Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




Дайджест информационной безопасности № 128 за период с 25 декабря 2017 года по 19 января 2018 года

Новости законодательства

  • Согласно  закону о безопасности КИИ, с начала 2018 г. в Уголовном кодексе появляется новая статья — «Неправомерное воздействие на критическую информационную инфраструктуру РФ». Согласно этой статье, создание вредоносных программ, «заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру», может караться штрафом в размере до 1 млн рублей или тюремным заключением на срок до пяти лет. Комментарии к закону можно почитать в блоге на Хабрахабре.
  • Подготовлен законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  • Минкомсвязь подготовило проект приказа об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
  • Правительство утвердило план мероприятий по направлению «Информационная безопасность» в рамках программы «Цифровая экономика».
  • Депутаты Госдумы одобрили в первом чтении законопроект по«заморозке» банками счёта при подозрении на мошенничество. Законопроект направлен на создание комплексного правового механизма, противодействующего переводу денежных средств без согласия клиента.
  • Президент России  поручил ФСБ обеспечение кибербезопасности страны. Соответствующий указ за подписью главы государства опубликован 22 декабря на официальном интернет-портале правовой информации. Согласно документу, функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России становится задачей ФСБ.
  • С 1 февраля вступает в силу PCI DSS 3.2. Про основные нововведения можно почитать в прошлогодней статье на Хабрахабре или этой презентации.

Новости ИБ

  • 2018 год начался с глобальных проблем с процессорами. Первые числа января ознаменовались публикацией информации о проблемах Meltdown и Spectre, затрагивающих практически все современные CPU самых разных производителей. Уязвимости позволяют красть конфиденциальную информацию с устройств, на которых можно запустить пользовательский код. Часть вендоров пользовательских и серверных ОС уже отчиталась о выходе патчей.
  • Wi-Fi Alliance  анонсировал новую версию протокола защиты беспроводных сетей WPA3. В обновление протокола вошли защита от перебора паролей при аутентификации в беспроводных сетях  и улучшения криптографической подсистемы.
  • VirusTotal запустил новый инструмент визуализации VirusTotal Graph, позволяющий визуализировать взаимосвязи между файлами, URL, доменами и IP-адресами.
  • ИБ-специалист Йорик Костер (Yorick Koster) обнаружил опасную брешь в прошивке устройств Seagate Personal Cloud. Проблема связана с Media Server — веб-приложением, работающим на NAS и позволяющим пользователям взаимодействовать с хранящимися на устройстве данными через сеть. Производители внесли патч в состав прошивки для Personal Cloud версии 4.3.18.0.
  • Производитель смартфонов BlackBerry выпустил программу для защиты беспилотных автомобилей под названием «Джарвис». Новинку представил глава компании Джон Чен на автосалоне в Детройте. Новое приложение проверяет безопасность программного обеспечения, используемого при производстве беспилотных машин.

Интересные посты англоязычных блогов по ИБ

  • В статье на сайте Infosec Institute Claudio Dodt привел 4 простых совета, которые помогут специалистам по безопасности правильно выбрать и внедрить стандарты и схему управления рисками. Автор считает их важными, поскольку использование неподходящего варианта может привести к неспособности защитить корпоративные данные или соблюсти требования регуляторов.
  • Компания Microsoft в своем блоге рассказала о том, как бороться с атаками, построенными на социальной инженерии, с помощью ОС, офисных утилит и специальных приложений. Из статьи становится понятно, какая функциональность помогает на каждой стадии фишинговой атаки.
  • Troy Hunt поделился своим опытом по раскрытию и обнародованию инцидентов. Он описал все стадии, которые необходимо пройти, прежде чем инцидент будет опубликован на ресурсе  Have I Been Pwned (HIBP). Автор привел примеры нескольких реальных случаев, когда, сообщив об инцидентах службам безопасности и не получив ответа, он вынужден был официально опубликовать данные о них.
  • На портале Security Boulevard приведено интервью со старшим консультантом Delta Risk Райаном Клэнси, которое дает представление о различных аспектах реагирования на инциденты. В частности, Райан осветил вопросы подготовки персонала к реагированию на инциденты и общения со средствами массовой информации.

