Pull to refresh
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 44: тихая охота, или Carbanak в помощь, зачем Firefox функции Tor Browser, лазейка в Google-«баганайзер»

Reading time 3 min
Views 7.3K
Кто не знает Carbanak? Несколько лет назад эти ловкие ребята умело увели, по некоторым данным, до миллиарда долларов из доброй сотни банков России, Украины, США и даже Японии. Наши эксперты выявили группу злоумышленников под кодовым именем Silence, которая старательно копировала лучшие техники Carbanak в попытках добраться банковских счетов.

Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.

Silence использует проприетарный формат интерактивной справки Microsoft (Compiled HTML Help или CHM). После того, как жертва открывает вложение, стартует содержащийся в нем файл «start.htm» с JavaScript внутри, целью которого является скачивание дроппера с заданного адреса для выполнения следующего этапа. Дальше — больше: дроппер подгружает троянца Silence, модули которого функционируют как службы Windows. Среди них: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программа для удаленного выполнения консольных команд.

Вольготно обосновавшись в заражённой сети злоумышленники начинают партизанить — копить данные, записывать изображения с экранов жертв, вычисляя “дойных коров” — обладателей нужной информации. Как только им удается докопаться до “правды” — алгоритма работы инфосистем таких сотрудников — финансы плавно снимаются со счетов и перекочевывают в карманы злоумышленников.

Mozilla убирает слежку из Firefox


Бывало гордо отказываешься от сохранения cookie, заходишь на новый сайт и думаешь, что остался не замеченным. Но на самом-то деле тебя, скорее всего, посчитали. Просто сделали это чуть более изощренным способом. Один из множества таких инструментов — Canvas Fingerprinting.

В чем суть? На многих сайтах, установлен специальный код отслеживания. Он «просит» у браузера нарисовать скрытое изображение, причем из-за особенностей конкретной системы (GPU, драйвера, версии браузера и так далее) изображение получается не менее уникальным, чем человеческий отпечаток пальца. Так что компьютер надежно идентифицируется. Использоваться это знание может с очень разными целями. Чаще всего – для показа правильной рекламы. А отключить Canvas Fingerprint в популярных браузерах фактически невозможно.

В январе 2018 года Mozilla обещала сделать «поддержку» Canvas Fingerprint отключаемой. Эта опция станет доступной в Firefox 58. Занятно, что функция блокировки Canvas Fingerprint приехала в Firefox прямиком из Tor Browser, который базируется на коде Firefox. Раньше-то функции мигрировали как раз из Firefox в Tor. Остается понять что делать с остальными фингерпринтами и можно будет жить спокойно.

Зачем ломать замок, если можно зайти в хранилище ключей?


Программист Алекс Бирсэн (Alex Birsan) недавно заработал 15 тысяч долларов за то, что указал на уязвимость в Google’s Issue Tracker, позволяющую получить информацию из внутреннего хранилища багов, которое в Google ласково называют Buganizer’ом.

Добавлять туда информацию может каждый обладатель аккаунта Google, но вот список открытых проблем доступен только сотрудникам корпорации добра. По крайней мере, так задумывалось. Алекс нашел способ при помощи Java-скрипта (через POST-запрос) получать полное описание багов. Он, правда, тут же уточняет, что сам не курил, это мальчишки соседние курили, а он просто рядом стоял. В смысле, в описания багов не вчитывался и никаких секретов не запомнил. Теперь, конечно, лазейка закрыта, а Бирсан на премию может купить себе что-нибудь приятное.

Стоит заметить, что это не первая история с несанкционированным доступом в хранилище уязвимостей, принадлежащее компании такого уровня. Нечто похожее случилось в 2013 году с Microsoft. А ведь, казалось бы, именно такие сервисы и должны оберегаться особенно тщательно, тем более, что их держат абсолютно все IT-компании. Потенциально злоумышленник может получить не только сотни заботливо описанных и проверенных уязвимостей оптом, но и вмешаться в работу трекера. Поменять статус понравившейся уязвимости на более низкий или просто закрыть тикет, как неподтвердившийся. Теоретически это может позволить отсрочить закрытие уязвимости на неопределенный срок.

Древности


Семейство «Siskin»

Неопасные резидентные вирусы, стандартно поражают COM-, EXE- и OVL-файлы. Ежемесячно 7-го числа исполняют три мелодии (одна из них – «Чижик-Пыжик»). Перехватывает int 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:
Hubs:
+12
Comments 6
Comments Comments 6

Articles

Information

Website
www.kaspersky.ru
Registered
Founded
Employees
5,001–10,000 employees
Location
Россия