Блог компании ESET NOD32 → Carberp, Facebook и ddos.plug
Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
Информационная безопасность → Сеть сайтов, распространяющих вирусы под видом инструкций и прошивок для мобильных телефонов
(Источник картинки)
Всё началось с того, что мне понадобился запасной мобильный телефон. Понимание необходимости запасной «звонилки» пришло после того, как разряжающийся под конец дня до потери сознания (буквально) смарт во второй раз оставил без связи в критической ситуации. Так или иначе, но выбор пал на МТС-252. Несмотря на то что использовать телефон с другими операторами я не собирался, хакер во мне потребовал поискать информацию о возможности и способе «отвязки» от МТС.
Информационная безопасность → DroidKungFu-разбор полетов malware на Android из песочницы
Новостная сводка:
Весной сего года из AndroidMarket было удалено 21 приложение, под которыми скрывалась вредоносная программа DroidDreamLight. После установки, уличенные приложения отправляли довольно приличный объем пользовательской информации, хранящейся на гуглофонах.
И вот, в июне этого года, сотрудники Университета штата Северная Каролина сообщили, что была обнаружена новая версия вредоносной программы DroidKungFu.
Информационная безопасность → Google помогает бороться с вирусами
Google начинает вести борьбу с вредоносными программами, которые тайно перехватывают контроль над браузерами под управлением Windows.
Информационная безопасность → В Chrome появится система обнаружения зловредного ПО
Chrome, браузер от Google, нравится многим не только минималистичным дизайном, скоростью работы и прочими «плюшками», но и постепенным обрастанием браузера функционалом, позволяющим сделать работу в Сети более безопасной. Так, широкое одобрение пользователей получила технология Sandbox. На днях разработчики сообщили о вводе в работу еще и простой системы защиты от скачивания зловредного обеспечения.
Вирусы (и антивирусы) → Оценка вредоносности файлов с помощью песочниц: Часть 2. Анализ в оффлайн
Итак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.
Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:
— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска
В этом случае на помощь нам приходит оффлайн-решение проблемы.
Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:
— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска
В этом случае на помощь нам приходит оффлайн-решение проблемы.
Вирусы (и антивирусы) → Оценка вредоносности файлов с помощью песочниц: Часть 1. Онлайн-сервисы
В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.
Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?
Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?
Информационная безопасность → Кому я нужен?
0x00 Предисловие
Навеяно недавним постом о безопасности клиент-банков. Почитал комментарии и понял что данная тема видимо плохо освещена на Хабре. Посвящается всем кто любит покричать «Да что хакер может взять на моем компьютере», «Да кому я нужен». Что происходит? А главное как утекают деньги со счетов? Интересно? Добро пожаловать под хабракат.
Навеяно недавним постом о безопасности клиент-банков. Почитал комментарии и понял что данная тема видимо плохо освещена на Хабре. Посвящается всем кто любит покричать «Да что хакер может взять на моем компьютере», «Да кому я нужен». Что происходит? А главное как утекают деньги со счетов? Интересно? Добро пожаловать под хабракат.
Информационная безопасность → Цифровые подписи в исполняемых файлах и обход этой защиты во вредоносных программах
Хабрапривет!
Ну вроде как удалось решить вопросы с кармой, но они ником образом не касаются сегодняшней темы, а лишь объясняют некоторое опоздание её выхода на свет (исходные планы были на ноябрь прошлого года).
Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.
Персональные блоги → Хакеры случайно отправляют свой вредоносный код в Microsoft
Согласно одному из старших архитекторов безопасности Рокки Хекмену (Rocky Heckman),
Когда в процессе разработки вирусов, сами вирусы падают с ошибкой, код зачастую отправляется напрямую в Microsoft.
Когда хакерское приложение падает в Windows, как и со всеми типичными падениями система предложит пользователю отправить детали ошибки — включая вредоносный код — в Microsoft.
Как заметил Хекмен, самое забавное что многие жмут «Отправить».
«Люди отправляют нам код вируса когда в процессе разработки оно постоянно падает.», говорит Хекмен.
«Удивительно сколько материала мы собираем.»
Когда в процессе разработки вирусов, сами вирусы падают с ошибкой, код зачастую отправляется напрямую в Microsoft.
Когда хакерское приложение падает в Windows, как и со всеми типичными падениями система предложит пользователю отправить детали ошибки — включая вредоносный код — в Microsoft.
Как заметил Хекмен, самое забавное что многие жмут «Отправить».
«Люди отправляют нам код вируса когда в процессе разработки оно постоянно падает.», говорит Хекмен.
«Удивительно сколько материала мы собираем.»