Интересные посты русскоязычных блогов по ИБ

  • В статье на Хабрахабре опубликовано интервью с Дэниэлем Лерхом, который имеет степень кандидата компьютерных наук в Университете Universitat Oberta de Catalunya (Каталония, Испания) и является одним из лучших экспертов по стеганографии в Испании. Дэниэль рассказал, что такое стеганография и как лучше всего справиться с этой тайной угрозой.
  • Алексей Лукацкий подробно рассмотрел тему мониторинга трафика и утечек через DNS. Проблема заключается в туннелировании в рамках DNS-трафика, который очень часто разрешен на периметровых МСЭ. Автор подчеркивает необходимость использования решений, которые позволяют заглядывать внутрь различных протоколов и выявлять в них аномалии.
  • Андрей Прозоров предложил погрузиться в увлекательное изучение зарубежного опыта по регулированию обработки и защиты ПДн и сделал для этого подборку полезных ссылок.
  • В своем блоге на Хабрахабре компания Техносерв поделилась своим опытом тестирования производительности после установки патчей от уязвимостей Meltdown и Spectre. Они также представили и свою оценку рисков для этих уязвимостей.
  • Сергей Борисов подготовил в виде майнд-карт обзор основных требований приказа ФСТЭК России “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации” в сравнении с приказом ФСТЭК №31, которому он должен был стать логической заменой.

Исследования и аналитика

  • В 2017 году количество C&C-серверов, используемых для управления IoT-ботнетами, выросло в два раза. Такие данные приводит некоммерческая организация SpamHaus. Наиболее распространенными в 2017 году оказались серверы, управляющие вредоносным ПО Pony – трояном, предназначенным для кражи информации с инфицированных устройств. На втором месте разместились управляющие серверы IoT-ботнетов, на третьем – вымогательского ПО Loki.
  • Отчет Global Threat Index от Check Point за декабрь выявил увеличение числа вредоносных майнеров криптовалюты. Они вошли в десятку самых распространенных зловредов. К тому же они смогли атаковать 55% компаний по всему миру.
  • Оценки, проведенные сотрудниками Департамента национальной безопасности США по системам управления промышленной безопасностью (ICS-CERT), показали, что защита границ остается самой большой проблемой в организациях критической инфраструктуры. Но проблемы идентификации и аутентификации становятся все более распространенными.
  • Oracle выпустила обновление Critical Patch Update за январь 2018 года для устранения 237 уязвимостей  в нескольких продуктах. Некоторые из этих уязвимостей могли быть использованы для удаленного получения доступа к конфиденциальной информации.
  • Согласно отчету ThreatMetrix  «Cybercrime Report in 2017: A Year in Review», злоумышленники переходят от краж кредитных карт на атаки с долгосрочной прибылью, используя украденные идентификационные данные для открытия новые учетных записей. Каждая 9-ая учетная запись в 2017 году была мошеннической. Атаки захвата аккаунта увеличились на 170% и  происходят каждые 10 секунд.
  • Эксперты IOActive и Embedi оценили изменения, произошедшие за два года в сфере дистанционного управления рабочими процессами, и пришли к выводу, что с приходом IoT и переносом функций надзора и контроля в облако уязвимость ICS-инфраструктуры усугубилась. В своем отчете Александр Болшев и Иван Юшкевич представили результаты тестирования 34 мобильных SCADA-приложений, в которых они обнаружили около полутора сотен разных уязвимостей.

Громкие инциденты ИБ

  • Киберэксперты из компании AlienVault обнаружили вредоносное ПО, которое добывало криптовалюту и отправляло ее в КНДР. Приложение было создано 24 декабря 2017 года. Оно устанавливало на зараженные компьютеры программу для майнинга криптовалюты Monero, существенно замедляя их быстродействие. Все добытое «цифровое золото» пересылалось в Университет имени Ким Ир Сена в Пхеньяне.
  • Хакеры попытались взломать базы данных организаторов Олимпиады в Пхенчхане. По данным компании McAfee, киберпреступников особенно интересовала информация, связанная с подготовкой инфраструктуры к Играм. В компании предупредили, что атаки могут повториться.
  • Целый ряд пользователей, купивших устройства в официальном интернет-магазине OnePlus, стали жертвами мошеннических операций с их кредитными картами.
  • Неустановленным киберпреступникам удалось взломать BlackWallet — провайдера криптовалютного кошелька, в результате чего было похищено $444 000 в люменах (Lumens). Стало известно, что злоумышленники взломали DNS-сервер BlackWallet и добавили свой вредоносный код.

Обзор событий предстоящих недель 22.01 — 02.02

Посетить

Послушать

Подписаться на дайджест

Дата: 2018-01-18 20:42:05

Источник: https://rvision.pro/blog-posts/digest-128/



Условный срок за виртуальное хищение

Как сообщает РИА Новости со ссылкой на УФСБ по Ростовской области, мужчину, писавшего ПО для киберпреступников, приговорили к 1,5 годам лишения свободы условно. Используя его разработки, злоумышленники похищали средства из электронных платежных систем.

По словам представителей УФСБ, молодой человек передавал преступникам данные счетов, откуда затем похищали средства. Сам подельник получал оговоренный процент с каждой кражи. В общей сложности он заработал около 3 млн рублей.

Задержанный в августе 2016 года вирусописатель получил, по информации «Коммерсанта», год условного лишения свободы, а по сообщениям РИА «Новости» — 18 месяцев условного лишения свободы и 2 года испытательного срока.

Как стало известно в ходе расследования, молодой человек начал программировать на любительском уровне еще в 15 лет. Позднее его стала привлекать информационная безопасность, и в качестве эксперимента он написал несколько нелегальных программ.

Через некоторое время с ним связались киберпреступники, заинтересовавшиеся его работами, и предложили сделать из созданных программ инструмент для взлома «популярной электронной платежной системы». По словам осужденного, он согласился, поскольку счел, что непосредственного участия в кражах принимать не будет.

Мужчину осудили по ч. 2 ст. 273 УК РФ «Создание, распространение и использование вредоносных компьютерных программ», предусматривающей лишение свободы до семи лет. Молодой человек признал свою вину и согласился сотрудничать со следствием, в связи с чем наказание смягчили.

У регионального УФСБ есть основания подозревать, что за рядом масштабных финансовых хищений из электронных платежных систем стоит ОПГ. Поиски ее участников ведутся по всей России.

 

Дата: 2018-01-18 17:35:18

Источник: https://threatpost.ru/rostov-malware-author-sentenced/24159/



AlienVault ранжировала эксплойты по итогам 2017 года

Ознакомившись с новым отчетом AlienVault об интернет-угрозах, Security Week пришла к выводу, что в минувшем году злоумышленники очень быстро пускали в ход информацию о закрываемых уязвимостях. Судя по списку эксплойтов, наиболее часто использовавшихся в прошлогодних атаках, такие инструменты исправно служат киберкриминалу годами, несмотря на усилия IT-компаний по созданию патчей.

Свои списки топовых угроз компания AlienVault, специализирующаяся на разработке решений по управлению информационной безопасностью, составляет на основе анализа собственных данных телеметрии и отчетов вендоров, использующих ее открытую платформу для сбора и обмена информацией — Open Threat Exchange (OTX).

В Top 10 эксплойтов, упомянутых в 80 отчетах в 2017 году, преобладают продукты, ориентированные на уязвимости в Windows и Microsoft Office. Этот список также содержит четыре позиции, появившиеся в связи с обнаружением новых уязвимостей.

Возглавил ведущую десятку эксплойт для бага удаленного исполнения кода CVE-2017-0199 в Microsoft Office. Данная уязвимость начала использоваться для распространения Dridex еще до выпуска патча, появившегося в апреле. После публикации деталей CVE-2017-0199 популярность этого эксплойта возросла; в прошлом году, кроме Dridex, с его помощью раздавались LatentBot, FinSpy и Terdot, а также — в отдельных случаях — печально известный NotPetya/ExPetr.

За CVE-2017-0199 в нисходящем порядке следуют эксплойты к трем более давним уязвимостям, которые, к сожалению, не утратили актуальность. Критический баг порчи памяти CVE-2015-1641 в Microsoft Office разработчик устранил в апреле 2015 года, однако злоумышленники продолжают с успехом использовать его в целевых атаках и по сей день.

Аналогична ситуация с CVE-2012-0158, популярность которой у APT-групп за пять лет не померкла, хотя количество активных эксплойтов несколько уменьшилось. Четвертое место в новом рейтинге заняла RCE-уязвимость CVE-2016-4117 в Adobe Flash Player, которая начала использоваться в атаках еще до выпуска патча, а после его появления стремительно пополнила арсенал ходовых эксплойт-паков.

Среди новых участников этого списка числятся также CVE-2017-0144, CVE-2017-0262 и CVE-2017-8759. Эксплойт для CVE-2017-0144 в SMB-протоколе Windows, известный как Eternal Blue, в прошлом году использовался для распространения банковских троянов Retefe и TrickBot. Эксплойт для RCE-бага CVE-2017-0262 в Microsoft Office появился в арсенале APT-групп Turla и APT28 еще до выхода патча. Уязвимость CVE-2017-8759 Microsoft пропатчила в фреймворке .NET в сентябре, когда стало известно, что она активно используется для доставки шпиона FinSpy россиянам.

Единственный Android-эксплойт, вошедший в ведущую десятку, атакует почтенную CVE-2013-6282; как недавно стало известно, этот эксплойт в числе прочих позволяет шпионской программе Skygofree получать root-права на мобильных устройствах.

Рейтинг, составленный AlienVault на основе телеметрических данных, выглядит иначе. Он в основном отражает «шумные» попытки эксплуатации, характерные для сетевых червей и сканеров уязвимостей. По этой причине новый Top 10 преимущественно составляют эксплойты для давних уязвимостей, а из недавних в него вошли лишь два — тот же Eternal Blue и эксплойт к CVE-2017-5638 в Apache Struts. Последняя уязвимость была закрыта в марте прошлого года, но патч установили далеко не все — живой пример тому скандальный инцидент в Equifax.

Судя по новому Top 10, чаще всего клиенты AlienVault сталкивались с попытками использования DoS-бага CVE-2001-0540 в Windows 2000.

Дата: 2018-01-18 17:25:22

Источник: https://threatpost.ru/alienvault-rates-exploits-for-2017/24156/



Автор ПО для обхода антивирусов сознался в преступлении

Житель британского города Колчестера, 24-летний Гонсало Эстевес (Goncalo Esteves), признал себя виновным в создании двух онлайн-сервисов, которыми пользовались тысячи хакеров для обхода антивирусных программ.

На одном из созданных Эстевесом сайтов, reFUD.me, взломщики могли проверить, будет ли их вредоносная программа обнаружена антивирусным ПО. Для этого злоумышленник мог загрузить образец, а сервис тестировал его при помощи 30-40 самых популярных программ. В отличие от других служб мультисканирования, reFUD не делился результатами с производителями антивирусов.

Для тех, кто не прошел тест, Эстевес предлагал воспользоваться Cryptex — инструментом, позволяющим шифровать файлы, чтобы затруднить их обнаружение. Этот сервис он создал самостоятельно в 2011 году, а позднее разделил на полную версию — Reborn, и ограниченную — Lite. Свой продукт Эстевес под ником KillaMuvz рекламировал на хакерском форуме HackForums.

Пользование обеими программами подразумевало плату. Например, за услуги Cryptex Lite нужно было заплатить 8 долларов в месяц, а вечная лицензия на Cryptex Reborn обходилась в 90 долларов. При этом обе версии пользовались большой популярностью.

Власти сообщили, что за период с 2011 по 2015 год преступник получил около 32 тыс. фунтов стерлингов (44 тыс. долларов), однако это только платежи, осуществленные через PayPal. Так как Эстевес принимал к оплате криптовалюту и ваучеры Amazon, фактическая прибыль была больше.

Преступника задержали в ноябре 2015 года в результате совместного расследования Trend Micro и Национального агентства по борьбе с преступностью Соединенного Королевства. Однако, по сообщению местного новостного сайта, он долго не признавал себя виновным, настаивая на том, что его программы разрабатывались для законного применения.

Хотя создание такого ПО действительно не противоречит закону, следователи заявили, что молодой человек намеренно рекламировал свои продукты на хакерских форумах, желая привлечь внимание киберпреступников.

«Эстевес консультировал своих клиентов, обсуждал, как использовать его программное обеспечение для достижения криминальных целей, — сказал Эдриан Флэшер (Adrian Flasher), прокурор отдела по борьбе с организованной преступностью. — Королевская прокуратура консультировала следователей на протяжении всего расследования, помогая представить убедительные доказательства того, что Эстевес точно знал о преступных целях своих клиентов и что он получал прибыль от продажи инструментов киберпреступникам».

15 января Эстевес признал себя виновным. Приговор будет оглашен 12 февраля.

Это не первый случай, когда арестовывают причастных к сервисам шифрования вредоносного ПО. В июне 2017 года Европол задержал шестерых пользователей криптера, созданного 22-летним жителем Германии. Месяц спустя в США двум гражданам Латвии выдвинули обвинение в запуске портала, на котором функционировал FUD-сканер, похожий на reFUD.me.

Дата: 2018-01-18 16:42:33

Источник: https://threatpost.ru/uk-antivirus-testers-author-pleas-guilty/24154/



Как взломать выключенный компьютер или выполнить код в Intel ME

На прошедшей недавно конференции Black Hat Europe исследователи Positive Technologies Марк Ермолов и Максим Горячий рассказали об уязвимости в Intel Management Engine 11, которая открывает злоумышленникам доступ к большей части данных и процессов на устройстве.

Такой уровень доступа означает также, что любой эксплуатирующий эту уязвимость злоумышленник, обойдя традиционную защиту на основе ПО, сможет проводить атаки даже при выключенном компьютере. Сегодня мы публикуем в нашем блоге подробности проведенного исследования. Читать дальше →

Дата: 2018-01-18 15:51:24

Источник: https://habrahabr.ru/post/346974/



Lenovo закрыла 14-летнюю уязвимость

Компания Lenovo залатала в своей сетевой операционной системе ENOS (Enterprise Networking Operating System) дыру, существовавшую с 2004 года. Уязвимость позволяла злоумышленникам обойти процедуру аутентификации, применив механизм под названием HP Backdoor. В результате атакующий может заполучить административный доступ к уязвимым коммутаторам.

Брешь классифицирована как серьезная и присутствует в упомянутой системе Lenovo ENOS, на которой базируются машины Lenovo наравне с IBM RackSwitch и BladeCenter.

Как выяснили специалисты компании, уязвимость внесли в коммутаторы 14 лет назад вместе с обновлением прошивки. За это ответственна уже несуществующая компания Nortel Networks, а именно — ее бизнес-подразделение по блейд-серверам и коммутаторам. В 2010 году компания Nortel продала бизнес-подразделение компании IBM, которая впоследствии перешла к Lenovo в 2014 году.

«Способ обхода аутентификации, известный как HP Backdoor, компания Lenovo нашла в рамках аудита безопасности в интерфейсах «последовательной» консоли, Telnet, SSH и веб-доступа. Чтобы воспользоваться бэкдором, нужно в определенных условиях выполнить локальную аутентификацию. В случае успеха можно получить административный доступ к коммутатору», — говорится в описании уязвимости в базе Common Vulnerabilities and Exposures (CVE-2017-3765).

По словам Lenovo, существование такого обходного механизма «неприемлемо» и противоречит как отраслевым нормам, так и корпоративными стандартам безопасности продуктов.

«Компания Lenovo удалила этот механизм из исходного кода ENOS и выпустила обновленные прошивки для затронутых продуктов», — пишут представители Lenovo в бюллетене безопасности.

В ходе расследования специалисты компании выяснили, что компания Nortel добавила обнаруженную обходную функцию по просьбе OEM-заказчика. Брешь скрывалась в 16 моделях коммутаторов IBM и 16 коммутаторах Lenovo. Все они перечислены в бюллетене.

Производитель также привел три сценария, в которых уязвимы интерфейсы ENOS и механизмы аутентификации. Если кратко, то в каждом из них в определенных условиях применяется аутентификация RADIUS и TACACS+.

Представители компании подчеркнули, что эксплойты к этому багу отсутствуют в свободном доступе и что прошивка их другой ОС, Cloud Network Operating System, не содержит данной уязвимости.

Дата: 2018-01-18 13:58:57

Источник: https://threatpost.ru/lenovo-patches-networking-os-vulnerability-dating-back-to-2004/24151/



Microsoft Office Vulnerabilities Used to Distribute Zyklon Malware in Recent Campaign

Introduction

FireEye researchers recently observed threat actors leveraging relatively new vulnerabilities in Microsoft Office to spread Zyklon HTTP malware. Zyklon has been observed in the wild since early 2016 and provides myriad sophisticated capabilities.

Zyklon is a publicly available, full-featured backdoor capable of keylogging, password harvesting, downloading and executing additional plugins, conducting distributed denial-of-service (DDoS) attacks, and self-updating and self-removal. The malware may communicate with its command and control (C2) server over The Onion Router (Tor) network if configured to do so. The malware can download several plugins, some of which include features such as cryptocurrency mining and password recovery, from browsers and email software. Zyklon also provides a very efficient mechanism to monitor the spread and impact.

Infection Vector

We have observed this recent wave of Zyklon malware being delivered primarily through spam emails. The email typically arrives with an attached ZIP file containing a malicious DOC file (Figure 1 shows a sample lure).

The following industries have been the primary targets in this campaign:

Fig1.png
Figure 1: Sample lure documents

Attack Flow

  1. Spam email arrives in the victim’s mailbox as a ZIP attachment, which contains a malicious DOC file.
  2. The document files exploit at least three known vulnerabilities in Microsoft Office, which we discuss in the Infection Techniques section. Upon execution in a vulnerable environment, the PowerShell based payload takes over.
  3. The PowerShell script is responsible for downloading the final payload from C2 server to execute it.

A visual representation of the attack flow and execution chain can be seen in Figure 2.

Fig2.png
Figure 2: Zyklon attack flow

Infection Techniques

CVE-2017-8759

This vulnerability was discovered by FireEye in September 2017, and it is a vulnerability we have observed being exploited in the wild.

The DOC file contains an embedded OLE Object that, upon execution, triggers the download of an additional DOC file from the stored URL (seen in Figure 3).

Figure3.png
Figure 3: Embedded URL in OLE object

CVE-2017-11882

Similarly, we have also observed actors leveraging another recently discovered vulnerability (CVE-2017-11882) in Microsoft Office. Upon opening the malicious DOC attachment, an additional download is triggered from a stored URL within an embedded OLE Object (seen in Figure 4).

Figure4.png
Figure 4: Embedded URL in OLE object

Fig5.png
Figure 5: HTTP GET request to download the next level payload

The downloaded file, doc.doc, is XML-based and contains a PowerShell command (shown in Figure 6) that subsequently downloads the binary Pause.ps1.

Fig6.png
Figure 6: PowerShell command to download the Pause.ps1 payload

Dynamic Data Exchange (DDE)

Dynamic Data Exchange (DDE) is the interprocess communication mechanism that is exploited to perform remote code execution. With the help of a PowerShell script (shown in Figure 7), the next payload (Pause.ps1) is downloaded.

