Обзор вирусной активности касперского

Обновлено: 24.04.2024

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

  • отражено 193 989 043 сетевых атак;
  • заблокировано 64 742 608 попыток заражения через Web;
  • обнаружено и обезврежено 258 090 156 вредоносных программ (попытки локального заражения);
  • отмечено 80 155 498 срабатываний эвристических вердиктов.

Для индустрии информационной безопасности август традиционно является одним из самых горячих месяцев, несмотря на период летних отпусков. В августе в США проходят две наиболее значительные конференции в области безопасности: BlackHat и Defcon. Именно эти конференции являются популярной трибуной для оглашения результатов наиболее серьезных исследований и, фактически, не только подводят итоги предыдущего года, но и задают новые горизонты на ближайшее будущее. В рамках конференций постоянно раскрываются новые способы проведения атак, различных технологий взломов, и некоторые из них, увы, впоследствии реализуются и во вредоносных программах. Кроме того, тот самый период летних отпусков создает дополнительные проблемы и для частных пользователей, и для организаций: на отдыхе люди чаще пользуются доступом к Сети в интернет-кафе, бесплатных Wi-Fi-точках, в аэропортах и т.д. - в общем, находятся за пределами своего обычного периметра безопасности и могут стать жертвами злоумышленников.

Новые программы и технологии злоумышленников

Что же нового появилось на "той стороне" линии фронта в августе? Какие новые вредоносные программы и технологии злоумышленники использовали в прошедшем месяце?

Ice IX - внебрачный сын Зевса

Троянец ZeuS (Trojan-Spy.Win32.Zbot) уже несколько лет является наиболее распространенной угрозой для пользователей онлайн-банкинга. По числу инцидентов с его участием и нанесенному им ущербу он действительно может считаться у киберпреступников громовержцем. Вокруг Зевса выросла целая отрасль кибериндустрии, в основном русскоязычной. Десятки группировок используют его или результаты его деятельности в своей преступной работе.

В прошлом году появилась информация о том, что создатель Зевса продал всю разработку другому вирусописателю, автору троянца SpyEye, и вместо двух конкурирующих проектов должен был появиться один, объединяющий в себе лучшие технологии предыдущих. И действительно, новые версии SpyEye сейчас обнаруживаются регулярно и являются преемниками старика Зевса.

Но практически одновременно с этим "слиянием" произошла утечка исходных кодов Зевса, которые стали доступны всем желающим. Учитывая, что создатель SpyEye продает свои поделки на киберпреступном рынке за несколько тысяч долларов, очевидно, что появятся желающие не платить ему, а создать собственный клон, основанный на тех же самых исходных кодах.

В августе один из таких клонов получил достаточно широкое распространение и привлек внимание исследователей. Стоит подчеркнуть, что появился он гораздо раньше, весной этого года, но популярность среди киберпреступников приобрел летом. Новая разновидность имеет авторское название Ice IX и продается за 600-1800 долларов США. Как и в истории самого Зевса и SpyEye, здесь мы также имеем дело с работой русскоязычных киберпреступников. Одним из наиболее серьезных новшеств в Ice IX стал измененный веб-модуль управления ботнетом, позволяющий киберпреступникам использовать "легальные" хостинговые площадки вместо использования абузоустойчивых серверов, обслуживаемых злоумышленниками. Это изменение позволяет операторам Ice IX избежать значительных расходов на абузоустойчивый хостинг.

Заимствование, да что там, скажем прямо, кража чужого кода, является обычной практикой в среде киберпреступников. Появление Ice IX, который не только вступает в конкуренцию по функционалу со SpyEye, но и значительно снижает цены на подобных троянцев, в ближайшей перспективе приведет к появлению новых "внебрачных сыновей" Зевса и еще большему числу атак на пользователей систем онлайн-банкинга.

Bitcoin и вредоносные программы

Этим летом система электронных денег Bitcoin оказалась в центре внимания и пользователей, и преступников. Система генерации "монет", основанная на использовании вычислительных мощностей компьютеров, стала еще одним способом для нелегального заработка, причем способ этот отличается сверханонимностью. Количество генерируемых "монет" зависит от мощности вашего компьютера. Чем больше компьютеров, к которым вы имеете доступ, тем больше ваш потенциальный заработок. Достаточно быстро пройдя стадию атак на владельцев биткойн-кошельков с целью их кражи, киберпреступники переключились на уже традиционное для них использование ботнетов.

Еще в июне мы обнаружили первый троянец Trojan.NSIS.Miner.a, который скрытно от пользователя зараженного компьютера генерировал биткойны. Этот инцидент стал началом нашего сотрудничества с рядом крупных биткойн-пулов (серверов, которые хранят информацию об участниках сети и их аккаунтах), что позволило нам пресечь работу ряда аналогичных ботнетов. Начало противостояния между антивирусной индустрией и преступниками в этой новой области привело к тому, что стали появляться все новые изощренные виды биткойн-ботнетов.

В августе новые технологиикиберпреступников были связаны с Twitter, P2P-сетями и прокси.

Что касается Twitter, то суть технологии заключается в следующем: бот обращается к аккаунту в социальной сети Twitter, откуда получает команды, оставленные там владельцем ботнета: откуда загрузить программу для генерации и с каким биткойн-пулом работать. Использование Twitter в качестве центра управления ботнетом не ново, однако применительно к биткойн это было использовано впервые.

P2P-ботнеты также не являются чем-то принципиально новым, но P2P-ботнет Trojan.Win32.Miner.h, обнаруженный нашими экспертами в августе, насчитывает, по самым скромным оценкам, почти 40 тысяч публичных IP-адресов. Учитывая, что сейчас большинство машин находится за файерволами или шлюзами, реальное количество зараженных машин может быть на порядки выше. Бот устанавливает в систему сразу три генератора ("майнера") Bitcoin: Ufasoft miner, RCP miner и Phoenix miner.

Две описанных выше технологии облегчают злоумышленникам поддержку работоспособности ботнета и используются как меры противодействия антивирусным компаниям, которые в случае использования единственного центра управления ботнетом могут заблокировать его работу.

Угрозе подвергаются и сами аккаунты злоумышленников в биткойн-пулах, которые могут быть удалены владельцами серверов, активно борющихся с незаконными "генераторами". И вот в августе нами было обнаружено, что один из крупнейших ботнетов также не только задействовал свои мощности для генерации биткойнов, но и начал использовать схему сокрытия реальных аккаунтов. Для этого владельцы ботнета создали специальный прокси-сервер, с которым взаимодействуют зараженные компьютеры, после чего их запросы дальше передаются на неизвестный биткойн-пул. Узнать путем анализа кода ботов, с каким именно пулом работает ботнет, и тем самым заблокировать мошеннические аккаунты, не представляется возможным. Единственный способ пресечения преступной деятельности в этой ситуации - это получение полного доступа к прокси-серверу.

Всего же по состоянию на конец августа нами обнаружено 35 различных вредоносных программ, так или иначе нацеленных на работу с системой Bitcoin.

Червь удаленного доступа

Довольно интересным оказался сетевой червь Morto, чье активное распространение началось в двадцатых числах августа. В отличие от множества своих предшественников, наиболее заметных в последние годы, он не использует уязвимости для своего размножения. Кроме того, он распространяется через службу Windows RDP, чего раньше никогда не встречалось. Эта служба используется для предоставления удаленного доступа к рабочему столу Windows. Функционал червя базируется на попытках подбора пароля на доступ. По самым предварительным оценкам, в настоящее время данным червем могут быть заражены несколько десятков тысяч компьютеров по всему миру. Главную опасность представляет то, что злоумышленники имеют возможность удаленно управлять зараженными машинами, поскольку червь содержит ботнет-функционал и взаимодействует с несколькими серверами управления. При этом основное предназначение ботнета - проведение DDoS-атак.

Атаки на индивидуальных пользователей: мобильные угрозы

Чуть больше года назад (в самом начале августа 2010) была обнаружена первая вредоносная программа для операционной системы Android: SMS-троянец FakePlayer. С момента появления этого зловреда ситуация в мире вредоносных программ и для мобильных угроз в целом, и для Android в частности, достаточно сильно изменилась. Менее чем за год число вредоносных программ для Android обогнало число вредоносных программ для Symbian (первый зловред для ОС Symbian появился в 2004 году). На сегодняшний день зловреды под Android составляют порядка 24% от общего числа обнаруженных вредоносных программ для мобильных платформ. С момента появления FakePlayer мы обнаружили 628 модификации различных вредоносных программ для Android.

Распределение мобильных вредоносных программ по платформам

Если же брать общее число зловредов для смартфонов (т.е. без J2ME), обнаруженных с 01.08.2010 по 31.08.2011, то 85% приходятся на Android.

"Некоммерциализированные" вредоносные программы для мобильных устройств сегодня встречаются все реже, однако иногда среди них попадаются весьма любопытные экземпляры. В августе был обнаружен троянец Dogwar, который, судя по всему, был создан людьми, симпатизирующими организации PETA и защите прав животных. Взяв бета-версию игры Dog Wars, злоумышленник, заменив в иконке программы слово BETA на PETA, вставил туда вредоносный код, который:

Атаки на сети корпораций и крупных организаций

Корпоративный шпионаж и разведывательная деятельность, ведущаяся в Сети разными странами мира, постепенно входят в число наиболее широко освещаемых проблем информационной безопасности, вытесняя в этом смысле традиционную киберпреступность. Однако из-за новизны темы и ее относительной закрытости для широкой публики при ее освещении часто появляется нежелательный налет сенсационности.

При ближайшем рассмотрении оказалось, что, во-первых, "обнаруженный исследователями" сервер злоумышленников был уже несколько месяцев известен аналитикам из многих других антивирусных компаний. Во-вторых, на момент публикации сервер продолжал функционировать, при этом содержал практически всю информацию, на основе которой McAfee подготовила отчет, в публичном доступе. В-третьих, шпионские программы, при помощи которых якобы осуществлялась самая сложная и массовая атака в истории, уже многие годы детектировались многими антивирусами простыми эвристическими методами. Кроме перечисленных пунктов были и другие, также вызывавшие вопросы. Эти вопросы были публично заданы, в том числе и экспертами "Лаборатории Касперского".

Наше исследование позволяет утверждать, что Shady Rat не является ни самой долгой, ни самой крупной, ни самой изощренной атакой в истории. Более того, мы считаем недопустимой публикацию информации о любых атаках без описания всех используемых компонентов и технологий, поскольку такие ограниченные публикации не дают возможности специалистам принять соответствующие меры по защите своих ресурсов.

Еще более ответственно следует подходить к вопросу публикации информации, когда это касается так называемых APT (Advanced Persistent Threat), в последнее время ставших у экспертов по IT-безопасности, и в СМИ столь же любимым словом, как и"кибервойны", "кибероружие". Однако в этот термин все вкладывают разный смысл. Впрочем, вопрос терминологии имеет второстепенное значение, если речь на самом деле идет о случаях корпоративного шпионажа или действиях спецслужб. В таких случаях гораздо важнее то, что излишнее внимание к теме и преждевременная публикация информации может сорвать расследование и нанести еще больший ущерб жертвам атак.

Громкие взломы месяца

Август оказался богат на действительно громкие взломы. Атаки на компании и государственные структуры идут по всему миру и, в отличие от атак-"невидимок", в этом году многие из инцидентов были вызваны действиями публичных хакерских групп, таких как AntiSec/Anonimous. Все чаще атаки используются и как средство политической борьбы. Все эти случаи получают широкое оглашение в прессе, а именно к этому и стремятся "хактивисты". Так что на фоне событий этого года особого удивления августовские взломы не вызвали.

За отчетный период жертвами "хактивистов" стала итальянская киберполиция, ряд сотрудничающих с правоохранительными органами компаний в США, а также военный подрядчик Vanguard, занимающийся системами коммуникации по заказу американского министерства обороны. Эти атаки стали местью хакеров за аресты ряда членов их группировок. В публичный доступ попали гигабайты приватной информации, причем в ситуации с итальянской киберполицией были обнародованы документы, вероятней всего изначально принадлежавшие индийскому посольству в России.

Позднее в США хакеры атаковали серверы транспортной системы Сан-Франциско и украли персональные данные 2 тысяч пассажиров, которые затем были опубликованы. Среди политических взломов стоит отметить дефейсы правительственных сайтов в Сирии и Ливии, произошедшие на фоне продолжающихся гражданских столкновений в этих странах.

На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams:


Если у вас выключен микрофон и вы начинаете говорить, программа напоминает вам, что микрофон-то выключен и надо бы его включить обратно! А как они узнали, что микрофон выключен? И где эта проверка происходит, на клиенте или где-то на сервере? Для подробного исследования вопроса авторы работы перехватывали поток данных с микрофона и сравнивали с сетевым трафиком от клиента к серверу, дебажили работу самих клиентов и даже применяли машинное обучение. Результаты получили разнообразные, но можно сделать вывод, что наибольший режим приватности на конференц-звонках происходит при работе через веб-интерфейс.

Тестировало тестирование тестировщика, или Как мы используем и тестируем распределенную систему тестирования


Вам наверняка знакома ситуация, когда обновления, которые необходимо выкатить, — это россыпь отдельных файлов, которую надо соединить, протестировать на всех видах продуктов и поддерживаемых ОС, а потом загрузить на серверы, чтобы апдейты получили конечные пользователи.

Но что, если обновлений насчитывается 250+ типов? А если поддерживаемых ОС — порядка 250? И для тестирования требуется 7500+ тестовых машин? Такой вот типичный хайлоад. Который должен постоянно масштабироваться…

Security Week 2215: криптокошелек со встроенным трояном


Вредоносный код распространялся вместе с легитимной программой DeFi Desktop Wallet, имеющей открытый исходный код. Как и в предыдущих атаках Lazarus и связанных группировок, целью подобной операции, скорее всего, была чистая нажива — путем кражи и последующей реализации криптовалют.

Приглашаем на онлайновый митап про системы сборки С++ кодовой базы


Security Week 2214: готовые наборы для фишинга


Security Week 2213: взлет и падение группировки LAPSUS$


Можно сказать, что LAPSUS$ вела себя нагло, открыто занимаясь поиском сотрудников компаний, готовых за вознаграждение предоставить доступ к корпоративной инфраструктуре или как-то еще посодействовать взлому. В отличие от других киберпреступников-вымогателей, деятельность этой группировки велась с необычной степенью открытости. Сейчас уже можно предположить, что и наглость, и безрассудный слив информации об атаках прямо в процессе взлома были скорее не стратегией, а следствием молодецкого задора участников. Конспирацию они тоже соблюдать не старались. Поводом для ареста стал слив персональных данных того же WhiteDoxbin другими киберпреступниками, которые, видимо, также не оценили инновационные практики ведения дел.

Security Week 2212: взлом шифрования методом Ферма

Типичным следствием уязвимости в алгоритме шифрования становится лишь теоретическая возможность кражи секретных данных. Например, решение о полном отказе от алгоритма хеширования SHA-1 было принято еще до практической атаки в 2017 году, стоимость которой (в условных виртуальных вычислительных ресурсах) составила внушительные 100 с лишним тысяч долларов. Тем интереснее пример уязвимого алгоритма, который можно моментально взломать при помощи метода, известного уже более 300 лет.


Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.



Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.

Security Week 2210: поддельный драйвер для майнинга и утечка данных Nvidia


Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.

Security Week 2209: криптография в смартфонах

На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.


Security Week 2208: NFT-фишинг


Psion 5MX против Planet Gemini: иногда КПК возвращаются


Security Week 2207: связь между DDoS и стоимостью криптовалют


Интерес представляют причины, по которым такой рост происходит. С одной стороны, это сезонные факторы: на конец года традиционно приходится рост заказов на черном рынке. Еще одной причиной серьезного роста могли стать флюктуации на рынке криптовалют. Дело в том, что мощности, используемые для DDoS и для майнинга, не полностью, но взаимозаменяемые. При падении курса криптовалют увеличивается количество и мощность DDoS-атак, и наоборот. Тем временем курс биткойна, поставив в середине ноября очередной рекорд, начал резко снижаться.

Security Week 2206: нетривиальный взлом браузера Safari


Есть более сдержанное описание работы Райана: он построил достаточно сложную, но вполне реалистичную атаку, воспользовавшись рядом уязвимостей (скорее даже логических ошибок) в MacOS. Главным элементом атаки является особенность формата для хранения копий веб-страниц, известного как Web Archive. При отображении такой сохраненной страницы браузер Safari по умолчанию наделяет копию правами оригинала. Модификация архива, соответственно, позволяет получить доступ к секретным данным или воспользоваться разрешениями сайта, например для доступа к веб-камере.

Это штатная фича архивов страниц, сомнительная сама по себе с точки зрения безопасности. Впрочем, заставить пользователя скачать и открыть модифицированный файл .webarchive достаточно сложно, в том числе благодаря встроенным средствам защиты. Обход этой защиты и представляет собой самую интересную часть исследования.

Sony MZ-N10: о любви к 20-летнему минидисковому рекордеру



Это не значит, что мне больше нечего изучать. Часть устройств в моей коллекции умеренно сломана и требует ремонта. Сегодня я хочу рассказать про мелкий ремонт Sony MZ-N10. Это портативный минидисковый рекордер с возможностью прямого подключения к ПК. Тонкий и легкий аппарат был выпущен к десятилетнему юбилею минидиска, в 2002 году. В этом году ему, соответственно, исполняется 20 лет, а носителю — тридцать. Заодно давайте посмотрим, какой за последние три года появился современный софт для работы с ретроустройствами. Музыку на минидиск теперь можно записывать прямо из браузера!

О хороших практиках построения инфраструктуры ML-моделей

Не все дата-сайентисты умеют хорошо писать код. Их этому не учили. Также их не учили писать веб-сервисы, и они могут забывать, что код должен быть проверен. Дата-сайентисты — не разработчики, от них ждут высоких метрик и решения поставленных задач, а не умения писать модульные тесты и следить за кодом. По крайней мере, им это не прививают. Не говоря уже о том, что они не работают с Kubernetes и не пишут для него Helm charts.


Всю эту историю расскажу на примере живого проекта MDR (Kaspersky Managed Detection and Response).

Security Week 2205: эскалация привилегий в Linux и Windows

Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.



Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.

Security Week 2204: MoonBounce, вредоносный код в UEFI


Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить



С другой стороны, киберпреступники стали более избирательными и всесторонне исследуют цель, прежде чем целенаправленно атаковать ее.

Капитанская вещь, но: для защиты рабочей станции как минимум необходимо использовать всем давно знакомый антивирус. Впрочем, благодаря политике Microsoft, он сейчас есть на каждой машине с Windows. В пик роста кибератак и удивительной находчивости хакеров многие считают, что антивирус работает лишь как плацебо: поставил его на машину и спи себе спокойно.


На сегодняшний момент классический антивирус, который сигнатурно проверяет файлы, действительно не эффективен. Злоумышленники стали активнее и умнее. Поэтому для защиты рабочих станций нужно использовать продукт, совмещающий в себе как классический антивирус, так и разнообразные варианты поиска вредоноса, например, по поведению.

Не стоит забывать о таких важных вещах, как мониторинг уязвимости в программах на всех машинах предприятия, антивирусные проверки файлов в оперативной памяти и на флешках, проверку почтового и веб-трафика.

Многие организации переводят свои мощности на виртуальные машины. В данном случае виртуальную среду тоже необходимо как-то защищать. Можно, конечно, поставить защиту на каждую такую машину, но так как обычно виртуалкам выделяется мало ресурсов, то хорошо бы строить защиту виртуальный среды с отдельной виртуальной машины. Выделенная машина обрабатывает все данные, а на рабочие виртуалки устанавливаться только агент, который не дает большой нагрузки.


Можно также использовать агентское решение, доступное только для VMware. В этом случае агент не устанавливается на виртуальную машину, а осуществляет защиту и проверяет машины на наличие угроз через гипервизор. Именно такая схема реализована в том же Kaspersky Security для виртуальных и облачных сред.


Если злоумышленник пробрался во внутрь сети и на 443-й повесил ssh, а потом пошел на другую машину и с нее хочет подключится и выполнить вредоносные действия, то у него ничего не выйдет. В случае использования классического firewall — по 443 порту можно делать все, что хотите. В качестве open source варианта для создания firewall можно рассмотреть pfSense, который, кроме основных функций, предоставляет возможности по маршрутизации и балансировке трафика.

DDOS — штука неприятная. К тому же если конкуренты решили вывести ваш сайт из строя в самое неподходящее время, то атака может вылиться в большие потери.

Еще один компонент платформы — песочница — изолированная среда, в которой запускаются файлы и анализируется их поведение.

На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams:


Если у вас выключен микрофон и вы начинаете говорить, программа напоминает вам, что микрофон-то выключен и надо бы его включить обратно! А как они узнали, что микрофон выключен? И где эта проверка происходит, на клиенте или где-то на сервере? Для подробного исследования вопроса авторы работы перехватывали поток данных с микрофона и сравнивали с сетевым трафиком от клиента к серверу, дебажили работу самих клиентов и даже применяли машинное обучение. Результаты получили разнообразные, но можно сделать вывод, что наибольший режим приватности на конференц-звонках происходит при работе через веб-интерфейс.

Тестировало тестирование тестировщика, или Как мы используем и тестируем распределенную систему тестирования


Вам наверняка знакома ситуация, когда обновления, которые необходимо выкатить, — это россыпь отдельных файлов, которую надо соединить, протестировать на всех видах продуктов и поддерживаемых ОС, а потом загрузить на серверы, чтобы апдейты получили конечные пользователи.

Но что, если обновлений насчитывается 250+ типов? А если поддерживаемых ОС — порядка 250? И для тестирования требуется 7500+ тестовых машин? Такой вот типичный хайлоад. Который должен постоянно масштабироваться…

Security Week 2215: криптокошелек со встроенным трояном


Вредоносный код распространялся вместе с легитимной программой DeFi Desktop Wallet, имеющей открытый исходный код. Как и в предыдущих атаках Lazarus и связанных группировок, целью подобной операции, скорее всего, была чистая нажива — путем кражи и последующей реализации криптовалют.

Приглашаем на онлайновый митап про системы сборки С++ кодовой базы


Security Week 2214: готовые наборы для фишинга


Security Week 2213: взлет и падение группировки LAPSUS$


Можно сказать, что LAPSUS$ вела себя нагло, открыто занимаясь поиском сотрудников компаний, готовых за вознаграждение предоставить доступ к корпоративной инфраструктуре или как-то еще посодействовать взлому. В отличие от других киберпреступников-вымогателей, деятельность этой группировки велась с необычной степенью открытости. Сейчас уже можно предположить, что и наглость, и безрассудный слив информации об атаках прямо в процессе взлома были скорее не стратегией, а следствием молодецкого задора участников. Конспирацию они тоже соблюдать не старались. Поводом для ареста стал слив персональных данных того же WhiteDoxbin другими киберпреступниками, которые, видимо, также не оценили инновационные практики ведения дел.

Security Week 2212: взлом шифрования методом Ферма

Типичным следствием уязвимости в алгоритме шифрования становится лишь теоретическая возможность кражи секретных данных. Например, решение о полном отказе от алгоритма хеширования SHA-1 было принято еще до практической атаки в 2017 году, стоимость которой (в условных виртуальных вычислительных ресурсах) составила внушительные 100 с лишним тысяч долларов. Тем интереснее пример уязвимого алгоритма, который можно моментально взломать при помощи метода, известного уже более 300 лет.


Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.



Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.

Security Week 2210: поддельный драйвер для майнинга и утечка данных Nvidia


Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.

Security Week 2209: криптография в смартфонах

На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.


Security Week 2208: NFT-фишинг


Psion 5MX против Planet Gemini: иногда КПК возвращаются


Security Week 2207: связь между DDoS и стоимостью криптовалют


Интерес представляют причины, по которым такой рост происходит. С одной стороны, это сезонные факторы: на конец года традиционно приходится рост заказов на черном рынке. Еще одной причиной серьезного роста могли стать флюктуации на рынке криптовалют. Дело в том, что мощности, используемые для DDoS и для майнинга, не полностью, но взаимозаменяемые. При падении курса криптовалют увеличивается количество и мощность DDoS-атак, и наоборот. Тем временем курс биткойна, поставив в середине ноября очередной рекорд, начал резко снижаться.

Security Week 2206: нетривиальный взлом браузера Safari


Есть более сдержанное описание работы Райана: он построил достаточно сложную, но вполне реалистичную атаку, воспользовавшись рядом уязвимостей (скорее даже логических ошибок) в MacOS. Главным элементом атаки является особенность формата для хранения копий веб-страниц, известного как Web Archive. При отображении такой сохраненной страницы браузер Safari по умолчанию наделяет копию правами оригинала. Модификация архива, соответственно, позволяет получить доступ к секретным данным или воспользоваться разрешениями сайта, например для доступа к веб-камере.

Это штатная фича архивов страниц, сомнительная сама по себе с точки зрения безопасности. Впрочем, заставить пользователя скачать и открыть модифицированный файл .webarchive достаточно сложно, в том числе благодаря встроенным средствам защиты. Обход этой защиты и представляет собой самую интересную часть исследования.

Sony MZ-N10: о любви к 20-летнему минидисковому рекордеру



Это не значит, что мне больше нечего изучать. Часть устройств в моей коллекции умеренно сломана и требует ремонта. Сегодня я хочу рассказать про мелкий ремонт Sony MZ-N10. Это портативный минидисковый рекордер с возможностью прямого подключения к ПК. Тонкий и легкий аппарат был выпущен к десятилетнему юбилею минидиска, в 2002 году. В этом году ему, соответственно, исполняется 20 лет, а носителю — тридцать. Заодно давайте посмотрим, какой за последние три года появился современный софт для работы с ретроустройствами. Музыку на минидиск теперь можно записывать прямо из браузера!

О хороших практиках построения инфраструктуры ML-моделей

Не все дата-сайентисты умеют хорошо писать код. Их этому не учили. Также их не учили писать веб-сервисы, и они могут забывать, что код должен быть проверен. Дата-сайентисты — не разработчики, от них ждут высоких метрик и решения поставленных задач, а не умения писать модульные тесты и следить за кодом. По крайней мере, им это не прививают. Не говоря уже о том, что они не работают с Kubernetes и не пишут для него Helm charts.


Всю эту историю расскажу на примере живого проекта MDR (Kaspersky Managed Detection and Response).

Security Week 2205: эскалация привилегий в Linux и Windows

Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.



Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.

Security Week 2204: MoonBounce, вредоносный код в UEFI


Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить


Читайте также: