Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




Гипервизоры. Что же это?

История о том, как программное обеспечение отделившись от оборудования подарило нам виртуализацию и облачную вычислительную среду.

Технологию гипервизоров часто упускают из вида, отдавая предпочтении более популярной и модной концепции виртуализации. Но поверьте, вы не сможете получить истинного удовольствия от применения виртуализации, пока не поймете, что такое гипервизор и как он работает в вычислительной системе.

О преимуществах виртуализации и облачных вычислений уже сказано много слов и написано огромное количество статей, настолько много, что кажется будто эта технология уже устарела в быстро развивающемся мире ИТ инфраструктуры. Однако, все же стоит выбросить такие мысли из головы, ведь технология гипервизоров как раз может помочь в стимулировании инноваций в мире облачных вычислений.

Что такое гипервизор?

Гипервизор — это процесс, который отделяет операционную систему компьютера и приложения от базового физического оборудования. Обычно представляет собой программное обеспечение, хотя создаются и встроенные гипервизоры, например, для мобильных устройств.

Гипервизор является движущей силой концепции виртуализации, позволяя физическому хост-компьютеру управлять несколькими виртуальными машинами в качестве гостевых ОС, что в свою очередь помогает максимально эффективно использовать вычислительные ресурсы, такие как память, пропускная способность сети и количество циклов процессора.

История гипервизоров

В конце 1960-х и вплоть 1970-х годов, большинство систем виртуализации и гипервизоров были замечены на мейнфреймах, разработанных компанией IBM. Использовались они для разработки процессов использования компьютера в режиме разделения времени, для тестирования новых операционных систем и идей для их усовершенствования или даже для изучения новых аппаратных концепций. Виртуализация позволила программистам развертывать системы и устранять неисправности, не подвергая угрозам стабильность основной производственной системы, ну и к тому же она позволила уйти от развертывания дополнительных дорогостоящих систем.

В середине 2000-х годов гипервизоры выходят на новый уровень, когда Unix, Linux и другие похожие на Unix операционные системы начали использовать технологии виртуализации. В чем же причины роста интереса к гипервизорам и виртуализации? Ну, во-первых, причина заключалась в улучшении аппаратных возможностей и мощностей, которые теперь позволили бы одной машине выполнять более синхронизированную работу; во-вторых, усиление контроля издержек, что привело к консолидации серверов; в-третьих, значимую роль сыграла безопасность и надежность благодаря усовершенствованию архитектуры гипервизоров; и конечно последняя, но не менее важная причина — возможность запуска зависимых от ОС приложений в различных аппаратных или операционных средах. Кроме того, в 2005 году разработчики процессоров начали добавлять аппаратную виртуализацию в свои продукты на базе x86, расширяя доступность (и преимущества) виртуализации для ПК и серверной аудитории.

Преимущества гипервизоров

Несмотря на то, что виртуальные машины могут работать на одном и том же физическом оборудовании, они по-прежнему логически отделены друг от друга. Это означает следующее — если на одной виртуальной машине произошла ошибка, системный сбой или вредоносная атака, то это не распространяется на другие виртуальные машины независимо от того, установлены они на этом же компьютере или на других физических машинах.

Виртуальные машины также очень мобильны — поскольку они не зависят от основного оборудования, их можно перемещать или переносить между локальными или удаленными виртуальными серверами. И сделать это намного проще, в сравнении с традиционными приложениями, привязанными к физическому оборудованию.

Существует два типа гипервизоров с очень «креативными» названиями «ТИП 1» или «ТИП 2». Гипервизоры типа 1, иногда называемые «автономными гипервизорами», запускаются непосредственно на аппаратном обеспечении хоста для управления оборудованием и управления гостевыми виртуальными машинами. К современным гипервизорам первого типа относятся: Xen, Oracle VM Server для SPARC, Oracle VM Server для x86, Microsoft Hyper-V и VMware ESX / ESXi.

Гипервизоры типа 2, иногда называемые «хостовыми гипервизорами», запускаются на обычной ОС, как и другие приложения в системе. В этом случае гостевая ОС выполняется как процесс на хосте, а гипервизоры разделяют гостевую ОС и ОС хоста. Примеры гипервизоров второго типа: VMware Workstation, VMware Player, VirtualBox и Parallels Desktop для Mac.
На данный момент можно выделить трех основных крупнейших разработчиков гипервизоров: VMware, Microsoft и Citrix Systems.

Контейнеры против гипервизоров

В последние годы контейнерные технологии стали популярными в качестве возможной замены гипервизоров. Причина в том, что они могут размещать больше приложений на одном физическом сервере, чем виртуальная машина.

Один из публицистов в статье 2016 для Network World высказал интересное мнение. Он заявил, что виртуальные машины используют много системных ресурсов, ведь каждая виртуальная машина запускает не только полную копию операционной системы, но и виртуальную копию всего оборудования, на котором должна запускаться операционная система. Соответственно, быстро возникает необходимость в использовании большого количества запоминающих устройств и машинных циклов. А все, что требуется контейнеру, — это операционная система, поддерживающая программы и каталоги, а также системные ресурсы для запуска конкретной программы.

Однако, не стоит думать, что контейнеры обязательно заменят гипервизоры и виртуальные машины, ведь существуют проблемы безопасности и практического использования виртуальных машин. Скорее всего компании будут использовать оба метода в совокупности. И кстати о безопасности, некоторые считают, что контейнеры менее безопасны, чем гипервизоры. Причина в том, что в контейнерах имеется только одна ОС, которую используют приложения, в то время как виртуальные машины изолируют не только приложения, но и ОС. Если одно из приложений попадает под угрозу, оно может атаковать и ОС в контейнере, что влияет в свою очередь и на другие приложения. В тоже самое время если на виртуальной машине приложение становится уязвимым, то оно сможет оказать вредоносное действие исключительно на одну ОС на сервере, а другие приложения или ОС на виртуальной машине остаются в безопасности.

Проблемы безопасности гипервизоров

Хотя благодаря многим мерам предосторожности гипервизоры считаются более безопасными, чем контейнеры, это не означает того факта, что у гипервизоров нет вообще проблем, связанных с безопасностью. Например, в теории хакеры могут создавать вредоносные программы и руткиты, которые устанавливаются под ОС как гипервизор. Этот процесс, известный как «гиперджекинг», сложно обнаружить, так как вредоносное ПО может перехватывать действия операционной системы (например, ввод пароля) без необходимости защиты от вредоносного ПО, поскольку данное вредоносное ПО уже работает под ОС.

Профессионалы в мире виртуализации могут бесконечно вести дискуссии и споры о том, можно ли обнаружить присутствие руткита на базе гипервизора. Уже даже созданы несколько подходов на эту тему, одними внедрена концепция вредоносного ПО (SubVirt и Blue Pill), другие продемонстрировали антируткит Hooksafe, который обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности.

Расширение возможностей гипервизора

Концепция гипервизоров не ограничивается только работой сервера. Например, гипервизоры хранилища используют ту же концепцию, применяя ее к хранилищу данных. Гипервизор хранения может работать на физическом оборудовании, как виртуальная машина, внутри операционной системы гипервизора или в более крупной сети хранения. Гипервизоры хранилища также, как и обычные гипервизоры, могут работать на определенном оборудовании или быть независимыми от оборудования.

Помимо хранения, гипервизоры являются ключом для других процессов виртуализации, включая виртуализацию рабочего стола, виртуализацию ОС и виртуализацию приложений.

Также встречается еще и встроенные гипервизоры. Что же это такое? Встроенные гипервизоры поддерживают требования встроенных систем. Они немного отличаются от гипервизоров, ориентированных на серверные и настольные приложения. Встроенный гипервизор с самого начала внедряется во встроенное устройство, а не загружается при последующем развертывании устройства. Во встроенной системе различные компоненты обычно функционируют совместно для обеспечения функциональности устройства.

Дата: 2018-02-23 14:22:23

Источник: https://habrahabr.ru/post/349788/



Invoke-Obfuscation - PowerShell Obfuscator

Invoke-Obfuscation_1_Invoke-Obfuscation%252520Screenshot.png

Invoke-Obfuscation is a PowerShell v2.0+ compatible PowerShell command and script obfuscator.

Purpose

Attackers and commodity malware have started using extremely basic obfuscation techniques to hide the majority of the command from the command line arguments of powershell.exe. I developed this tool to aid the Blue Team in simulating obfuscated commands based on what I currently know to be syntactically possible in PowerShell 2.0-5.0 so that they can test their detection capabilities of these techniques.

The tool's sole purpose is to break any assumptions that we as defenders may have concerning how PowerShell commands can appear on the command line. My hope is that it will encourage the Blue Team to shift to looking for Indicators of Obfuscation on the command line in addition to updating PowerShell logging to include Module, ScriptBlock and Transcription logging as these sources simplify most aspects of the obfuscation techniques generated by this tool.

Usage

While all of the layers of obfuscation have been built out into separate scripts, most users will find the Invoke-Obfuscation function to be the easiest way to explorer and visualize the obfuscation techniques that this framework currently supports.


Installation
The source code for Invoke-Obfuscation is hosted at Github, and you may download, fork and review it from this repository (https://github.com/danielbohannon/Invoke-Obfuscation). Please report issues or feature requests through Github's bug tracker associated with this project.
To install:
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

License
Invoke-Obfuscation is released under the Apache 2.0 license.

Release Notes
v1.0 - 2016-09-25 DerbyCon 6.0 (Louisville, Kentucky USA): PUBLIC Release of Invoke-Obfuscation.
v1.1 - 2016-10-09 SANS DFIR Summit (Prague, Czech Republic): Added -f format operator re-ordering functionality to all applicable TOKEN obfuscation functions. Also added additional syntax options for setting variable values.
v1.2 - 2016-10-20 CODE BLUE (Tokyo, Japan): Added Type TOKEN obfuscation (direct type casting with string obfuscation options for type name).
v1.3 - 2016-10-22 Hacktivity (Budapest, Hungary): Added two new LAUNCHERs: CLIP+ and CLIP++. Also added additional (and simpler) array char conversion syntax for all ENCODING functions that does not require For-EachObject/%.
v1.4 - 2016-10-28 BruCON (Ghent, Belgium): Added new BXOR ENCODING function. Also enhanced randomized case for all components of all ENCODING functions as well as for PowerShell execution flags for all LAUNCHERs. Finally, added -EP shorthand option for -ExecutionPolicy to all LAUNCHERs as well as the optional integer representation of the -WindowStyle PowerShell execution flag: Normal (0), Hidden (1), Minimized (2), Maximized (3).
v1.5 - 2016-11-04 Blue Hat (Redmond, Washington USA): Added WMIC LAUNCHER with some randomization of WMIC command line arguments.
v1.6 - 2017-01-24 Blue Hat IL (Tel Aviv, Israel):

  1. Added [String]::Join('',$string) JOIN syntax
  2. Added OFS-variable JOIN syntax (Output Field Separator automatic variable)
  1. PtrToStringAnsi / SecureStringToGlobalAllocAnsi
  2. PtrToStringBSTR / SecureStringToBSTR
  1. PtrToStringAuto, ([Runtime.InteropServices.Marshal].GetMembers()[3].Name).Invoke
  2. PtrToStringAuto, ([Runtime.InteropServices.Marshal].GetMembers()[5].Name).Invoke
  3. PtrToStringUni , ([Runtime.InteropServices.Marshal].GetMembers()[2].Name).Invoke
  4. PtrToStringUni , ([Runtime.InteropServices.Marshal].GetMembers()[4].Name).Invoke
  5. PtrToStringAnsi, ([Runtime.InteropServices.Marshal].GetMembers()[0].Name).Invoke
  6. PtrToStringAnsi, ([Runtime.InteropServices.Marshal].GetMembers()[1].Name).Invoke
v1.7 - 2017-03-03 nullcon (Goa, India):
v1.8 - 2017-07-27 Black Hat (Las Vegas, Nevada USA):
v1.8.1 - 2017-12-19:
v1.8.2 - 2018-01-04:

Дата: 2018-02-23 13:00:22

Источник: https://www.kitploit.com/2018/02/invoke-obfuscation-powershell-obfuscator.html



Майнеры активно атакуют промышленные предприятия

С сентября прошлого года наблюдается рост числа атак майнеров на промышленные предприятия.

Добытчики криптовалюты активно ищут новые мощности для майнинга и все чаще атакуют промышленные предприятия. Как сообщает Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского», активный рост числа подобных атак начался в сентябре 2017 года.

По данным ЛК, с февраля прошлого по февраль нынешнего года майнерами были заражены 3,3% компьютеров, относящихся к системам промышленной автоматизации. Наиболее популярным вектором заражения являлся интернет (88% всех атак), съемные носители (23%) и сетевые папки предприятий (2%). Чаще всего в атаках использовались майнеры на Win32 (57,12% всех атак), Win64 (36,46%) и JavaScript (28,65%).

Устанавливаемые в промышленных сетях майнеры криптовалюты используют обфускацию и работают незаметно для пользователей. Несмотря на то, что ПО для добычи криптовалюты является сравнительно безобидным, оно сильно увеличивает нагрузку на процессоры и уменьшают пропускную способность. В АСУ ТП время отклика имеет большое значение, и его увеличение может снизить контроль над технологическими процессами и тем самым нанести серьезный ущерб предприятию.

Дата: 2018-02-23 07:08:28

Источник: http://www.securitylab.ru/news/491720.php



Security Week 5: грамотность в ущерб безопасности; майнинг на высшем уровне; сайт не для людей

Новость на русском, сообщение о проблеме на английском

5gfedu4kjfp91jlpxbeh46cxbdk.jpegБезграмотное письмо партнеру или заказчику может сильно подпортить репутацию. Но проверив в нем орфографию и пунктуацию, как оказалось, можно сделать его достоянием широкой общественности. В сервисе Grammarly, предназначенном для поиска ошибок в английском тексте, была обнаружена серьезная уязвимость, позволявшая посторонним с помощью несложного скрипта получать токены авторизации пользователей — и, соответственно, доступ к их документам.

У сервиса Grammarly есть расширения для популярных браузеров, в том числе для Chrome. В нем, собственно, и была обнаружена ошибка, которая позволяла любому сайту формировать токены, соответствующие файлам cookie Grammarly. С их помощью вручную или с использованием скрипта злоумышленники могли войти на основной сайт сервиса от имени зарегистрированных пользователей и просматривать записи, документы, журналы и прочие личные данные.

К чести разработчиков сервиса, они среагировали на сообщение практически мгновенно. Совместными усилиями специалисты Grammarly и Google буквально за несколько часов устранили проблему и выпустили обновленное расширение — причем не только для Chrome, но и для Firefox.

Правительственный майнинг


Новость

Популярный скрипт Coinhive для майнинга попал на 4275 сайтов, в число которых вошли manchester.gov.uk, nhsinform.scot, uscourts.gov и другие государственные порталы по всему миру. В течение четырех часов зловред майнил через них Monero, используя 40% мощности центральных процессоров посетителей. Как выяснилось позже, виной тому был скомпрометированный плагин BrowseAloud компании Texthelp — он преобразует текст в речь, и обычно его используют, чтобы упростить работу с сайтом людям со слабым зрением.

Получив информацию о проблеме от исследователей, Texthelp отключила плагин и оперативно провела исследование. К счастью, проблема действительно ограничилась криптомайнингом: учитывая специфику расширения, которое пропускает через себя весь текст на странице, чтобы его озвучить, и характер пораженных сайтов, на части из которых есть личные кабинеты с доступом к финансовой и иной личной информации, можно было бы ожидать еще и масштабной утечки конфиденциальных данных, но ее не произошло.

CAPTCHA-наоборот


Новость

Мы привыкли относиться к ИБ серьезно, а между тем кто-то использует инструменты защиты как… материал для творчества! К примеру, онлайн-акционист Даньян Пита (Danjan Pita), известный под ником Damjanski, устроил виртуальный перформанс, «вывернув наизнанку» капчу. Художник решил создать сайт исключительно для ботов.

CAPTCHA-наоборот представляет из себя девять картинок, размытых настолько, что усмотреть в них предметы может только специально обученная программа или очень близорукий человек, который ни разу в жизни не носил очки. Пользователю предлагается выбрать те из них, на которых изображено что-то конкретное, например компьютер или фонарный столб. Посетителю, не сумевшему решить задачку, рассчитанную на возможности искусственного интеллекта, страничка сообщает: You’re a human. You’re not invited («Ты — человек. Тебя не приглашали»).

По словам самого Damjanski, он постоянно совершенствует тест, усложняя механизм размытия, а посетители активно придумывают способы расшифровки картинок. Впрочем, помимо подбора алгоритмов для решения задачи есть и более простой, хотя и ненадежный способ выбрать правильные картинки — методом тыка. У некоторых получается.

Хотите доказать, что вы — робот? Добро пожаловать!

Древности


Семейство «Amstrad»
_v9c7pxaucrdtrkbepfgeu1vgls.png
Семейство нерезидентных опасных вирусов.

Общие черты:

  1. Заражаются все .COM-файлы в текущем каталоге
  2. Вирус записывает себя в начало файла.
  3. Возможно повторное заражение.
  4. Файлы большой длины могут быть уничтожены.

Некоторые версии вируса быстро проявляются: начиная с пятого «поколения» вируса при старте зараженной программы с вероятностью 1/2 на экране появляется сообщение: «Program sick error: Call doctor or buy PIXEL for cure description».

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Дата: 2018-02-22 23:16:58

Источник: https://habrahabr.ru/post/349754/



Mitm6 - Pwning IPv4 Via IPv6

mitm6.png

Mitm6 is a pentesting tool that exploits the default configuration of Windows to take over the default DNS server. It does this by replying to DHCPv6 messages, providing victims with a link-local IPv6 address and setting the attackers host as default DNS server. As DNS server, mitm6 will selectively reply to DNS queries of the attackers choosing and redirect the victims traffic to the attacker machine instead of the legitimate server. For a full explanation of the attack, see this blog about mitm6. Mitm6 is designed to work together with ntlmrelayx from impacket for WPAD spoofing and credential relaying.

Dependencies and installation

mitm6 is compatible with both Python 2.7 and 3.x. You can install the requirements for your version with pip install -r requirements.txt. In both cases, mitm6 uses the following packages:

For python 2.7, it uses the ipaddress backport module. You can install the latest release from PyPI with pip install mitm6, or the latest version from source with python setup.py install after cloning this git repository.

Usage

After installation, mitm6 will be available as a command line program called mitm6. Since it uses raw packet capture with Scapy, it should be run as root. mitm6 should detect your network settings by default and use your primary interface for its spoofing. The only option you will probably need to specify is the AD domain that you are spoofing. For advanced tuning, the following options are available:

usage: mitm6.py [-h] [-i INTERFACE] [-l LOCALDOMAIN] [-4 ADDRESS] [-6 ADDRESS]
                [-m ADDRESS] [-a] [-v] [--debug] [-d DOMAIN] [-b DOMAIN]
                [-hw DOMAIN] [-hb DOMAIN] [--ignore-nofqnd]

mitm6 - pwning IPv4 via IPv6
For help or reporting issues, visit https://github.com/fox-it/mitm6

optional arguments:
  -h, --help            show this help message and exit
  -i INTERFACE, --interface INTERFACE
                        Interface to use (default: autodetect)
  -l LOCALDOMAIN, --localdomain LOCALDOMAIN
                        Domain name to use as DNS search domain (default: use
                        first DNS domain)
  -4 ADDRESS, --ipv4 ADDRESS
                        IPv4 address to send packets from (default:
                        autodetect)
  -6 ADDRESS, --ipv6 ADDRESS
                        IPv6 link-local address to send packets from (default:
                        autodetect)
  -m ADDRESS, --mac ADDRESS
                        Custom mac address - probably breaks stuff (default:
                        mac of selected interface)
  -a, --no-ra           Do not advertise ourselves (useful for networks which
                        detect rogue Router Advertisements)
  -v, --verbose         Show verbose information
  --debug               Show debug information

Filtering options:
  -d DOMAIN, --domain DOMAIN
                        Domain name to filter DNS queries on (Whitelist
                        principle, multiple can be specified.)
  -b DOMAIN, --blacklist DOMAIN
                        Domain name to filter DNS queries on (Blacklist
                        principle, multiple can be specified.)
  -hw DOMAIN, --host-whitelist DOMAIN
                        Hostname (FQDN) to filter DHCPv6 queries on (Whitelist
                        principle, multiple can be specified.)
  -hb DOMAIN, --host-blacklist DOMAIN
                        Hostname (FQDN) to filter DHCPv6 queries on (Blacklist
                        principle, multiple can be specified.)
  --ignore-nofqnd       Ignore DHCPv6 queries that do not contain the Fully
                        Qualified Domain Name (FQDN) option.

You can manually override most of the autodetect options (though overriding the MAC address will break things). If the network has some hardware which blocks or detects rogue Router Advertisement messages, you can add the --no-ra flag to not broadcast those. Router Advertisements are not needed for mitm6 to work since it relies mainly on DHCPv6 messages.

Filtering options

Several filtering options are available to select which hosts you want to attack and spoof. First there are the --host-whitelist and --host-blacklist options (or -hw and -hb for short), which take a (partial) domain as argument. Incoming DHCPv6 requests will be filtered against this list. The property checked is the DHCPv6 FQND option, in which the client provides its hostname. The same applies for DNS requests, for this the --domain option (or -d) is available, where you can supply which domain(s) you want to spoof. Blacklisting is also possible with --blacklist/-b.

For both the host and DNS filtering, simple string matching is performed. So if you choose to reply to wpad, it will also reply to queries for wpad.corpdomain.com. If you want more specific filtering, use both the whitelist and blacklist options, since the blacklist takes precedence over the whitelist. By default the first domain specified will be used as the DNS search domain, if you explicitliy want to specify this domain yourself use the --localdomain option.

About network impact and restoring the network

mitm6 is designed as a penetration testing tool and should thus impact the network as little as possible. This is the main reason mitm6 doesn't implement a full man-in-the-middle attack currently, like we see in for example the SLAAC attack. To further minimize the impact, the IP addresses assigned have low time-to-live (TTL) values. The lease will expire within 5 minutes when mitm6 is stopped, which will remove the DNS server from the victims configuration. To prevent DNS replies getting cached, all replies are sent with a TTL of 100 seconds, which makes sure the cache is cleared within minutes after the tool exits.

Usage with ntlmrelayx

mitm6 is designed to be used with ntlmrelayx. You should run the tools next to each other, in this scenario mitm6 will spoof the DNS, causing victims to connect to ntlmrelayx for HTTP and SMB connections. For this you have to make sure to run ntlmrelayx with the -6 option, which will make it listen on both IPv4 and IPv6. To obtain credentials for WPAD, specify the WPAD hostname to spoof with -wh HOSTNAME (any non-existing hostname in the local domain will work since mitm6 is the DNS server). Optionally you can also use the -wa N parameter with a number of attempts to prompt for authentication for the WPAD file itself in case you suspect victims do not have the MS16-077 patch applied.

Detection

Дата: 2018-02-22 20:04:06

Источник: https://www.kitploit.com/2018/02/mitm6-pwning-ipv4-via-ipv6.html



Кто раздербанит приложение от Сбербанка?

Давно обратил внимание на мобильное приложение Сбербанка. После его установки при первом запуске оно проверяет гаджет на предмет безопасности и чекает чем-то антивирусным. Раньше, как сейчас помню, оно еще проверяло установленные приложения и показывало, какие из них якобы не безопасные. Сейчас вроде такого нет. Возникает вопрос, что же это у них такое и что оно на самом деле делает?

Sber_dva_skrina.jpg
А теперь открываем 382-П и читаем следующие пункты: п.75, п. 80, п.81, 2.10.4. Смысл их следующий:
При эксплуатации объектов информационной инфраструктуры Банк обеспечивает:

- защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации;

- выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.

Значит, скорее всего, Сбер это и сделал в т.ч. для соответствия требованиям безопасности из 382-П. Но раз мобильное приложение при каждом запуске чекает гаджет, было бы неплохо запихнуть туда и антивирусный движок и минимальный набор из особо злобных сигнатур. Более того, можно будет даже брать плату за дополнительный уровень защиты клиента.  

     Секлаб читают многие безопасники и Сбер в первую очередь, поэтому хорошо бы прояснить этот момент (можно в комментариях). А пока на ум приходит мысль защищаться от всякой нечести, не каким-нибудь проприетарным Касперским, а халявным приложением, имеющим номер лицензии 1481 и год основания 1841-й. Прямо игра цифр получается!

Дата: 2018-02-22 18:55:00

Источник: http://shaurojen.blogspot.com/2018/02/blog-post_22.html



Understanding Zero-Day Vulnerabilities & Attacks

Understanding Zero-Day Vulnerabilities & Attacks

In computer science, a vulnerability is considered to be a zero-day vulnerability if it’s unknown to all parties interested in patching it, such as:

Vulnerability researchers are the good guys – people who won’t take advantage of the vulnerability for their own gain and who will exercise responsible disclosure.

Let’s illustrate this concept with a small example.

Continue reading Understanding Zero-Day Vulnerabilities & Attacks at Sucuri Blog.

blog?d=yIl2AUoC8zA

Дата: 2018-02-22 18:30:20

Источник: https://blog.sucuri.net/2018/02/understanding-zero-day-vulnerabilities-attacks.html



Хакерская группировка под прицелом «Лаборатории Касперского»

«Лаборатория Касперского» опубликовала исследование, посвященное активности APT-группировки Sofacy в 2017 году. Анонимные взломщики, известные также под названиями APT28, Fancy Bear и Tsar Team, преимущественно атакуют частные и государственные организации в странах НАТО и их союзниках — на Украине, в Грузии и Прибалтике. С конца 2017 года преступники действуют также на Ближнем Востоке и в Центральной Азии.

Эксперты ИБ наблюдают за Sofacy с 2011 года, а внимание общественности группировка привлекла в 2016-м. Тогда хакеры совершили несколько целевых атак в европейских странах и опубликовали документы Всемирного антидопингового агентства (WADA) о применении запрещенных веществ крупными спортивными державами. В своих кампаниях Sofacy использует инструменты направленного фишинга наряду с постоянно меняющимся набором бэкдоров и уязвимостей нулевого дня.

В начале прошлого года взломщики собрали последние плоды атаки под кодовым названием Dealer’s Choice. Целевые рассылки зловредных писем, спуфинг и Flash-эксплойты позволили им установить вредоносное ПО на компьютеры в военных и дипломатических организациях стран НАТО и Украины. Облачная служба Kaspersky Security Network также зафиксировала заражения в Армении, Ираке, Гонконге, Королевстве Марокко и других странах по всему миру. Основной удар пришелся на конец 2016 года, однако по возвращении пользователей с новогодних каникул последовала новая волна.

В нескольких последующих атаках, которые были также направлены на натовские структуры, Sofacy использовала две уязвимости нулевого дня MS Office, чтобы установить на целевые компьютеры бэкдор GAMEFISH. Эту кампанию преступники построили на актуальности сирийской войны — зараженный документ назывался «Trump’s_Attack_on_Syria_English.docx». Под удар снова попали пользователи натовских стран.

К середине года взломщики сконцентрировались на коммерческих, военных и телекоммуникационных организациях в бывших советских республиках Средней Азии. В этих атаках использовался доработанный бэкдор SPLM, который стал модульным и научился красть файлы, отслеживать ввод текста на клавиатуре и даже запускать выполнение кода на зараженной машине.

Еще один зловред, который Sofacy обновила в 2017 году, известен ИБ-специалистам под именем Zebrocy. Взломщики применяли его для похищения заявлений на визу, отсканированных изображений и документов служб пограничного контроля. Жертвами Zebrocy стали многочисленные дипломатические организации наряду с научными институтами, промышленными предприятиями, пресс-центрами и НКО, работающими в социальной сфере. Среди особенностей зловреда эксперты «Лаборатории Касперского» отметили возможность отслеживать соединение с сетевыми дисками и похищать с них документы — файлы весом до 60 МБ с расширениями .doc/.docx, .xls/.xlsx, .ppt/.pptx, .exe, .zip и .rar.

Эксперты изучили инфраструктуру, на которой построены атаки Sofacy. Она объединяет множество командных серверов, хостинговые площадки с высокими гарантиями приватности, служебные электронные адреса, поддельные телефонные номера и придуманные ФИО. По словам авторов исследования, подобная информация помогает отследить провайдеров и поставщиков услуг, которыми пользуются злоумышленники, чтобы предугадать их дальнейшие шаги.

В ходе исследования аналитики смогли установить многие особенности Sofacy, способные повысить безопасность организаций перед атаками взломщиков. Детали будут раскрыты на предстоящей конференции Security Analyst Summit (SAS) 2018. Пока же эксперты «Лаборатории Касперского» рекомендуют внимательно относиться к аномальному поведению пользователей в корпоративных сетях, особенно если подозрительная активность связана с администраторскими учетными записями. Все поступающие вложения необходимо сканировать и тестировать в песочницах, а доступ к электронной почте и VPN должен быть защищен с применением двухфакторной аутентификации.

Дата: 2018-02-22 16:27:35

Источник: https://threatpost.ru/kaspersky-lab-published-review-of-sofacy-gang-activity-in-2017/24757/



В Microsoft исправили баг, но не полностью

Во вторник стало известно о серьезной ошибке в Windows 10. Уязвимость CVE-2018-0826 позволяет установить произвольные атрибуты доступа к файлу при использовании процедуры SvcMoveFileInheritSecurity.

Проблема возникает при перемещении объекта в другой каталог. Операционная система выставляет файлу те же привилегии, что и у целевой директории. При этом атрибуты меняются на новые, даже если перенос не увенчался успехом. Уязвимость позволяет злоумышленнику размещать вредоносное ПО в любых папках Windows, включая системные.

Проблема связана с неправильной обработкой жесткой ссылки — важного элемента структуры файла, описывающего его принадлежность к одной или нескольким папкам. При перемещении объекта жесткая ссылка изменяется, но при отмене операции откат к исходному состоянию происходит некорректно.

Ошибка возникает в ходе выполнения процедуры SvcMoveFileInheritSecurity. При попытке переноса файла из папки с ограничением «только для чтения» в пользовательский каталог он наследует атрибуты целевой директории, несмотря на то, что перемещение не может быть осуществлено. В результате коллизии злоумышленник получает полные права на работу с объектом, который находится в каталоге с ограниченным доступом.

Уязвимость обнаружил еще 10 ноября 2017 года специалист лаборатории Google Project Zero Джеймс Форшоу (James Forshaw). Он немедленно сообщил Microsoft о выявленной проблеме. Исследователь также передал вендору эксплойт, который устанавливает целевому файлу расширенные атрибуты доступа.

Команда разработчиков Windows приняла ошибку к исправлению, однако закрыла ее лишь частично; этот патч был включен в февральский набор обновлений. Форшоу сформировал два тикета, которые описывали эту проблему. Сообщения 1427 и 1428 отличаются друг от друга функциями процедуры SvcMoveFileInheritSecurity, которые приводят к эскалации привилегий. По истечении 90-дневного срока Microsoft сумела отработать только тикет 1427, поэтому информация об уязвимости была выложена в открытый доступ.

Проблема касается Windows 10 и не затрагивает предыдущие версии операционной системы. ИБ-эксперты тестировали ее на сборке 1709. Microsoft признала ошибку серьезной, но не критической. Брешь позволяет пользователю с обычными правами получить привилегии администратора, однако выполнить вредоносный код извне в рамках этой уязвимости невозможно.

Дата: 2018-02-22 15:49:32

Источник: https://threatpost.ru/microsoft-fixed-a-severe-win-10-bug-only-by-half/24753/



Microsoft закрыла опасную уязвимость в Windows 10, но не до конца

В ноябре прошлого года специалист из команды Project Zero обнаружил уязвимость, позволяющую злоумышленникам получать привилегированные права на устройствах с Windows 10 и Windows Server 2016. Эксплуатировать брешь можно двумя способами, и в февральском обновлении Microsoft выпустила патч только для одного из них. Второй все еще активен.

Уязвимость

10 ноября 2017 года Джеймс Форшоу (James Forshaw) из команды Project Zero отправил в Microsoft два отчета об уязвимости CVE-2018-0826, затрагивающей Windows Storage Services, а точнее — функцию SvcMoveFileInheritSecurity, которую ОС вызывает каждый раз, когда требуется переместить файл.

Уязвимость позволяет злоумышленнику копировать и переписывать файлы в директориях, которые обычно недоступны, например, в системных папках. Доверенные приложения и сама операционная система иногда исполняют хранящиеся там файлы автоматически, и это можно использовать для получения привилегированных прав.

Хорошие новости

Уязвимости не подвержены старые версии Windows — 8.1 и более ранние. Кроме того, баг нельзя эксплуатировать удаленно — для этого требуется уже скомпрометированное устройство с обычным пользовательским доступом. Однако Форшоу подчеркнул, что угрозу нельзя недооценивать. Из-за простоты эксплуатации специалист присвоил уязвимости самый высокий класс опасности.

Источник: Bleeping Computer

Екатерина Никитина

Наши тесты для вас:
Какой язык программирования стоит выбрать для изучения?
Что вы знаете о работе мозга?
Насколько вы гиканутый?

Дата: 2018-02-22 15:48:10

Источник: https://tproger.ru/news/microsoft-fixed-only-one-windows-10-exploit/