Блог компании ESET NOD32 → Банковский троянец Carberp приобрел буткит-функционал
Сегодня мы публикуем часть нашего расследования, посвященного вредоносной программе Carberp, которая направлена на системы дистанционного банковского обслуживания (ДБО).
В этом месяце нам удалось собрать интересную информацию о новой модификации троянца из семейства Win32/TrojanDownloader.Carberp. Это одна из самых распространенных вредоносных программ в России, которая занимается хищением финансовых средств в системах удаленного банковского обслуживания и нацелена, в первую очередь, на атаки компаний, которые осуществляют ежедневно большое количество денежных транзакций. Мы уже рассказывали об этом троянце в нашей презентации “Cybercrime in Russia: Trends and issues”. Разработчики данного вредоносного ПО — одна из самых активных киберпреступных групп на территории России и близлежащих стран, которая занимается кражей денежных средств в RBS. Первые инциденты с троянцем Carberp были зафиксированы нами в начале 2010 года, а пик его активности в этом году приходится на конец весны и лето, причем с началом осени опять увеличилось число инцидентов, связанных с этой программой.
В этом месяце нам удалось собрать интересную информацию о новой модификации троянца из семейства Win32/TrojanDownloader.Carberp. Это одна из самых распространенных вредоносных программ в России, которая занимается хищением финансовых средств в системах удаленного банковского обслуживания и нацелена, в первую очередь, на атаки компаний, которые осуществляют ежедневно большое количество денежных транзакций. Мы уже рассказывали об этом троянце в нашей презентации “Cybercrime in Russia: Trends and issues”. Разработчики данного вредоносного ПО — одна из самых активных киберпреступных групп на территории России и близлежащих стран, которая занимается кражей денежных средств в RBS. Первые инциденты с троянцем Carberp были зафиксированы нами в начале 2010 года, а пик его активности в этом году приходится на конец весны и лето, причем с началом осени опять увеличилось число инцидентов, связанных с этой программой.
Блог компании ESET NOD32 → KeygenME PWNED
Наш конкурс на взлом KeygenME завершен, и пришло время подводить итоги.
Ответов было много, и на решение по призовым местам влияло несколько факторов. На первом месте, конечно же, было наличие самого правильно решения, на втором — временный диапазон, за который было отправлено решение (пришло много правильных ответов, и их нужно было как-то отфильтровывать) и третий критерий — стабильность работы кейгена.
Ответов было много, и на решение по призовым местам влияло несколько факторов. На первом месте, конечно же, было наличие самого правильно решения, на втором — временный диапазон, за который было отправлено решение (пришло много правильных ответов, и их нужно было как-то отфильтровывать) и третий критерий — стабильность работы кейгена.
Блог компании ESET NOD32 → Почувствуй себя вирусным аналитиком
Все, все, все хабролюди!
Если у вас есть тяга к исследованиям, и вы обладаете знаниями в реверс-инжениринге, то у вас есть возможность почувствовать себя настоящим вирусным аналитиком и одолеть наш квест.
Из недр вирусной лаборатории ESET мы достали секретное задание для самых увлеченных исследователей, которые смогут проверить свои знания по реверсингу и не только.
Если у вас есть тяга к исследованиям, и вы обладаете знаниями в реверс-инжениринге, то у вас есть возможность почувствовать себя настоящим вирусным аналитиком и одолеть наш квест.
Из недр вирусной лаборатории ESET мы достали секретное задание для самых увлеченных исследователей, которые смогут проверить свои знания по реверсингу и не только.
Блог компании ESET NOD32 → Duqu: история Stuxnet продолжается…
На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.
Персональные блоги → Будь готов! Всегда готов!
Допустим, вы являетесь специалистом по информационной безопасности, системным администратором, сотрудником тех. поддержки или другим специалистом в области ИТ — в этом случае у вас, наверняка, имеются под рукой различные инструменты из области LiveCD\Rescue Disk. Каким образом они помогают вам решить проблемы, связанные с вирусным заражением и поломкой системы, когда инцидент возникает на удаленных системах (серверах, на ноутбуках сотрудников, находящихся в командировке или у знакомых и друзей, которые обращаются к вам за помощью как специалисту)?
Linux для всех → Зеркало сервера обновлений ESET на Linux из песочницы
Каждый из вас, кому приходится держать корпоративный linux-сервер может сталкивается с тем, что у замечального антивируса ESET нет сервера обновлений под linux, виртуалку windows с ESET Remote Administrator Server под такое поднимать, конечно, нет желания, а это значит настала пора его написать самим. Тема не претендует на новшество, этот вопрос достаточно рассмотрен в интернете, однако, мне не попадалось хороших решений, давайте же доведем скрипт до ума. Наш скрипт должен уметь находить новые пароли к официальным серверам на просторах интернетов и поддерживать базы для всей линейки продуктов, таких как Smart Security, Business Edition, Home Edition, Exchange Server.
Оставим легитимность данных действий на вашей совести, статья дается для ознакомления с особенностями обновления баз антивируса, и не является руководством к нарушению законности. Во избежание нарушений вы должны пользоваться только Evaluation License от ESET.
