RSS-материал

Технические новинки в области информационной защиты и нападения: теоретические исследования и реальные события.

  • Важнейшие уязвимости нулевого дня (0-day);
  • Интересные теоретические разработки и публикации (Proof-of-concept);
  • Технические подробности крупнейших инцидентов;
  • Новые технологии вредоносных программ;
  • Передовые технологии защиты.

Группа является открытой. Вступить может любой зарегистрированный участник Ассоциации RISSPA.

При информационной поддержке:

Изображение

Третий выпуск онлайн-журнала "NO BUNKUM"

Опубликовано alisa в Ср, 04/08/2010 - 21:35

 

«NO BUNKUM» (www.nobunkum.ru) - первый профессиональный журнал о технологиях информационной безопасности на русском языке.

Читайте в новом номере:

О профессиональных приёмах быстрого анализа полиморфных и зашифрованных исполняемых модулей при помощи редактора HIEW.

О классических технологиях заражения исполняемых файлов и их лечении, на примере вируса Win32.Parite.

О новых сложноудаляемых троянах, заражающих главную загрузочную запись жёсткого диска: буткитах Alipop, Mebratix и Black Internet. 

О вскрытии крупнейшего ботнета в мире и анализе его внутренних механизмов.

О современных технологиях финансового кибер-мошенничества и об атаках на большинство популярных платформ ДБО российского производства.

Активные атаки по уязвимости CVE-2010-1297 (PDF, SWF)

Опубликовано alisa в Ср, 16/06/2010 - 19:46

В настоящий момент активно эксплуатируется новая уязвимость в продуктах Adobe (CVE-2010-1297). Атака может осуществляться при помощи html-файла с внедренным объектом Flash (SWF), либо документа в формате PDF. Вектора заражения - веб, e-mail. При успешной атаке запускается троян-загрузчик.

Список уязвимых версий

Технический анализ

Timeline:

??? - неопознанная уязвимость in the wild

04 июня - официальное сообщение об уязвимости от вендора

10 июня - выпущено обновление !только! для Flash Player

29 июня планируется обновление для Acrobat/Reader 

Таким образом, в настоящий момент приложения для просмотра PDF от Adobe являются уязвимыми. Будьте осторожны с PDF-ками и удалите файл authplay.dll в директории программы. (А еще лучше - всю папку Adobe).

KHOBE - 8.0 Новый способ обхода антивирусной защиты

Опубликовано ELpH в Ср, 12/05/2010 - 09:30

Интересно было бы обсудить:

"По словам исследователей Якуба Бржечки (Jakub Břečka) и Давида Матоушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET,  McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус." compulenta.ru

Подробнее

Новые технологии ботов TDSS

Опубликовано alisa в Ср, 05/05/2010 - 14:19

Думаю, что руткит TDSS (TDL, Alureon, Tidserv.....) не нуждается в специальном представлении. По статистике антивирусной лаборатории Microsoft, TDSS (в их нотации - Alureon) на третьем месте по числу вылеченных машин в апреле. Ботнет на основе TDSS входит в TOP10 крупнейших ботнетов в мире. По нашим данным, цифра "1,5 млн" зараженных машин только в US сильно занижена. 

Как же удалось этому ботнету быстро (всего за год-полтора) и бесшумно разрастись до такого масштаба? Секрет прост: ставка на обход антивирусов и новые технологии. Еще один фактор успеха этого ботнета - продуманная партнерская схема распространения ботов, но это тема для отдельного обсуждения.

Для начала - небольшая иллюстрация к вышеупомянутому секрету.

Антивирусы-лузеры

На этой диаграмме отображена статистика по антивирусам, установленных на машинах пользователей одновременно с заражением TDSS. Статистика собрана утилитой TDSS Remover. Подробности об исходных данных для этой диаграммы - в моем блоге (на англ.)

Теперь о технологиях. Обход защиты - более простая задача, чем кажется на первый взгляд. С момента создания TDSS его разработчики успешно и с неизменной оригинальностью решают эту задачу: по мере того, как антивирусы обновляются - обновляются и технологии бота.

Первые экземпляры TDSS использовали системный механизм пред-загрузки часто используемых системных библиотек (KnownDLLs) не только для обхода активной антивирусной защиты на этапе инсталляции, но и для обхода фаервола, что обеспечивалось выполнением кода в контексте доверенного процесса.

С тех же времен и по сей день использовалась другая техника обхода - загрузка вредоносной библиотеки под видом модуля диспетчера печати. Возможно ли предусмотреть подобные ходы при разработке защиты?  

В конце прошлого года руткит радикально обновился: теперь его инсталляция, автозагрузка и, отчасти, защита от антивирусов обеспечивается заражением системных драйверов. При этом основное тело бота не существует в виде отдельного файла, а хранится в последних секторах диска, в собственной файловой системе. 

Недавно (апрель 2010) вышла новая версия бота (3.273). После чего антивирусы и специализированные утилиты-лечилки, как всегда, оказались в ауте. Перечислю основные нововведения в этой версии.

1. Для обхода антивирусов теперь используется функция AddPrintProvidor - вместо AddPrintProcessor, которую HIPS и проактивные антивирусы научились блокировать.

2. Руткит начал фильтровать IRP коммуникации с устройствами SCSI, используемые некоторыми утилитами-лечилками и, таким образом, обошел последние.

3. Изменился механизм заражения системных драйверов. В частности, теперь заражается случайный драйвер - вместо целенаправленного заражения atapi.sys/iastor.sys, как было в предыдущей версии руткита. Тело инфектора теперь зашифровано.

Внесены некоторые другие изменения, что более детально описано в нашем блоге

Такова реальность на сегодняшний день. А каков ваш опыт? Доводилось ли сталкиваться с заражением системы в обход антивирусов? С использованием новых технологий для обеспечения эффективной атаки?