Новости малвари

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Новости малвари

<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 7 8 9 10 11 12 13 14 15 16
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Так это китайские правозащитники - их немного
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009
Да не. Как я понимаю - это трояны родом с Поднебесной и командные сервера в Китай же ведут. А где про китайских правозащитников?

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

Искендер написал:
[q]
А где про китайских правозащитников?
[/q]


Насчет китайских - это мое предположение. Надо спрашивать авторов этой новости, на основании чего они заявляют это.
Просто логично, что китайские трояны засылают китайским правозащитникам (ловили их уже у кого-то пару лет назад).
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://uinc.ru/news/sn16803.html
[q]

Cпециалисты российского Центра вирусных исследований и аналитики компании Eset обнаружили новую модификацию троянской программы Carberp, которая нацелена на популярные системы дистанционного банковского обслуживания (ДБО). На сегодняшний день Россия – абсолютный лидер по количеству инцидентов в области информационной безопасности с использованием банковского трояна Carberp – 72% от общего количества инцидентов в различных странах. Пострадавшими от данного вредоносного ПО стали клиенты практически всех крупнейших российских банков – не только коммерческие компании, но и государственные структуры. При этом доходы киберпреступной группы Carberp исчисляются миллионами долларов еженедельно. «Разработчики Carberp постоянно совершенствуют свою троянскую программу, щедро инвестируя финансовые средства в ее развитие, – комментирует Александр Матросов, директор Центра вирусных исследований и аналитики Eset. – Эволюция этого вредоносного ПО за два года сделала его номером один по количеству инцидентов, связанных с ДБО». В новой версии трояна Carberp присутствует буткит-функционал, благодаря чему угроза может обходить защитные системы, внедренные в ИТ-инфраструктуре компании, и загружать в систему вредоносный функционал. Стоимость подобного дополнения к троянской программе на «черном» рынке составляет несколько десятков тысяч долларов, что в разы больше, чем цены на другие известные троянские программы - SpyEye и Zeus. Carberp также эксплуатирует 4 уязвимости в операционных системах Microsoft Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp имеет функционал, позволяющий объединять зараженные ПК в ботсеть. На данный момент она насчитывает сотни тысяч компьютеров. «Несмотря на то, что сейчас основной целью Carberp являются клиенты российских банков, ситуация может быстро измениться, так как технологических препятствий для атак на банки в других странах у этой киберкриминальной группы нет, – продолжает Матросов. – И скорее всего злоумышленники в ближайшем будущем начнут искать партнеров по атакам в других регионах». По данным компании Group IB, рост инцидентов в области информационной безопасности, связанных с мошенничеством в системах ДБО, только за последний год составляет более 200%, и в ближайшее время этот показатель будет увеличиваться. При этом основная цель злоумышленников – финансовые счета юридических лиц, поскольку они приносят огромные доходы киберпреступникам.
[/q]
Elena_Larina
Модератор форума

Всего сообщений: 229
Рейтинг пользователя: 9


Ссылка


Дата регистрации на форуме:
25 нояб. 2010
Бабло на малвари: как и сколько зарабатывают наши криминальные коллеги?

Совершенно ясно, что на малварном бизнесе некисло наваривают целые группы товарищей. Неясно только, в каких именно масштабах они наваривают, и как все это происходит. Сегодня мы прольем свет на кое-какие криминальные схемы, используемые в бизнесе, связанном с малварью. Разумеется, исключительно в образовательных целях :).

Увы, времена, когда хакеры создавали свои творения и взламывали сайты или программы только ради того, чтобы насолить разработчику или доказать друзьям, что они могут проникнуть в Пентагон, уже прошли. Конечно, вспоминая недавние события с Anonymous и LulzSec, а также читая ресурсы дефейсеров, можно сказать, что "идейные" еще не перевелись, но по большей части вся киберкриминальная активность, которая ведется сейчас в интернете, направлена только на одно — зарабатывание денег. Началось все это на заре распространения интернет-банкинга и платежных систем, когда реальные деньги стало возможным перехватить через Сеть и потом обналичить. В наши же времена киберпреступники крадут буквально все и, как и обычный криминал, имеют четко расписанные роли, сферы влияния, иерархию и структуру, о чем и пойдет речь дальше.
Эволюция грабежа

В начале 2000-х гг. банки только начинали думать о своей онлайновой безопасности, а хакеры — о том, как много денег оттуда можно увести. Несознательные одиночки находили уязвимости в системах защиты финансовых онлайн-операций того или иного банка, уводили базу карточек и выставляли ее на продажу в открытом виде. На не особо-то засекреченных форумах можно было спокойно прочитать имена тех несчастных, у которых увели банковские реквизиты, и узнать другие интимные подробности. Профессиональные кардеры или просто дурачки радостно скупали такого рода информацию, быстренько печатали нужный пластик (то есть левую карточку с правильной информацией о деньгах) и шли запасаться в ближайший банк. Более умные пластика не печатали, а закупались в онлайн-магазинах.

Однако халяву начали быстро прикрывать: стало появляться все больше антивирусных решений, которые стали попадать не только к юзерам, но в и банки. А последние, кроме того, стали ужесточать доступ к своим данным, то есть взломать банк стало гораздо сложнее. При этом полиция начала обращать все больше внимания на подобные криминальные активности, что привело к тому, что "закуп по полной" на очередном хакерском форуме мог обернуться встречей с представителями закона, играющими роль продавцов. На этой волне постепенно стал формироваться более развитый рынок, со своей спецификой и специализацией на банковских троянах.

Конечно, никуда не делись изначальные подходы типа скимминга, тупого взлома банкоматов и прочего, но все это, по сути, грубо и неаккуратно, не говоря уже о том, что хлопотно, как быстро поняли парни, которые нашли 1001 способ увести всю нужную информацию с компа пользователя. Согласно статистике от "Лаборатории Касперского", которая внимательно изучает любителей "поломать" банки, за 2010 г. ее аналитики добавили более 60 тыс. сигнатур с вердиктом Trojan-Spy. Налицо тот факт, что малвари пишут все больше и больше, и вышеупомянутый вердикт превалирует.

Отчего? Оттого, что злоумышленники поняли, что пусть лучше собирается вся информация, а там посмотрим, как ею воспользоваться. Собирать только банковские данные через банальный фишинг, электронную корреспонденцию от банков в ключе "мы тут решили обновиться, подтвердите данные счета" и прочие лохотроны в какой-то момент стало не модно. Конечно, куча киберпреступников продолжают это делать, но эффективность подхода не столь высока. Результативные удары получаются редко, при этом умные негодяи увидели, как можно сделать больше и лучше.
Отлаженный механизм

Таким образом, в бизнес стали потихоньку приходить индивидуумы с мозгами, которые были готовы рулить денежными потоками, но не умели писать малварь. В частности, под их влиянием рынок стал специализироваться, поделившись на различные группы, о которых мы дальше поговорим.

Начнем с создателей малвари — тех людей, которые лучше всех держат руку на пульсе. Вся их деятельность напоминает производственный цикл любого программного продукта: изучение рынка, создание качественного функционала, борьба с конкурентами. Те, кто стоит за созданием эксплоит-паков и суровой малвари типа SpyEye и Zeus’а, тщательно документируют изменения, быстренько вносят коррективы в код, как только их начинает детектировать тот или иной антивирусный вендор, даже добавляют в свою малварь мини-антивирусы, вытирая тем самым наиболее злостных конкурентов. Причем делают они это не хуже заправского антивируса. Также стоит упомянуть, что хакеры-альтруисты взламывают дорогие творения своих собратьев и выкладывают на форумы просто так. Тот же Zeus, SpyEye и прочие известные в узких кругах тулзы можно спокойно скачать в крякнутом виде. Так что создателям таких троянов приходится бороться еще и с таким видом нападок, все время улучшая свои творения и выдумывая новые средства защиты. На ум приходит аналогия с китайцами, которые нещадно копируют айфоны и прочие модные девайсы, тем самым подрывая бизнес больших и успешных контор.

Очевидно, что такие программеры стоят гораздо больше типичного аналитика в антивирусной компании, причем в прямом смысле. Согласно рассказам нехороших парней, которые создают реальные трояны и эксплоит-паки, их недельный заработок больше, чем месячный у типичного топ-менеджера в западной компании. Такие люди никогда не перейдут работать в нормальную компанию даже руководителями разработки: разве что только после того, как станут миллионерами. И естественно, с тем чтобы не светиться в дальнейшем. Гении-программисты или пишут малварь на заказ, или создают что-то крутое сами с нуля и начинают продавать. Делают они это по-прежнему через тематические форумы, только попасть на них теперь немного сложнее. Как правидераторы форумов зачастую также играют роль гарантов, то есть посредников, которые отвечают за то, что, заказав малварь у Васи, ты не просто выкинешь деньги, а получишь то, что обещает Вася.

Отдельные индивидуумы занимаются созданием ботнетов. Их можно арендовать для DdoS’а, для дальнейшего развития и сбора данных с юзеров, для последующей продажи, для организации анонимных прокси-серверов и т. п. Отдельно заточенные товарищи занимаются поиском уязвимостей во всем и вся. Это самая безопасная работа. Ты наверняка знаешь легитимные ресурсы, которые предлагают тебе делиться найденными уязвимостями за бесплатно или за мелкую денежку ради мира на земле. Но не все же такие альтруисты, особенно при условии того, что создатели эксплоит-паков могут заплатить за найденную уязвимость несколько десятков тысяч баксов, если речь идет об 0day-находке в самой популярной версии Windows’а.

Наконец, мы добрались до тех, кто, собственно, заказывает весь банкет — преступников, которые фильтруют тонны украденной информации и выставляют ее на продажу в специализированных магазинах.

Это дилеры, которые предлагают конечным потребителям — другим преступникам, — доступ к живым деньгам. Ну то есть практически живым. Получить доступ к таким магазинам сложно: надо быть в тусовке, регулярно закупаться на большие суммы. Правда, и предоставляемый сервис на высоте: купить можно все что угодно. Мы уже вскользь упомянули о том, что крадут все: номера банковских карт с пинами и банковские счета — товар, которым никого не удивить и который в свете активизации киберполиции довольно небезопасен для обналички. Правда, есть возможность заказать карточку определенного банка, определенного типа, нужной страны, что в ряде случаев приводит к сильному снижению градуса опасности (ты, например, слышал о киберполиции Лаоса?). На заказ продавец достанет все что угодно. Цены демократичные — 10% от доступной налички.

Кроме того, можно купить любые платные аккаунты — на рапидшару, в ЖЖ, скайп и прочее. На виртуальных полках лежат украденные лицензии для софта, включая, что самое смешное, антивирусы, пароли и логины к FTP-серверам (будет где похостить командный центр ботнета). В последнее время популярность набирает продажа личности, то есть украденных данных о паспортах, прописке, месте жительства, номерах страховок и прочее. Ты не поверишь, но огромное число тупых юзеров сканируют паспорт, кредитки, пенсионное страхование, ИНН и прочие документы и оставляют эти сканы на винте. А потом реальные преступники, получив сканы, выкачанные тем же Zeus’ом, радостно делают с этого хозяйства клоны, конечно же, с фоткой заказчика. Для ряда стран их можно даже зарегить в базе полиции!


Новый паспорт, да еще с бесплатной доставкой?! В инете такого добра хватает

Так что стать гражданином Америки (ну или по крайней мере въехать туда на ПМЖ) можно за какие-то 1000 долларов. При этом понятно, как удобно все это в рамках масштабной операции: некий Вася под именем Джона Смита въезжает в страну, уводит миллион баксов со взломанного счета, на который эти деньги перевели с другого счета, и спокойно уезжает домой. Полиция приезжает к ни в чем не повинному лошку Смиту, паспорт которого украли и аккаунт которого был взломан, и начинает ставить его в очень неудобное положение. При этом найти концы Васи практически нереально.

В общем, как ты уже понял, все удобно и по ролям. Если ты негодяй и тебе хочется испытать судьбу, ты можешь выбрать еще и профессию мула, и сам купить ворованных карточек, и пойти снимать наличку или купить на них 100 айфонов и заказать их себе домой. Без мулов, собственно, никуда, в том случае если преступник хочет получить реальные деньги. Для того чтобы тебе стало понятно, как все эти винтики образуют отлаженный механизм, давай рассмотрим путь к легким деньгам от начала до конца, так, как если бы некий злоумышленник решил непринужденно обогатиться, воспользовавшись свободой и благами интернета.
How To Not To Do

Сразу оговоримся, что все расписано приблизительно, с определенными допущениями и в рамках узкого сценария. Знатоки дела (а нас наверняка полистывают и такие) могут поспорить и найти кучу неточностей, но повторюсь: главный смысл — дать понять, как все довольно легко и прибыльно.

Для начала киберпреступники выбирают жертву: или одну, или очень много. От этого зависит, как они собираются обогащаться: быстро за один раз или постепенно за счет большого числа юзеров. Как следствие, меняется и тип атаки: таргетированная или ковровое бомбометание. В случае таргетированной атаки информация собирается, как правило, с социальных сетей, при массовом подходе это не столь важно. Дальше надо решить технические моменты, то есть как будет добыта информация от незадачливого юзера. Для начала берется так называемый пуленепробиваемый хостинг.

В интернете на тематических форумах предложений хоть отбавляй. Для понимания: хостеру все равно, что вы там храните на серверах, при этом он не будет сдавать вас полиции. Чтобы у него самого не было проблем с законом, серверы размещаются в странах с теплым, приятным климатом, большим количеством диких обезьян и законами, которые не приветствуют вторжение иностранных спецслужб на суверенную территорию страны и плохо описывают, что же такое кибепреступность, кража денежек и прочих приятных вещей через интернет. Стоит ли говорить, что полиция таких стран, как правило, не особо говорит по-английски и не особо пользуется электронной почтой.

Пуленепробиваемый (абузоустойчивый) хостинг — самая дорогая вещь в типичном криминальном мероприятии. В среднем он обойдется в 500 американских долларов в месяц. Можно дороже, можно дешевле. В целом на успешный сбор информации, растянутый во времени, надо закладывать несколько тысяч долларов.


В Китае, как видишь, можно хостить все что угодно. И при этом очень дешево

Далее в случае массовой атаки (а они более распространены в целях наживы и при нежелании потом долго сидеть в тюрьме) берется какой-нибудь свеженький эксплоит-пак (он же "краймвар-пак"), который ставится на этот самый хостинг. Можно даже сразу купить все готовое, предустановленное. Нет только пейлоада, то есть малвари, с помощью которой и утекут данные. Эксплоит-паки, кстати, можно достать даже бесплатно. Но если ты хочешь, чтобы в них были свежие уязвимости, а это довольно часто залог успеха, то придется заплатить. Около 1300–1500 баксов.


Скачать SpyEye может любой, кто в состоянии забить поисковый запрос в Google

В киберпреступники совсем дебилов не берут, так что очевидно, что злоумышленник понимает, что на компе жертвы стоит какой-нибудь антивирус. Поэтому, разрабатывая малварь и криптуя уже имеющуюся, коварный гаденыш должен прогнать результат через антивирусный мультисканер. Найти такое добро в интернете в различных реализациях не составляет труда: это может быть облачное решение, может быть локальный софт, можно заплатить за это денег, а можно воспользоваться уже заранее украденным (Напомним, что тот же вирустотал — ресурс, данные с которого утекают в антивирусные компании, поэтому приватную малварь на нем не тестят. — Прим. ред.). Если хочется гарантий, то обычно платят около 500 баксов. Чтобы написать или закриптовать уникальную малварь, придется выложить еще баксов 800. Зато, как это ни печально для производителей антивирусов, ни один из них ее, скорее всего, не поймает в течение как минимум пары дней, а этого достаточно, чтобы выкачать с жертв все самое интересное.

Итак, малварь написана, хостинг, куда планируется собирать данные о кредитках и банковских счетах, есть, остается вопрос распространения. Нет проблем! Арендуем ботнет. Цены зависят от того, известен ли он уже производителям антивирусных решений или нет, какие ты получишь над ним права, сколько машин гарантировано в онлайне и прочее. Ориентировка для начала — всего 200 баксов, но это, конечно, минимум.


Дешевенький ботнет! Никому не надо?

Если киберпреступник особо умный, то после покупки ботнета он его модифицирует — криптует протокол передачи данных, меняет что-то еще. Таким образом он обезопасит себя от кидалова со стороны продавца ботнета. Это будет стоить еще несколько сотен баксов у уже прикормленных программистов. Ботнет увязывается с эксплоит-паком, и понеслась: данные начинают валиться на преступный сервер.

Возникает самый главный вопрос: как обналичить деньги? Очевидно, что перевод на взломанные счета ничего не дает: это все элементарно прослеживается. Поэтому преступники предпочитают снимать деньги через мулов. Их с самого начала разбойного плана начинают искать по инету, как правило, под видом рекламки: "Хочешь 1000 баксов в час? Тыкай в баннер!". Наверняка ты видел кучу таких баннеров в интернете, причем зачастую на вполне себе респектабельных сайтах.

Кто-то из денежных осликов понимает, что делает, кто-то — нет. Ведь если преступники подходят к делу с умом, они составляют трудовой договор, по которому работник просто должен снимать деньги в банках. Когда потом мула ловят — а ловят их почти всегда, — те могут уйти в несознанку и говорить: "Ну позвольте, я же работал! Я и не знал, что это незаконно! Вот у меня договор! Что вы говорите? Деньги воровали?! Вот сволочи! Я готов помочь вам, ребята! Я с вами! Накажем злодеев, только вот я о них ничего не знаю, все общение было по электронной почте". Такая ситуация очень типична, например, в Латинской Америке. Там вообще людей принято после первого раза прощать: ну не хотел человек плохого, бес попутал. Что же, сразу в тюрьму сажать?! Мулов ищут в том банке, аккаунты которого чистят. Или могут попросить открыть аккаунт. При этом мул получает 10–15 % от снимаемой суммы. Что он делает потом? Отправляет денежки любой платежной системой типа Western Union Саше Кузнецову (это, как ни странно, самые распространенные имя и фамилия для России) из своей гнилой Америки в какую-нибудь развивающуюся страну типа России. Искать потом Сашу — занятие бесполезное, не говоря уже о том, что Саша может купить левый паспорт в переходе и получить все на него.

Что наш незаконопослушный Сашок имеет на выходе? Все зависит от его жадности. Если у тебя хорошо с арифметикой, ты уже посчитал, что начальные вложения обойдутся минимум в 6000–7000 долларов. Допустим, ботнет окучил 1000 юзеров, хотя в реальности их, конечно, будет больше. Те же американцы хоть пару тысяч зеленых на карточке, да имеют. Умножаем юзеров на деньги, отнимаем 10–15 % на мулов, получаем пусть даже 500 000 долларов чистоганом. Покрывает 7000? Мне кажется, вполне. При этом, повторимся, не стоит забывать, что киберпреступнику, который решил все это провернуть, не надо быть ни кодером, ни админом, вообще не надо обладать какими-то реальными техническими знаниями.
Масштаб трагедии

Как результат — не удивительно, почему СМИ по всему миру, а в Америке в частности, очень регулярно рапортуют о многомиллионных убытках со стороны частных пользователей и компаний. Одна только старушка Англия отрапортовала, что ущерб от киберпреступности в стране оценивается в 27 млрд фунтов в год. Почему так происходит? Пробуют многие, а ловят не всех. Законы большинства стран находятся в таком состоянии, что по ним осудить преступника можно или условно, или всего на пару лет. При этом никто не требует вернуть всех украденных денег, потому что никто не знает, сколько их вообще было украдено. Морально и этически совершить преступление в интернете проще: ты не видишь жертву в лицо, при этом многие хакеры любят играть роль Робин Гудов — наказывать, скажем, богатых америкосов на жадность и принципиально, например, не атаковать жителей родной страны (Хм… а я слышал, что это потому, что в родной стране за это иногда отрезают пальцы. — Прим. ред.). Не хватает и мировой киберполиции — если в последние годы она хоть где-то стала появляться, то над взаимодействием подразделений по всему миру между собой еще работать и работать. При этом часть вопросов не будет решена никогда из-за общеполитических препятствий: как известно из хорошего фильма "После прочтения сжечь", у США нет экстрадиции с Венесуэлой.

www.xakep.ru/post/57868/default.asp

---
Вопрос к блондинке. Какова вероятность встретить на улице динозавра? Блондинка отвечает...
Мы ищем правильных людей, а не правильные резюме
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
а вот история на тему - безопасных сайтов нет и антивирус с последними базами не спасает - _ttp://habrahabr.ru/blogs/infosecurity/135716/
:wink:
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
ну вот и появилась малварь, которая ворует пин-коды от смарт-карт и т.д. - _ttp://www.darkreading.com/authentication/167901072/security/attacks-breaches/232400288/sykipot-malware-now-steals-smart-card-credentials.html?itc=edit_stub

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
это печально :sad: - _ttp://www.anti-malware.ru/forum/index.php?showtopic=21365&st=0&p=150470
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.cybersecurity.ru/news/145969.html
[q]

В компании Arbor Networks говорят, что последняя версия DDOS-бота Armageddon получила поддержку сравнительно нового эксплоита, известного как Apache Killer. Впервые Apache Killer был обнаружен еще в августе 2011 года. Он использует уязвимость в веб-сервере Apache, отправляя ему специально сконструированный HTTP-заголовок, вызывающий атаку типа отказ в обслуживании.

Данная атака особенно опасна, так как ее можно проводить всего с одного компьютера, а целевой сервер может быть полностью выведен из строя и лишь полная перезагрузка вернет его в нормальное состояние.

"Apache Killer использует протокол HTTP, отправляя веб-серверу специальный набор ключей в очень большом диапазоне, что вводит сервер в бесконечный цикл и провоцирует очень высокую загрузку оборудования", - говорит Джефф Эдвардс, аналитик Arbor Networks.

Уязвимость, используемая Apache Killer, была определена как CVE-2011-3192 и фактически устранены в Apache Httpd Server 2.2.20 через неделю после того, как о ней стало публично известно.

В Arbor говорят, впервые видят, как данный эксплоит был интегрирован в ботсеть, специализирующуюся на DDOS-атаках. По словам Эдвардса, Armageddon - это ПО с российскими корнями, созданное специально для запуска DDOS-атак. Так как оно продается как набор инструментов на подпольных форумах, сейчас в интернете работают несколько ботнетов под управлением Armageddon.

Последняя версия Armageddon также использует ряд новых DDOS-техник уровня приложений, направленных на атаку популярных веб-приложений, таких как vBulletin или phpBB. Исследователи из Arbor Networks говорят, что им удалось взломать шифрованный механизм, используемый в Armageddon для коммуникаций между зараженными компьютерами и командным сервером, после чего обнаружили, что именно сеть Armageddon была использована для запуска недавних DDOS-атак, связанных с выборами в России.

Другие DOS-эксплоиты, такие как Slowloris, сейчас пока находятся на стадии концепции, но в будущем и они будут интегрированы в ботсети для DDOS-атак, уверены в Arbor.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttps://www.securelist.com/ru/blog/207763854/Unikalnyy_bestelesnyy_bot_atakuet_posetiteley_novostnykh_resursov

[q]

...
В начале марта мы получили от независимого исследователя сообщение о массовых заражениях компьютеров в корпоративной сети после посещения пользователями ряда известных российских информационных ресурсов. Симптомы заражения были одинаковыми: компьютер посылал несколько сетевых запросов на посторонние ресурсы, после чего в некоторых случаях на диске появлялся ряд зашифрованных файлов.

Разобраться с механизмом заражения оказалось непросто. Сайты, с которых происходило заражение пользователей, расположены на разных площадках и имеют разную архитектуру, при этом все наши попытки воспроизвести заражения не увенчались успехом. Быстрый анализ KSN-статистики, на основе которой можно было бы выявить связь между взломанными ресурсами и распространяющимся вредоносным кодом, тоже не дал результатов. Но кое-что общее между новостными сайтами мы все-таки нашли.
Источники заражения

Для анализа мы выбрали два информационных ресурса, с которых, как нам было известно, распространялась вредоносная программа — сайт одного из крупнейших в России информационных агентств РИА Новости www.ria.ru и сайт известной онлайн-газеты www.gazeta.ru. Регулярное сохранение содержимого данных ресурсов не выявило на них периодически появляющихся сторонних JS скриптов, тегов «iframe», ошибок 302 или любых других формальных признаков взлома. Объединяло эти сайты лишь то, что на обоих ресурсах использовались коды системы управления рекламой AdFox, через которую был организован обмен тизерами-новостными анонсами.
...
Нам удалось выяснить, что вредоносный код загружается именно через тизеры сети, организованной при помощи технологий AdFox.ru.

Как же происходило заражение? Вместе с одним из тизеров в JS скрипте на сайте загружался iframe, перенаправляющий пользователя на вредоносный сайт с Java эксплойтом, находящийся в зоне .EU.
...
Анализ JAR файла эксплойта показал, что он эксплуатирует уязвимость в Java (CVE-2011-3544). Данная уязвимость с ноября используется злоумышленниками для атаки и на пользователей MacOS, и на пользователей Windows. В настоящее время эксплойты для этой уязвимости являются, пожалуй, самыми эффективными и входят в состав распространенных эксплойт-паков.

Однако, в нашем случае, использованный эксплойт был уникальным и не встречался ранее ни в одном эксплойт-паке: злоумышленники использовали собственную полезную нагрузку для атаки.
...
Как правило, в ходе работы подобных эксплойтов на жесткий диск устанавливается какой-либо вредоносный файл, чаще всего дроппер или загрузчик. Но в рассматриваемом инциденте нас поджидал сюрприз — файлы на диске не появлялись.

Получив все необходимые привилегии на компьютере жертвы, эксплойт не устанавливает на диск вредоносную программу средствами Java, а использует полезную нагрузку для загрузки зашифрованной динамической библиотеки dll из Сети прямо в память процесса javaw.exe. При этом адрес для загрузки данной библиотеки указан в зашифрованном виде в iframe в JS скрипте с AdFox.ru:
...
После успешного инжекта и запуска вредоносного кода (dll) Java начинает отправлять на сторонние ресурсы запросы, имитирующие запросы к поисковой системе Google, вида «search?hl=us&source=hp&q=%s&aq=f&aqi=&aql=&oq=»…

В данных запросах содержатся данные об истории посещения сайтов из браузера пользователя и ряд дополнительной служебной информации с зараженной системы.

Таким образом, мы столкнулись с весьма редкой разновидностью зловредов — так называемыми «бестелесными» вредоносными программами, которые не существуют в виде файла на диске, а функционируют исключительно в оперативной памяти зараженного компьютера. Самые известные примеры таких угроз — черви CodeRed и Slammer, эпидемии которых произошли в начале прошлого десятилетия.

Подобные программы способны работать только до перезагрузки операционной системы, однако в данном случае это не является критической проблемой для авторов троянца.

Во-первых, «бестелесная» вредоносная программа функционирует как бот: после серии запросов к серверу управления и полученных с сервера ответов эксплойт отключает несколькими способами UAC (User Account Control), и бот может установить на зараженный компьютер троянскую программу Lurk. При этом решение, устанавливать ли в систему Lurk, принимается на стороне сервера злоумышленников.

Во-вторых, вероятность того, что пользователь после перезагрузки системы вновь попадет на зараженный новостной сайт, достаточно высока. А это приведет к повторному заражению, и бот вновь окажется в оперативной памяти.

Отсутствие файла на диске значительно осложняет возможности для обнаружения заражения при помощи антивирусных программ. При отсутствии детектирования эксплойта бот будет успешно загружен в память доверенного процесса и станет практически невидимым.
...
Разобравшись в технической стороне проблемы, мы уведомили администрацию Adfox об обнаруженном инциденте. Оперативно принятые Adfox меры позволили обнаружить и удалить вредоносный код из содержимого баннера, через который он распространялся.

В ходе расследования было установлено, что с аккаунта одного из клиентов Adfox неизвестные злоумышленники внесли изменения в код баннера анонсов новостей, добавив к ним iframe на вредоносный сайт.

Изменив код одного из баннеров, они получили возможность атаковать не только посетителей одного новостного сайта, но и посетителей прочих ресурсов, на которых был размещен данный баннер. Тем самым количество атакованных пользователей может составить несколько десятков тысяч. При этом баннеры других клиентов системы AdFox не содержали вредоносного кода.
Итого

Данная атака является уникальной, поскольку злоумышленники использовали собственный загрузчик PE файлов (полезная нагрузка), способный функционировать без создания вредоносных файлов на зараженной системе, работая только в рамках доверенного процесса Java.

Использование злоумышленниками тизерной сети является одним из самых эффективных способов установки вредоносного кода ввиду наличия на него ссылок с большого количества популярных ресурсов.

Данная атака была нацелена на российских пользователей. Однако мы не исключаем, что тот же эксплойт и тот же «бестелесный» бот могут быть использованы и против жителей других стран — распространяться они могут при помощи аналогичных зарубежных баннерных или тизерных сетей. При этом вероятно использование других вредоносных программ, а не только Trojan-Spy.Win32.Lurk.

В качестве мер защиты от данной угрозы мы настоятельно рекомендуем всем пользователям установить патч, исправляющий уязвимость CVE-2011-3544 в Java. В настоящий момент это единственный гарантированный способ избежать заражения. Как мы уже отметили выше, эксплойты для CVE-2011-3544 являются самыми эффективными, и с их помощью происходит установка множества вредоносных программ.

Кроме того, необходимо постоянно использовать защитное решение с веб-антивирусом. Пользователям продуктов ЛК мы также рекомендуем включить функцию Geo Filter, позволяющую вручную регулировать доступ браузера к ресурсам в различных доменных зонах, и заблокировать соединения с сайтами в зоне .eu, если доступ к ним не является необходимым. В настоящее время мы фиксируем множество вредоносных ресурсов в этой зоне — включая и описанные выше, и сервера распространения троянской программы Hlux, о которых мы писали недавно.
[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 7 8 9 10 11 12 13 14 15 16
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook