- Nástroje -

- Nástroje -

Poslední aktualizace v 22.07.2014 12:33:37

Úvod Aktualizace Bezpečnost Blog Hacking Hardware Hrozby Incidenty IT Kriminalita Kyber OS Ostatní Rizika Software Zabezpečení

Kali NetHunter změní Nexus zařízení do přenosných hackerských nástrojů
2.10.2014 Nástroje
Offensive Security, bezpečnostní školení společnost za Kali Linux, populární Debian-založené OS je určen pro digitální forenzní a penetrační testy, a Kali člen komunity "BinkyBear" vytvořili další skvělý nástroj pro pentesters: NetHunter . "NetHunter je Android penetrační testování platformy pro Nexus zařízení postavené na vrcholu Kali Linux, "vysvětlila společnost na oficiálních internetových stránkách nástroje. "Samozřejmě, že máte k dispozici všechny obvyklé nástroje Kali NetHunter stejně jako možnost získat plnou VNC relace z telefonu do grafického Kali chroot." Ale NetHunter OS má také další funkce, jako je předprogramovaných HID Keyboard útoky ( zapne zařízení a jeho OTG kabel USB do předem naprogramované klávesnici), BadUSB Man In The Middle útoky, jedním kliknutím MANA Evil Access Point setupy (pro provedení Wi-Fi AP a MITM útoky), a tak dále .
To je jen začátek, říkají, protože doufají, přidat nové funkce pomocí komunity. Ti, kteří chtějí vyzkoušet NetHunter můžete tak učinit ihned, protože nástroj je open source a zdarma k použití. Jediné, co musí mít, aby to fungovalo tak, jak má, je zařízení Google Nexus (5, 7 nebo 10). nástroj v současné době nefunguje dobře na non-Nexus zařízení Android, protože je navržen tak, aby využívání specifických zdrojové kódy jádra v Tým se podařilo získat od společnosti Google. "Je možné vytvořit" rootfs "NetHunter pouze fotografie, které nezahrnují naše vlastní jádro, takže je k dispozici jako HID, Wi-Fi připojení na injekci a BadUSB nebude fungovat, a obecně," Váš se může lišit "vysvětlili." Neposkytujeme podporu pro tento i když, takže jste na vlastní pěst. "

Bezplatný nástroj zjednodušuje SHA-2 migraci pro správce systému
29.9.2014 Nástroje
DigiCert vydala bezplatný nástroj, který pomáhá správcům systému analyzovat jejich použití SHA-1 šifrovací algoritmy v rámci všech domén a subdomén a zmapovat cestu pro SHA-2 migraci. oznámení společnosti Google, že by urychlit odmítání SHA-1 certifikátu , včetně poskytování nedůvěryhodný upozornění na místa s SHA-1 certifikáty, jejichž platnost skončí v roce 2016, je nezbytné pro mnoho správců přejít na SHA-2, které již v listopadu nebo riziko jejich zákazníci obdrží degradované indikátorů důvěry v Chrome. Použití DigiCert SHA-1 Sunset nástroj , Správci mohou určit období platnosti pro jejich SHA-1 SSL certifikátů a získávat informace o tom, jak nová politika společnosti Google bude mít vliv na interakci uživatele s těmito certifikáty. DigiCert vydává nové certifikáty s SHA-2, ve výchozím nastavení, a učinil tak za téměř rok. Pro ty, kteří se rozhodli přenést své stávající SHA-1 na novou DigiCert vydaného certifikátu SHA-2, bude DigiCert poskytovat bezplatnou výměnu odpovídající délku stávající licenční certifikát období, bez ohledu na to, zda jsou či nejsou zákazníky DigiCert. "S rušné vánoční nákupní sezóna přibližování a hrozba nižší úrovně zkušeností důvěru uživatele rýsuje pro uživatele Chrome, DigiCert podniká další kroky, které pomohou zmírnit břemeno zrychlených SHA-2 migračních časových pro správce, "řekl generální ředitel DigiCert Nicholas Hales. "Náš nový SHA-1 Sunset nářadí ušetří čas a úsilí tím, že poskytuje komplexní analýzu organizace certifikátu krajinu, včetně tam, kde existují SHA-1 certifikáty, které software a hardware podpora SHA-2, a hodnocení toho, jak nové časové osy Google může mít vliv na danou lokalitu. Také jsme pochopili, že SHA-2 migrace zahrnuje systém a zařízení upgrady nákladné pro organizace, a tak jsme se nabídnout, aby odpovídala zdarma na zbývající část funkčního období existující SHA-1 certifikátu, který je přeměněn na SHA-2. " Některé klíčové časové osy jsou důležité mít na paměti, pokud jde o Google SHA-1 odmítání:

Listopad 2014 - SHA-1 SSL certifikáty skončí kdykoliv v roce 2017 ukáže varování v Chrome.
Prosinec 2014 - SHA-1 SSL certifikáty, jejichž platnost skončí po 1.6.2016 se zobrazí varování v Chrome.
1. čtvrtletí 2015 - SHA-1 SSL certifikáty, jejichž platnost skončí nějaký čas v roce 2016 se zobrazí varování v Chrome.
Navíc, Microsoft oznámil následující SHA-1 odmítání časové osy:
01.01.2016 - Certifikační autority se musí zastavit vydávání nových SHA-1 SSL a podepisování kódu certifikáty.
Microsoft přestane věřit SHA-1 certifikátů podpisu kódu bez časových razítek.
01.1.2017 - Microsoft přestane věřit SHA-1 SSL certifikáty.

ISACA spouští COBIT 5 on-line
20.9.2014 Nástroje
ISACA spustila online verze COBIT 5 , informační centrum pro zlepšení řízení a správu podnikové IT. Nová on-line platforma pomáhá zvyšovat užitečnost COBIT 5 rámce, obchodní rámec, který pomáhá spravovat informace a rizika technologie, a COBIT skupinu výrobků.

Jak kybernetické incidenty a narušení bezpečnosti osobních údajů ve velkém měřítku i nadále eskalovat do počtu a dopadu, odhalují zásadní nedostatky v oblasti řízení IT v organizacích všech velikostí. Nedávná ISACA průzkum 1245 odborníků z 50 zemí, kteří stáhli COBIT 5 rámce vyplývá, že v tvář obchodní a technologické prostředí jejich podniky čelí během posledních 12 měsíců, v blízkosti 8 z 10 lidí (78 procent) uvedla, s efektivní správy IT na místě se stala cennější. "High-profil kybernetické hrozby podtrhly rizika a zranitelných míst v podnicích po celém světě, "řekl Robert E Stroud, CGEIT, CRISC, mezinárodní prezident ISACA. "Making COBIT 5 k dispozici v on-line, přizpůsobitelné formát rozšiřuje schopnost podniků na ochranu jejich informačních aktiv a zlepšit výkonnost podniku." Více než 70 procent respondentů průzkumu uvedla, že COBIT 5 jim pomohlo řešit praktické obchodní záležitosti. Když žádal, aby pořadí první čtyři způsoby, COBIT 5 těžila jejich organizace, se uvedené:

Lepší integrace obchodních a IT (73 procent)
Lepší řízení rizik (60 procent)
Lepší schopnost identifikovat mezery (49 procent)
Větší viditelnost s představenstvem (45 procent).
Nová on-line verze COBIT 5 umožňuje uživatelům přizpůsobit odpovědné, odpovědnou, který byl konzultován, informoval (raci), plánovač a cíle kaskáda nástroj pro své podnikání, nebo klienty. cílů a plánovač RACI usnadňuje použití COBIT předních uživatele přes výběr podniku, IT-související a Enabler cíle vycházející z potřeb zúčastněných stran. Plánovač RACI chart podporuje vybrané postupy správy a řízení.

Zdarma nástroj vám pomůže odrazit většinu kybernetických útoků
6.3.2014 Nástroje | KyberWar
Dnes na konferenci RSA Qualys oznámila, že spolupracuje s SANS Institute a Rady o kybernetické bezpečnosti vydat nový bezplatný nástroj, který pomůže organizacím realizovat Top 4 Critical Security Controls odrazit útoky. nový nástroj , pomáhá organizacím rychle určit, zda na PC v jejich prostředí, jsou řádně prováděny na ovládací prvky Top 4 kritické zabezpečení, které Rada na základě odhadů kybernetické bezpečnosti může pomoci společnostem zabránit 85% z kybernetických útoků. "Qualys Top 4 nástroj je velmi elegantní a efektivní řešení, které pomáhá i malé a velké podniky zjistit, jak odolné jsou na dnešních pokročilých hrozeb, "řekl Jonathan Trull, CISO pro stát Colorado." To je přesně ten typ veřejno-soukromého partnerství naše země potřebuje k řešení kybernetické útoky ohrožují naši ekonomiku a kritické infrastruktury. " Postaveno na QualysGuard Cloud Platform, nová Top 4 cloud služeb pomáhá firmám snadno a rychle zjistit, zda Windows PC v jejich prostředí, zavedli Top 4 ovládací prvky pro: 1. Aplikace Whitelisting - pouze umožňuje schválený software ke spuštění. 2. Aplikační záplatování - udržování aplikace, plug-iny a další software aktuální. 3. OS Instalace oprav - udržování operační systémy v aktuálním stavu pomocí nejnovějších oprav. 4. Minimalizace oprávnění správce -. zabránit škodlivému softwaru v provádění tiché změny IT administrátorům pak můžete použít zpráv z bezplatný nástroj pro sledování koncové body, které nejsou v souladu, a uplatňovala nezbytná opatření, aby byly odolnější vůči útokům. "Síla kritické bezpečnostních kontrol, které odrážejí kombinaci znalosti skutečných útoků a účinné obrany z odborníků, kteří mají rozsáhlé znalosti o současných hrozbách, "řekl Philippe Courtot, předseda představenstva a generální ředitel společnosti Qualys. "Postavili jsme to cloud službu ve spolupráci s SANS Institute a Rady kybernetické bezpečnosti, které pomohou organizacím zajistit, aby se tyto ovládací prvky jsou na svém místě a jako výsledek identifikace počítačů v jejich prostředí, které vyžadují okamžitou pozornost."

Rapid7 nabízí bezplatné nástroje a terabajtů vlastního výzkumu
01.10.2013. Nástroje
HD Moore, ředitel výzkumu v Rapid7, vyzval všechny bezpečnostní profesionálové spolupracovat na výzkumu v oblasti bezpečnosti a analýzu dat vytvořit větší povědomí a porozumění otázkám bezpečnosti a jejich důsledky. Pro usnadnění tohoto Rapid7 Labs zahájila projekt Sonar , které nabízejí bezplatné nástroje a terabytů dat z vlastních výzkumných snah. HD zahájila iniciativu během jeho proslov na DerbyCon 3.0, ve kterém on obhajoval internet rozsáhlá analýza jako praktický nástroj pro bezpečnostní odborníky smysluplně zlepšit jejich zabezpečení sítě. "Bezpečnostní problémy jsou běžné přes internet a situace se zhoršuje, a to lépe. Bezpečnostní komunita potřebuje spustit sdílení dat a pracují společně, takže můžeme identifikovat a řešit obrovské problémy, které nás, "řekl HD. "To není jen práce pro výzkumné pracovníky - všechny bezpečnostní profesionálové mohou být jejich vlastní výzkumný a 'prohledá všechny věci!" nebo přispívají ke společné analýzy. Snažíme se, aby se to snadné pro průměru, mělo chlap, které jim pomohou pochopit hodnotu údajů, které mají. " S cílem usnadnit tento společný přístup, Rapid7 Labs vytvořila a vyzdvihl řadu bezplatných nástrojů pro snímání a analýzy, včetně ZMap , Nmap, SSL certifikát grabbers, DNS zpětného vyhledávání skenování a další. terabytů dat z minulosti skenování internetového výzkumu je také k dispozici pro prohlížení a analýzu, například nálezy z celoročního Critical.IO skenování projektu řízeného Moore a Rapid7 Labs. Critical.IO zdůraznila řadu všudypřítomných bezpečnostních otázek, včetně chyb v UPnP, IPMI a sériového portu servery. Hodnota těchto druhů cyklech, ve zdůraznění rozšířenou nejistotu přes internet je také patrný v mnoha podobných iniciativ, jako je například Internet sčítání lidu 2012, Shodan, a nejnověji University of ZMap zprávy Michiganu. Zatímco hodnota těchto nálezů není nesporné, šetření byly tradičně považovány za území specializovaných výzkumných týmů, jako Rapid7 Labs a ZMap tým z University of Michigan. Rapid7 je přesvědčen, že tento přístup nebude efektivní při vytváření bezpečnější internet bez větší spolupráce s širší bezpečnostní komunity.

Nástroje pro prohlížení infikované webové stránky
29.9.2013 Hacking | Nástroje

Na ISC jsme měli ve své dnešní zprávě od Grega o obfuscated JavaScriptu na stránkách hxxp :/ / fishieldcorp.com /. Malý průzkum ukázal, že tento web byl napaden v minulosti. Nic mimořádného, jen další běh infekce mlýna stránkách.

Co stávka mě je, jak se povaha tohoto výzkumu se v posledních letech změnila. Není to tak dávno mimo kontrolu potenciálně infikovaného webové stránky by měly zúčastněné VM nebo kozího stroje a hodně trpělivosti a pokusů a omylů. V současné době existuje mnoho stránek, které budou dělat základy pro vás. Greg nám poslal odkaz na URLQuery , který zobrazuje spoustu informací o internetových stránkách, včetně skutečnosti, že tento člověk je nakažený.

Jsem stále stát fanouškem Sucuri pro tento typ výzkumu. Jako URLQuery Sucuri najde tento web infikován.

Sucuri také poskytuje některé další detaily, které jsou zajímavé. Výpis kódu JavaScriptu:

V tomto případě je to, co většina zaujalo mě, že tato černá listina stav na internetových stránkách.

V době mé recenzi se infekce stále vyzvednout různých Blacklist webových stránkách. Mezi dobou jsem tuto obrazovku, a když jsem skončil tento deník, SiteAdvisor si ji zvedl a budu předpokládat, že ostatní budou následovat v těsném závěsu.

Rozhodně jednodušší než v minulosti. Teď najít nějaký čas na tom pracovat JavaScript.

Blackhole
15.9.2013 Zdroj : Kaspersky Hacking | Nástroje
Exploit Pack.
V černé díry.
Exploit batohu úvodní stránku.
Exploit pro CVE-2012 - 5076.
Exploit pro CVE-2012 až 0507.
Exploit pro CVE-2013 - 0422.
Three-in-one.
Ochrana před zneužitím Java.
První fáze: blok přesměrování na cílovou stránku.
Druhá fáze: detekce modulem souborů antiviru.
Třetí fáze: podpis založený na detekci exploitů.
Fáze čtyři: proaktivní detekce využije.
Pátá fáze: detekce staženého malware (payload).
Závěr.
Dnes se využívá zranitelnosti v odůvodněných programů je jedním z nejpopulárnějších způsobů infikování počítačů. Podle našich údajů se uživatel stroje nejčastěji napadl pomocí exploitů pro Oracle Java zranitelnosti. Dnešní bezpečnostní řešení, jsou však schopny účinně odolávat drive-by útoky provedené pomocí exploitu balení. V tomto článku budeme diskutovat o tom, jak může být počítač napaden pomocí blackhole exploit kit a příslušné ochranné mechanismy, které mohou být použity.

Exploit Pack.
Zpravidla namísto použití jediného exploit, útočníci využívají ready-made sady známé jako exploit balení. To jim pomáhá výrazně zvýšit efektivitu "pronikání", protože každý útok může využít jednu nebo více využije pro softwarové zranitelnosti přítomných na počítači, že budou napadeni.

Zatímco v minulých činů a škodlivými programy stažené s jejich pomocí na počítači oběti byly vytvořeny stejnými lidmi, dnes tento segment na černém trhu pracuje na SaaS (Software as a Service) model. V důsledku dělby práce, každá skupina zločinců se specializuje ve své vlastní oblasti: některé vytvářet a prodávat Exploit Pack, jiné lákají uživatelům využívat počáteční stránky (řídit provoz), ještě jiní psát malware, který je distribuován pomocí drive-by útoky. Dnes, všichni cybercriminal chtějí nakazit běžných strojích, řekněme, varianta Trojan Zeus musí udělat, je koupit ready-made exploitu pack nastavit a získat co nejvíce potenciální oběti jak je to možné navštívit úvodní stránku (také tzv. landing page).

Útočníci používají několik metod k přesměrování uživatele na exploit smečky vstupní stránce. Nejnebezpečnější je pro uživatele hackerské stránky legitimních webových stránek a injekčních skripty nebo iframe prvky do jejich kódu. V takových případech, to je dost pro uživatele k návštěvě známé stránky pro drive-by útok bude zahájen a na exploit balení začít pracovat tajně. Počítačoví zločinci použít také legitimní reklamní systémy, spojovat bannery a oříšky na škodlivé stránky. Další metodou, která je populární mezi zločinci šíří odkazy na odkazované stránky ve spamu.

