, где аббревиатура AMP означала Advanced Malware Protection. Про это решение я бы и хотел рассказать.
За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для продуктов Microsoft и Adobe.
В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в Microsoft Internet Explorer версий с 6 по 10, Microsoft .NET Framework с 2 по 4.5, Silverlight 5, а также Adobe ColdFusion 10 и Adobe Flash Player; повышение привилегий в Microsoft Windows и Windows Defender
Читать полностью »
За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для серверных продуктов HP.
В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в HP LeftHand Virtual SAN Appliance — серверном программном обеспечении виртуализации SAN для инфраструктуры VMware, HP StoreOnce D2D backup system и серии устройств HP ProCurve, а также продуктах Apple QuickTime и Winamp; повышение привилегий в MongoDB и две уязвимости удаленного отказа от обслуживания в ядре Linux. Читать полностью »
За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для продуктов Mozilla.
В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в Mozilla Firefox и Thunderbird, а также VMware vCenter Chargeback Manager; повышение привилегий через Mozilla Maintenance Service.Читать полностью »
