Новости малвари

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Новости малвари

<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 10 11 12 13 14 15 16
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2012-09-08/9969

[q]

Компания Symantec опубликовала результаты исследования Elderwood Project - группировки киберпреступников, деятельность которой антивирусный разработчик отслеживает с 2009 г. и называет беспрецедентной. Атакам Elderwood Project подвергаются организации, входящие в цепочки поставок предприятий оборонной промышленности, главным образом, ведущие компания отрасли.

Основной задачей организаторов Elderwood Project в Symantec называют шпионаж в компаниях: похищение планов работ, рабочих контактов, информации об инфраструктуре компаний и иной, как правило, секретной интеллектуальной собственности.

Symantec не называет конкретные цели атак Elderwood Project, но уточняет, что атакованные компании производят электронные и механические компоненты вооружений и систем по заказу ведущих оборонных корпораций США.

Эксперты предполагают, что организаторы атак рассчитывают на невыскоий уровень защищенности производителей компонент по сравнению с крупными компаниями.

Помимо компаний оборонного сектора Symantec называет в числе целей Elderwood Project финансовые структуры, нефтегазовые компании учреждения образования и даже правительственные организации Америки.

Помимо американских корпораций атакам Elderwood Project подвергались компании Канады, Китая, Гонконга и Австралии, а также неправительственные организации, работающие в сфере прав человека на Тайване, в Гонконге и Китае.

...

Особенностью Elderwood Project является владение огромным числом уязвимостей «нулевого дня». Эксплойтами и уязвимостями «нулевого дня» (0-day) называются вновь открытые уязвимости ПО, данными о которых не располагает индустрия инфромационной безопасности, в силу чего борьба против них затруднительна.

Если в широко известном черве Stuxnet, атаковавшем объекты ядерной промышленности Ирана применялись 4 уязвимости «нулевого дня», то в Elderwood Project в 2011 г. их было использовано восемь.

В числе атакуемых продуктов Symantec называет Microsoft Internet Explorer 8, Adobe Flash Player различных версий, используемый на различных платформах, включая Linux и Microsoft XML Core Services, передает safe.cnews.ru.

Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки, сообщает Symantec. Эксперты компании полагают, что хакеры-разработчики Elderwood Project либо получили доступ к исходному коду широко используемых программных приложений, либо провели их декомпиляцию, для чего им требовалось привлечь «очень и очень серьезные ресурсы».

«Раньше мы никогда не видели ничего подобного», - цитирует Huffington Post слова Орлы Кокс(Orla Cox), старшего менеджера по безопаности Symantec: «Кто-то им за это платит», - говорит она.

«Определить местоположение авторов атаки очень трудно», - говорит Орла Кокс: «Они хорошо скрывают следы, используя прокси-серверы и командные сервера в различных странах мира. Достаточными деньгами для поддержки такой деятельности может обладать организованная преступность или государство».

Стоит заметить, что гипотеза с доступом к исходным кодам продуктов кажется весьма вероятной в силу того, что эксперты Symantec связывают хакеров Elderwood Project с авторами трояна Aurora, с помощью которого в 2009 г. были атакованы Google, Adobe и другие крупные разработчики ПО, у которых и могли быть похищены исходники программ.

В опубликованных материалах Symantec называют два применяемых в Elderwood Project основных пути поражения целевых компьютеров. Помимо относительно традиционной практики рассылки «фишинговых писем», ими применяется «стратегия водопоя» (watering hole).

Как пишет эксперт Symantec по информационной безопасности Андрей Зеренков, вместо того, чтобы активно нападать на интересующие системы, злоумышленники заражают сайты, которые посещают интересующие их конкретные жертвы и встраивают эксплойты на страницы подобно тому, как хищник ожидает жертву у водопоя. В результате посещения зараженного сайта целевой ПК подвергается атаке, и в его систему устанавливается троянская программа.

В своем докладе о работе Elderwood Project Symantec предупреждает, что риску быть атакованными подвергаются любые компании, находящиеся в цепочке оборонных поставок, в том числе их дочерние компании и деловые партнеры.

В 2013 г. нужно ожидать нового раунда атак с использованием 0-day уязвимостей в Adobe Flash и Internet Explorer.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2012-12-10/10754

[q]

...
Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников, сообщает soft.mail.ru.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.
...
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://uinc.ru/news/sn19218.html
[q]

В Google Play, интернет-магазине программ для платформы Android, обнаружено приложение для похищения средств со счетов пользователей системы интернет-банкинга "Сбербанк Онлайн", передает РИА Новости со ссылкой на представителей компании Group-IB. Приложение работало "в связке" с вредоносной компьютерной программой - та заражала ПК и никак не проявляла себя до тех пор, пока пользователь не заходил на сайт системы "Сбербанк Онлайн". Если сайт открывали, то программа отображала поверх веб-страницы окно в цветах "Сбербанка" с приглашением ввести номер мобильного телефона. Введя номер, пользователь получал на свой телефон SMS со ссылкой на приложение "Сбербанк-СМС" в Google Play. Будучи установленным на смартфон на базе Android, мобильное приложение перехватывало одноразовые пароли для транзакций, которые пользователю присылала система "Сбербанк Онлайн". Имея пароль, злоумышленник может снять деньги с чужого счета. "Сбербанк-СМС" находилось в Google Play более суток. 13 декабря приложение удалили вместе с другими программами того же разработчика - Сергея Семенова. По данным "РИА Новости", программу загрузили несколько сотен человек. Сколько пользователей пострадали от действий мошенников и какова сумма ущерба, не уточняется. Сам "Сбербанк" опубликовал на своем сайте предупреждение, в котором описал поведение программы. Пользователям, которые увидели окно с приглашением ввести номер телефона, банк посоветовал выключить компьютер и сообщить о факте заражения в службу технической поддержки системы "Сбербанк Онлайн". "Сбербанк Онлайн" представляет собой автоматизированную систему обслуживания клиентов "Сбербанка" через интернет. С ее помощью можно управлять счетами и совершать платежные операции по интернету.
[/q]


Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://habrahabr.ru/post/162259/#habracut

[q]

Развитие информационных технологий сказывается на разработке всего спектра программного обеспечения (ПО). Не обходит оно стороной и вредоносные программы. Можно выделить основные приемы, применяемые при разработке «передового» вредоносного программного обеспечения (ВПО).

Эксплуатация уязвимостей ПО, установленного на поражаемом компьютере для своего скрытого запуска или повышения привелегий.
Примеры — Stuxnet вместо традиционного запуска с USB носителя через автозапуск (autorun.inf) использовал уязвимость обработки ярлыков MS10-046, позже эту же уязвимость стал использовать Sality. Conficker использовал уязвимость сетевого сервиса «Сервер» MS08-067, это позволило ему размножиться на большое количество машин. Уязвимость, как правило, относится к классу переполнение буфера, но не обязательно, может быть еще переполнение кучи и др. Краткая суть переполнения буфера: в программировании часто используют стек. Концепция стека позволяет упростить передачу параметров в функцию и возврата управления в то место, откуда произошел вызов функции. Пример: вызвали мы свою нужную функцию, которая должна вводить строку с клавиатуры, в стек был помещен адрес возврата, допустим 4 байта, далее мы зарезервировали в стеке 255 байт под строку — нам не жалко. А товарищ Иванов при работе с нашей программой взял да и ввел строку длиной 364 байт. 4 байта адреса возврата при этом переписались другими байтами (из строки). Поэтому назад управление вернется не в то место, откуда вызывалась функция, а в какое-то другое. В том числе можно подстроить, что наша строка будет содержать в себе двоичные коды и переход произойдет на адрес, указывающий на область памяти внутри нашей строки. Такая подстроенная последовательность (вообще данных, не только строк) называется шелл-кодом, а вредоносная программа, внедряющая шелл-код — эксплоитом. Уязвимость же нашей программы заключается в том, что нет проверки длинны вводимой строки. Для устранения уязвимости применяется патч. Патч — это программа (или последовательность действий), которая изменяет определенные файлы для устранения уязвимостей.
Применение технологии полиморфизма.
Как известно, одним из методов антивируса для обнаружения вредоносных программ является сигнатурный анализ. Это значит, что для ВПО определяется какая-либо характерная последовательность данных (байт), которая называется сигнатурой. Такая сигнатура не должна встречаться ни у какой другой программы. В общем случае, она может выглядеть в текстовом описании так: 127 байт от начала равен 7, 145237 байт с конца равен 255, пр этом 145235 байт должен быть равен 0. Полиморфизм же направлен на то, чтобы каждый раз файл ВПО был другим, и для него нельзя было выделить какую-либо закономерность (сигнатуру). Например, Zeus при своей скрытой установке перекодировал свой основной модуль, поэтому на разных компьютерах одна и та же его версия различалась почти в каждом байте. Особо «продвинутым» методом является «серверный» (server-side) полиморфизм, когда вредоносный сервер каждому компьютеру загружает заново собранную копию ВПО. При этом алгоритм преобразования файлов не содержится в самом ВПО, а реализуется на сервере. Это многократно увеличивает возможности по формированию непохожих копий, так как код «мутации» может быть сколь угодно большим и сложным. Данный метод применялся, например, в Storm.
Наличие функционала руткита (rootkit), направленного на сокрытие признаков работы ВПО на зараженном компьютере.
Как правило, это подразумевает невидимость файлов ВПО на уровне системы, невидимость процессов ВПО в «Диспетчере задач», определенных ключей реестра и так далее.
Реализация функций самозащиты.
Самозащита подразумевает противодействие антивирусным программам, например, принудительное завершение их работы, или действиям пользователя, например, блокирование запуска редактора реестра. Также может предотвращаться доступ к порталам антивирусных компаний или сайтам по информационной безопасности, откуда можно получить инструкции по удалению того или иного ВПО, скачать обновление к антивирусу или сам антивирус. Правда, некорректная работа антивируса является демаскирующим фактором для ВПО. Отдельным пунктом идет удаление с поражаемого компьютера своих «конкурентов» — других вредоносных программ. Классическим случаем такого противостояния является борьба между семействами ботов Srizbi и Storm.
Использование системы управления для передачи команд и приема информации от ВПО, устойчивой к действиям антивирусных компаний, направленных на пресечение деятельности ботнета.
Ботнет — это совокупность ботов (вредоносных программ одной разновидности), получающих команды из одного источника — от оператора или операторов (злоумышленников).


Базовые сведения из области криптографии

Для общего понимания, в чем заключается технология электронной цифровой подписи (ЭЦП), о которой речь пойдет далее, необходимо раскрыть основные понятия криптографии. Существующие методы шифрования можно разделить на симметричные — DES, 3DES, AES, RC4, RC6 и асимметричные (или шифрование с открытым ключом) — RSA, ECDSA. Основные различия между ними:

симметричное шифрование намного быстрее асимметричного (в десятки раз);
в симметричном шифровании ключ один, в асимметричном — два.


При симметричном шифровании существует необходимость обмена ключом между двумя пользователями (что очень неудобно, особенно если они находятся очень далеко друг от друга), этого недостатка лишено асимметричное шифрование. Его основная сущность: имеется два ключа — закрытый и открытый, причем закрытый ключ невозможно за приемлемое время (например в течении жизни взломщика) подобрать или вычислить из открытого, используя доступные вычислительные мощности сегодняшнего дня. Естественно, что прямо сейчас 8 битный ключ можно вычислить меньше чем за секунду, тогда как 1024 битный придется подбирать в течение множества лет. Еще одно свойство открытого и закрытого ключа — что любым из них можно сообщение зашифровать, а другим расшифровать. То есть возможны две операции:

отправитель — исходный текст — закрытый ключ — зашифрованный текст — открытый ключ — расшифрованный текст — получатель;
отправитель — исходный текст — открытый ключ — зашифрованный текст — закрытый ключ — расшифрованный текст — получатель.


Операция 1 применяется для шифрования, операция 2 — для подписи, при этом используются две пары ключей по количеству участников обмена (пользователи A и B):

отправитель A — исходный текст — закрытый ключ A — зашифрованный текст — открытый ключ A — расшифрованный текст — получатель B;
отправитель A — исходный текст — открытый ключ B — зашифрованный текст — закрытый ключ B — расшифрованный текст — получатель B.


Закрытый ключ должен храниться только у пользователя и больше нигде, открытый ключ в виде связки пользователь-ключ может свободно распространяться где угодно. В первом случае (удостоверение личности или подпись) пользователь B уверен, что сообщение отправил пользователь A, так как никто кроме A не может зашифровать сообщение, что бы оно расшифровывалось открытым ключом А (закрытый ключ нельзя вычислить по открытому). Во втором случае (шифрование) только пользователь B может расшифровать при помощи своего закрытого ключа B сообщение, зашифрованное любым пользователем при помощи его открытого ключа B (закрытый ключ нельзя вычислить по открытому).
На практике схема несколько сложнее, так как уже опоминалось, что асимметричное шифрование в десятки раз медленнее симметричного. Поэтому при подписи используют шифрование не всего объема данных, а некоторой функции от этих данных, называемой хэш-функцией . В качестве простейшей хэш-функции можно рассмотреть прием, часто применяющийся в астрологии, например число года 1998 равно 1+9+9+8=27=2+7=9. В первом приближении именно так работает хэш-функция, только вместо сложения употребляются многие другие функции. В приведенном примере видно, что, например, год 1899 будет тоже иметь число 9, такая ситуация называется коллизией, это значит, что разным наборам данных соответствует одно значение хэш-функции (или просто хэш). Наиболее распространенные виды хэшей — MD5, MD6, SHA-1, SHA-2. Таким образом, технически ЭЦП — это добавочный блок данных, который содержит зашифрованный закрытым ключом пользователя хэш передаваемых данных. Коллизия может применяться для подделки ЭЦП. Если взять ЭЦП от какого либо файла и сформировать наш подложный файл с таким же хэшем, то у конечного пользователя все вычисления сойдутся, и он подумает, что файл отослан от известного ему человека (а не от нас). Проблема заключается в том, что невозможно создать алгоритм, какие байты добавить к нашему файлу, что бы получилась заданное значение хэша. Конечно можно, допустим, добавить к нашему файлу байт со значением 0, потом 1, 2 и так до 255, затем аналогичным образом добавлять второй, третий и т.д., но это займет очень много времени.
Что же касается шифрования, то там тоже применяются некоторые модификации. Так, асимметричным алгоритмом шифруется опять-таки не весь набор данных, а так называемый сеансовый ключ, генерируемый случайным образом. Этим сеансовым ключом и шифруется набор данных по симметричному алгоритму, что происходит гораздо быстрее. Сам сеансовый ключ шифруется открытым ключом получателя и добавляется к исходным данным. Получатель расшифровывает своим закрытым ключом сеансовый ключ, и с его помощью расшифровывает исходное сообщение.

Использование криптографии во вредоносных программах

С помощью применения криптографических методов злоумышленники решают следующие задачи:

путем применения ЭЦП подтверждают, что обновленная версия ВПО или команда получена действительно от операторов, а не от конкурентов-злоумышленников или сотрудников антивирусных компаний. Для этого открытый ключ «зашивается» в бота, а закрытый — хранится в надежном месте (естественно, не на сервере). Не секрет, что многие программы содержат в себе уязвимости, не являются исключением в этом смысле и командные сервера ботнетов. В некоторых случаях удавалось осуществить взлом таких серверов, далее появлялась возможность отдать команду на самоуничтожение ботов, распространить антивирусную утилиту под видом новой версии бота или сменить адрес управляющего центра. Использование ЭЦП снимает проблему перехвата управления над ботнетом;
шифруют информацию, украденную с зараженного компьютера. Таким образом, результатами работы ботсети могут воспользоваться только ее операторы (которые имеют закрытый ключ), то есть взлом сервера управления ничего не даст;
многие антивирусные средства не анализируют действия программ (мониторинг подозрительных действий, например внедрения своего кода в другой процесс), если они подписаны ЭЦП крупных компаний-производителей ПО и разработчиков драйверов. Эта особенность успешно используется злоумышленниками для обхода систем антивирусной защиты. Подпись формируется при помощи украденных закрытых ключей (Stuxnet подписан украденным ключом Realtek), методом подбора коллизии (Flame подписан якобы Microsoft), в отдельных случаях удавалось зарегистрировать фиктивную компанию по разработке ПО и получить свой собственный закрытый ключ легально;
эксперты антивирусных компаний отмечают, что в последнее время участились случаи распространения ransomware — программ-вымогателей. В качестве классического образца ransomware можно привести GPCode. Эта вредоносная программа шифрует файлы пользователя случайным сеансовым ключом, который сохраняет в зашифрованном при помощи открытого ключа (находится в GPCode) виде. Исходные данные, естественно, стираются. Для выполнения обратной операции необходимо перечислить определенную денежную сумму по реквизитам, оставленным злоумышленником и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у злоумышленника) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование.


Разновидности систем управления

В своем развитии системы управления прошли следующие стадии:

жестко заданные адреса E-Mail;
использование IRC чатов, боты подсоединялись к определенным каналам на заданных серверах, при этом сервера могли быть как легальными, так и взломанными, с последующей установкой на него ПО IRC сервера;
жестко заданные доменные имена или IP адреса;
использование DGA (Domain Generation Algorithm – алгоритм генерации доменных имен);
использование технологий P2P.


Очевидно, что все, что задано статически, рано или поздно блокировалось антивирусными компаниями. Для решения этих проблем и используются технологии DGA и P2P.
Сущность DGA заключается в том, что имена командных центров для управления не являются жестко заданным, а генерируются по псевдослучайному алгоритму с использованием текущей даты и времени, причем количество таких доменов должно быть достаточно большим, например 1000 в сутки. Это приводит к тому, что зарегистрировать или заблокировать все такие имена — очень сложная и практически неосуществимая задача. Однако использование DGA в ВПО позволяет антивирусным компаниям использовать так называемый sinkhole-маршрутизатор — поддельный управляющий центр, который боты начинают воспринимать как свой. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость, так как команды и новые файлы обычно подписываются ЭЦП злоумышленниками.
Использование же P2P позволяет полностью отказаться от концепции управляющего центра, управление или распространение новых версий бота может производиться с любого зараженного компьютера.
P2P (peer-to-peer, одноранговая сеть) предполагает большое количество компьютеров, каждый из которых содержит некоторую информацию о других таких же компьютерах, например IP адрес. Список таких компьютеров (пиров, peer) называется bootstrap list (список первоначальной инициализации). В зависимости от того, откуда берется этот список, различают частично децентрализованные и полностью децентрализованные P2P сети.
Частично децентрализованные P2P сети предполагают загрузку bootstrap list с заранее известных серверов. В частности, так работает uTorrrent. В такой системе существует слабое место — достаточно заблокировать доступ к серверам, содержащим bootstrap list. Поэтому в ВПО используется полностью децентрализованная схема. Следует отметить, что концепция полностью децентрализованной P2P сети применительно к ВПО подразумевает, что распространение будет проходить в два этапа. На первом этапе распространяется бот с пустым bootstrap list, он периодически обращается к командному центру, тот в свою очередь фиксирует IP адрес бота. Кроме непосредственно IP адреса, операторов ботнета интересует информация, не находится ли бот за шлюзом (gateway) или сетевым экраном (firewall). Если это не так, значит, бот может выступать в роли супер пира (super peer, super node), то есть к нему могут напрямую подключаться другие пиры. Как только набрано необходимое количество суперпиров, их список заносится в bootstrap list, и новая версия бота с ним начинает распространяться злоумышленниками. После распространения все боты обмениваются информацией о своих соседях и формируют свой собственный bootstrap list. В результате этого возникает P2P сеть. Она устойчива к пропаданию определенного количества ботов, так как список соседей постоянно меняется. В ходе обмена боты также обмениваются информацией о своей версии. Если бот обнаруживает, что он «устарел», происходит закачка новой версии с одного из соседей. При закачке, как правило, проверяется ЭЦП файла, что бы исключить возможность распространения «не своих» файлов. Таким образом, все боты в P2P поддерживают себя в актуальном состоянии. Именно по вышеописанной двухэтапной схеме работают последние версии Storm, Sality и Zeus. Используемая ими реализация P2P базируется на протоколе Kademlia. Conficker использует свою собственную реализацию, самое интересное в ней то, что bootstrap list у него первоначально пустой, своих соседей он обнаруживает методом сканирования IP адресов. В связи со своими особенностями Conficker более напоминает средство отработки новейших технологий в написании ВПО, чем просто очередной бот.

Подводя итоги, можно сделать вывод, что создатели современного ВПО достаточно серьезно подходят к вопросам обеспечения живучести своих вредоносных программ. Причем имеется тенденция, что антивирусные компании реально проигрывают в этой гонке. Использование P2P и ЭЦП практически не дает шансов «расправиться» с ботнетами.
[/q]
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
В Google Play, интернет-магазине программ для платформы Android, обнаружено приложение для похищения средств со счетов пользователей системы интернет-банкинга "Сбербанк Онлайн", передает РИА Новости со ссылкой на представителей компании Group-IB
[/q]



[q]
Сбербанк РФ подтверждает информацию о масштабной вирусной атаке на пользователей своего интернет-банкинга, которая проводилась через онлайн-магазин мобильных приложений Google Play, и заявляет о необходимости более оперативной реакции компании Google при появлении аналогичных инцидентов, сообщил в четверг агентству "Прайм" представитель пресс-службы банка.