Infikování uživatelských stroje pomocí exploit balení: přehled diagram

Tam jsou četné Exploit balení na trhu k dispozici: Jaderná Pack, Styx Pack, BlackHole, Sakura a další. I přes různá jména, všechny práce těchto "řešení" stejným způsobem: každý exploit balíček obsahuje řadu hrdinských plus správce panel. Kromě toho, je provoz všech balení lze využít, na základě toho, co je v podstatě stejný algoritmus.

Jeden z nejznámějších Exploit balení na trhu se nazývá BlackHole. Obsahuje zneužití chyby zabezpečení v aplikaci Adobe Reader, Adobe Flash Player a Oracle Java. Pro maximální účinek se využívá zahrnuty v balení neustále měnit. Na začátku roku 2013 jsme se zabývali třemi využije pro Oracle Java z Blackhole balení, takže jsme zvolili BlackHole pro ilustraci provozní principy exploit balení.

V černé díry.
Je třeba poznamenat, že všechny údaje o hrdinských činech, obsah startovacích stránek a další specifické informace popisované v tomto článku (zejména názvy metod a tříd a hodnoty konstant), byl platný v době, kdy byl výzkum prováděn. Počítačoví zločinci se stále aktivně rozvíjet Blackhole: často upravit kód jednoho exploitu nebo jiný bránit detekci anti-malware řešení. Například, může se změnit dešifrovací algoritmus použitý jeden z využije. V důsledku toho mohou být některé kódu se liší od hodnoty uvedené v následujících příkladech, ale s nimi související principy provozu zůstávají stejné.

Máme-li vytisknout všechny proměnlivé údaje v malém typu písma.

Exploit batohu úvodní stránku.

Exploit batohu Úvodní stránka slouží k určení vstupních parametrů a rozhodování o exploit Pack je další akce. Vstupní parametry zahrnují verzi operačního systému na počítači uživatele, typ prohlížeče a plugin verze, jazyk systému atd. Zpravidla se využije být použity při útoku na systém, jsou vybírány na základě vstupních parametrů. Je-li software vyžaduje Exploit balení není přítomen na cílovém počítači, útok neuskuteční. Dalším důvodem útoku nemůže dojít, je, aby se zabránilo exploit balení, obsah dostaly do rukou odborníků v anti-malware společnosti nebo jiné výzkumníky. Například adresy počítačoví zločinci "černé listiny" může používat IP výzkumné společnosti (roboti, roboti, proxy servery), blokové exploity od spuštění virtuálních počítačů, atd.

Screenshot níže ukazuje vzorek kódu ze vstupní stránky Blackhole Exploit soupravy.

Screenshot kódu Blackhole Exploit z kitu úvodní stránku

I krátký pohled na screenshotu je dostačující vidět, že je kód JavaScript je popletl a většina informací jsou zakódovány.

Návštěva úvodní stránku bude mít za následek provedení kódu, který byl původně šifrována.

Algoritmus pro dešifrování kódu JavaScript, který byl v provozu v lednu 2013:

naplnění proměnné "z1 - Zn" se zašifrovaným datům,
pak tyto proměnné spojovat do jednoho řetězce a dešifrování dat takto: každé dva znaky (znak "-" je ignorován) jsou považovány tvoří 27-ary číslo, které je převeden do desítkové soustavy;
přidat "57" na získané hodnoty a podílet se na výsledku od 5;
převést výsledné číslo zpět na znak pomocí funkce "fromCharCode".
Kód, který provádí tyto operace je označena modrými ovály na obrázku výše. Druhá řada se skládá ze desetinných čísel od 0 do 255, které jsou převedeny na znaky pomocí ASCII tabulky. Oba fragmenty kódu získané přeměnou jsou prováděny pomocí "eval" příkaz (ukáže na screenshotu s červenými šipkami).

Celý algoritmus výše by byly realizovány s několika řádků kódu, ale zločinci používají speciální techniky (označené žlutými ovály na obrázek), aby se detekce složitější:

úmyslně způsobí výjimku s "document.body * = dokumentu" příkaz;
kontrolu styl prvního <div> prvku pomocí příkazu "document.getElementsByTagName (" d "+" iv ") [0] === style.left." "", všimněte si, že prázdné <div> prvek se za tímto účelem do dokumentu (v druhém řádku);
volání ", pokud (123)", což nedává smysl, protože tento výraz je vždy pravda;
rozbíjení názvy funkcí a následně zřetězení částí.
Kromě výše popsaných triků, zločinci využívat mnoho menší změny kódu, které mohou být překážkou signatur detekce. Přestože se náš antivirový program, například, obsahuje skript emulátor a jednoduché změny v konstant a operace nebude mít vliv na účinnost detekce, může výše popsané triky dělat věci těžší emulátoru taky.

Po dešifrování, kód se objeví v paměti RAM - budeme odkazovat na to jako "dešifrovaného skriptu". Skládá se ze dvou částí.

První část je modul založený na volném PluginDetect knihovny, který může být použit k určení verze a schopnosti většiny moderních prohlížečů a jejich zásuvné moduly. Počítačoví zločinci používají různé knihovny, ale tento modul je klíčovým prvkem každé exploit balení. BlackHole používá PluginDetect vybrat vhodné využije pro stažení v závislosti na softwaru nainstalovaného na počítači uživatele. Za "odpovídající" se rozumí takové zneužití, které mají nejvyšší šance na úspěšné spuštění a spuštění škodlivého kódu na konkrétním PC.

Druhá část "dešifrovaného skriptu" je kód odpovědné za zpracování výsledků produkované PluginDetect funkcemi a stahování se využije vybrány a jejich vypouštění.

V březnu 2013 BlackHole používá využije pro následující zranitelnosti:

Java verze od 1,7 do 1.7.х.8 - CVE-2012-5.076;
Java verze 1.6 nebo nižší než 1,6 až 1.6.х.32 - CVE-2012-0.507;
Java verze z 1.7.х.8 do 1.7.х.10 - CVE-2013 až 0422;
Adobe Reader verze pod 8 - CVE-2008-2992;
Adobe Reader verze 8 nebo 9-9,3 - CVE-2010 až 0188;
Adobe Flash verze od 10 do 10.2.158 - CVE-2011 až 0559;
Adobe Flash verze od 10.3.181.0 do 10.3.181.23 a pod 10.3.181 - CVE-2011-2.110.
Níže diskutujeme zneužití chyby zabezpečení Java.

Exploit pro CVE-2012 - 5076.

Technické detaily
Exploit pro CVE-2012 až 0507.

Technické detaily
Exploit pro CVE-2013 - 0422.

Technické detaily
Three-in-one.

Jak bylo uvedeno výše, jsou tři Java využívá v podstatě založen na stejném mechanismu: získají oprávnění a načíst užitečné zatížení, který stáhne a spustí cílový soubor. Tři využije také k témuž Java soubor třídy. To jasně ukazuje, že tatáž osoba nebo tytéž osoby se za vývojem těchto tří využije. Jediný rozdíl je technika používaná k získání neomezené oprávnění k souboru třídy.

Class soubor můžete stáhnout a spustit soubory, dešifrování pomocí parametrů předaných dešifrovaného skriptu. Aby detekce obtížnější, škodlivý stažený soubor je obvykle šifrována, a proto nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu.

Předávání parametrů přes dešifrovaného skriptu je pohodlný způsob, jak rychle se mění odkazů na užitečné zatížení: to vše se má změnit údaje o exploit smečky vstupní stránky, aniž byste museli znovu zkompilovat škodlivý Java applet.

Tři chyby diskutoval nahoře jsou tzv. logické nedostatky. Je nemožné kontrolovat využije pro takové zranitelnosti, které budou tyto automatické nástroje, jako ty, které monitorování integrity paměti nebo vytvoření výjimek. To znamená, že takové hrdinské činy nemohou být detekovány v aplikaci Microsoft DEP nebo ALSR technologie nebo jiné obdobné automatické nástroje. Nicméně, tam jsou technologie, které mohou vyrovnat s tím - příkladem je Kaspersky Lab Automatic Exploit Prevention (AEP).

Ochrana před zneužitím Java.
Přes veškerou snahu zločinci, dnešní bezpečnostní řešení účinně blokovat drive-by útoky provedené pomocí exploitu balení. Zpravidla ochrana proti zneužití obsahuje integrovanou sadu technologií, které blokují takové útoky v různých fázích.

Výše, za předpokladu, popis Blackhole exploit kitu operační principy. Nyní si ukážeme, pomocí řešení společnosti Kaspersky Lab jako příklad, jak se ochrana poskytovaná v každé fázi útoku pomocí Java využije z Blackhole. Vzhledem k tomu, i jiným způsobem, lze využít, balení působí, je podobný, který provádí v Blackhole, může ochranná konstrukce se zde hovoří se na ně vztahují, stejně.

Postupné ochranu proti drive-by útok

Níže diskutujeme, které součásti ochrany komunikovat pomocí škodlivého kódu a kdy.

První fáze: blok přesměrování na cílovou stránku.

Útok začíná, jakmile se uživatel dostane ke zneužití batohu vstupní stránku. Je však možné řešení zabezpečení WWW antivirus součást blokovat útok ještě před tím, než začne, tj. předtím, než skript na vstupní stránce je vypuštěn. Tato ochrana ověří součást adresy webové stránky, než je zahájeno. V podstatě je to jednoduchá kontrola dané stránky URL s databází škodlivých odkazů, ale to může blokovat uživatele před návštěvou exploit batohu vstupní stránku, za předpokladu, že jeho adresa je již známo, že patří do nebezpečného zdroje.

Díky tomu je nezbytné, aby dodavatelé antivirových přidat škodlivé odkazy do svých databází, co nejdříve. Škodlivé URL databáze může být umístěn na běžných strojích nebo v oblaku (tj., na vzdáleném serveru). V druhém případě, cloud technologie přispívají k minimalizaci časové prodlevy před bezpečnostní produkt začne blokovat nové škodlivé odkazy. "Doba odezvy" je snížena v tomto případě, protože řešení zabezpečení nainstalována na počítači uživatele dostává informace o nové hrozby, jakmile příslušný záznam je přidán ke škodlivému databáze odkazů, aniž by museli čekat na aktualizace antivirové databáze.

Počítačoví zločinci se na oplátku snaží změnit domén používané hostit využít stránky balení přistání často, aby se zabránilo bezpečnostní software blokování těchto stránek. To v konečném důsledku snižuje ziskovost jejich podnikání.

Druhá fáze: detekce modulem souborů antiviru.

Pokud má uživatel koneckonců dosáhl exploit batohu vstupní stránku, to je místo, kde součástí souboru antivirového modulu - statické detektoru a heuristická analýza - přijde dovnitř skenování exploit batohu vstupní stránku na výskyt škodlivého kódu. Níže budeme analyzovat provozní principy, výhody a nedostatky každého komponentu.

Statická Detektor používá statickou podpisy pro detekci škodlivého kódu. Tyto podpisy jsou spuštěny pouze specifické fragmenty kódu, v podstatě specifické sekvence bajtu. To je hrozba detekční metody, která byla použita v prvních antivirových řešení a jeho výhody jsou dobře známy. Patří mezi ně vysoký výkon a snadné ukládání podpisů. Vše detektor musí udělat, aby se přijít s verdiktem je porovnat kontrolní součet nebo bytového sekvence kódu analyzované příslušných záznamů v databázi antivirového. Podpisy jsou desítky bajtů ve velikosti a snadno nabitý, takže je lze snadno uložit. Nejvýznamnějším nedostatkem statického detektoru je snadnost, s jakou může být podpis "vyhnul". Všechny zločinci musí udělat, aby detektoru zastavit detekční objekt je změnit pouze jeden bajt. Tento nedostatek vede k druhému: velký počet podpisů potřebných k pokrytí velké množství souborů, což znamená, že databáze se rychle zvětšovat.
Heuristická analýza také používá databáze, ale pracuje na zcela jiném principu fungování. To je založeno na analýze objekty: shromažďování a inteligentně analýze dat objektu, určení modelů, atd. V případě, že výpočetní statistiky údaje vznikající v důsledku této analýzy odpovídá heuristické podpis, objekt je detekován jako škodlivý. Hlavní výhodou heuristické podpisu je, že umožňuje řešení pro detekci velký počet podobných objektů, za předpokladu, že rozdíly mezi nimi nejsou příliš velké. Nevýhodou je, že ve srovnání se zpracováním statické podpisy, může heuristický analyzátor je pomalejší a vliv na výkon systému. Například, pokud je heuristický podpis není určen efektivní, tj., jestliže to vyžaduje velký počet operací k plnění jeho kontroly, může ovlivnit výkon systému na stroji, na kterém je spuštěn antivirový řešení.
Aby nedošlo k objektu z odhalení pomocí statické podpis, zločinci třeba, aby minimální změny kódu objektu (skript spustitelný program nebo soubor). Tento proces může být do jisté míry automatizovat.

Chcete-li se vyhnout heuristické detekce malwaru spisovatel potřebuje provádět výzkum s cílem zjistit, jaký mechanismus se používá k detekci objektu. Když algoritmus byl zcela nebo částečně analyzována, musí být změny, které brání heuristické podpis byl opět spuštěn být ke škodlivému kódu objektu.

Je zřejmé, že "vyhýbání se" heuristický podpis nevyhnutelně trvá déle, než zločinci zabránit detekci pomocí statických podpisy. To znamená, že heuristické podpisy mají delší "životnost". Na druhou stranu, po malware autoři upravili objekt se vyhnout heuristickou detekci, to také zabere nějaký čas dodavatele antivirového softwaru vytvořit jiný podpis.

Jak bylo uvedeno výše, anti-malware řešení využívá různé soubory podpisů skenovat vstupní stránku. Ve svém tahu, tvůrci malwaru upravovat objekty na exploitu batohu úvodní stránce, aby se vyhnul podpis založený na detekci obou typů. I když je dostatečně jednoduše rozbít řetězce až do znaků vyhnout statické podpisy, vyhýbání se heuristiky vyžaduje využití jemnější funkce nabízené JavaScript - netradiční funkce, srovnání, logické výrazy, atd. Příkladem tohoto typu mlžení byl poskytnut v První část článku. To je v této fázi, že malware je často zjištěna, a to zejména v důsledku nadměrného kód zmatek v pojmech, které lze považovat za charakteristický rys škodlivé objekty.

Kromě databází uložených na pevném disku počítače, tam jsou podpisy umístěné v cloudu. Tyto podpisy jsou obvykle velmi jednoduché, ale extrémně krátká nové hrozby doba odezvy (až pět minut od vytváření podpisu na zpřístupnění v cloudu), znamená to, že uživatel stroje jsou velmi dobře chráněné.

Třetí fáze: podpis založený na detekci exploitů.

Je-li bezpečnostní řešení nedokáže rozpoznat úvodní stránku exploit balení, druhý přichází do provozu. Kontroluje, které pluginy jsou nainstalovány (Adobe Flash Player, Adobe Reader, Java Oracle, apod.) a rozhodne o tom, který využívá se stáhnou a spustit. Bezpečnostní řešení prohledá každý exploit být stahovaný stejným způsobem, jako tomu bylo exploit batohu vstupní stránku - pomocí souboru antivirový modul a cloudové podpisy. Útočníci ve svém tahu snaží vyhnout detekci pomocí určitých technik, které jsou podobné těm, které je popsáno výše.

Fáze čtyři: proaktivní detekce využije.

Pokud žádná ze složek odpovědných za reaktivní (signatur) ochrana zjistil něco podezřelého při skenování exploit balení, obsah a exploit zahájila, to je místo, kde Proaktivní ochrana moduly jsou dodávány dovnitř sledovat chování aplikací v systému v reálném čas a identifikovat jakýkoli škodlivou činnost.

Každá aplikace je rozdělena na základě informací poskytnutých heuristické analýzy, data z cloudu a dalších kritérií, jako "důvěryhodné", "Low omezeným", "High Restricted" nebo "nedůvěryhodné". Application Control omezuje vždy uvedena činnost na základě své kategorii. Aplikace v důvěryhodných třídě jsou povoleny všechny druhy činností, které jsou v nízké omezené skupině odepřen přístup k těmto zdrojům, jako uložení hesla, programy ve vysoké omezeným kategorii není dovoleno provádět změny v systémových složkách, atd. Všechny aplikací, které jsou zahájena, a všechny ty, provoz jsou analyzovány modul nazvaný Kontrola aplikací na produkty společnosti Kaspersky Lab. Tato komponenta sleduje provádění programu v systému pomocí low-level háčky.

Kromě výše uvedených, tzv. Behavior Stream Signatures (BSS) popisujících škodlivou činnost se používají k detekci nebezpečné chování aplikací. Tyto podpisy jsou vyvíjeny virovou analýzu a následně v porovnání s chováním aktivních aplikací. To umožňuje proaktivní ochranu odhalit nové škodlivé verze, které nebyly zahrnuty v nedůvěryhodné nebo Vysoké omezení kategorií. Je třeba poznamenat, že tento typ detekce je velmi efektivní, protože je založen na analýze údajů o skutečném použití ", aktuální aktivity spíše než statické nebo heuristické analýzy. To skýtá takové techniky jako kód mlžení a šifrování zcela neúčinné, protože v žádném případě vliv na chování škodlivého programu.

Pro přísnější kontrolou aplikace, aby se zabránilo jejich zranitelnost z vykořisťování, používáme technologii s názvem Automatická Exploit Prevention (AEP). Složka AEP sleduje každý proces, jak je spuštěn v systému. Konkrétně se kontroluje zásobník volání anomálií, kontroluje kód, který vysílá každý proces, atd. Kromě toho, že provádí výběrové kontroly dynamických knihoven načíst do procesů.

To vše brání a škodlivé procesy, od svého zrodu v důsledku využívající zranitelnosti. To je ve skutečnosti poslední linii obrany, které poskytují ochranu před zneužitím v případě, že ostatní součásti ochrany selhaly. Pokud aplikace, jako je například Oracle Java nebo Adobe Reader, chová podezřele jako výsledek vykořisťování, bude zranitelný legitimní žádost zablokován anti-malware řešení, brání exploit z udělání škody.

Protože ochrana v této fázi je založen na programu jednání, zločinci mají se používat důmyslné a pracné techniky se vyhnout proaktivní ochranu.

Pátá fáze: detekce staženého malware (payload).

Pokud exploit se zůstat nepovšimnuto, pokusí se stáhnout užitečné zatížení a spusťte jej v počítači uživatele.

Jak jsme psali výše, nebezpečný soubor je obvykle kódována, aby se detekce obtížnější, což znamená, že nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu. Potom soubor je buď spuštěn z paměti (obvykle se jedná o dynamické knihovny), nebo spadl na pevný disk a pak spustit z pevného disku.

Trik stahování zašifrovaného souboru PE umožňuje malware oklamat antivirová řešení, protože takové stažení vypadají jako obyčejné datové proudy. Je však nezbytné, aby exploit spustí dešifrovat spustitelný soubor na počítači uživatele. A anti-malware řešení bude v souvislosti s tímto soubor všech různých technologií pro ochranu zmíněných výše.

Závěr.
Exploit Pack jsou integrovaný systém pro útočení napadených počítačů. Počítačoví zločinci věnovat hodně času a úsilí, aby byla zachována účinnost exploit balení a minimalizovat detekci. Ve svém tahu, anti-malware společnosti neustále zlepšovat své bezpečnostní řešení. Anti-malware prodejci mají nyní celou řadu technologií, které mohou blokovat drive-by útoky na všech úrovních, včetně těch, které zneužívání zranitelnosti.

"Kimsuky" Operation: Severokorejský APT?

14.9.2013 Zdroj: Kaspersky Hacking | KyberVálka
Po několik měsíců jsme monitorovali probíhající kybernetické špionáže kampaň proti Jižní Koreje think-tanků. Existuje několik důvodů, proč tato kampaň je výjimečný ve svém provedení a logistiky. Všechno to začalo jednoho dne, když jsme se setkali s poněkud naivní špionážní program, který komunikoval jeho "master" prostřednictvím veřejné e-mailového serveru. Tento přístup je spíše vlastní mnoha amatérských virem spisovatelů a tyto útoky škodlivého softwaru jsou většinou ignorovány.

Nicméně, tam bylo pár věcí, které přitahuje naši pozornost:

Veřejnost e-mailového serveru v pochybnost byla Bulharština - mail.bg .
Kompilace řetězec cesty obsažené korejské hieroglyfy.
Tyto dvě skutečnosti nucen se blíže podívat na tento malware - korejské překladače vedle bulharských e-mailové velení a řízení komunikace.

Kompletní nalezena cesta v malware představuje některé korejské řetězce:

D: \ rsh \ 공격 \ UAC_dll (완성) \ Release \ test.pdb

"Rsh" slovo, podle všeho, znamená zkrácení "Remote Shell" a korejská slova mohou být přeloženy do angličtiny jako "útok" a "doplnění", tj.:

D: \ rsh \ ATTACK \ UAC_dll ( DOKONČENÍ ) \ Release \ test.pdb

Ačkoli úplný seznam obětí zůstává neznámý, se nám podařilo identifikovat několik cílů této kampaně. Podle naší technické analýzy, útočníci měli zájem zaměření těchto organizací. "

Sejong Institute

Sejong Institute je nezisková soukromá organizace pro veřejný zájem a vedoucí think tank v Jižní Koreji, provádí výzkum na strategii národní bezpečnosti, sjednocení strategie, regionální otázky a mezinárodní politické ekonomie.

Korea ústav pro obranu analýz (KIDA)

KIDA je komplexní obranný výzkum institucí, která zahrnuje širokou škálu produktů pro obranné účely záležitostí. KIDA je organizována do sedmi výzkumných center: Centrum pro bezpečnost a strategie, Centrum pro vojenské plánování, Centrum pro rozvoj lidských zdrojů, Centrum pro řízení zdrojů, Centrum pro studia zbraňových systémů; Centrum pro studium informační systém a Centrum pro modelování a simulace. KIDA má také IT Consulting Group a různé podpůrné oddělení. Kida posláním je přispět k racionální obranu politiky prostřednictvím intenzivní a systematické výzkumu a analýzy obranných otázkách.

Ministerstvo sjednocení

Ministerstvo sjednocení je výkonným útvarem Jihokorejská vláda odpovědná za činnost směřující k sjednocení Koreje. Jeho hlavní úkoly jsou: stanovení severokorejskou politiku, koordinaci inter-korejské dialog, sledovat inter-korejské spolupráce a vzdělávání veřejnosti o sjednocení.

Hyundai Merchant Marine

Hyundai Merchant Marine je jihokorejská společnost poskytující logistické služby po celém světě Kontejnerová přeprava.

Některé indicie rovněž naznačují, že počítače, které patří do "příznivců korejské sjednocení" ( http://www.unihope.kr/ ) byly také zaměřeny. Mezi organizacemi se počítá, jsou 11 se sídlem v Jižní Koreji a dvě jednotky jsou umístěny v Číně.

Částečně proto, že tato kampaň je velmi omezený a vysoce cílené, jsme se zatím nepodařilo zjistit, jak je to malware rozděluje. Škodlivého vzorky, které jsme našli, jsou v rané fázi malware nejčastěji dodává kopí phishingové e-maily.

Infikování systému

Počáteční Trojan kapátko je Dynamic Link Library fungující jako zavaděč pro další malware. Nezáleží udržovat vývoz a jednoduše přináší další šifrované knihovny zachována ve své části zdrojů. Tato druhá knihovna plní všechny funkce špionáže.

Při spuštění v systému Windows 7, škodlivý knihovna využívá frameworku Metasploit je open-source kód Win7Elevate na vložení škodlivého kódu do explorer.exe . V každém případě, ať už je to Windows 7 nebo ne, tento škodlivý kód dešifruje jeho špionážní knihovnu ze zdrojů, uloží na disk se zdánlivě náhodně, ale hardcoded jména, například ~ DFE8B437DD7C417A6D.TMP , v uživatelském dočasné složky a načte tento obrázek jako knihovna.

Tato další fáze knihovna kopíruje do System32 adresáře ve složce Windows po hardcoded názvu souboru - buď KBDLV2.DLL nebo AUTO.DLL , v závislosti na malware vzorku. Pak služba je vytvořen pro servisní DLL. Servisní jména také se mohou lišit od verze na verzi, jsme zjistili následující jména - DriverManage, webové služby a WebClientManager . Tyto funkce zajišťují malware vytrvalost narušenou OS mezi restartování systému.

V této fázi, malware shromažďuje informace o infikovaném počítači. To zahrnuje výstup systeminfo příkazu uloženého v souboru oledvbs.inc následováním hardcoded cesta: C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . Tam je další funkce nazvaná - malware vytvoří řetězec obsahující počítač a uživatelská jména, ale to není používán kdekoliv. Podle všeho se jedná o chybu v malware autorem. Později, přijdeme do funkce, takový řetězec by mohl být relevantní, ale malware není schopen najít tato data v místě, kde by měla být. Tyto kroky jsou přijata pouze v případě, že běží v infikovaném systému poprvé. Na startu systému, škodlivý knihovna provádí špionáž činnosti, které potvrzuje, že je načten obecným svchost.exe procesu.

Špehování moduly

Existuje mnoho škodlivých programů zapojených do této kampaně, ale kupodivu, každý z nich implementovat jednu špionážní funkce. Kromě základní knihovny ( KBDLV2.DLL / AUTO.DLL ), která je odpovědná za společnou komunikaci s jeho kampaně pána, byli jsme schopni najít modulů, které vykonávají následující funkce:

Klávesové zkratky protokolování
Výpis adresáře kolekce
HWP dokument krádeži
Dálkový ovladač ke stažení a spuštění
Dálkové ovládání přístupu
Vypnutí brány firewall

Na startu systému, základní knihovna zakáže systému firewall a všechny AhnLab firewallu (Jihokorejská bezpečnostní produkt prodejce) od vynulování související hodnoty registru:

= = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS2007 \ InternetSec FWRunMode = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS80 \ je fwmode = 0

To také vypne Centrum zabezpečení systému Windows službu, aby se zabránilo upozorní uživatele o zdravotně postižené firewall.

Není náhodou, že malware autor vybral AhnLab bezpečnostní produkt. Během našeho výzkumu Winnti , jsme se dozvěděli, že jeden z korejských obětí byl ostře kritizován v Jižní Koreji regulátorů pomocí zahraničních bezpečnostních produktů. Nevíme jistě, jak tato kritika ovlivnila další jihokorejské organizace, ale víme, že mnoho organizací, jihokorejský nainstalovat AhnLab bezpečnostní produkty. Proto tyto útočníci ani neobtěžujte se vyhnout výrobky zahraničních dodavatelů ', protože jejich cíle jsou pouze jihokorejská.

Jakmile je malware firewall zakáže AhnLab, zkontroluje, zda je soubor taskmgr.exe je umístěn v hardcoded C: \ WINDOWS \ složky. Pokud je soubor přítomen, spustí tento spustitelný soubor. Dále malware smyčky každých 30 minut, aby se zprávy a čekat na odpověď od operátora.

Komunikace

Komunikace mezi robotem a provozovatel protéká bulharské webové bezplatný e-mailový server ( mail.bg ). Bot udržuje napevno přihlašovací údaje pro jeho e-mailový účet. Po ověření, malware posílá e-maily na jinou přesně stanovenou e-mailovou adresu a čte e-maily z e-mailové schránky. Všechny tyto činnosti jsou prováděny pomocí "mail.bg" webové rozhraní s použitím funkcí systému WinInet API. Ze všech vzorků, které se nám podařilo získat, jsme extrahovali následující e-mailové účty použité v této kampani:

beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg
Zde jsou dva "master" e-mailové adresy, na které roboty posílat e-maily jménem výše uvedených účtů. Jsou zprávy o stavu a předávat infikované systémové informace prostřednictvím příloh:

iop110112@hotmail.com
rsh1213@hotmail.com
Pravidelné podávání zpráv

Chcete-li ohlásit nákazový status, malware čte z C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc který obsahuje systeminfo výstup příkazu. Pokud soubor existuje, je odstraněna po přečtení.

Pak to čte uživatelsky související informace ze souboru sqlxmlx.inc ve stejné složce (vidíme řetězce odkazující na "UserID" komentáře v této části kódu). Ale tento soubor nebyl nikdy vytvořen. Jak si jistě vzpomínáte, tam je funkce, která by měla tyto údaje shromažďovány a měl chytá do tohoto sqlxmlx.inc souboru. Nicméně, na prvním spuštění se shromažďují informace o uživateli uložené do " xmlrwbin.inc " . To v praxi znamená, že malware spisovatel chybně kódované bot pro uložení informací o uživateli do špatného souboru. Tam je šance na mylném kódu i nadále pracovat - údaje o uživateli mohou být zkopírovány do zasílat informace haldy. Ale ne v tomto případě - v době psaní, shromáždil informace o uživateli proměnné, které by měly směřovat k xmlrwbin.inc souboru dosud nebyla inicializována, což je soubor psát k nezdaru. Vidíme, že sqlxmlx.inc není vytvořena k ukládání uživatelských informací.

Dále jsou zachycené kláves číst ze souboru a poslal na master. Klávesové zkratky jsou zaznamenány a uchovávány v obyčejném a konzistentní podobě v tomto souboru - oba názvy oken, které byly zadány a klíče Skutečné pořadí Vstup z klávesnice. Tato data se nachází v souboru C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc vytvořen externí Key Logger modul.

Všechna tato data jsou sloučeny do jednoho souboru xmlrwbin.inc, který je pak šifrován s RC4. Klíčem RC4 je generován jako MD5 hash náhodně generované 117-bajtů vyrovnávací paměti. Aby bylo možné dešifrovat údajů by útočník určitě vědět buď MD5 hash nebo celý obsah bufferu. Tato data je také odeslána, ale RSA šifrovaný. Malware vytvoří 1120 bit veřejný klíč, používá k šifrování 117-bajtů vyrovnávací paměti. Malware pak spojí všechny údaje, které mají být odeslány jako 128 bajtů bloku. Výsledná data se uloží do C: \ Program Files \ Common Files \ System \ Ole DB \ do souboru s názvem podle následujícího formátu:

"<system Time> _ účtu> na bulharské e server>. Txt", například "08191757_beautifl@mail.bg.txt".

Soubor je pak připojen k e-mailu a poslal na magisterském e-mailový účet. Po přenosu, je okamžitě odstraněn ze systému oběti.

Získání magisterského údajů

Malware také načítá instrukce z poštovního serveru. Kontroluje e-maily v bulharském e-mailový účet s určitou značkou. Identifikovali jsme několik "Předmět značky" v síťové komunikaci: Down_0 , Down_1, Happy_0, Happy_2 a ddd_3 . Po nalezení a e-mail udržuje přílohu, malware stáhne a uloží tuto přílohu s názvem souboru " msdaipp.cnt " v C: \ Program Files \ Common Files \ System \ Ole DB \ . Útočník může poslat další spustitelné soubory tímto způsobem. Spustitelné soubory jsou šifrované RC4 a pak připojen. Klíč pro dešifrování je napevno ve škodlivých vzorků. Je zajímavé, že stejný " rsh! @! # "řetězec je zachována u všech známých vzorků a slouží ke generování klíčů RC4. Jak bylo popsáno výše, malware vypočítá MD5 tohoto řetězce a používá hash jako jeho klíč k dešifrování RC4 spustitelný. Potom je prostý spustitelný klesl na disk jako " sqlsoldb.exe " a spustit, a pak se stěhoval do C: \ Windows složky s názvem souboru "taskmgr.exe" . Původní e-mail a jeho přílohy jsou pak odstraněny z bulharského e-mailové schránky.

Key logger

Další Key Logger modul není příliš složitý - prostě zachycuje úhozy na klávesnici a zapíše zadané klíče do C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc, a také zaznamenává aktivní okno název, kde uživatel stiskl klávesy . Viděli jsme stejný formát v Madi malware . K dispozici je také jedním z klíčových logger varianta, která se přihlásí úhozů do C: \ WINDOWS \ Setup.log .

Výpis adresáře kolektor

Další program, poslal obětem výčet všech jednotek v infikovaném systému a spustí následující příkaz na ně:

dir <písmeno_jednotky>: / / s / t /-c

V praxi se tento příkaz zapsán do C: \ WINDOWS \ msdatt.bat a uskutečňuje výstup přesměrován do C: \ WINDOWS \ msdatl3.inc . V důsledku toho, tento udržuje seznam všech souborů ve všech složkách na disku. Malware později přečte, že údaje a připojí se k obsahu souboru C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . V tomto bodě, " oledvbs.inc "již ukládá systeminfo výstup.

Je zajímavé, že jeden vzorek z kolektoru výpisu adresáře byl napaden neslavný "Viking" virus čínského původu. Některé z těchto virových úpravy putovali ve volné přírodě na pět let a jeho autoři či provozovatelé nikdy očekávat, že to skončí v tajném APT související špionážní nástroj. Pro útočníky je to určitě velký neúspěch. Nejen, že původní špionáže mít program známky známého škodlivého softwaru, který může být detekován anti-malware produkty, navíc útočníci jsou odhalení jejich skrytých činnost cyber-kriminálními gangy. Nicméně, podle všeho, útočníci si všiml nežádoucí přírůstek do své malware a zbavil infekce. To byl jediný vzorek nesoucí Viking virus.

Kvůli drahé práci malware s různými další soubory, není to na místě ukázat tyto "vztahy" v diagramu:
HWP dokument zloděj

Tento modul zachytí NsP dokumentů na infikovaném počítači. Soubor HWP formát je podobný aplikace Microsoft Word dokumentů, ale podporuje Hangul, jihokorejský aplikace na zpracování textu ze svazku Office Hancom. Hancom společnosti je široce používán v Jižní Koreji. Tento malware modul pracuje nezávisle na ostatních a udržuje své vlastní bulharské e-mailový účet. Účet je napevno v modulu spolu s pánem na e-mail, na který se posílá zachycené dokumenty. Je zajímavé, že modul není vyhledat všechny soubory v NsP infikovaného počítače, ale reaguje pouze na ty, které jsou otevřeny uživatelem a ukradne jim. Toto chování je velmi neobvyklé pro dokument krást součásti a my nevidíme v jiných škodlivých toolkity.

Program kopíruje sám sebe jako <Hangul plné path> \ HncReporter.exe a změny standardního programu sdružení do registru otevřete NsP dokumentů. Provedete to tak, že změní následující hodnoty registru:

HKEY_CLASSES_ROOT \ Hwp.Document.7 \ shell \ open \ command
nebo
HKEY_CLASSES_ROOT \ Hwp.Document.8 \ shell \ open \ command
Ve výchozím nastavení je nastavení registru "<Hangul plný path> \ Hwp.exe" "% 1" sdružující Hangul aplikace " Hwp.exe " s dokumenty NsP Ale škodlivý program, nahradí tento řetězec s následující:.. "<Hangul úplná cesta> \ HncReporter.exe ""% 1 " . Takže, když se uživatel je otevření jakéhokoli dokumentu. NsP je malware program sám popraven otevřít. NsP dokument. Po tomto registru upravit, jakékoli otevření . HWP je dokument číst a poslat jako přílohu e-mailu s předmětem " NsP "na útočníky. Po odeslání malware vykonává skutečnou Hangul aplikaci pro zpracování textu " Hwp.exe " otevřete. NsP dokument jako uživatel zamýšlel. Znamená, že oběť pravděpodobně ani nevšimnete krádež. NsP souboru. Modul je zaslání rutinní závisí na následujících souborů v C: \ Program Files \ Common Files \ System \ Ole DB složky: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt a oledjvs.inc .

Dálkové ovládání modulu downloader

Další program je určen výhradně stahovat přílohy z příchozích e-mailů s určitou značkou. Tento program je podobný modul čepu, ale s omezenou funkčností: zachovává hardcoded bulharské e-mailový účet, přihlásí, čte příchozí e-maily a hledá speciálního předmětu tagu " týmu ". Když najde, načte související přílohu, klesne to na pevném disku jako C: \ Program Files \ Common Files \ System \ Ole DB \ taskmgr.exe a spustí. Tento konkrétní spustitelný dorazí bez šifrování.

Dálkové ovládání modulu

Je také zajímavé, že malware autor nebyl zakázku vytvořit backdoor program. Místo toho, autor upravené TeamViewer klientskou verzi 5.0.9104. Počáteční spustitelný tlačil útočníky v e-maily související s dálkovým ovládání modulu se skládá ze tří dalších spustitelných souborů. Dva z nich jsou součástí týmu Viewer sami, a jiný je nějaký backdoor nakladače. Takže, kapátko vytvoří tři soubory v C: \ Windows \ System32 adresáře:

netsvcs.exe - upravený Team Viewer klientem;
netsvcs_ko.dll - zdroje knihovna klienta Team Viewer;
vcmon.exe - installer / startér;
a vytváří služby " Remote Access Service ", upravena k provedení C: \ Windows \ System32 \ vcmon.exe při startu systému. Pokaždé, když vcmon.exe je proveden, zakáže AhnLab firewall od vynulování následující hodnoty registru:

HKLM \ SOFTWARE \ AhnLab \ V3 365 Clinic \ InternetSec
UseFw = 0
UseIps = 0
Pak se upraví nastavení Team Viewer registru. Jak jsme již řekli, komponenty Team Viewer použité v této kampani nejsou ty původní. Jsou mírně upraven. Celkově bylo zjištěno, dvě různé varianty pozměněné verze. Malware autor nahradil všechny položky z " TeamViewer strun "v týmu Viewer komponent. V prvním případě se " Goldstager "řetězec a řetězec" Coinstager "ve druhém. TeamViewer klienta Nastavení registru jsou pak HKLM \ Software \ Goldstager \ Version5 a HKLM \ Software \ Coinstager \ Version5 odpovídajícím způsobem. Launcher nastaví několik hodnoty registru, které řídí, jak nástroj pro vzdálený přístup bude fungovat. Mezi nimi je SecurityPasswordAES . Tento parametr představuje hodnotu hash hesla, s nimiž vzdálený uživatel má připojit ke klientovi Team Viewer. Tímto způsobem, útočníci nastavit předem sdílený ověřovací hodnotu. Za to, že startér provede samotnou Team Viewer klienta netsvcs.exe .

Kdo je Kim?

Je zajímavé, že pokles box mailových účtů iop110112@hotmail.com a rsh1213@hotmail.com jsou registrovány s těmito názvy "Kim": kimsukyang a "Kim asdfa" .

Samozřejmě, že nemůžeme být jisti, že se jedná o skutečné jména útočníků. Nicméně, není tento výběr často vidět. Možná je to také poukazuje na podezřelé severokorejského původu útoku. S ohledem na profily cílových organizací - Jihokorejský vysokých škol, které provádějí výzkumy na mezinárodních záležitostech, produkovat obranné politiky vlády, národní lodní společnosti, podporovat skupiny pro korejské sjednocení - dalo by se jednoduše podezření, že útočníci mohou být ze Severní Koreje .

Cíle téměř dokonale spadají do oblasti jejich zájmu. Na druhou stranu, není to tak těžké zadat libovolný registrační informace a uvést v omyl vyšetřovatelům na zjevnou severokorejského původu. Nestojí nic vymyslet falešné registrační údaje a zadejte kimsukyang při registraci Hotmail. Jsme připustit, že tento registrační údaje neposkytuje konkrétní, nespornou informace o útočníků.

Nicméně útočníků IP-adresy se poskytnout nějaké další stopy. V naší analýze jsme sledovali deset IP adres používaných v Kimsuky operátorů. Všechny z nich leží v rozsahu sítě provincii Jilin provincie Liao-ning a sítě, v Číně.

Žádné další IP-adresy byly odkryté, které by poukazovaly na činnosti útočníků a patří do jiných IP rozsazích. Je zajímavé, že poskytovatelé internetových služeb, které poskytují přístup k internetu v těchto provinciích také věřil k udržení linky do Severní Koreje. Konečně, tato geo-umístění podporuje teorii pravděpodobné, že útočníci stojí za Kimsuky se sídlem v Severní Koreji.

Příloha

Soubory používané malware:

% Windir% \ system32 \ kbdlv2.dll
% Windir% \ system32 \ auto.dll
% Windir% \ system32 \ netsvcs.exe
% Windir% \ system32 \ netsvcs_ko.dll
% Windir% \ system32 \ vcmon.exe
% Windir% \ system32 \ svcsmon.exe
% Windir% \ system32 \ svcsmon_ko.dll
% Windir% \ system32 \ wsmss.exe
% Temp% \ ~ DFE8B437DD7C417A6D.TMP
% Temp% \ ~ DFE8B43.TMP
% Temp% \ ~ tmp.dll
C: \ Windows \ taskmgr.exe
C: \ Windows \ Setup.log
C: \ Windows \ winlog.txt
C: \ Windows \ Update.log
C: \ Windows \ wmdns.log
C: \ Windows \ oledvbs.inc
C: \ Windows \ weoig.log
C: \ Windows \ data.dat
C: \ Windows \ sys.log
C: \ Windows \ PcMon.exe
C: \ Windows \ Update.exe Google
C: \ Windows \ ReadMe.log
C: \ Windows \ msdatt.bat
C: \ Windows \ msdatl3.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdmeng.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ xmlrwbin.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdapml.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlsoldb.exe
C: \ Program Files \ Common Files \ System \ Ole DB \ oledjvs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaipp.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaerr.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlxmlx.inc
<Hangul Plný path> \ HncReporter.exe
Související MD5:

3baaf1a873304d2d607dbedf47d3e2b4
3195202066f026de3abfe2f966c9b304
4839370628678f0afe3e6875af010839
173c1528dc6364c44e887a6c9bd3e07c
191d2da5da0e37a3bb3cbca830a405ff
5eef25dc875cfcb441b993f7de8c9805
b20c5db37bda0db8eb1af8fc6e51e703
face9e96058d8fe9750d26dd1dd35876
9f7faf77b1a2918ddf6b1ef344ae199d
d0af6b8bdc4766d1393722d2e67a657b
45448a53ec3db51818f57396be41f34f
80cba157c1cd8ea205007ce7b64e0c2a
f68fa3d8886ef77e623e5d94e7db7e6c
4a1ac739cd2ca21ad656eaade01a3182
4ea3958f941de606a1ffc527eec6963f
637e0c6d18b4238ca3f85bcaec191291
b3caca978b75badffd965a88e08246b0
dbedadc1663abff34ea4bdc3a4e03f70
3ae894917b1d8e4833688571a0573de4
8a85bd84c4d779bf62ff257d1d5ab88b
d94f7a8e6b5d7fc239690a7e65ec1778
f1389f2151dc35f05901aba4e5e473c7
96280f3f9fd8bdbe60a23fa621b85ab6
f25c6f40340fcde742018012ea9451e0
122c523a383034a5baef2362cad53d57
2173bbaea113e0c01722ff8bc2950b28
2a0b18fa0887bb014a344dc336ccdc8c
ffad0446f46d985660ce1337c9d5eaa2
81b484d3c5c347dc94e611bae3a636a3
ab73b1395938c48d62b7eeb5c9f3409d
69930320259ea525844d910a58285e15
Názvy služeb vytvořených malware:

DriverManage
WebService
WebClientManager
Remote Access Service
Zjistíme, jak těmto hrozbám Trojan.Win32.Kimsuky kromě upravených týmu Viewer komponent klienta, které jsou zjištěny při Trojan.Win32.Patched.ps .

Jak důležitá je penetrační testování?

09.09.2013. Nástroje | Zabezpečení

S kybernetické útoky stávají normou, je mnohem důležitější než kdy jindy, aby prováděly pravidelná zranitelností a penetrační testy, nalézt slabiny, a zajistit na pravidelném základě, že kybernetické kontroly fungují. Geraint Williams, senior konzultant v oblasti IT Governance, vysvětluje: " zranitelností zkoumá vystavené aktiva (sítě, servery, aplikace) zranitelnosti - Odvrácená strana zranitelnosti skenování je, že falešně pozitivní výsledky jsou často hlášeny. Falešně pozitivní výsledky mohou být znamením, že stávající řízení není plně efektivní, tzn sanitaci aplikace vstupu a výstupu, a to zejména na internetových aplikací. " Penetrační testování se zaměřuje na zranitelnosti a bude se snažit a využívat je. Testování se často zastaví, když je dosaženo cíle, tj. při přístupu k síti bylo dosaženo - to znamená, že je možné i jiné využitelné chyby nejsou testovány ". Organizace musí provádět pravidelné kontroly jejich systémů, z těchto hlavních důvodů:

Chcete-li zjistit nedostatky v infrastruktuře (hardware), aplikace (software) a lidé s cílem rozvíjet kontroly Pro zajištění kontroly byly realizovány a jsou efektivní - to poskytuje záruku bezpečnosti informací a vrcholového vedení Pro testování aplikací, které jsou často cesty k útoku (Aplikace jsou postaveny lidmi, kteří mohou dělat chyby navzdory osvědčených postupů v oblasti vývoje softwaru) Chcete-li zjistit nové chyby ve stávajícím softwarem (záplaty a aktualizace mohou opravit stávající chyby, ale oni mohou také zavést nová zranitelná místa). Geraint dodává: "Pokud jsou lidé napadeni prostřednictvím sociálního inženýrství to obchází silnější obvodové prvky a vystavuje do méně chráněných vnitřních aktiv. Nejhorší situace je mít exploitovatelnou zranitelnost v rámci infrastruktury, aplikací nebo lidé, kteří si nejsou vědomi, jak útočníci být sondování svůj majetek, i když nejste. Porušení, pokud uveřejněný útočníků, může zůstat nepovšimnuto několik měsíců. " zranitelností a penetrační testy mohou testovat organizacím schopnost detekovat útoky a porušování. Organizace potřebují skenovat externí dostupné infrastruktury a aplikací, abyste se chránili před vnějšími hrozbami. Oni také potřebují skenovat vnitřně chránit proti obchodování zasvěcených ohrožení a ohrožení jednotlivců. Interní testování musí zahrnovat kontroly mezi jednotlivými bezpečnostních zón (DMZ, prostředí dat držitelů karet, SCADA prostředí atd.), aby tito jsou správně konfigurovány. Pen testy by měly být prováděny pravidelně, aby se odhalit nedávno zjistil, dosud neznámé chyby. Minimální frekvence závisí na typu, který se provádí testování a cílem testu. Zkoušení by mělo být nejméně jednou ročně, a možná měsíčník pro vnitřní zranitelností pracovních stanic, normy, jako je PCI DSS doporučujeme intervaly pro různé typy skenování. Pen testování by mělo být prováděno po zavedení nové infrastruktury a aplikací, stejně jako po velkých změn infrastruktury a aplikace (např. změny pravidel brány firewall, aktualizace firmwaru, záplaty a upgrady softwaru).

Snort IDS senzor s Sguil New ISO Vydáno

09.02.2013 Nástroje | Zabezpečení

CD obsahuje některé nové nástroje a aktualizované skripty. Je k dispozici ve dvou verzích, 32-bit a 64-bit. Install.pdf dokument o tom, jak nainstalovat a nakonfigurovat systém je umístěn v adresáři rel_note.

Verze 7.3 obsahuje nové nástroje, GUI a databáze: polknutím , nfsen , SQueRT , ssdeep , PassiveDNS s databází, Sagan , nfdump , rrdtool, rsyslog a pf_ring .

Tato stránka obsahuje dodatečné informace, kde stáhnout ISO a dokumentace.

[1] http://handlers.dshield.org/gbruneau/shadow.htm

LockPath spouští auditu nástroj

12. června 2013. Nástroje

LockPath propuštěn Audit Manager jako součást nejnovější verzi svého Keylight platformy, což zvyšuje end-to-end procesu interního auditu. Ovládací prvky umožňují zákazníkům rozsahu a komplexně zjistit jejich auditu portfolio, včetně zařízení, technologických majetku a zařízení.

Platforma podporuje riziko-založený přístup k plánování a stanovení priorit audity integrací organizačních rizik do rozhodovacího procesu. Můžete například nadnárodní společnosti skóre a porovnat regionální a domácími datových center rizik, stejně jako rizika spojená s dodržováním norem a předpisů na pomoc priority jednotek auditu. Keylight obsahuje automatizace do procesu auditu ušetřit čas a zajistit přesnost zprávy . Keylight může automaticky generovat úkolů na základě zvláštního právního předpisu, který může pak být přiděleno do správných auditních zdrojů. Po zjištění jsou shromažďovány, sanační úkoly jsou automaticky produkovány řešit citované ovládání. Nová aplikace také podporuje mobilitu pro auditory shromažďování důkazů v této oblasti. Auditoři mohou exportovat seznam úkolů známých tabulek pracovat na dálku nebo mít přístup k datům v režimu offline, což jim umožňuje zachytit poznatky a Doklad na bezpečném portálu. Hotové záznamy lze pak snadno importovat zpět do Keylight platformy. Audit manager nabízí vrcholového managementu a C-úrovni vedení kompletní viditelnost kolem výkonu auditu, zjištění a historie. Vedení může zkontrolovat stav jakéhokoliv aktivního auditu a zobrazit, kdo pracuje na určité složky v procesu, komplexní a snadno čitelným panelů. Kromě nové aplikace Audit Manager Keylight 3.3 představuje množství dalších vylepšení, včetně více integrace dat s bezpečnostní LockPath v aplikaci Správce rozšířené reportování, nové posouzení funkce a robustnější obsahu knihovny. Nová verze staví na pověsti Keylight za to, že je vysoce škálovatelné, zavedení větší automatizace a vizualizace a poskytující koncovým uživatelům více přizpůsobitelné ovládání.