Итак, неонка внутре:
Оставим легитимность данных действий на вашей совести, статья дается для ознакомления с особенностями обновления баз антивируса, и не является руководством к нарушению законности. Во избежание нарушений вы должны пользоваться только Evaluation License от ESET.
Итак, неонка внутре:
Информационная безопасность → Epic Fail от IDA и Eset
Всем привет!
Сегодня, буквально часы назад пролетела новость — в паблике появился весь комплект давнего лакомого кусочка хакеров, кардеров и крякеров — последняя версия интерактивного дизассемблера IDA со всем прилагающимся инструментарием.
Конкретно, зарелизили:
Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW
Hex-Rays.IDA.Pro.Advanced.SDK.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.FLAIR.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.IDS.Utilities.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.LOADINT.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.TILIB.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.v6.1.TVision.v2009b.Source-RDW
Количество ссылок в сети сейчас растёт с геометрической прогрессией.
Ну ещё один лик, спросите Вы, и что тут такого, чтобы выкладывать на Хабре в разделе Информационной безопасности? Всё дело скрывается в надписи, которая приведена в заголовке этой статьи.
Информационная безопасность → Один ботнет чтоб править всеми — Alureon (TDL-4)
Каждый раз, когда очередной ботнет оказывается побежден совместными силами частных компаний и правительственных организаций — ему на смену приходит следующий, более продвинутый и изощренный. Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.
Kaspersky Lab проанализировала деятельность одного из самых интересных ботнетов, активно функционирующих в настоящее время — т.н. Alureon, построенного на базе руткита TDL-4 (о котором на Хабре недавно писала в своем блоге компания Eset). А посмотреть здесь, действительно, есть на что — ведь архитектура ботнета и лежащей в его основе технологии была моментально охарактеризована различными Интернет-изданиями, как «неразрушимая». 4,5 миллиона зараженных машин тоже дают намек на силу используемой архитектуры.
Собственно, TDL-4 был изначально спроектирован с целью избежать уничтожения или удаления — силами закона, антивирусной программы или конкурирующими ботнетами. При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО, для того чтобы пользователь машины не заметил странного поведения машины и не попытался восстановить ее нормальную работу. Цель ясна как белый день — руткит старается оставаться незаметным, ведь в большинстве ситуаций именно пользователь, а не программа, замечает изменения в работе компьютера (резкие «выбросы» пакетов с данными, снижение производительности и т.д.).
Для того, чтобы мимикрия была максимально эффективной, руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей. TDL-4 так же шифрует сетевой траффик с помощью SSL для того чтобы избежать обнаружения другими программами, как полезными, так и вредоносными.
Блог компании ESET NOD32 → Криминалистическая экспертиза зараженных TDL4 компьютеров
Началось все с того, что в начале прошлого лета у нас появился ряд задач, связанных с быстрым извлечением скрытого контейнера файловой системы руткита Win32/Olmarik, тогда еще в версии TDL3. Немного поразмыслив, мы разработали первую версию утилиты TdlFsReader, которая справляется с TDL3 и TDL3+. Через какое-то время она была опубликована в свободном доступе и многим помогла в задачах криминалистических экспертиз. Однако в конце лета появилась четвертая версия данного руткита, которая имела уже принципиальные отличия в файловой системе: теперь это уже больше походило на полноценную файловую систему.
Блог компании ESET NOD32 → Эволюция руткита TDL4 или полевые сводки последних месяцев
Мы уже давно ведем пристальное наблюдение за TDL4, а также за ботнетами, основанными на этом семействе руткитов. Но в последнее время особенно интересно было наблюдать за выходом исправлений со стороны Microsoft для блокирования методов загрузки неподписанных драйверов для x64 систем, использованных для установки Win64/Olmarik.
Начнем издалека, итак в апрельский день Х помимо всех остальных вышло исправление KB2506014, задачей которого было внести несколько изменений в модуль winloader.exe для x64 версий ОС и таким образом противодействовать загрузке не подписанных драйверов. До установки патча BCD (Boot Configuration Data) имеет три различных опции загрузки:
BcdLibraryBoolean_DisableIntegrityCheck – принудительное отключение проверки (чаще всего используется для отладочных целей);
BcdOSLoaderBoolean_WinPEMode – отключение в режиме установки или восстановления ОС
BcdLibraryBoolean_AllowPrereleaseSignatures – разрешить загружать модули имеющие тестовую цифровую подпись
Начнем издалека, итак в апрельский день Х помимо всех остальных вышло исправление KB2506014, задачей которого было внести несколько изменений в модуль winloader.exe для x64 версий ОС и таким образом противодействовать загрузке не подписанных драйверов. До установки патча BCD (Boot Configuration Data) имеет три различных опции загрузки:
BcdLibraryBoolean_DisableIntegrityCheck – принудительное отключение проверки (чаще всего используется для отладочных целей);
BcdOSLoaderBoolean_WinPEMode – отключение в режиме установки или восстановления ОС
BcdLibraryBoolean_AllowPrereleaseSignatures – разрешить загружать модули имеющие тестовую цифровую подпись