Fig7.png
Figure 7: DDE technique used to download the Pause.ps1 payload

One of the unique approaches we have observed is the use of dot-less IP addresses (example: hxxp://258476380).

Figure 8 shows the network communication of the Pause.ps1 download.

Fig8.png
Figure 8: Network communication to download the Pause.ps1 payload

Zyklon Delivery

In all these techniques, the same domain is used to download the next level payload (Pause.ps1), which is another PowerShell script that is Base64 encoded (as seen in Figure 8).

The Pause.ps1 script is responsible for resolving the APIs required for code injection. It also contains the injectable shellcode. The APIs contain VirtualAlloc(), memset(), and CreateThread(). Figure 9 shows the decoded Base64 code.

Fig9.png
Figure 9: Base64 decoded Pause.ps1

The injected code is responsible for downloading the final payload from the server (see Figure 10). The final stage payload is a PE executable compiled with .Net framework.

Fig10.png
Figure 10: Network traffic to download final payload (words.exe)

Once executed, the file performs the following activities:

  1. Drops a copy of itself in %AppData%\svchost.exe\svchost.exe and drops an XML file, which contains configuration information for Task Scheduler (as shown in Figure 11).
  2. Unpacks the code in memory via process hollowing. The MSIL file contains the packed core payload in its .Net resource section.
  3. The unpacked code is Zyklon.

Fig11.png
Figure 11: XML configuration file to schedule the task

The Zyklon malware first retrieves the external IP address of the infected machine using the following:

The Zyklon executable contains another encrypted file in its .Net resource section named tor. This file is decrypted and injected into an instance of InstallUtiil.exe, and functions as a Tor anonymizer.

Command & Control Communication

The C2 communication of Zyklon is proxied through the Tor network. The malware sends a POST request to the C2 server. The C2 server is appended by the gate.php, which is stored in file memory. The parameter passed to this request is getkey=y. In response to this request, the C2 server responds with a Base64-encoded RSA public key (seen in Figure 12).

Fig12.png
Figure 12: Zyklon public RSA key

After the connection is established with the C2 server, the malware can communicate with its control server using the commands shown in Table 1.

Command

Action

sign

Requests system information

settings

Requests settings from C2 server

logs

Uploads harvested passwords

wallet

Uploads harvested cryptocurrency wallet data

proxy

Indicates SOCKS proxy port opened

miner

Cryptocurrency miner commands

error

Reports errors to C2 server

ddos

DDoS attack commands

Table 1: Zyklon accepted commands

The following figures show the initial request and subsequent server response for the “settings” (Figure 13), “sign” (Figure 14), and “ddos” (Figure 15) commands.

Fig13.png
Figure 13: Zyklon issuing “settings” command and subsequent server response

Fig14.png
Figure 14: Zyklon issuing “sign” command and subsequent server response

Fig15.png
Figure 15: Zyklon issuing “ddos” command and subsequent server response

Plugin Manager

Zyklon downloads number of plugins from its C2 server. The plugin URL is stored in file in following format:

The following plugins are found in the memory of the Zyklon malware:

The downloaded plugins are injected into: Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe.

Additional Features

The Zyklon malware offers the following additional capabilities (via plugins):

Browser Password Recovery

Zyklon HTTP can recover passwords from popular web browsers, including:

FTP Password Recovery

Zyklon currently supports FTP password recovery from the following FTP applications:

Gaming Software Key Recovery

Zyklon can recover PC Gaming software keys from the following games:

Email Password Recovery

Zyklon may also collect email passwords from following applications:

License Key Recovery

The malware automatically detects and decrypts the license/serial keys of more than 200 popular pieces of software, including Office, SQL Server, Adobe, and Nero.

Socks5 Proxy

Zyklon features the ability to establish a reverse Socks5 proxy server on infected host machines.

Hijack Clipboard Bitcoin Address

Zyklon has the ability to hijack the clipboard, and replaces the user’s copied bitcoin address with an address served up by the actor’s control server.

Zyklon Pricing

Researchers identified different versions of Zyklon HTTP being advertised in a popular underground marketplace for the following prices:

Conclusion

Threat actors incorporating recently discovered vulnerabilities in popular software – Microsoft Office, in this case – only increases the potential for successful infections. These types of threats show why it is very important to ensure that all software is fully updated. Additionally, all industries should be on alert, as it is highly likely that the threat actors will eventually move outside the scope of their current targeting.

At this time of writing, FireEye Multi Vector Execution (MVX) engine is able to recognize and block this threat. Table 2 lists the current detection and blocking capabilities by product.

Detection Name

Product

Action

POWERSHELL DOWNLOADER D (METHODOLOGY)

HX

Detect

SUSPICIOUS POWERSHELL USAGE (METHODOLOGY)

HX

Detect

POWERSHELL DOWNLOADER (METHODOLOGY)

HX

Detect

SUSPICIOUS EQNEDT USAGE (METHODOLOGY)

HX

Detect

TOR (TUNNELER)

HX

Detect

SUSPICIOUS SVCHOST.EXE (METHODOLOGY)

HX

Detect

Malware.Binary.rtf

EX/ETP/NX

Block

Malware.Binary

EX/ETP/NX

Block

FE_Exploit_RTF_CVE_2017_8759

EX/ETP/NX

Block

FE_Exploit_RTF_CVE201711882_1

EX/ETP/NX

Block

Table 2: Current detection capabilities by FireEye products

Indicators of Compromise

The contained analysis is based on the representative sample lures shown in Table 3.

MD5

Name

76011037410d031aa41e5d381909f9ce

accounts.doc

4bae7fb819761a7ac8326baf8d8eb6ab

Courier.doc

eb5fa454ab42c8aec443ba8b8c97339b

doc.doc

886a4da306e019aa0ad3a03524b02a1c

Pause.ps1

04077ecbdc412d6d87fc21e4b3a4d088

words.exe

Table 3: Sample Zyklon lures

Network Indicators

Дата: 2018-01-18 13:05:10

Источник: http://www.fireeye.com/blog/threat-research/2018/01/microsoft-office-vulnerabilities-used-to-distribute-zyklon-malware.html



EvilURL v2.0 - An Unicode Domain Phishing Generator for IDN Homograph Attack

EvilURL_3_sc.png

Generate unicode evil domains for IDN Homograph Attack and detect them.

PREREQUISITES
TESTED ON: Kali Linux - ROLLING EDITION

CLONE

git clone https://github.com/UndeadSec/EvilURL.git

RUNNING
cd EvilURL
python3 evilurl.py

CHANGELOG

VIDEO DEMO

Дата: 2018-01-18 13:04:26

Источник: https://www.kitploit.com/2018/01/evilurl-v20-unicode-domain-phishing.html



One Identity купила компанию Balabit для укрепления решений по управлению привилегированным доступом

Разработки Balabit помогают бизнесу снизить риски утечки конфиденциальной информации вследствие ошибочных или зловредных действий привилегированных аккаунтов. PAM-решение Balabit защищает от угроз с высокой степенью риска, связанных с кражами учетных данных привилегированных пользователей, а также обеспечивает дополнительный уровень защиты путем сбора и анализа действий привилегированных аккаунтов.

Поскольку организации все чаще ищут эффективные способы предотвращения кибератак с использованием привилегированных учётных записей, включая инсайдерские угрозы и внешние атаки, сегодня еще больше внимания уделяют управлению привилегированными аккаутами, чтобы обеспечить безопасность бизнес-процессов. Сделка с приобретением Balabit компанией One Identity доказывает их стремление предложить рынку наиболее полный набор решений для устранения проблем с управлением привилегированных аккаунтов.

В настоящее время технология контроля и мониторинга сессий от Balabit интегрирована в недавно анонсированное решение One Identity Safeguard с помощью OEM-партнёрства. Заключив сделку с Balabit, компания One Identity в дальнейшем может существенно расширить линейку своих решений, используя машинное обучение, аналитику привилегированных аккаунтов, которые необходимы для построения комплексных PAM- и AIM-платформ . Приобретение Balabit также позволяет One Identity контролировать будущее развитие технологии вендора, чтобы создавать более мощные решения для задач клиентов, связанных с управлением привилегированных аккаунтов.

«Сегодняшнее объявление подтверждает намерения One Identity продолжать инвестировать в технологии и бизнес, чтобы стимулировать инновации и создавать что-то большее для клиентов и партнёров, — прокомментировал Джон Милбёрн (John Milburn), президент и генеральный директор компании One Identity. — С присоединением Balabit  мы подтверждаем, что компания продолжит предоставлять лучшие в своём классе решения по управлению привилегированными сессиями и аналитике привилегированных аккаунтов. Мы гарантируем, что будем делать это  в контексте современного PAM-решения, которое сочетает в себе лучшие технологии от One Identity и Balabit. One Identity рады приветствовать команду Balabit, и мы с нетерпением ждем начала совместной работы над инновационными технологиями и поддержкой мирового класса наших клиентов и партнёров».

«Мы рады присоединиться к семье One Identity и добавить наши технологии и опыт к стремительно растущему портфолио IAM-решений One Identity, — добавил Золтан Дъёрку (Zoltan Gyorko), генеральный директор компании Balabit. — После сегодняшнего анонса клиенты, потенциальные заказчики и партнёры Balabit смогут наслаждаться нашими ведущими на рынке PAM-инструментами в более широком стеке первоклассных PAM и IAM-решений в портфеле One Identity. Вместе с One Identity мы сможем предложить нашим клиентам и партнёрам новые возможности и помочь в устранении внутренних и внешних угроз безопасности».

«Добавление аналитики действий привилегированных аккаунтов является идеальным дополнением к возможностям нашему недавно анонсированному решению One Identity Starling IARI solution, — отметил Джексон Шоу (Jackson Shaw), старший директор по управлению продуктами компании One Identity. — Объединение наших технологий позволит клиентам узнать, какие права имеют их сотрудники и привилегированные пользователи и что они делают с этими правами. Идентификация и аналитика привилегированных аккаунтов — это мощный инструмент, который мы рады вывести на рынок».

Упрощение IAM-процессов

Масштабы и сложность развертывания IAM продолжают расти, организации всё чаще стремятся оптимизировать число вендоров, с которыми они сотрудничают. В то же время немногие компании могут развернуть все аспекты полного решения IAM, включая управление доступом, привилегиями и «идентификацию как сервис» (identity-as a service), как единый проект. Благодаря внедрению технологии Balabit в портфель One Identity, компании будут лучше подготовлены к использованию IAM-решения в любом месте и его внедрению в зависимости от конкретных потребностей.

Работая в сочетании с существующими средствами безопасности, возможности Balabit по управлению привилегированными аккаунтами обеспечивают гибкий и удобный подход к повышению безопасности без дополнительных ограничений. Основные решения в портфеле Balabit включают в себя:

Богатые партнёрские экосистемы

Клиенты Balabit, так же как и заказчики One Identity, могут рассчитывать на надежных партнёров обеих компаний. У Balabit устойчивая глобальная партнёрская сеть, которой будут рады в кругу партнёров One Identity, что позволит расширить масштабы и охват их предложений.

Условия сделки

Условия сделки не разглашаются.

Дата: 2018-01-18 12:49:32

Источник: http://www.iso27000.ru/novosti-i-sobytiya/one-identity-kupila-kompaniyu-balabit-dlya-ukrepleniya-reshenii-po-upravleniyu-privilegirovannym-dostupom



Check Point: криптомайнеры атаковали 55% компаний в мире

Check Point обнаружил, что вредоносное ПО для майнинга криптовалюты целенаправленно внедрялось в популярные веб-сайты без ведома пользователей, большинство таких сайтов — это сервисы стриминговых медиа и файлообменники. Хотя в основном такие сервисы являются легальными, их можно взломать, чтобы генерировать больше мощности и получать доход, используя до 65% ресурсов ЦП пользователя.

«Пользователи все чаще используют ПО для блокировки рекламы, поэтому веб-сайты стали использовать ПО для майнинга криптовалюты в качестве альтернативного источника дохода, — отмечает Майя Хоровиц, руководитель группы Threat Intelligence компании Check Point Software Technologies. — К сожалению, зачастую это происходит без ведома пользователей, чьи процессоры используются для криптомайнинга. Вероятно, мы будем наблюдать, как эта тенденция возрастет в ближайшие несколько месяцев».

В декабре ПО для майнинга криптовалюты CoinHive сместило с лидирующей позиции вредоносную рекламу RoughTed, в то время как набор эксплойтов Rig ek сохранил второе место рейтинга. Новый криптомайнер Cryptoloot замкнул тройку самых активных зловредов декабря, впервые войдя в топ-10.

Самые активные зловреды декабря 2017:

  1. CoinHive — зловред, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
  2. Rig ek — этот набор эксплойтов появился в 2014 году. Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  3. Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.

По данным Check Point, в декбре количество атак на российские компании по сравнению с предыдущим месяцем уменьшилось. Россия заняла в рейтинге Global Threat Index 82 место, опустившись на 25 позиций. Больше всего в ноябре атакам подверглись Доминиканская Республика, Ботсвана, Камбоджа и Непал. Меньше всего атаковали Мозамбик, Кипр и Уругвай.

Triada, модульный бэкдор для Android. продолжает распространяться, сохраняя позицию самого активного мобильного зловреда, используемого для атак на организации. За ним расположились Lokibot и Lotoor.

Самые активные мобильные зловреды декабря:

  1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  2. Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  3. Lotoor — хакерский инструмент, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

* Полный список десяти самых активных семейств вредоносного ПО за ноябрь 2017 года доступен в блоге Check Point Research: https://blog.checkpoint.com/2018/01/15/decembers-wanted-malware-crypto-miners-affect-55-businesses-worldwide/

Решения по предотвращению угроз Check Point доступны по ссылке:  https://www.checkpoint.com/threat-prevention-resources/

Дата: 2018-01-18 12:46:38

Источник: http://www.iso27000.ru/antivirusnyi-vestnik/check-point-kriptomainery-atakovali-55-kompanii-v-mire