Вирусной энциклопедии лаборатория касперского

Обновлено: 12.05.2024

В поисках смысла

Практическая польза от всего моего хобби, связанного с коллекционированием ноутбуков конца 90х, довольно сомнительная. Помня об этом, я в определенный момент перестал покупать новые-старые компьютеры. Сосредоточился на доведении конфигурации имеющихся у меня экземпляров до нужной кондиции (смотрите один из предыдущих постов и периодические апдейты в моем телеграм-канале). Но железо тут не так уж и важно. Софт, в контексте воссоздания тогдашнего окружения, интереснее и сложнее. Вот где подлинная цифровая археология, причем для нее даже старое железо не всегда требуется, достаточно эмуляторов (но не всегда).

Вероятность такого инцидента достаточно высокая: в ситуации, когда сайты производителей уже давно выключены, или контент на них тридцать три раза поменялся, откуда только не приходится доставать нужные дистрибутивы игр и программ. Могут ли они быть заражены? Да сколько угодно, и чем угодно. Мой опыт показывает, что со старыми вредоносными программами, как и с новыми, лучше всего справляется современное защитное ПО. Поэтому сетевые раскопки я провожу в изолированной виртуальной машине, и потом обязательно сканирую весь улов, во избежание. Древний антивирус на древней системе у меня теперь установлен по той же причине, по которой там стоит WinAMP — есть плееры поновее и поудобнее, но так аутентичнее.

Раскопки

Собственно сайт avp.su из 1997 года дает массу приятного чтива об антивирусной науке тех лет, иногда правда переключаясь с быстрой локальной копии на невероятно тормозной веб-архив. А вот файлов там нет, точнее есть только оффлайн-редакция "вирусной энциклопедии AVP". Впрочем оттуда можно добыть имена файлов, и по ним уже поискать. А какие вообще у нас рамки поиска? Для этого я все же отправился в веб-архив и копал сайт техподдержки, пока не нашел вот это.

Ой нет, не это. Вот это:

Судя по всему, Kaspersky Anti-Virus 6.0 — это самая свежия версия, которая пойдет на моем винтажном железе под управлением Windows 98. Windows XP в данном эксперименте я в расчет не беру — с третьим сервис-паком вы можете установить на нее Kaspersky Internet Security 2017, которая официально поддерживается до сих пор. Триалка шестой версии без особых проблем находится в сети: данные пятнадцатилетней давности обычно ищутся легко. Вот дальше уже сложнее, хотя в веб-архиве лежит копия некогда известного сайта Tucows, и там есть версия Kaspersky Anti-Virus Personal Pro от 2004 года.

А еще дальше? Вот тут начинаются проблемы. Веб-архив ранних версий сайтов как правило не хранит файлы, надежды найти там что-то немного, особенно если на сайте использовали динамические ссылки. Помогли уникальные имена файлов, креативное гугление по которым привело меня на пару FTP-серверов, которые, кажется, как настроили в 1998 году, так они и работают.

А что это там у нас в последней строчке? Ай-ай, Семен Семеныч, как же так… Ссылку на FTP давать не буду, опасаясь хабраэффекта: либо сломается, либо закроют, обидно будет терять такой артефакт. Все-таки в раннем интернете было хорошо: все свои, все открыто настежь, народу немного. По сравнению с сетью двадцатилетней давности интернет сегодня — это коллекция заборов разной степени высоты, и ведь по делу! Открытый FTP в 2018 году — это конечно не как открытый SMTP-сервер, но похоже.

Наконец-то дистрибутивы добыты, и можно начинать испытания. Я решил ограничиться тремя версиями антивируса: для DOS, ранняя версия для Windows 95 и самая современная версия для Windows 98.

AntiViral Toolkit Pro by Eugene Kaspersky для DOS Version 3.0

Для работы в чистой MS-DOS 6.22 и Windows 3.11 я использую один из пяти ноутбуков ThinkPad 600, подробнее о котором можно почитать тут. В DOS работают USB-флешки, поэтому переписать нужную программу с современного компьютера просто. А дальше мы видим…

Дальше мы видим, что я забыл установить русификатор. Добываю безотказный keyrus — кажется это та программа, с которой у меня никогда, нигде не возникало проблем. По крайней мере, последние 25 лет. Подробнее о программе и ее авторе — тут.

Так гораздо лучше, но не работает. Идем обратно на винтажный сайт: ах да, нужны же еще базы с информацией о самых свежих вирусах. В отсутствие механизма, да даже самой инфраструктуры для апдейтов онлайн, требовалось регулярно скачивать с сайта очередной архив с антивирусными базами. Подозреваю, что были и другие каналы, ныне нам неизвестные. BBS? Физическая почта?

Antiviral Toolkit Pro by Eugene Kaspersky for Microsoft Windows 95

Эта программа — новый шаг в борьбе с компьютерными вирусами, представляет из себя полностью 32 разрядное приложение, оптимизированное для работы в среде Microsoft Windows 95 и использующее все возможности, которые эта среда предоставляет.

Ах, этот винтажный дизайн. AVP для Windows, она же AVP32, уже имела знакомые нам функции, которые сейчас кажутся стандартными, вроде автоматического обновления.

Впрочем это не то автоматическое обновление, которое вы себе представляете.

Kaspersky Anti-Virus 6.0

Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие программы, представляющие угрозу.

Исключения из проверки позволяют работать с легальными программами, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие программы сами по себе не имеют вредоносных функций, но эти программы могут быть использованы злоумышленниками. Подробную информацию о легальных программах, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского".

В результате работы Kaspersky Endpoint Security такие программы могут быть заблокированы. Чтобы избежать блокирования, для используемых программ вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского". Например, вы часто используете в своей работе программу Radmin, предназначенную для удаленного управления компьютерами. Такая активность программы рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку программы, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского".

Если у вас на компьютере установлена программа, выполняющая сбор и отправку информации на обработку, Kaspersky Endpoint Security может классифицировать такую программу как вредоносную. Чтобы избежать этого, вы можете исключить программу из проверки, настроив Kaspersky Endpoint Security способом, описанным в этом документе.

Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач программы, заданных администратором системы:

Kaspersky Endpoint Security не проверяет объект, если при запуске одной из задач проверки в область проверки включен диск, на котором находится объект, или папка, в которой находится объект. Однако при запуске задачи выборочной проверки именно для этого объекта исключение из проверки не применяется.

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики .
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Общие параметры → Исключения .
6. В блоке Исключения из проверки и доверенные программы нажмите на кнопку Настройка .
7. В окне Доверенная зона выберите закладку Исключения из проверки .

Откроется окно со списком исключений.

Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике. Если локальный список сформирован, после выключения функции Kaspersky Endpoint Security продолжает исключать из проверки файлы из списка.

1. В блоке Свойства установите флажок Файл или папка .
2. По ссылке выберите файл или папку , расположенной в блоке Описание исключения из проверки , откройте окно Имя файла или папки .
3. Введите имя файла или папки, маску имени файла или папки или выберите файл или папку в дереве папок, нажав на кнопку Обзор .

• Символ * , который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
• Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папке Folder и вложенных папках. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
• Символ ? , который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\. txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

Ссылка на добавленный файл или папку появится в блоке Описание исключения из проверки окна Исключение из проверки .

Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client* , Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC , Client-P2P и Client-SMTP .

Ссылка на добавленное название объекта появится в блоке Описание исключения из проверки окна Исключение из проверки .

Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

Ссылка на добавленный объект появится в блоке Описание исключения из проверки окна Исключение из проверки .

1. По ссылке любые , расположенной в блоке Описание исключения из проверки , активируйте ссылку выберите компоненты .
2. По ссылке выберите компоненты откройте окно Компоненты защиты .
3. Установите флажки напротив тех компонентов, на работу которых должно распространяться исключение из проверки.
4. Нажмите на кнопку ОК в окне Компоненты защиты .

Если компоненты указаны в параметрах исключения из проверки, то исключение применяется при проверке только этими компонентами Kaspersky Endpoint Security.

Если компоненты не указаны в параметрах исключения из проверки, то исключение применяется при проверке всеми компонентами Kaspersky Endpoint Security.

1. В главном окне Web Console выберите Устройства → Политики и профили политик .
2. Нажмите на название политики Kaspersky Endpoint Security для компьютеров, на которых вы хотите добавить исключение.

Откроется окно свойств политики.

Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике. Если локальный список сформирован, после выключения функции Kaspersky Endpoint Security продолжает исключать из проверки файлы из списка.

Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

• Символ * , который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
• Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папке Folder и вложенных папках. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
• Символ ? , который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\. txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client* , Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC , Client-P2P и Client-SMTP .

Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

1. В нижней части главного окна программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Угрозы и исключения .
3. В блоке Исключения перейдите по ссылке Настроить исключения .
4. Нажмите на кнопку Добавить .
5. Если вы хотите исключить из проверки файл или папку, выберите файл или папку, нажав на кнопку Обзор .

Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

• Символ * , который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
• Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папке Folder и вложенных папках. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
• Символ ? , который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\. txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client* , Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC , Client-P2P и Client-SMTP .

Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

Вы можете в любое время остановить работу исключения с помощью переключателя.

Kaspersky experts have found a vulnerability in the Yanluowang encryption algorithm and created a free decryptor to help victims of this ransomware with recovering their files.

Emotet modules and recent attacks

A Bad Luck BlackCat

The State of Stalkerware in 2021

Spring4Shell (CVE-2022-22965): details and mitigations

Lazarus Trojanized DeFi app for delivering malware

Phishing-kit market: what’s inside “off-the-shelf” phishing packages

CVE-2022-0847 aka Dirty Pipe vulnerability in Linux kernel

Threats

Latest Posts

Webinar on cyberattacks in Ukraine – summary and Q&A

Threat landscape for industrial automation systems, H2 2021

Elections GoRansom – a smoke screen for the HermeticWiper attack

Financial cyberthreats in 2021

Latest Webinars

19 Apr 2022, 2:00pm

Mobile Malware Reverse Engineering Workshop

10 Mar 2022, 6:00pm

A look at current cyberattacks in Ukraine

13 Jan 2022, 10:00am

CCB Q4 2021 event: Insights about the details of the Log4Shell attack

13 Jan 2022, 10:00am

CCB Q4 2021 event: Elaborating on the BlueNoroff’s cryptocurrency hunt

Register to Access All Kaspersky Webinars

Categories

Mobile malware evolution 2021

In 2021, cybercriminal activity gradually decreased, and attempts to exploit the pandemic topic became less common. However, mobile malware became more advanced, and attacks more complex.

DDoS attacks in Q4 2021

Spam and phishing in 2021

Kaspersky Security Bulletin 2021. Statistics

Key statistics for 2021: miners, ransomware, trojan bankers and other financial malware, zero-day vulnerabilities and exploits, web attacks, threats for macOS and IoT.

Reports

Lazarus Trojanized DeFi app for delivering malware

We recently discovered a Trojanized DeFi application that was compiled in November 2021. This application contains a legitimate program called DeFi Wallet that saves and manages a cryptocurrency wallet, but also implants a full-featured backdoor.

MoonBounce: the dark side of UEFI firmware

At the end of 2021, we inspected UEFI firmware that was tampered with to embed a malicious code we dub MoonBounce. In this report we describe how the MoonBounce implant works and how it is connected to APT41.

The BlueNoroff cryptocurrency hunt is still on

It appears that BlueNoroff shifted focus from hitting banks and SWIFT-connected servers to solely cryptocurrency businesses as the main source of the group’s illegal income.

ScarCruft surveilling North Korean defectors and human rights activists

The ScarCruft group (also known as APT37 or Temp.Reaper) is a nation-state sponsored APT actor. Recently, we had an opportunity to perform a deeper investigation on a host compromised by this group.

Kaspersky Lab is a world-renowned vendor of systems protecting computers against digital threats, including viruses and other malware, unsolicited email (spam), and network and hacking attacks.

In 2008, Kaspersky Lab was rated among the world’s top four leading vendors of information security software solutions for end users (IDC Worldwide Endpoint Security Revenue by Vendor). Kaspersky Lab is the preferred vendor of computer protection systems for home users in Russia (IDC Endpoint Tracker 2014).

Kaspersky Lab was founded in Russia in 1997. It has since grown into an international group of companies with 38 offices in 33 countries. The company employs more than 3,000 skilled professionals.

Products . Kaspersky Lab products provide protection for all systems, from home computers to large corporate networks.

The personal product range includes security applications for desktop, laptop, and tablet computers, smartphones and other mobile devices.

The company offers protection and control solutions and technologies for workstations and mobile devices, virtual machines, file and web servers, mail gateways, and firewalls. The company's portfolio also features specialized products providing protection against DDoS attacks, protection for industrial control systems, and prevention of financial fraud. Used in conjunction with centralized management tools, these solutions ensure effective automated protection for companies and organizations of any size against computer threats. Kaspersky Lab products are certified by major test laboratories, compatible with software from diverse vendors, and optimized to run on many hardware platforms.

Kaspersky Lab virus analysts work around the clock. Every day they uncover hundreds of thousands of new computer threats, create tools to detect and disinfect them, and include their signatures in databases used by Kaspersky Lab applications.

Technologies . Many technologies that are now part and parcel of modern anti-virus tools were originally developed by Kaspersky Lab. It is no coincidence that many other developers use the Kaspersky Anti-Virus engine in their products, including: Alcatel-Lucent, Alt-N, Asus, BAE Systems, Blue Coat, Check Point, Cisco Meraki, Clearswift, D-Link, Facebook, General Dynamics, H3C, Juniper Networks, Lenovo, Microsoft, NETGEAR, Openwave Messaging, Parallels, Qualcomm, Samsung, Stormshield, Toshiba, Trustwave, Vertu, and ZyXEL. Many of the company’s innovative technologies are patented.

Achievements . Over the years, Kaspersky Lab has won hundreds of awards for its services in combating computer threats. Following tests and research conducted by the reputed Austrian test laboratory AV-Comparatives in 2014, Kaspersky Lab ranked among the top two vendors by the number of Advanced+ certificates earned and was ultimately awarded the Top Rated certificate. But Kaspersky Lab's main achievement is the loyalty of its users worldwide. The company’s products and technologies protect more than 400 million users, and its corporate clients number more than 270,000.

На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams:

Если у вас выключен микрофон и вы начинаете говорить, программа напоминает вам, что микрофон-то выключен и надо бы его включить обратно! А как они узнали, что микрофон выключен? И где эта проверка происходит, на клиенте или где-то на сервере? Для подробного исследования вопроса авторы работы перехватывали поток данных с микрофона и сравнивали с сетевым трафиком от клиента к серверу, дебажили работу самих клиентов и даже применяли машинное обучение. Результаты получили разнообразные, но можно сделать вывод, что наибольший режим приватности на конференц-звонках происходит при работе через веб-интерфейс.

Тестировало тестирование тестировщика, или Как мы используем и тестируем распределенную систему тестирования

Вам наверняка знакома ситуация, когда обновления, которые необходимо выкатить, — это россыпь отдельных файлов, которую надо соединить, протестировать на всех видах продуктов и поддерживаемых ОС, а потом загрузить на серверы, чтобы апдейты получили конечные пользователи.

Но что, если обновлений насчитывается 250+ типов? А если поддерживаемых ОС — порядка 250? И для тестирования требуется 7500+ тестовых машин? Такой вот типичный хайлоад. Который должен постоянно масштабироваться…

Security Week 2215: криптокошелек со встроенным трояном

Вредоносный код распространялся вместе с легитимной программой DeFi Desktop Wallet, имеющей открытый исходный код. Как и в предыдущих атаках Lazarus и связанных группировок, целью подобной операции, скорее всего, была чистая нажива — путем кражи и последующей реализации криптовалют.

Приглашаем на онлайновый митап про системы сборки С++ кодовой базы

Security Week 2214: готовые наборы для фишинга

Security Week 2213: взлет и падение группировки LAPSUS$

Можно сказать, что LAPSUS$ вела себя нагло, открыто занимаясь поиском сотрудников компаний, готовых за вознаграждение предоставить доступ к корпоративной инфраструктуре или как-то еще посодействовать взлому. В отличие от других киберпреступников-вымогателей, деятельность этой группировки велась с необычной степенью открытости. Сейчас уже можно предположить, что и наглость, и безрассудный слив информации об атаках прямо в процессе взлома были скорее не стратегией, а следствием молодецкого задора участников. Конспирацию они тоже соблюдать не старались. Поводом для ареста стал слив персональных данных того же WhiteDoxbin другими киберпреступниками, которые, видимо, также не оценили инновационные практики ведения дел.

Security Week 2212: взлом шифрования методом Ферма

Типичным следствием уязвимости в алгоритме шифрования становится лишь теоретическая возможность кражи секретных данных. Например, решение о полном отказе от алгоритма хеширования SHA-1 было принято еще до практической атаки в 2017 году, стоимость которой (в условных виртуальных вычислительных ресурсах) составила внушительные 100 с лишним тысяч долларов. Тем интереснее пример уязвимого алгоритма, который можно моментально взломать при помощи метода, известного уже более 300 лет.

Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.

Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.

Security Week 2210: поддельный драйвер для майнинга и утечка данных Nvidia

Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.

Security Week 2209: криптография в смартфонах

На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.

Security Week 2208: NFT-фишинг

Psion 5MX против Planet Gemini: иногда КПК возвращаются

Security Week 2207: связь между DDoS и стоимостью криптовалют

Интерес представляют причины, по которым такой рост происходит. С одной стороны, это сезонные факторы: на конец года традиционно приходится рост заказов на черном рынке. Еще одной причиной серьезного роста могли стать флюктуации на рынке криптовалют. Дело в том, что мощности, используемые для DDoS и для майнинга, не полностью, но взаимозаменяемые. При падении курса криптовалют увеличивается количество и мощность DDoS-атак, и наоборот. Тем временем курс биткойна, поставив в середине ноября очередной рекорд, начал резко снижаться.

Security Week 2206: нетривиальный взлом браузера Safari

Есть более сдержанное описание работы Райана: он построил достаточно сложную, но вполне реалистичную атаку, воспользовавшись рядом уязвимостей (скорее даже логических ошибок) в MacOS. Главным элементом атаки является особенность формата для хранения копий веб-страниц, известного как Web Archive. При отображении такой сохраненной страницы браузер Safari по умолчанию наделяет копию правами оригинала. Модификация архива, соответственно, позволяет получить доступ к секретным данным или воспользоваться разрешениями сайта, например для доступа к веб-камере.

Это штатная фича архивов страниц, сомнительная сама по себе с точки зрения безопасности. Впрочем, заставить пользователя скачать и открыть модифицированный файл .webarchive достаточно сложно, в том числе благодаря встроенным средствам защиты. Обход этой защиты и представляет собой самую интересную часть исследования.

Sony MZ-N10: о любви к 20-летнему минидисковому рекордеру

Это не значит, что мне больше нечего изучать. Часть устройств в моей коллекции умеренно сломана и требует ремонта. Сегодня я хочу рассказать про мелкий ремонт Sony MZ-N10. Это портативный минидисковый рекордер с возможностью прямого подключения к ПК. Тонкий и легкий аппарат был выпущен к десятилетнему юбилею минидиска, в 2002 году. В этом году ему, соответственно, исполняется 20 лет, а носителю — тридцать. Заодно давайте посмотрим, какой за последние три года появился современный софт для работы с ретроустройствами. Музыку на минидиск теперь можно записывать прямо из браузера!

О хороших практиках построения инфраструктуры ML-моделей

Не все дата-сайентисты умеют хорошо писать код. Их этому не учили. Также их не учили писать веб-сервисы, и они могут забывать, что код должен быть проверен. Дата-сайентисты — не разработчики, от них ждут высоких метрик и решения поставленных задач, а не умения писать модульные тесты и следить за кодом. По крайней мере, им это не прививают. Не говоря уже о том, что они не работают с Kubernetes и не пишут для него Helm charts.

Всю эту историю расскажу на примере живого проекта MDR (Kaspersky Managed Detection and Response).

Security Week 2205: эскалация привилегий в Linux и Windows

Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.

Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.

Security Week 2204: MoonBounce, вредоносный код в UEFI

Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить

Читайте также:

  
• Карандаш от бородавок и папиллом леккер отзывы
  
• Что означает положительный результат на герпес 1 и 2 типа
  
• Осложнения ринита при гриппе
  
• Удаление папиллом лазером с века в северном бутово
  
• Как распространяется вирус по воздуху ютуб