Неизвестные заявляют, что взломали крупнейший профсоюз полиции США

Британский исследователь Томас Уайт (Thomas White), известный под ником Cthulhu, опубликовал на страницах своего сайта дамп объемом 2,5 Гб. Cthulhu утверждает, что эти данные передал ему анонимный источник, чье имя он разглашать не намерен. Неизвестный хакер, приславший дамп Cthulhu, утверждает, что он сумел взломать сайт одного из крупнейших полицейских профсоюзов США — Ордена полицейского братства (Fraternal Order of Police, FOP), в котором состоят более 330 000 человек. Представители FOP утверждают, что их никто не ломал, и хакер лжет. Но сайт профсоюза почему-то ушел в длительный оффлайн, а опубликованный дамп содержит данные выставляющие полицейских не в лучшем свете.

from «Хакер» http://ift.tt/23D0sVD
via IFTTT

Разработчики OpenSSL устранили две серьезные уязвимости

В конце прошлой недели разработчики проекта OpenSSL представили исправление двух уязвимостей, одна из которых была оценена как критическая. Проблемы распространялись на версии OpenSSL 1.0.1 и 1.0.2, поэтому было представлено два новых релиза: 1.0.1r и 1.0.2f.

from «Хакер» http://ift.tt/1P88wnI
via IFTTT

Малварь на Си по шагам [№2] Работа с гейтом

Kali Linux Rolling Edition Released

Kali Linux, один из популярнейших security дистрибутивов, получил свой первый роллинг-релиз. Роллинг-релиз (англ. Rolling Release) – непрерывное или горячее обновление ветки ПО, в которой программное обеспечение обновляется регулярно. В разработке ПО модель разработки роллинг-релизов или непрерывных обновлений относится к системам ПО, функционирующим по принципу непрерывной поставки. Такая система противоположна модели, которая использует версии ПО, которые … Читать далее Kali Linux Rolling Edition Released →

from DefconRU http://ift.tt/1SQtKMN
via IFTTT

В приложении LG исправлена опасная уязвимость

Специалисты компаний BugSec и Cynet обнаружили брешь в приложении Smart Notice, которое компания LG с 2014 года предустанавливает на свои смартфоны. Исследователи выявили, что в уведомления, которые отображает приложение, можно внедрить вредоносный JavaScript код. Хотя наличие уязвимости подтверждено только на флагманском аппарате LG G3, предполагается, что аналогичная проблема присутствует и на других смартфонах компании.

from «Хакер» http://ift.tt/1TrgT2P
via IFTTT

Эксперты FireEye обеспокоены тем, как разработчики патчат приложения в App Store

Сотрудники компании FireEye заметили, что разработчики приложений для операционной системы iOS все чаще применяют для внесения небольших изменений в свои продукты опенсорсную технологию JSPatch. Она позволяет обновлять приложения в обход проверок App Store. Эксперты считают, что это удобно, но отнюдь небезопасно.

from «Хакер» http://ift.tt/1KeQyTu
via IFTTT

Правильный кроп. Подборка полезностей для разработчиков

Для подписчиков
В сегодняшнем обзоре — необычные JS- и jQuery-библиотечки для развлечения, повышения функциональности и облегчения интерфейса как твоего веб-проекта, так и твоего собственного ПК. Некоторые даже полезные!

from «Хакер» http://ift.tt/1WRkwyQ
via IFTTT

Опубликованы новые подробности о том, как троян BlackEnergy атакует Украину

Эксперты «Лаборатории Касперского» опубликовали развернутое исследование о кибератаках на различные критические сектора Украины, в ходе которых злоумышленники применяли трояны BlackEnergy и несколько новых модулей к ним. Напомню, что незадолго до нового года одна из этих атак была направлена против энергетических компаний Украины и привела к массовым отключениям электроэнергии на западе страны. Теперь экспертам удалось выявить новую фазу киберкампании.

from «Хакер» http://ift.tt/20wT0Ja
via IFTTT

Новые рекорды DDoS: пиковая мощность атак достигает 450-500 Гбит/сек

Компания Arbor Networks обнародовала 11 ежегодный отчет, рассказывающий о безопасности общемировой сетевой инфраструктуры. Документ составлен на основе данных, полученных от 354 респондентов, которыми выступили провайдеры, хостеры и мобильные операторы со всего мира. Согласно отчету, за прошедший год мощность DDoS-атак вновь возросла, установив новый рекорд: 500 Гбит/сек.

from «Хакер» http://ift.tt/1nCjHOI
via IFTTT

Вышел Firefox 44 с исправлением ряда критических уязвимостей

Mozilla представила 44 версию браузера Firefox и Firefox Extended Release 38.6 для настольных ОС и мобильной платформы Android. В браузере появилось немало новых фишек, а также разработчики устранили 12 уязвимостей, в том числе три критические.

from «Хакер» http://ift.tt/1QJB8Io
via IFTTT

Специалисты обнаружили очень надоедливое вредоносное расширение для Chrome

Эксперты компании Malwarebytes выявили в магазине Google Chrome Web Store вредоносное расширение iCalc. Аддон не только скрытно создавал прокси и перенаправлял весь пользовательский трафик на сервер злоумышленников, расширение также демонстрировало раздражающую навязчивость, требуя установки.

from «Хакер» http://ift.tt/1ZVdFoh
via IFTTT

Роскомнадзор не считает обход блокировок противозаконным

В эфире телеканала «РБК» пресс-секретарь Роскомнадзора Вадим Ампелонский обозначил позицию ведомства по вопросу обхода блокировок сайтов. Как это ни удивительно, оказалось, что пока чиновники не видят в этом ничего предосудительного.

from «Хакер» http://ift.tt/1nQTfAO
via IFTTT

При APT атаках BlackEnergy в Украине применялся целевой фишинг с использованием Word-документов

Ранее в прошлом году волна кибератак ударила по нескольким критическим секторам Украины. В атаках, которые широко обсуждались в СМИ, использовались известные троянцы BlackEnergy, а также несколько новых модулей.

BlackEnergy ― это троянец, созданный хакером, известным как Cr4sh. В 2007 году он объявил о прекращении работы над ним и продал исходный код за $700. Похоже, что эти исходные коды были использованы одним или несколькими злоумышленниками для проведения DDoS-атак на Грузию в 2008 году. Эти неизвестные хакеры продолжали проводить DDoS-атаки в течение следующих нескольких лет. Приблизительно в 2014 году наше внимание привлекла конкретная группа хакеров, начавшая использовать SCADA-модули BlackEnergy и атаковать промышленные и энергетические секторы по всему миру. Это указывает на обладание этой группой уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS атак.

Для простоты назовем их APT-группой BlackEnergy.

Одной из приоритетных целей APT-группы BlackEnergy всегда была Украина. С середины 2015 года одним из основных векторов атак BlackEnergy в Украине были документы Excel с макросами, которые устанавливают троянца на диск, если пользователь запускает скрипт в документе.

Несколько дней назад мы обнаружили новый документ, который, возможно, является частью текущей атаки APT-группы BlackEnergy на Украину. В отличие от файлов Office, используемых в предыдущих атаках, это не файлы Excel, а документы Microsoft Word. В качестве приманки использовался документ, в котором упоминается украинская партия «Правый сектор» и, предположительно, целью атаки был телевизионный канал.

Введение

В конце прошлого года волна атак ударила по нескольким критическим секторам Украины. В атаках, которые широко обсуждались в СМИ и нашими коллегами из ESET, iSIGHT Partners и других компаний, использовались оба известных троянца BlackEnergy, а также несколько новых модулей. Украинская ИБ компания Cys Centrum опубликовала очень хороший анализ и обзор BlackEnergy атак на Украину в период с 2014 по 2015 год.

Ранее мы рассказывали о программе BlackEnergy, уделяя основное внимание ее разрушительным начинкам, использованию оборудования Siemens и плагинам для атак на маршрутизаторы. Вы можете прочесть записи в блогах, опубликованные моими коллегами по GReAT ― Куртом Баумгартнером (Kurt Baumgartner) и Марией Гарнаевой ― здесь и здесь. Также нами была опубликована статья о DDoS-атаках BlackEnergy.

С середины 2015 года одним из основных направлений атак BlackEnergy на Украину были документы Excel с макросами, которые устанавливают троянца на диск, если пользователь выбирает запуск скрипта в документе.

В качестве исторической справки отметим, что документы Office с макросами были огромной проблемой в ранние 2000-е годы, когда Word и Excel поддерживали автоматический запуск макроса. Это означает, что вирус или троянец мог запускаться из загруженного документа и автоматически заражать систему. Позже Майкрософт отключила эту возможность и в современных версиях Office необходимо разрешение пользователя для выполнения макросов документа. Чтобы обойти это ограничение, современные злоумышленники обычно применяют социальную инженерию, предлагая пользователю включить макросы для того, чтобы показать «расширенное содержание».

Несколько дней назад нам встретился новый документ, который, скорее всего, является частью текущих атак BlackEnergy на Украину. В отличие от файлов Office, используемых в предыдущих атаках, это не Excel документ, а Word документ:

«$RR143TB.doc» (md5: e15b36c2e394d599a8ab352159089dd2)

Этот документ с относительно низким показателем детектирования был загружен на сервис мультисканера из Украины 20 января 2016 года. В полях документа creation_datetime и last_saved указано значение 2015-07-27 10:21:00. Это означает, что документ мог быть создан и использован раньше, но только недавно был обнаружен жертвой.

При открытии документа пользователь видит окно с рекомендациями включить макросы для просмотра документа.

Интересно, что в документе присутствует название националистической партии Украины «Правий сектор» («Правый сектор»). Партия была основана в ноябре 2013 и с тех пор принимает активное участие в политике.

Чтобы извлечь макросы из документа, не используя Word и не запуская их, мы можем использовать общедоступное средство oledump Дидье Стивенса (Didier Stevens). Это небольшой пример кода макроса:

Как видно, макрос записывает в память строку, содержащую файл, который создается и записывается как «vba_macro.exe».

Затем файл сразу же выполняется с использованием shell команд.

Начинка vba_macro.exe (md5: ac2d7f21c826ce0c449481f79138aebd) ― это типичный дроппер BlackEnergy. Он устанавливает основную начинку как «%LOCALAPPDATA%\FONTCACHE.DAT», которая является dll-файлом. Затем он переходит к его выполнению, используя rundll32:

rundll32.exe «%LOCALAPPDATA%\FONTCACHE.DAT»,#1

Чтобы dll-файл выполнялся при каждом запуске системы, дроппер создает файл LNK в системной папке автозапуска, который выполняет ранее указанную команду при каждой загрузке системы.

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{D0B53124-E232-49FC-9EA9-75FA32C7C6C3}.lnk

Основная начинка (FONTCACHE.DAT, md5: 3fa9130c9ec44e36e52142f3688313ff) ― это минималистичная модификация троянца BlackEnergy (v2), который соединяется по порту 80 с сервером управления 5.149.254.114, жестко прописанным в коде. Наши коллеги из ESET уже упоминали данный сервер в своем анализе ранее в этом месяце. В настоящее время сервер недоступен либо подключения ограничены по IP-адресам. Когда сервер доступен, программа обращается к нему с запросом HTTP POST, отправляя основную информацию о цели и запрашивая команды.

Запрос зашифрован с использованием BASE64. Некоторые поля содержат:

• b_id=BRBRB-…
• b_gen=301018stb
• b_ver=2.3
• os_v=2600
• os_type=0

Поле b_id содержит идентификатор сборки и уникальный идентификатор машины и вычисляется на основе системной информации, что делает его уникальным для каждой цели. Это позволяет хакерам различать зараженные машины одной сети. Поле b_gen относится к ID цели и в этом случае равно 301018stb. «STB» может иметь отношение к украинскому ТВ-каналу «STB», http://www.stb.ua/ru/. Этот ТВ-канал был официально назван жертвой атаки BlackEnergy Wiper в октябре 2015 года.

Заключение

Программа BlackEnergy является крайне динамичной угрозой, и недавние атаки на Украину показали, что ее основные цели ― это разрушительные действия и промышленный шпионаж, кроме того она стремится скомпрометировать системы промышленного управления.

Наш целевой анализ показывает, что в последние годы активно атаковались нижеперечисленные секторы. Если ваша организация попадает в одну из этих категорий, тогда вам следует учитывать BlackEnergy при проектировании защиты:

• Промышленный, энергетический, правительственный секторы и СМИ Украины
• Компании по всему миру, использующие системы ICS/SCADA
• Энергетические компании по всему миру

Самые ранние признаки появления разрушительных начинок BlackEnergy были замечены еще в июне 2014 года. Но старые версии были непродуманными и содержали большое количество ошибок. Судя по недавним атакам, разработчики отказались от использования неподписанного драйвера для стирания дисков на низком уровне, а заменили его средствами стирания более высокого уровня, которые работают с расширениями файлов, а не с дисками. Это изменение не менее разрушительно и обладает преимуществом, которое заключается в отсутствии необходимости в правах администратора, а также без проблем работает с современными 64-разрядными системами.

Примечательно, что использование документов Word (вместо Excel) было также упомянуто ICS-CERT в их обращении alert 14-281-01B.

Особенно важно помнить, что все типы документов Office могут содержать макросы, а не только файлы Excel. Это также относится к документам Word (как показано здесь и было сообщено ICS-CERT) и PowerPoint, что упоминалось компанией Cys Centrum.

Что касается APT-атак на документы Word с макросами, недавно группировка Turla использовала документ Word с макросами для записи вредоносной начинки. Это говорит о том, что среди этих атак много удачных и их популярность будет увеличиваться.

Мы продолжим наблюдение за атаками BlackEnergy в Украине и предоставим нашим читателям обновленную информацию.

Больше информации об APT-атаках BlackEnery и полный список индикаторов компрометации доступен для клиентов службы экспертизы в области кибербезопасности. Контактная информация intelreports@kaspersky.com.

Продукты «Лаборатории Касперского» детектируют троянские программы, упомянутые в этой статье, как Backdoor.Win32.Fonten.* и HEUR:Trojan-Downloader.Script.Generic.

Индикаторы компрометации

Документы Word с макросами (Trojan-Downloader.Script.Generic):

e15b36c2e394d599a8ab352159089dd2

Дропперы из документов Word (Backdoor.Win32.Fonten.y):

ac2d7f21c826ce0c449481f79138aebd

Модули из документов Word (Backdoor.Win32.Fonten.o):

3fa9130c9ec44e36e52142f3688313ff

Командно-контрольный сервер BlackEnergy:

5.149.254[.]114

from Securelist - Всё об интернет-безопасности http://ift.tt/1SdiSZI
via IFTTT

Принтеры HP могут использоваться для хранения малвари

Известный эксперт в области информационной безопасности Крис Викери (Chris Vickery), похоже, устал искать в сети уязвимые базы данных. Ранее он обнаружил в открытом доступе данные 13 млн пользователей MacKeeper, более 35 000 баз MongoDB и утечку информации о 191 млн американских избирателей. На этот раз Викери поведал об уязвимости в принтерах компании HP, которые могут использоваться злоумышленниками для хранения вредоносного ПО.

from «Хакер» http://ift.tt/1KcD4HV
via IFTTT

Админим с комфортом. Разбираемся с веб-панелями управления Linux-сервером

Для подписчиков
UNIX-подобные системы всегда связывали с командной строкой, поэтому уровень админов считался выше, а новички обходили такие решения стороной. Но времена меняются, даже в небольшой организации можно встретить *nix-системы, которыми приходится кому-то управлять. Нужно признать, что у GUI есть ряд преимуществ — наглядность, простота в использовании, понятность и меньшая вероятность ошибки. Выбрать среди десятков проектов непросто: несмотря на кажущуюся схожесть, у всех разный набор функций. Остановимся на самых знаковых.

from «Хакер» http://ift.tt/1UsARc2
via IFTTT

Осторожно – шифровальщик Scatter!

В настоящее время мы наблюдаем очередную атаку троянца-шифровальщика Scatter. Жертвами этого троянца становятся, как правило, российские компании, работающие в сегменте малого и среднего бизнеса. При этом в случае успешного заражения компьютеров современной модификацией Trojan-Ransom.Win32.Scatter и выполнения зловредом своих функций расшифровать файлы без ключей злоумышленников невозможно.

Ориентированность шифровальщика Scatter на бизнес хорошо видна по динамике его детектирования:

Количество попыток заражения Trojan-Ransom.Win32.Scatter
(1 декабря 2015 – 26 января 2016)

Количество попыток заражения резко падает в выходные, а в новогодние каникулы и вовсе наблюдается затишье. Единственным исключением являются первые выходные после праздников — возможно, многие в эти дни работали.

Нельзя сказать, что это новый зловред — наши технологии регистрировали различные модификации Scatter на протяжении всего 2015 года. Однако ряд инцидентов, произошедших в январе 2016 года, заставил нас приглядеться к нему повнимательнее.

Вот характерный пример такого инцидента. Произошел он в небольшой фирме, работающей в сфере недвижимости. Секретарь получил три письма со ссылками на некие списки документов, необходимых для налоговой. Из соображений безопасности компьютер секретаря работал под управлением ОС Linux, однако это ухищрение не помогло – секретарь старательно переслал все три ссылки в бухгалтерию с примечанием «для налоговой». Бухгалтер скачал файл, кликнул на него, и, не увидев открытого документа, переслал коллеге с просьбой «попробуй ты, у меня не открывается». В результате файлы на компьютерах обоих бухгалтеров были зашифрованы. Системного администратора подключили уже позже, когда перестали открываться важные документы.

Доставка зловредов

На графике хорошо видно, что 11 января началась новая волна активного распространения шифровальщика Scatter.

Злоумышленники используют знакомую схему атаки: сотрудник компании получает письмо, якобы отправленное представителем фирмы, ведущей какие-то общие дела с жертвой. «Представитель» жалуется на то, что при переезде им были утеряны некие документы, касающиеся совместных операций, и просит выслать их копии. В письмах нет ни малейшего намека на название фирмы-отправителя. И это первое, что должно насторожить получателя письма.

Тексты содержат незначительные вариации (очевидно, это попытка обойти спам-фильтры).

Список запрашиваемых документов якобы находится во вложении, хотя в письме нет никаких вложений — только ссылка. Она ведет на расположенный в публичном облаке Java-скрипт, замаскированный под документ с расширением .xls или .doc. Например, файл может называться «Список документов для ФНС от 20.01.15.docx_I квартал 2015г. Подписано руководителем_<…>_xls.js». В некоторых случаях, в имя файла добавляют множество пробелов для того, чтобы жертва не заметила расширение «.js».

Этот скрипт продукты «Лаборатории Касперского» детектируют как Trojan-Dropper.JS.Scatter.

При запуске скрипт сбрасывает в директорию %TEMP% вредоносный исполняемый файл с именем «fedca2b9009.exe» и запускает его. Данный файл содержит не только шифровальщика семейства Trojan-Ransom.Win32.Scatter, но и два других троянца: Nitol (DDoS-бот) и Pony (троянец для кражи информации, как правило, паролей). Не исключено, что именно Pony используется для пополнения базы адресов, по которым в дальнейшем злоумышленники отправляют письма со ссылкой на дроппер.

Атака шифровальщика

Рассмотрим подробнее троянца-шифровальщика. Современная его версия аналогична варианту, распространявшемуся в ноябре 2015 года. При старте зловред внедряет свой код в процесс tasklist.exe, svchost.exe или explorer.exe, генерирует средствами WinAPI новую пару ключей RSA, шифрует секретный ключ из этой пары при помощи содержащегося в теле зловреда открытого ключа и помещает результат в файл VAULT.KEY. После этого он приступает к поиску и шифрованию файлов жертвы. Список расширений шифруемых файлов можно увидеть на следующем скриншоте.

Для каждого файла троянец генерирует новый 56-байтовый ключ K. В начало нового файла помещается зашифрованный алгоритмом RSA ключ K_encr, а затем содержимое оригинального файла, зашифрованное алгоритмом Blowfish с ключом K. Новый файл получает дополнительное расширение «.vault».

После того, как файлы зашифрованы, троянец сохраняет на диск файл VAULT.hta, который при открытии информирует жертву о произошедшем и выдвигает финансовые требования.

Сайт злоумышленников расположен в сети Tor. Если следовать их инструкциям и зайти на эту страницу, то жертве предложат пройти авторизацию с помощью сохраненного на диске файла VAULT.KEY, в котором содержатся, во-первых, зашифрованный секретный ключ RSA, необходимый для расшифровки файлов, а во-вторых, статистика по данному случаю заражения.

После загрузки VAULT.KEY жертве демонстрируется страница, содержащая сумму выкупа, адрес Bitcoin, на который требуется перевести средства, а также информацию о количестве и «важности» зашифрованных файлов (по мнению злоумышленников).

Вымогатели предлагают пострадавшему бесплатно расшифровать три файла, причем судя по тексту подсказки, они готовы расшифровывать не любой файл, а только тот, который не покажется им «весомым».

Необычная особенность – на вкладке «Сообщения» имеется онлайн-чат для связи с представителем злоумышленников.

Еще одна интересная особенность данного троянца заключается в том, что он отказывается работать, если регистрирует в системе avp.exe (процесс, запускаемый решениями «Лаборатории Касперского»).

Рекомендации

В случае заражения современной модификацией Trojan-Ransom.Win32.Scatter расшифровать файлы без ключей злоумышленника не удастся. Поэтому большая часть наших рекомендаций носит превентивный характер. Жертвам же можем посоветовать только тщательно проверить компьютер на предмет наличия вредоносного ПО (например, при помощи Kaspersky Virus Removal Tool), поскольку вместе с шифровальщиком поставляются и другие зловреды. Кроме того, рекомендуем не платить вымогателям денег, поскольку это не гарантирует расшифровку ваших файлов, но при этом гарантирует дальнейшее развитие и распространения троянцев.

Для того, чтобы избежать заражения и минимизировать ущерб, наши эксперты советуют:

• не забывать о необходимости регулярного создания резервных копий важных файлов;
• следить за настройками доступа к общим сетевым папкам, чтобы в случае заражения компьютера не пострадали данные на других машинах;
• не открывать файлы и ссылки, присланные неизвестными вам отправителями;
• использовать надежное защитное решение (в случае с этой модификацией троянца, использование решения с процессом avp.exe особенно актуально:-));
• своевременно обновлять защитное решение;
• не отключать защитные функции решений, для наших продуктов в данном случае особенно важна активность компонента System Watcher.

from Securelist - Всё об интернет-безопасности http://ift.tt/2076RsR
via IFTTT

Израильские электросети подверглись мощной кибератаке

На конференции CyberTech 2016 министр энергетики Израиля Юваль Штайниц (Yuval Steinitz) подтвердил, что на этой неделе электрические сети страны подверглись серьезной хакерской атаке, последствия которой инженеры не устранили до сих пор.

from «Хакер» http://ift.tt/2071VEC
via IFTTT

Магазины шпионят за покупателями через Wi-Fi

Британцы бьют тревогу. Управление Комиссара по информации (ICO) сообщает, что магазины повсеместно следят за своими покупателями через их гаджеты. Разумеется, пользователей об этом никто не предупреждает, равно как и о том, что все собранные данные потом успешно применяются для проведения информационных и маркетинговых кампаний.

from «Хакер» http://ift.tt/206TJE6
via IFTTT

Вредонос для Android требует выкуп или угрожает разослать историю браузера друзьям

Специалисты компании Symantec обнаружили нового блокировкщика Android.Lockdroid.E. Малварь распространяется вместе с приложениями для взрослых и не просто блокирует экран устройства, требуя выкуп, но и угрожает в случае неуплаты разослать историю браузера жертвы всему ее списку контактов.

from «Хакер» http://ift.tt/1PkulUA
via IFTTT

Представлен кейген 80_PA, способный преодолеть защиту SecuROM

Состоялся публичный релиз кейгена под кодовым названием 80_PA, который предназначен для онлайн-активации DRM защиты SecuROM. Теперь абсолютно любой может сгенерировать требуемый unlock code для своей игры, даже не зная серийного номера, в обход серверов активации Sony DADC AG.

from «Хакер» http://ift.tt/205ijVT
via IFTTT

Малварь на Си по шагам [№1] Протокол бота

Перед вами первый выпуск серии статей по написанию малвари, поддержите нас ретвитами и, возможно, следующая часть выйдет пораньше.

=Оболочка протоколов=

Полезная нагрузка в нашем сообщении (команда что делать боту или украденная информация, отправляемая на сервер) в чистом виде легко опознаётся как живым аналитиком, так и автоматикой.

Для сокрытия факта общения с сервером мы “заворачиваем” (на ином языке “инкапсулируем”) полезное сообщение в структуру, с дополнительной информацией (вроде её контрольной суммы), которую мы накрываем слоем шифра.

Защитные продукты (на подобии Snort) имеют сигнатуры трафика и отсекают вредоносный, так что чем меньше есть способов (для вашего бота) выделить паттерн трафика – тем веселей!

Достигается это следующим:

• самостоятельное шифрование трафика
• tls-обёртка (ssl)
• дописывание случайного количества случайных байт к сообщению
• стеганография

Выбор конкретного алгоритма зависит от характера (частоты) общения бота с сервером, ресурсы коего не безграничны.

Ключ шифрования не должен передаваться вместе с сообщением. Есть 2 варианта:

1. записывать жёсткий ключ в тело бота
2. выдавать ключ при регистрации бота

В первом случае мы либо выдаём один общий ключ на всю сеть, либо забиваем информацию о каждом боте персонально, что не подходит для массовой малвари.

С одной стороны, общение через SSL немного усложнит исследователям жизнь, с другой стороны это дополнительная нагрузка на сервер. А системы автоматического анализа (см Quckoo) уже умеют вскрывать ssl.

Запись дополнительных данных рандомизирует сообщение, на случай если мы отправляем типовые управляющие последовательности, вроде “есть команда?” – “нет”, дабы после шифрования одно и тоже сообщение выглядело по разному.

Трафик можно вычленить и по длине, так что её так же следует рандомизировать.

В случае больших ботнетов, с которыми будут воевать все, включая майкрософт, следует добавлять цифровую подпись ко всем сообщениям от сервера, дабы их нельзя было подделать.

Есть и более экзотические примеры, например в Zeus-GameOver, конфиг был спрятан в конец JPG файла, для обхода автматики, которая такой оверей пропускала.

=Виды протоколов=

Как было отмечено выше, протокол зависит от задачи, однако подхода к его построению всего два:

1.  текстовый протокол
2.  бинарный

Текстовый протокол хорошо расширяем и подходит для бурно развивающегося софта, когда каждый день вы учите ваш бот новым трюкам. Из них нужно особенно отметить XML и JSON. Парсеры этих протоколов есть во всех серверных языках программирования, так что работа с ним не составит труда. Из достоинств – лёгкость отладки, из недостатков – невозможность передачи бинарных данных без перекодирования их в base64 или иные аналоги. Говоря коротко – излишний трафик при передаче сырых данных.

Бинарный протоколы, отнюдь, спокойно относяться к сырой информации, но мене читабельны на глаз. Исключая такие уникумы как BSON, самопальные бинарные протоколы очень тяжело расшияряемы.

И пара примеров для наглядности:
Бинарный:

[0x74724534][0x00][0x01]
-id бота
-версия протокола
-номер команды

Текстовый:

{"bot": "1953645876", "protocol": 0, "cmd_id":1}

=Наш протокол=

Наш учебный бот будет уметь делать скриншот и отправлять его нам, дабы мы могли следить за удалённой машиной. У нас будет простой бинарный протокол, пригодный для маленькой бот-сети.

• магическая константа
• версия протокола
• ид бота
• номер команды
• blob с данными

Blob – это структура вида:

;псевдкод
DWORD data_size
BYTE data[data_size]

=Заключение=

Если отдельные термины вам не понятны, не стесняйтесь гуглить.
Я хочу сказать, что без навыка самостоятельного поиска информации, делать вам в этой теме нечего, так что привыкайте работать с множеством источников.

В следующем выпуске, мы рассмотрим общение сервером, генерацию ID бота и начнем писать код.

Запись Малварь на Си по шагам [№1] Протокол бота впервые появилась VxLab.

from VxLab http://ift.tt/1PEq8gm
via IFTTT

DDoS-атаки в четвертом квартале 2015 года

События квартала

Мы выбрали события четвертого квартала, которые, на наш взгляд, иллюстрируют основные направления развития в сфере DDoS-атак и инструментов для их осуществления:

1. Появление новых векторов для реализации «отраженных» DDoS-атак;
2. Рост числа ботнетов, состоящих из уязвимых IoT-устройств;
3. Атаки на уровне приложений – «рабочая лошадка» среди сценариев для DDoS-атак.

Атаки с использованием скомпрометированных веб-приложений под управлением WordPress

Веб-ресурсы под управлением CMS (система управления контентом) WordPress пользуются популярностью в среде кибепреступников, занимающихся DDoS-атаками. Дело в том, что WordPress использует функцию Pingback – уведомление автора поста на WordPress-сайте о публикации ссылок на этот пост на других ресурсах под управлением данной CMS. При публикации на сайте с включенной функцией Pingback поста со ссылкой на другой веб-ресурс, на сайт, на который ведет ссылка, отправляется специальный XML-RPC запрос, который этот ресурс принимает и обрабатывает. В результате обработки ресурс-получатель может обратиться к сайту-источнику запроса, чтобы проверить наличие контента.

Данная технология позволяет атаковать веб-ресурс (жертву): бот посылает на WordPress-сайт с включенной функцией Pingback специальным образом сформированный pingback-запрос с указанием адреса ресурса-жертвы в качестве отправителя. После этого данный WordPress-сайт обрабатывает запрос от бота и отвечает по адресу жертвы. Отправляя pingback-запросы с адресом жертвы на множество WordPress-ресурсов с включенной функцией Pingback, злоумышленники добиваются создания существенной нагрузки на ресурс-жертву. Именно по этой причине веб-ресурсы, находящиеся под управлением CMS WordPress с включенной функцией Pingback интересны для злоумышленников.

И по числу DDoS-атак, и по количеству целей в Q4 2015 лидировали Китай, США и Южная Корея

Tweet

В четвертом квартале киберпреступники не ограничились сайтами, поддерживающими Pingback, – они осуществили массовую компрометацию ресурсов под управлением WordPress. Возможно, к этому привело появление уязвимостей «нулевого дня» в данной CMS либо в одном из ее популярных плагинов. Как бы то ни было, мы зафиксировали случаи внедрения в тело веб-ресурсов JavaScript-кода, который осуществлял обращение от имени браузера пользователя к ресурсу-жертве. При этом злоумышленники использовали зашифрованное HTTPS-соединение для усложнения фильтрации трафика.

Мощность одной из таких DDoS-атак, зафиксированных экспертами «Лаборатории Касперского», составляла 400 Мбит/сек; продолжалась она 10 часов. В ходе атаки злоумышленники использовали скомпрометированные веб-приложения под управлением WordPress, а также шифрование соединения для усложнения процедуры фильтрации трафика.

Ботнеты, использующие IoT-устройства

В октябре 2015 эксперты зафиксировали огромное число HTTP-запросов (до 20 тысяч запросов в секунду), источниками которых были CCTV-камеры. Исследователи выявили около 900 камер по всему миру, которые вошли в ботнет и использовались для DDoS-атак. Эксперты отмечают, что в ближайшем будущем ожидается появление новых ботнетов, использующих уязвимые IoT-устройства.

Три новых вектора для реализации «отраженных» DDoS-атак

«Отраженные» DDoS-атаки – это атаки, которые используют недостатки конфигурации третьей стороны для усиления атаки. В четвертом квартале обнаружены три новых вектора для реализации таких атак. Злоумышленники направляют на целевые сайты трафик через NS-серверы NetBIOS, PRC-службы контроллера домена, подключаемые через динамический порт, а также серверы WD Sentinel.

Атаки на почтовые сервисы

Особой популярностью в четвертом квартале у злоумышленников, осуществляющих DDoS-атаки, пользовались почтовые сервисы.

Так, была зафиксирована активность киберпреступной группы Armada Collectives, которая использует DDoS-атаки с целью вымогательства денег у жертвы. Предположительно данная преступная группа причастна к атаке на систему защищенной электронной почты Protonmail. За прекращение DDoS-атаки преступники требовали от жертвы выкуп в размере $6000.

Помимо уже упомянутого сервиса защищенных сообщений Protonmail, атакам подверглись сервисы электронной почты FastMail и Почта России.

Статистика DDoS-атак с использованием ботнетов

Методология

«Лаборатория Касперского» обладает многолетним опытом в противодействии киберугрозам, в том числе и DDoS-атакам различных типов и степеней сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Prevention, предназначена для перехвата и анализа команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2015 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае, если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, но произведенные ботами из разных ботнетов.

Наиболее продолжительная DDoS-атака Q4 2015 года длилась 371 часов (15,5 суток)

Tweet

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP адресов в квартальной статистике.

Важно отметить, что статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского»». Следует также иметь ввиду, что ботнеты – это лишь один из инструментов осуществления DDoS-атак, и представленные в данном отчете данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

• В четвертом квартале 2015 года DDoS-атакам подвергались цели, расположенные в 69 странах мира.
• На ресурсы в 10 странах мира пришлось 94,9% отмеченных атак.
• И по числу атак, и по количеству целей Китай, США и Южная Корея остаются наиболее популярными странами для DDoS-атак.
• Наиболее продолжительная DDoS-атака четвертого квартала 2015 года длилась 371 час (15,5 суток).
• Самыми популярными методами атаки по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS.
• Популярность Linux-ботов продолжает расти, в четвертом квартале на Linux-ботнеты пришлось 54,8% DDoS-атак.

География атак

К концу 2015 года география DDoS-атак сузилась до 69 стран. 94,9% всех атак были нацелены на мишени, расположенные в 10 странах.

Самыми популярными методами атаки по-прежнему в Q4 2015 были SYN-DDoS, TCP-DDoS и HTTP-DDoS

Tweet

В четвертом квартале по сравнению с показателями третьего квартала резко выросла доля мишеней DDoS-атак, расположенных в Китае (с 34,5% до 50,3%) и в Корее (с 17,7% до 23,2%).

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2015

Доля мишеней атак, находящихся в США, снизилась на 8 п.п., в результате чего Корея поднялась на второе место, а США спустились на третье.

Первую десятку покинули Хорватия (0,3%), потерявшая 2,5 п.п., и Франция, чья доля снизилась с 1,1% до 0,7%. Их места заняли Гонконг, сохранивший показатель предыдущего квартала, и Тайвань, чья доля выросла на 0,5 п.п.

Статистика по количеству атак показывает, что 94,0% всех атак пришлись на ту же десятку стран:

Распределение DDoS-атак по странам, Q3 и Q4 2015

Тройка лидеров в четвертом квартале осталось той же, лишь поменялись местами США и Корея – доля Кореи выросла на 4,3 п.п., а доля США упала на 11,5 п.п. Самый значительный рост показателя отмечен у лидера десятки Китая: его доля увеличилась на 18,2 п.п.

Динамика числа DDoS-атак

В четвертом квартале 2015 года распределение числа DDoS-атак по дням было более-менее равномерным, за исключением пика в конце октября и возросшей активности в первой половине ноября.

Наибольшее число атак – 1442 – было отмечено 2 ноября. Минимальное количество атак – 163 – пришлось на 1 октября.

Динамика числа DDoS-атак*, Q4 2015

*В связи с тем, что DDoS-атаки могут продолжаться непрерывно несколько дней, в таймлайне одна атака может считаться несколько раз – по одному разу за каждый день.

В четвертом квартале больше всего DDoS-атак пришлось на понедельник и вторник. При этом на понедельник пришлось на 5,7 п.п. атак больше, чем в третьем квартале. Показатель вторника изменился незначительно (-0,3 п.п.).

Распределение DDoS-атак по дням недели, Q4 2015

Типы и длительность DDoS-атак

В четвертом квартале 2015 года для атак на 97,5% целей злоумышленники применяли ботов одного из семейств (в третьем квартале этот показатель был несколько выше и составлял 99,3%). Ботами двух разных семейств (используемых одним или несколькими исполнителями) в течение квартала были атакованы лишь 2,4% целей. Для атак на 0,1% мишеней применялись боты трех семейств – чаще семейств Sotdas, Xor и BillGates.

Популярность Linux-ботов продолжила расти, в Q4 2015 на Linux-ботнеты пришлось 54,8% DDoS-атак

Tweet

TOP используемых злоумышленниками методов DDoS-атак не изменился, при этом самые популярные SYN-DDoS (57,0%) и TCP-DDoS (21,8%) прибавили 5,4 п.п. и 1,9 п.п. соответственно.

Распределение DDoS-атак по типам

В четвертом квартале в распределении атак по длительности с большим отрывом традиционно лидируют непродолжительные атаки (менее суток).

Распределение DDoS-атак по длительности, часы

Максимальная продолжительность атак в этом квартале снова увеличилась. Если рекорд третьего квартала был поставлен атакой в 320 часов (13,3 суток), то в четвертом квартале была зафиксирована атака длительностью в 371 час (15,5 суток).

Командные серверы и типы ботнетов

В четвертом квартале 2015 года Корея продолжает удерживать пальму первенства по количеству расположенных на ее территории серверов управления и контроля ботнетов, ее доля снова подросла, на этот раз на 2,4 п.п. Доля США несколько снизилась – с 12,4% до 11,5%, а вот показатель Китая увеличился на 1,4 п.п.

В Q4 2015 года 94,9% всех DDoS-атак были нацелены на мишени, расположенные в 10 странах

Tweet

Расстановка в тройке лидеров не изменилась. Страны, занимавшие четвертую и пятую строчки рейтинга, поменялись местами – доля России выросла с 4,6% до 5,5%, доля Великобритании упала с 4,8% до 2,6%.

Распределение командных серверов ботнетов по странам, Q4 2015

В четвертом квартале 2015 года в соотношении активности ботов, разработанных под операционные системы семейств Windows и Linux, продолжился рост доли Linux-ботнетов. – с 45,6% до 54,8%.

Соотношение атак с Windows- и Linux-ботнетов

Заключение

События этого квартала продемонстрировали, что киберпреступники, которые организуют DDoS-атаки, используют не только ставшие классикой ботнеты, состоящие из рабочих станций и персональных компьютеров, но и все доступные уязвимые ресурсы. Такими ресурсами являются уязвимые веб-приложения, серверы и IoT-устройства. В сочетании с новыми векторами для реализации «отраженных» DDoS-атак это позволяет предположить, что в ближайшем будущем можно ожидать дальнейшего увеличения мощностей DDoS-атак и появления ботнетов, состоящих из уязвимых устройств нового типа.

from Securelist - Всё об интернет-безопасности http://ift.tt/1QrEnC8
via IFTTT

ESIL + radeco IL. Используем radare2 для эмуляции и декомпиляции

Для подписчиков
Много кто помнит черно-белый интерфейс SoftICE с просмотром дизассемблерного листинга и содержимого регистров. Еще больше человек знают об IDA Pro (декомпилятор не рассматриваем) и бессменном objdump (в случае линуксоидов). Однако времена ручного разбора ассемблера прошли. Сейчас большую популярность приобрели инструменты преобразования нативного кода в некое абстрактное представление для упрощения анализа. Подобные инструменты используются повсеместно — от набора компиляторов на основе LLVM до декомпилятора HexRays. В данной статье я попытаюсь объяснить основы этого метода на примере ESIL от проекта radare2.

from «Хакер» http://ift.tt/1PAF3lx
via IFTTT

На конференции Usenix Enigma рассказали о взломе машины при помощи музыкального трека

Чем умнее становятся современные автомобили, тем больше способов их взломать придумывают исследователи. Профессор Калифорнийского университета Стефан Севадж (Stefan Savage) продемонстрировал на конференции Usenix Enigma, что взломать машину можно даже при помощи обычного музыкального CD, если в один из треков внедрен вредоносный код.

from «Хакер» http://ift.tt/1PiZBTL
via IFTTT

Порядок в коде – порядок в голове

Ещё одна статья от нашего друга ice, стиль авторский.

Хочу поговорить об оформлении кода, я считаю что если код правильно оформлен, то это уже заведомо хороший код. Если в вашем коде нет определенного стандарта и каждый ваш исходник оформляется по разному, то вы в скором времени не сможете просто прочитать свой код. При написании больших проектов вскоре вы забываете что писали, и смотрите на код будто на чужой.

Но если придерживаться определенного стандарта оформления, то код превращается в документацию, вам достаточно взглянуть на этот код, и вы понимаете что тут происходит, и необязательно этот код ваш. Очень хорошо придерживаться стандарта когда вы разрабатываете некоторый софт совместно. Вот только представьте если каждый программист будет воротить оформление кода как он захочет. Один кодит в виндовс стиле, это повсеместно используется верхний регистр и присутствие типов в переменных, другой кодит в юникс стиле, третий еще как то. То взглянув на такой код, ты будешь смотреть не как в документацию а как в темный тернистый лес.

Другой хорошей характеристикой оформления кода, это расстановка отладочных сообщений, там где это только возможно и невозможно, в любой момент можно будет логировать программу в месте падения, и это вас практически избавит от долгой кропотливой отладки.

Оформление кода я покажу на примере, так как лучше один раз показать, чем писать кучу букв тут. Данное оформление справедливо только для “cи” кода,
и оно хорошо применимо для любой платформы.

#ifndef __VFS__
#define __VFS__

#include <types.h>
#include <logger.h>

BOOLEAN
VfsAddModuleNative(
    CHAR *pName);

#endif

BOOLEAN
VfsAddModuleNative(
    CHAR *pName)
{

    BOOLEAN Result;
    CHAR Name[260];
    VOID *pModule;
    VOID (*InitPlugin)();

    Result=FALSE;
    sprintf(Name,"%s/%s.so",LIBPATH,pName);
    pModule=dlopen(Name,RTLD_LAZY);
    ASSERT(pModule);

    if (pModule)
    {

        sprintf(Name,"init%s",pName);
        InitPlugin=dlsym(pModule,Name);
        ASSERT(InitPlugin);

        if (InitPlugin)
        {

            InitPlugin();
            Result=TRUE;

        }

    }

    return Result;

}

Итак каких же стандартов я придерживаюсь в таком коде?

1. Типы записываются в верхнем регистре
2. Имена переменных, и всех ключевых слов начинаются с заглавной буквы
3. Тип в именах переменных указывается только для указателей, pData или ppData (остальные типы считаю указывать избыточным)
4. Все элементы функции (тип, имя, аргументы) начинаются с новой строки
5. Между кодовыми блоками ({}) ставятся переносы строки
6. Функции которые предполагается включать в заголовочные файлы, должны начинаться с имени “.с” файла (VfsSomeFunction)
7. Функции которые не используются в интерфейсах, должны быть определены как static, что бы не захламлять пространство имен
8. В заголовочных файлах использовать конструкции #ifndef __VFS__ #define __VFS__, в имени участвует имя модуля
9. Переменные с именем в один литерал (i,j и т.д.) записываются в нижнем регистре
10. Имена макросов записываются в верхнем регистре
11. Весь код должен быть пронизан ASSERT
12. Кодовые блоки ({ или }) или ключевые слова, начинаются всегда с новой строки
13. Глобальные переменные именуются с “g_”, например g_SomeVariable
14. Глобальные переменные не должны находиться в хидерах, если нужно передать такую переменную в другой модуль, то использовать для этого функцию

Так как код планируется кросплатформенный, то хорошо бы определиться с типами, так как если брать windows, то 4-байтную переменную можно определить кучей типов DWORD, UINT и еще не весть что.

Так как структуры планируется именовать в верхнем регистре то у меня создан такой файлик

#ifndef _TYPES_
#define _TYPES_

#include <stdio.h>
#include <stdlib.h>

#define TRUE 1
#define FALSE 0
typedef char CHAR;
typedef unsigned char UCHAR;
typedef short SHORT;
typedef unsigned short USHORT;
typedef int INT;
typedef unsigned int UINT;
typedef long LONG;
typedef unsigned long ULONG;
typedef long long LONG64;
typedef unsigned long long ULONG64;
typedef int BOOLEAN;
typedef void VOID;
typedef size_t SIZE_T;
#define CONST const
#define IN
#define OUT
#define OPTIONAL

#endif

Тут заданы все необходимые простые типы, которые могут вам понадобиться и все в едином стандарте (верхний регистр)

Отдельный заголовочный файл для отладочных сообщений

#ifndef _LOGGER_
#define _LOGGER_

#ifdef _DEBUG_

#include <string.h>
#include <unistd.h>

#define LOG(pSpec, ...)                                             \
{                                                                   \
    CONST CHAR* pFile = strrchr(__FILE__, '\\');                    \
    printf("[PID:%5u]R3:%s!%s(%u): "pSpec"\n",                      \
        (int)getpid(),                                              \
        pFile?pFile+1:__FILE__,                                     \
        __FUNCTION__,                                               \
        __LINE__,                                                   \
        ##__VA_ARGS__);                                             \
}

#define LOG_INFO(pSpec, ...) LOG("INFO: " pSpec,##__VA_ARGS__)
#define LOG_ERROR(pSpec, ...) LOG("ERROR: " pSpec,##__VA_ARGS__)
#define LOG_DEBUG(pSpec, ...) LOG("DEBUG: " pSpec,##__VA_ARGS__)

#define ASSERT_F(Condition,pMessage,...)                            \
{                                                                   \
    if (!(Condition))                                               \
    {                                                               \
        LOG("ASSERT FAILED "pMessage,##__VA_ARGS__);                \
        /*__asm__ volatile("int $0x03");*/                          \
    }                                                               \
}

#define ASSERT(Condition) ASSERT_F(Condition,"")

#else

#define LOG(pSpec,...)
#define LOG_INFO(pSpec, ...)
#define LOG_ERROR(pSpec, ...)
#define LOG_DEBUG(pSpec, ...)
#define ASSERT_F(Condition,pMessage,...)
#define ASSERT(Condition)

#endif


#endif

Многие не используют ASSERT в своих программах, а используют отладочные сообщения. Но это не всегда оправдано, вот например возьмем код выше, и перепишем его в виде логирования с отладочными сообщениями

pModule=dlopen(Name,RTLD_LAZY);

if (pModule)
{

}
else
{
    LOG_ERROR("Все пошло не так как хотели!!!!");
}

Нам пришлось ввести конструкцию else, которая создает лишний код, и когда мы сделаем релиз, то код с else останется.

Да и это некрасивый код. Гораздо приятнее он выглядит с ASSERT, в нем сразу реализовано это условие проверки, что если не так. То логирует номер строки и имя файла, и не нужно выдумывать сообщение о падении, все кратко и просто.

Запись Порядок в коде – порядок в голове впервые появилась VxLab.

from VxLab http://ift.tt/1KEqgFg
via IFTTT

Amazon предлагает бесплатные SSL/TLS сертификаты пользователям AWS

Главный евангелист Amazon Web Services Джефф Барр (Jeff Barr) анонсировал официальный запуск сервиса AWS Certificate Manager. Теперь Amazon предоставляет бесплатные SSL/TLS сертификаты всем пользователям AWS.

from «Хакер» http://ift.tt/1Tn0gpa
via IFTTT

Русскоязычные хакеры шантажируют автора open source малвари Hidden Tear и EDA2

В последние недели турецкий исследователь Ютку Сен (Utku Sen) стал своеобразной знаменитостью в ИБ кругах. Сен создал «в образовательных и исследовательских целях» два вымогательских приложения: Hidden Tear и EDA2, опубликовав их исходники на GitHub. На базе этих исходных кодов вскоре появились два настоящих вредоноса, за что Сен подвергся критике со стороны коллег. 26 января 2015 года эта история совершила неожиданный поворот: теперь турецкого исследователя шантажируют разработчики настоящего вымогательского ПО, требуя, чтобы он удалил с GitHub исходные коды Hidden Tear.

from «Хакер» http://ift.tt/203QHAy
via IFTTT

Малварь на Си по шагам [№0]

Анонс серии статей для начинающих  малварщиков!

Первая версия статьи имела определённый успех, но и вызвала нарекания:

1. устаревшая тема usb-инфекторов была выбрана по старой памяти
2. буквальное значение слова “вирус” подразумевает заражение файлов

Я хочу сделать цикл статей, где мы будем писать современную малварь по шагам: попробуем на зуб обфускацию, декрипторы и получим массу удовольствия!

примерный план публикаций

• протокол общения
• гейт и админка
• защита от анализа
• дроппер
• полезная нагрузка
• апдейты

Таким образом финальный бот будет уметь

• брать задания из админки
• противостоять аналитикам
• противостоять автоматике
• получать обновления

Статьи будут выходить как только так сразу, по мере свободного времени.

Если есть конструктивные предложения, накидайте их в комменты.

Запись Малварь на Си по шагам [№0] впервые появилась VxLab.

from VxLab http://ift.tt/23rwELN
via IFTTT

Программа на Си в 1 КБ

Я покажу как скомпилировать программу на Microsoft Visual Studio 2013, размером в 1Кб.

автор: ice (coru.ws)

====== example 1 ======

Программа будет “сверхсложной”

#include <Windows.h>

void entry(){

}

Для компиляции я буду использовать makefile

SRC=main.cpp
OUT=example1.exe
LIB=ntdll.lib
build:
@cl $(SRC) /Fo./ /c /GS- /Gz /TP /Od /W0 /nologo
@link *.obj /OUT:$(OUT) /NOLOGO /NODEFAULTLIB /SUBSYSTEM:WINDOWS,5.01 /ENTRY:"entry" /DYNAMICBASE /FIXED:No $(LIB)
@del *.obj

Немного расскажу о структуре makefile

SRC, OUT, LIB – это переменные и могут называться как захотите

Для инициализации переменной используется такая запись SRC=main.cpp, а если ей захочется воспользоваться то нужно записывать вот в такой форме $(SRC)

Кроме переменных в файле есть метки “build” их может быть тоже сколько душе угодно.

За меткой идут команды, и перед каждой командой в строке должна стоять табуляция.

Параметры компилятора

• /Fo – опция которая указывает директорию где будут создаваться объектные файлы
•  /c – компиляция без связывания
•  /GS- – проверка безопасности буфера отключена
•  /Gz – stdcall конвенция вызова функций (по желанию)
•  /TP – С++ язык программирования
•  /Od – оптимизация отключена
•  /W0 – уровень предупреждений
•  /nologo – не выводить логотип

Параметры линкера

•  /NOLOGO – не выводить логотип
•  /OUT: – путь до выходного файла
•  /NODEFAULTLIB – не использовать стандартные библиотеки
•  /SUBSYSTEM:WINDOWS,5.01 – тип gui программа, с минимальной поддержкой xp
•  /ENTRY:”entry” – точка входа (иначе студия генерирует свой стаб)
• /DYNAMICBASE – aslr активировать
•  /FIXED:No – генерировать релоки

Для компиляции используем nmake, для этого у студии есть батник “VS2013 x86 Native Tools Command Prompt”, запускам его переходим в папку с проектом, и компилируем: nmake build

Вот так выглядит точка входа программы после компиляции, почти как писать на ассемблере)

.00401000: 55 push ebp
.00401001: 8BEC mov ebp,esp
.00401003: 5D pop ebp
.00401004: C3 retn

====== example 2 ======
Немного посложнее программа

#include <Windows.h>

void entry(){
char buf[100];
strcpy(buf,"Hello");
MessageBoxA(0,buf,"Title",0);
}

makefile

SRC=main.cpp
OUT=example2.exe
LIB=user32.lib ntdll.lib
build:
@cl $(SRC) /Fo./ /c /GS- /Gz /TP /Od /W0 /nologo
@link *.obj /OUT:$(OUT) /NOLOGO /NODEFAULTLIB /SUBSYSTEM:WINDOWS,5.01 /ENTRY:"entry" /DYNAMICBASE /FIXED:No $(LIB)
@del *.obj

так выглядит после компиляции

.00401000: 55 push ebp
.00401001: 8BEC mov ebp,esp
.00401003: 83EC64 sub esp,064 ;'d'
.00401006: 6810204000 push 000402010 ;'Hello' --↓1
.0040100B: 8D459C lea eax,[ebp][-064]
.0040100E: 50 push eax
.0040100F: E81A000000 call strcpy --↓2
.00401014: 83C408 add esp,8
.00401017: 6A00 push 0
.00401019: 6818204000 push 000402018 ;'Title' --↓3
.0040101E: 8D4D9C lea ecx,[ebp][-064]
.00401021: 51 push ecx
.00401022: 6A00 push 0
.00401024: FF1500204000 call MessageBoxA
.0040102A: 8BE5 mov esp,ebp
.0040102C: 5D pop ebp
.0040102D: C3 retn ; -^-^-^-^-^-^-^-^-^-^-^-^-^-^-^-

====== example 3 ======
В предыдущих вариантах компилировались программы без отладочных символов, но для отладки в студии они нужны, поэтому был создан более универсальный makefile

SRC=main.cpp
NAME=example3
OUT=$(NAME).exe
DEBUG=debug
RELEASE=release
LIBS=ntdll.lib kernel32.lib user32.lib

bdebug:$(DEBUG)
@cl $(SRC) /Fo$(DEBUG)/ /Fd$(DEBUG)/vc.pdb /c /GS- /Gz /TP /ZI /nologo /W0 /D _DEBUG
@link $(DEBUG)/*.obj /OUT:$(DEBUG)/$(OUT) /PDB:$(DEBUG)/$(NAME).pdb /NOLOGO /NODEFAULTLIB /DEBUG /SUBSYSTEM:CONSOLE,5.01 /ENTRY:"entry" /DYNAMICBASE /FIXED:No $(LIBS)
@del $(DEBUG)\*.obj
@del $(DEBUG)\*.idb
$(DEBUG):
@mkdir $(DEBUG) 
brelease:$(RELEASE)
@cl $(SRC) /Fo$(RELEASE)/ /c /GS- /Gz /TP /Od /W0 /nologo
@link $(RELEASE)/*.obj /OUT:$(RELEASE)/$(OUT) /NOLOGO /NODEFAULTLIB /SUBSYSTEM:WINDOWS,5.01 /ENTRY:"entry" /DYNAMICBASE /FIXED:No $(LIBS)
@del $(RELEASE)\*.obj
$(RELEASE):
@mkdir $(RELEASE)

Теперь релизный проект можно компилировать nmake brelease, дебажный nmake bdebug

====== Примеры к статье ======

http://ift.tt/1ZQUw6I

Запись Программа на Си в 1 КБ впервые появилась VxLab.

from VxLab http://ift.tt/202qKRT
via IFTTT

Шифрование вымогателя LeChiffre взломано

В конце прошлой недели стало известно, что системы трех индийских банков и фармацевтической компании поразил вымогатель LeChiffre. Еще тогда специалисты Malwarebytes предположили, что шифровальщик – дело рук любителей. Эксперт фирмы Emsisoft Фабиан Восар (Fabian Wosar) косвенно подтвердил эту теорию, взломав шифрование LeChiffre за день.

from «Хакер» http://ift.tt/1Pzs5EK
via IFTTT

Переход по этой ссылке вызовет краш почти любого смартфона

По социальным сетям и форумам со скоростью лесного пожара распространяется новая пранкерская ссылка. Посещение сайта crashsafari.com (по ссылке лучше НЕ переходить) гарантировано отправит в нокаут устройство, работающее на базе iOS, и почти наверняка вызовет такую же реакцию у Android-аппаратов.

from «Хакер» http://ift.tt/1nNaVNK
via IFTTT

Загадочный случай с уязвимостью CVE-2016-0034

В 2015 году особенно горячая дискуссия развернулась вокруг взлома и кражи данных из Hacking Team, знаменитой итальянской компании – разработчика шпионского ПО.

Для тех, кто не слышал о Hacking Team, можем сообщить, что эта компания, основанная в 2003 году, специализируется на продаже правительствам и правоохранительным органам шпионского ПО и средств слежки за пользователями. 5 июля 2015 года в компании произошла утечка большого объема данных, которые попали в Интернет. Ответственность за взлом взял на себя хакер Phineas Fisher (Рыбак Финеас). Ранее Phineas Fisher таким же образом атаковал Gamma International – другую компанию, занимающуюся разработкой шпионского ПО и средств слежки за пользователями.

Взлом компании Hacking Team широко освещался в прессе с самых разных точек зрения: обсуждались и допустимость продажи шпионского ПО деспотичным правительствам, и качество инструментария, и утечка спулов электронной почты с информацией о коммерческой деятельности компании.

Одна из таких статей привлекла наше внимание.

Как русский хакер заработал 45 000 долларов, продав компании Hacking Team эксплойт нулевого дня для Flash Player

Под таким заголовком 10 июля 2015 года в интернет-издании Ars Technica появилась увлекательная статья Сайруса Фаривара. В ней рассказывалось о Виталии Торопове, 33-летнем разработчике эксплойтов из Москвы, который зарабатывал на жизнь продажей уязвимостей нулевого дня компаниям типа Hacking Team.

Приведем фрагмент статьи из Ars Technica, где Сайрус цитирует первоначальное предложение продавца эксплойтов:

Фрагмент статьи в Ars Technica

Первое письмо московского продавца, датированное 13 октября 2013 г., было деловым и кратким: «Здравствуйте! Заинтересована ли ваша компания в приобретении уязвимостей нулевого дня с RCE-эксплойтами для последних версий Flash Player, Silverlight, Java, Safari?

Все эксплойты позволяют внедрять и удаленно выполнять пользовательский код и используют современные способы обхода защиты типа ASLR [случайное распределение адресного пространства] и DEP [предотвращение выполнения кода] в системах Windows, OS X и iOS, не прибегая к таким ненадежным способам, как ROP или heap spraying.»

В письме не содержалось никакой информации об отправителе, за исключением адреса электронной почты: tovis@bk.ru.

Для компании типа Hacking Team эксплойты нулевого дня – просто хлеб насущный! Программы компании не смогут заразить компьютеры своих жертв без эффективных эксплойтов, включая эксплойты нулевого дня. Особенно ценны эксплойты, способные обходить такие современные средства защиты, как ASLR и DEP. Такие эксплойты пользуются очень большим спросом.

Стороны поторговались и пришли к соглашению о покупке эксплойта нулевого дня для Adobe Flash Player, ныне не действующего, за который Виталий Торопов сразу же получил аванс в размере 20 000 долларов.

Как хороший продавец, Виталий Торопов тут же прислал ответное письмо по электронной почте, в котором предложил скидки на следующие покупки. Вот что пишет Сайрус в своей статье в Ars Technica:

Фрагмент статьи в Ars Technica

Торопов сразу же предложил компании скидку как постоянному покупателю:

«Отлично, спасибо!

Теперь вы получите скидку: 5 тысяч на вторую покупку и 10 тысяч на третью.

Могу порекомендовать вам новый эксплойт нулевого дня для iOS 7/OS X Safari или мой старый эксплойт для Silverlight, который был написан 2,5 года назад и имеет все шансы на долгую жизнь.»

Эта часть статьи сразу привлекла наше внимание. Эксплойт для Microsoft Silverlight, написанный более двух лет назад, имеет перспективы на будущее? Если это действительно так, то речь идет о серьезной ошибке, открывающей большие возможности для успешных атак на множество крупных компаний. Известно, что при установке платформы Silverlight она регистрируется не только в Internet Explorer, но и в Mozilla Firefox, а значит, вектор атаки может быть довольно большим.

Охота на эксплойт нулевого дня для Silverlight

Ранее нам удалось обнаружить и прекратить эксплуатацию нескольких уязвимостей нулевого дня; среди них были уязвимости CVE-2014-0515 и CVE-2014-0546, которые использовались APT-группировкой Animal Farm, CVE-2014-0497 (использовалась APT-группировкой Dark Hotel) и CVE-2015-2360 (использовалась APT-группировкой Duqu). Мы также обнаружили уязвимость нулевого дня CVE-2013-0633 в Flash Player, которую использовала компания Hacking Team и другая неизвестная группировка.

Мы глубоко убеждены, что выявление таких эксплойтов и бесплатное информирование о них пострадавших производителей ПО делает мир чуточку безопаснее для всех.

Поэтому, когда мы прочли статью в Ars Technica, у нас появилась идея «поймать» неизвестный эксплойт для Silverlight, о котором упоминал Виталий Торопов.

Как ловят эксплойты нулевого дня? Мы, например, используем для этого качественные инструменты, технологии и свои мозги. Наш собственный инструментарий включает в себя KSN (Kaspersky Security Network) и AEP (Automatic Exploit Prevention).

Чтобы поймать этот, вероятно неизвестный, эксплойт для Silverlight, мы начали изучать другие эксплойты того же разработчика. К счастью, на OVSDB имеется довольно подробный профиль Виталия Торопова. Кроме того, на портале PacketStorm есть несколько его записей:

Эта запись привлекла наше внимание по двум причинам:

• это эксплойт для Silverlight
• к нему прилагается PoC, написанное самим Виталием

PoC можно легко скопировать оттуда же:

Что мы и сделали.

Архив содержит качественно составленный файл readme с описанием уязвимости и исходные коды эксплойта PoC.

Эксплойт PoC просто запускает программу calc.exe на компьютере жертвы. В архиве имеется отладочная версия, скомпилированная автором, которая оказалась нам очень полезна. Мы использовали ее для выявления определенных паттернов: строки, шеллкод и т.д..

Самый интересный файл в архиве:

SilverApp1.dll:
Размер: 17920 байт
md5: df990a98eef1d6c15360e70d3c1ce05e

Это настоящая DLL, которая выполняет эксплойт 2013 года для Silverlight, написанный Виталием Тороповым.

Имея в своем распоряжении этот файл, мы решили создать несколько специальных методов обнаружения этого эксплойта. В частности, мы написали YARA-правило, в котором использовали определенные строки из этого файла. Так выглядел наш метод обнаружения средствами YARA:

Довольно просто, не правда ли?

Вообще говоря, мы сейчас пишем YARA-правила для всех важных случаев и считаем это очень эффективным способом борьбы с кибератаками. Благодарим Виктора Мануэля Альвареса и сотрудников компании VirusTotal (в настоящее время приобретена Google) за создание такого эффективного и универсального инструмента!

Долгое ожидание…

Создав инструмент обнаружения, мы стали ждать, в надежде, что APT-группировка воспользуется этим эксплойтом. Зная, что Виталий Торопов предлагал его компании Hacking Team, мы предположили, что он предлагал его и другим покупателям. А какой прок от эксплойта нулевого дня, если его не использовать?

Прошло несколько месяцев, но ничего не происходило. И мы забыли об этом до конца ноября 2015 года.

25 ноября у нашего пользователя сработал один из наших базовых инструментов обнаружения эксплойта Торопова 2013 года для Silverlight. А несколько часов спустя в сервис мультисканирования был загружен образец из Лаосской Народно-Демократической Республики (Лаоса).

Этот файл был скомпилирован 21 июля 2015 года, то есть примерно через две недели после взлома компании Hacking Team. Поэтому мы предположили, что это не один из ранних эксплойтов 2013 года, а новый эксплойт.

Нам понадобилось некоторое время, чтобы проанализировать образец и обнаружить ошибку. Убедившись, что это действительно эксплойт нулевого дня, мы проинформировали об уязвимости компанию Microsoft.

Microsoft подтвердила наличие уязвимости нулевого дня (CVE-2016-0034) и выпустила патч от 12 января 2016 года.

Технический анализ ошибки

Уязвимость была обнаружена в классе BinaryReader. При создании экземпляра этого класса можно передать собственную реализацию процесса кодирования:

Кроме того, в процессе Encoding можно использовать собственный класс Decoder:

Если посмотреть на код BinaryReader.Read(), можно увидеть следующее:

Действительно, перед вызовом значение «index» точно проверяется:

Но если заглянуть внутрь функции InternalReadChars (она помечена как небезопасная и манипулирует указателями), можно увидеть следующий код:

Проблема возникает из-за того, что функция GetChars может определяться пользователем, например:

Как видите, переменной «index» можно управлять из кода, определяемого пользователем. Выполним отладку.

Это переменная Test.buf. Здесь 05 – длина массива перед эксплуатацией уязвимости:

После вызова метода BinaryRead.Read остановим программу на методе InternalReadChars (index равен 0):

После этого остановим программу на коде, определяемом пользователем:

Это первый вызов функции, определяемой пользователем, и функция возвращает неверное значение. На следующей итерации переменная «index» содержит неверное смещение.

Изменив смещение, можно легко изменить, например, содержимое памяти:

Так выглядит объект Test.buf после наших модификаций, произведенных в методе декодирования:

Итак, это тот дроид, которого вы ищете?

Один из главных вопросов, который стоит перед нами: тот ли это эксплойт нулевого дня, для Silverlight, который Виталий Торопов пытался продать компании Hacking Team? Или это другой эксплойт?

Некоторые детали, например, отладочные сообщения об ошибках, наводят на мысль, что это один из его эксплойтов. Конечно, мы не можем этого утверждать; возможно, существует несколько эксплойтов для Silverlight. Одно можно сказать наверняка – после обнаружения и исправления этой уязвимости мир стал чуточку безопаснее.

И последнее замечание: по причине охраны авторских прав мы не смогли проверить, имелся ли в украденном архиве Hacking Team этот эксплойт. Мы предполагаем, что специалисты по компьютерной безопасности, обнаружившие эксплойты нулевого дня в утечках HackingTeam, смогут проверить и наличие этого эксплойта.

Чтобы научиться писать эффективные YARA-правила, обнаруживать новые APT-угрозы и эксплойты нулевого дня, можно пройти наш курс обучения YARA перед конференцией SAS 2016. Великий ниндзя, или охота на APT-угрозы с помощью Yara (инструкторы: Костин Райю, Виталий Камлюк, Сергей Минеев). Мест уже почти не осталось!

Продукты «Лаборатории Касперского» детектируют новый эксплойт для Silverlight как HEUR:Exploit.MSIL.Agent.gen.

from Securelist - Всё об интернет-безопасности http://ift.tt/1nMLYlD
via IFTTT

Файлообменное приложение Lenovo кишит багами

Компания Lenovo не впервые подвергается критике со стороны специалистов в области информационной безопасности. К примеру, на устройствах компании не раз обнаруживали предустановленное нежелательное ПО. На этот раз эксперты компании Core Security изучили Windows и Android версии приложения SHAREit, которое Lenovo предлагает использовать для обмена файлами между различными устройствами (подобно Dropbox). Судя по пяти найденным уязвимостям, о безопасности пользователей разработчики Lenovo по-прежнему не слишком тревожатся.

from «Хакер» http://ift.tt/1VneB3k
via IFTTT

Тарифный план «Вредоносный»

Вредоносный спам по праву считается одним из самых опасных. Возможности современных зловредов достаточно широки и позволяют киберпреступникам организовывать ботнеты, красть деньги пользователей и получать доступ к их персональной информации. Поэтому преступники прикладывают немало усилий для установки зловреда на компьютер жертвы и постоянно совершенствуют свои приемы и уловки. В последнее время все чаще злоумышленники рассылают подделки под деловую переписку, в том числе и в Рунете. В декабре мы зафиксировали фальшивые уведомления с вредоносными вложениями, рассылаемые от имени крупнейшей телекоммуникационной компании России. В тексте писем говорилось об изменении в тарифных планах, причем сам текст был максимально похож на легитимный: написан в официальном стиле, с упоминанием, что сообщение создано автоматически и не требует ответа.

В первом примере, чтобы заставить пользователя открыть вложение, сообщалось о поднятии цен на услуги. Вложения детектировались как Trojan.Win32.Yakes.

В другом случае злоумышленники маскировали того же зловреда Trojan.Win32.Yakes под файл с расценками («прайс») и рассылали его от имени реально существующей организации. Адрес электронной почты отличный от официального адреса организации мошенники объясняли техническими проблемами с почтовым ящиком.

Киберпреступники также пытались обмануть получателей и заставить их запустить вредоносное вложение, выдавая его за карточку предприятия с новыми реквизитами. В качестве адреса отправителя указывался адрес, зарегистрированный на бесплатном почтовом сервисе, а вложение содержало Trojan.Win32.Yakes.

Отметим, что вредоносные файлы также могут находится на различных облачных сервисах, а в тексте письма злоумышленники размещают лишь ссылку на них. Кроме того, преступники могут использовать одну из стандартных уловок, акцентируя внимание на мнимой проверке файла антивирусом, чтобы заставить получателя запустить файл.

Это лишь основные приемы, используемые мошенниками. Как кажется, их легко распознать, но реальность такова, что, к сожалению, жертвами преступников ежедневно становится множество людей. И это не только частные лица, но и различные компании, от известных до самых мелких. Мы можем лишь снова повторить основное правильно безопасности: не следует открывать подозрительные вложения и переходить по ссылкам в письмах от неизвестных отправителей.

from Securelist - Всё об интернет-безопасности http://ift.tt/1PzG6IL
via IFTTT