В среду эксперты по информационной безопасности сообщили о том, что через магазин Google Play распространяется вредоносное приложение, которое позволяет злоумышленникам перехватывать одноразовые пароли от банка, необходимые для подтверждения платежей в системе интернет-банкинга "Сбербанк-Онлайн". В четверг приложение "Сбербанк-СМС" было удалено из магазина Google Play, продержавшись в открытом доступе более суток.

Как сообщили РИА Новости в российской компании Group-IB, обнаружившей угрозу, обращение как в российское, так и в американское представительство Google не дало результатов. В четверг пресс-служба Сбербанка подтвердила эту информацию.

"На пользователей систем дистанционного банковского обслуживания нашего и других российских банков хакерской группой была организована масштабная вирусная атака. Начиная с 11 декабря Сбербанк РФ совместно с компанией Group-IB, антивирусными компаниями ЗАО "Лаборатория Касперского" и ЗАО "Доктор Веб" при содействии международных центров по реагированию на компьютерные инциденты CERT обращались в компанию Google для удаления вредоносного приложения. Однако скорость реакции компании Google на данные запросы нас действительно не удовлетворяет в условиях, когда речь идет о финансовых рисках наших клиентов, особенно в предпраздничный период", — сказал агентству "Прайм" представитель пресс-службы Сбербанка РФ.

"По нашему мнению, необходима более оперативная реакция компании Google при появлении аналогичных инцидентов", — добавили в пресс-службе.

По запросу корреспондента РИА Новости компания Google не смогла предоставить оперативный комментарий по данной ситуации.

Программа использует многоэтапную атаку, в которой задействован компьютер пользователя и смартфон. На оба устройства попадают две разные вредоносные программы, которые действуют сообща. Приложение, появившееся в Google Play, отвечало за похищение одноразовых паролей от банка и передачу их злоумышленникам. Программа на компьютере жертвы отвечала за взлом учетной записи в интернет-банкинге и похищение денег.

Служба безопасности Сбербанка ранее уже о опубликовала на сайте предупреждение для пользователей системы "Сбербанк-Онлайн" о вреде, который может причинить программа.

Одновременно со "Сбербанк-СМС" из Google Play исчезло приложение "Альфа-СМС", которое предположительно было создано для атаки на пользователей интернет-банкинга Альфа Банка.

Российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского троянца ZeuS в паре с его мобильной версией Zitmo уже давно известны.

_ttp://ria.ru/economy/20121213/914643598.html
[/q]

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
полное описание атаки, совершенной с помощью Eurograbber - _ttps://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

[q]

...
when the bank customer submits an online banking transaction, the bank sends a Transaction Authentication Number (TAN) via SMS to the customer’s mobile device. The customer then confirms and completes their banking transaction by entering the received TAN in the screen of their online banking session. As we will see, Eurograbber is customized to specifically circumvent even this two-factor authentication.

Bank’s customers’ issues begin when they click on a “bad link” that downloads a customized Trojan onto their computer. This happens either during internet browsing or more likely from responding to a phishing email that entices a customer to click on the bogus link. This is the first step of the attack and the next time the customer logs into his or her bank account, the now installed Trojan (customized variants of the Zeus, SpyEye, and CarBerp Trojans) recognizes the login which triggers the next phase of the attack.

It is this next phase where Eurograbber overcomes the bank’s two-factor authentication and is an excellent example of a sophisticated, targeted attack. During the customer’s first online banking session after their computer is infected, Eurograbber injects instructions into the session that prompts the customer to enter their mobile phone number. Then they are informed to complete the “banking software security upgrade”, by following the instructions sent to their mobile device via SMS. The attacker’s SMS instructs a customer to click on a link to complete a “security upgrade” on their mobile phone; however, clicking on the link actually downloads a variant of “Zeus in the mobile” (ZITMO) Trojan. The ZITMO variant is specifically designed to intercept the bank’s SMS containing the all-important “transaction authorization number” (TAN). The bank’s SMS containing the TAN is the key element of the bank’s two factor-authorization. The Eurograbber Trojan on the customer’s mobile device intercepts the SMS and uses the TAN to complete its own transaction to silently transfer money out of the bank customer’s account. The Eurograbber attack occurs entirely in the background. Once the “security upgrade” is completed, the bank customer is monitored and controlled by Eurograbber attackers and the customer’s online banking sessions give no evidence of the illicit activity.
...
[/q]

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
расширенное описание Red October от Касперского

_ttps://www.securelist.com/en/analysis/204792265/Red_October_Detailed_Malware_Description_1_First_Stage_of_Attack
_ttps://www.securelist.com/en/analysis/204792268/Red_October_Detailed_Malware_Description_2_Second_Stage_of_Attack
_ttps://www.securelist.com/en/analysis/204792264/Red_October_Detailed_Malware_Description_3_Second_Stage_of_Attack
_ttps://www.securelist.com/en/analysis/204792273/Red_October_Detailed_Malware_Description_4_Second_Stage_of_Attack
_ttps://www.securelist.com/en/analysis/204792272/Red_October_Detailed_Malware_Description_5_Second_Stage_of_Attack
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
еще один тренд похоже - проникновение с помощью малвари в сети популярных газет - сейчас проникли в сеть пекинского отделения NYTimes - _ttps://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html?hp&_r=0
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще - про операцию по обнаружению Red october - _ttp://www.securitylab.ru/news/437014.php :good:

[q]

В январе текущего года широкий резонанс среди экспертов по информационной безопасности вызвала раскрытая российской компанией «Лаборатория Касперского» крупнейшая шпионская сеть Red October, на протяжении пяти лет занимающаяся хищением государственных секретов, о чем ранее сообщал SecurityLab. Ведущий эксперт компании Виталий Камлюк поделился с РИА Новости подробностями о том, как происходило исследование шпионской сети.

Как сообщил эксперт, все началось с того, что в октябре прошлого года в «Лабораторию Касперского» обратился один из ее зарубежных партнеров с просьбой проанализировать подозрительный файл, обнаруженный в их компьютерной сети. «Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией» - сообщил Камлюк.

Исследователи провели первичный анализ исполняемого файла, однако это ничего им не дало. Тем не менее, файл содержал в себе IP-адрес сервера в интернете, за что и «зацепились» эксперты.

С помощью специального программного обеспечения, эксперты создали виртуальную копию обычного компьютера и запустили на ней исполняемый файл, чтобы посмотреть, как он взаимодействует с сервером.

Вскоре в виртуальную систему были заброшены «первичные» модули, собиравшие и отсылавшие злоумышленникам информацию об установленных в ней программах, флэш-накопителях и мобильных устройствах, подключаемых к ней, и прочее, после чего, в зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи.

Как сообщил Камлюк, исследователи «ЛК» предположили, что модулей существует гораздо больше тех, что были загружены на виртуальный компьютер, поэтому они создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Это было именно то, что искали злоумышленники.

В виртуальную сеть несуществующей городской службы стали загружаться вредоносные модули под самые разные задачи. Тогда исследователи создали еще несколько подобных сетей, после чего получили более тысячи уникальных вредоносных файлов.

Сначала эксперты объяснили такое большое количество вредоносных программ тем, что они являются несколькими программами, но по-разному зашифрованными. Тем не менее, поскольку файлы сильно отличались по размерам, эксперты отказались от данного предположения.

Анализ обнаруженных файлов длился несколько недель, в результате чего исследователи выявили 34 различных вредоносных модуля, собирающих статистику, осуществляющих поиск информации, а также взламывающих сетевое оборудование, смартфоны на операционных системах Windows Mobile, iOS, Symbian и пр. Таким образом, исследователи определили анатомию, цели и масштабы Red October и пришли к единственно возможному выводу – «Красный октябрь» является крупнейшей шпионской операцией.

На компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Названия файлов подбирались таким образом, чтобы заинтересовавшийся пользователь обязательно его открыл. Заразив один компьютер, с помощью дополнительных модулей злоумышленники углублялись в атакуемую сеть.

Виталий Камлюк отметил, что промежуточный анализ собранных Red October данных проводили люди. Так, модули, используемые преступниками, были не всегда активны. В один день регистрировалась активность, а потом несколько дней ничего не происходило. Это значит, что злоумышленникам требовалось время на обработку данных.

По словам эксперта, штат высококвалифицированных специалистов, проводивших операцию, должен насчитывать около 20 человек. Авторы вредоносного ПО, использовавшегося при атаке, вообще не похожи на «обычных» вирусописателей, отмечает Камлюк. Поскольку в коде двух модулей были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычными. Происхождение преступников, а также их имена пока остаются неизвестными.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.wired.com/threatlevel/2013/03/logic-bomb-south-korea-attack/

теперь и в Южной Корее логические бомбы сработали...
<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 10 11 12 13 14 15 16
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook