Новости сетевой безопасности, все новости по сетевой безопасности
24.02.2016 - 20:21 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| В EMET обнаружена уязвимость
Специалисты компании FireEye обнаружили серьезную недоработку безопасности в инструменте EMET [1,2,3,4,5,6,7], которая позволяет достаточно просто отключить его механизмы защиты процессов с использованием его же встроенных функций. Уязвимость присутствует в предыдущих версиях EMET, т. е. в версиях до актуальной 5.5. Пользователям этих версий рекомендуется обновить EMET до последней версии. » Нажмите, для открытия спойлера | Press to open the spoiler « Сам EMET поддерживает внутренний механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Эта функция применяется в том случае, когда нужно оперативно отключить защиту процесса, за реализацию которой отвечает динамическая библиотека emet.dll. Полное отключение защиты реализуется обработчиком DllMain с кодом выгрузки DLL_PROCESS_DETACH. В силу того, что emet.dll не перехватывает функцию kernel32!GetModuleHandleW и не контролирует ее поведение, шелл-коду достаточно вызвать GetModuleHandleW для получения адреса загрузки DLL в памяти и вызвать DllMain, передав функции это значение и константу выгрузки. По сути, для эксплуатации уязвимости достаточно следующего вызова. BOOL WINAPI DllMain (GetModuleHandleW(«EMET.dll»), DLL_PROCESS_DETACH, NULL); Функция DllMain является точкой входа в библиотеку и как любая точка входа DLL обрабатывает различные события при загрузке ее в процесс и выгрузке из нее. Первым аргументом ей передается базовый адрес загрузки библиотеки, второй представляет из себя событие, а третий не используется. В качестве демонстрации уязвимости, специалисты FireEye взяли устаревший RCE-эксплойт для уязвимости CVE-2012-1876 и добавили в него шелл-код для отключения защиты процесса с использованием вышеупомянутого вызова. Для обхода DEP эксплойт использует приемы ROP. После отключения EMET, эксплойт может спокойно исполнять свои функции. US-CERT is aware of a vulnerability in Microsoft Enhanced Mitigation Experience Toolkit (EMET) versions prior to 5.5. Exploitation of this vulnerability may allow a remote attacker to bypass or disable EMET to take control of an affected system.
US-CERT recommends users and administrators visit the Microsoft Security TechCenter (link is external) and upgrade to EMET version 5.5. For additional information, please review the FireEye threat research blog (link is external)»» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
7.03.2016 - 21:26 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| MACоводы, внимание! В обновлении Transmission для OS X содержался вирус-вымогатель На прошлой неделе в популярном торрент-клиенте Transmission для OS X обнаружили вирус-вымогатель под названием KeRanger. Вредоносный код содержался в обновлении 2.90, в течение трёх дней шифровал данные на жёстком диске Mac, а затем требовал деньги за доступ к файлам. Разработчики Transmission рекомендуют в срочном порядке удалить программы версий 2.90 и 2.91 и выполнить обновление до 2.92, которая автоматически удаляет вредоносное программное обеспечение. Если у вас было установлено обновление Transmission 2.90, требуется срочно проверить, не запущен ли вирус-шифровальщик на Mac: в приложении "Мониторинг системы" следует проверить, активен ли процесс kernel_service; если kernel_service запущен, откройте его и перейдите во вкладку "Открытые файлы и порты"; в этой вкладке найдите путь /Users//Library/kernel_service и немедленно завершите его принудительно. После закрытия основного процесса KeRanger и обновления торрент-клиента Transmission до версии 2.92 вашему компьютеру Mac ничего не будет угрожать. Предупреждение с сайта macrumors.com | |
| |
11.03.2016 - 13:58 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| Троян для Android обходит двухфакторную аутентификацию банковских мобильных приложений Компания ESET сообщает об активности мобильной троянской программы Android/Spy.Agent.SI. Зловредное приложение атакует планшеты и коммуникаторы под управлением операционной системы Android и крадёт банковские данные пользователя в обход двухфакторной аутентификации. Сообщается, что троян распространяется под видом мобильного приложения Flash Player. При установке Android/Spy.Agent.SI запрашивает доступ к функциям администратора, что защищает его от удаления. Кроме того, каждые 25 секунд программа отсылает на удалённый сервер подробную информацию об устройстве, в том числе название модели, язык, IMEI и данные об активации прав администратора. После этого троянец ищет в памяти устройства банковские программы. В случае их обнаружения Spy.Agent.SI. загружает с удалённого сервера поддельные экраны ввода учётной записи и пароля. При запуске мобильного банковского приложения появляется поддельный экран, блокирующий банковскую программу до ввода учётных данных пользователя. Полученные данные оказываются в распоряжении киберпреступников, после чего они могут украсть денежные средства с банковского счёта жертвы. Кроме того, троян получает доступ к SMS-сообщениям, что позволяет перехватывать сообщения от банка и удалять их не вызывая подозрения у владельца заражённого устройства. Отмечается, что в настоящее время Android/Spy.Agent.SI. очень активно развивается. Если первые версии было несложно обнаружить, то сейчас вредоносное приложение очень хорошо скрывает своё присутствие в операционной системе. Известно, что вредоносная кампания направлена на двадцать крупнейших банков Турции, Новой Зеландии и Австралии, имеющих мобильные приложения. По заявлениям специалистов ESET, троянское приложение может быть перенаправлено и на финансовые организации других стран. Источник: 3DNews | |
| |
11.03.2016 - 23:53 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| Апдейт для Flash Player патчит два десятка багов RCE Adobe вчера выпустила новую версию Flash Player с патчами для 23 уязвимостей, связанных с некорректным использованием памяти и позволяющих удаленно выполнить код. Три дня назад вышли апдейты для Adobe Reader, Acrobat и Digital Editions, и тогда же разработчик поделился планами в отношении грядущего обновления Flash. Мартовский набор Flash-заплаток предназначен для пользователей версии 20.0.0.306 этого продукта, работающей на ПК под Windows и Mac OS X или в браузерах Chrome, Microsoft Edge и Internet Explorer 11 (на Windows 10 и 8.1). На этих платформах обновление следует произвести до версии 21.0.0.182, и как можно скорее: по данным Adobe, одна из ныне закрываемых брешей целочисленного переполнения (CVE-2016-1010) уже используется в целевых атаках, хотя таких случаев пока немного. Совокупно разработчик устранил три бага целочисленного переполнения, восемь уязвимостей порчи памяти, одну брешь переполнения хипа и одиннадцать use-after-free. Все эти бреши при успешном эксплойте открывают возможность для удаленного исполнения кода. В прошлом месяце в Flash Player было исправлено 22 RCE-бага. Это был первый апдейт популярного продукта в новом году. Источник: threatpost | |
| |
14.03.2016 - 10:03 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Хакер подглядывал за 150 школьницами через их веб-камеры В Германии арестовали порнохакера, который подглядывал за школьницами через web-камеры, встроенные в ноутбуки. Жертвами маньяка стало свыше 150 девочек. Преступник подобрал пароль к ICQ-аккаунту одной из школьниц и разослал ее подругам от ее же имени троянскую программу. Программа тайно включала камеры в ноутбуке и сливала видео на сервера махинатора. Слежка вскрылась случайно. Одна из школьниц рассказала педагогам, что светодиод на ее ноутбуке «почему-то» никогда не гаснет. Взрослые сразу заподозрили неладное, а когда о подобных случаях стали массово рассказывать и другие дети, учителя вызвали полицию. Хакера повязали в его квартире, когда он занимался просмотром отснятого материала. В ходе следствия было установлено, что пострадали учащиеся и из других школ. Теперь любителю видео грозит не только длительный тюремный срок за многочисленные взломы, но и обвинение в педофилии. А за тобой следят через web-камеру в ноутбуке? Вполне вероятно. Неопытный пользователь часто загружает из интернета ПО, а оценить степень опасности по специфическим признакам не в состоянии. Поэтому вирусы — вполне естественное явление на большинстве компьютеров неспециалистов. Часть вредоносного ПО может следить через камеру. Как защититься от слежки?Заклеить камеру. Так делают многие. Способ особенно хорош, если вы не пользуетесь видеосвязью вообще. Второй способ заключается в том, чтобы покупать только те ноутбуки, которые имеют рядом с объективом светодиод, загорающийся во время съемки. Новость с liberatum.ru | |
| |
21.03.2016 - 17:20 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Security-ресерчеры продемонстрировали полнофункциональный эксплойт для Android
Исследователи израильской компании NorthBit продемонстрировали один из первых экспериментальных полнофункциональных эксплойтов для Android всех версий до 5.1. Эксплойт основан на уже закрытой обновлением Nexus Security Bulletin — September 2015 уязвимости с идентификатором CVE-2015-3864 (Stagefright), которая наделала в прошлом году много шума. Уязвимость присутствовала в библиотеке Android под названием Stagefright, которая используется в системном компоненте mediaserver. Она позволяла атакующим получать полный доступ к устройству через отправку специальным образом сформированного MMS-сообщения пользователю. » Нажмите, для открытия спойлера | Press to open the spoiler « Эксплойт NorthBit получил название Metaphor. Кроме детального описания механизма эксплуатации уязвимости, исследователи представили уязвимые места в Android для обхода защитных механизмов DEP & ASLR, которые используются для защиты от эксплойтов, полагающихся на размещении шелл-кода в области данных, а также опираются на фиксированные адреса в памяти Android для стабильной эксплуатации уязвимости. Как и в Windows, обход выполняется за счет известных методов ROP и heap-spray. Атака с использованием эксплойта разделяется на несколько шагов. На первом этапе выбирается вектор атаки, например, вредоносное перенеправление MitM или XSS, вредоносная ссылка в сообщении, вредоносное содержимое HTTP. Часть эксплойта на веб-странице в виде кода JavaScript создает т. н. сессию атаки и получает идентификатор устройства Device ID, после чего отправляет эту информацию на сервер злоумышленников. Этот код специализируется на дирижировании всего последующего процесса эксплуатации с привлечением нескольких вредоносных файлов MPEG4. В случае необходимого злоумышленникам ID, жертве посылается специальным образом сформированный видео-файл формата MPEG4 (crash.mp4). Android привлекает процесс mediaserver для воспроизведения этого видео-файла, который вызывает аварийное завершение системного процесса mediaserver. Такой шаг необходим для установки процесса в начальное состояние, что позволит корректно выполнить эксплуатацию уязвимости. После аварийного завершения, процесс автоматически запустится еще раз. Далее код эксплойта отправляет запрос на удаленный сервер злоумышленников для получения еще одного файла MPEG4 под названием leak.mp4. Он необходим для раскрытия системных указателей памяти Android и обхода ASLR. Удаленный сервер, на основе отправленной ему информации Device ID эксплойтом на предыдущем шаге, возвращает ему leak.mp4, а также относительное смещение в системном файле libc.so для формирования гаджетов ROP и обхода DEP. Для воспроизведения leak.mp4 Android опять привлекает процесс mediaserver, который выполняет разбор фальшивых метаданных файла и используется эксплойтом для обхода ASLR. Для обхода ASLR используется универсальный метод рассчета дельты через уязвимое место его начального формирования на используемом в Android Linux-алгоритме для ARM 32-бита. Результатом обхода ASLR становится успешное обнаружение в памяти заголовка исполняемого ELF-файла, на основе чего формируется дельта для вычисления абсолютных адресов в процессе. На этом этапе все подготовительные действия завершены и код JavaScript запрашивает у удаленного сервера сам RCE-эксплойт для уязвимости CVE-2015-3864, предоставляя ему упоминавшийся ID устройства и некоторую дополнительную информацию о расположении модулей Android в памяти. Удаленный сервер отправляет вредоносному коду JavaScript файл rce.mp4, а также всю информацию об адресах в памяти, необходимых для успешной эксплуатации уязвимости. Адреса были заранее рассчитаны с привлечением leak.mp4. На последнем этапе вредоносный код JavaScript запускает на исполнение rce.mp4, что приводит к срабатыванию уязвимости и удаленному исполнению кода. Так как эксплойт выполняется в контексте системного процесса mediaserver, он получает расширенные привилегии в Android. Жертва проходит по ссылке на веб-страницу с изображением животных, где находится вредоносный видео-контент с эксплойтом. По подсчетам аналитиков рынка, сотни миллионов устройств под управлением Android работают на уязвимых для Metaphor версиях этой мобильной ОС. Установка обновлений Android для своих устройств является наилучшей мерой защиты от подобного рода уязвимостей, но что делать пользователям смартфонов, производители которых не адаптируют для них выпущенные Google новые прошивки. Что же, на этот вопрос пока нет окончательно ответа… Мы рекомендуем пользователям не переходить по фишинговым ссылкам (как это было продемонстрировано на видео) и использовать антивирусное ПО в качестве одной из основных мер защиты своего устройства. Полное описание функционирования Metaphor можно найти по этой ссылке. Описываемая уязвимость была закрыта Google в сентябре прошлого года обновлением Nexus Security Bulletin — September 2015. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes Учитывая отсутствие обновлений прошивок низкий уровень тех.поддержки своих же старых устройств на базе Android большинством производителей, актуальность подобных примеров = времени жизни этих устройств, т.е. "пожизненная" | |
| |
24.03.2016 - 2:54 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| Каждый пятый наемный работник готов продать пароль от служебной электронной почты Компания SailPoint, занимающаяся вопросами компьютерной безопасности, опубликовала результаты исследования, выполненного по ее заказу независимой компанией Vanson Bourne. Организаторы исследования опросили 1000 сотрудников крупных компаний (с числом работников более 1000), работающих в сфере финансов, информационных технологий, производства и строительства, розничной торговли и обслуживания, здравоохранения, энергетики и в других отраслях. Географически опрос охватил Австралию, Великобританию, Германию, Нидерланды, США и Францию. Результаты исследования впечатляют. Как оказалось, 65% опрошенных используют во всех приложениях один и тот же пароль. Делятся своим служебным паролем с коллегами 32% респондентов. А 20% участников исследования готовы продать свой пароль. Причем 44% из них согласились бы на сумму менее $1000. Интересно, что 84% опрошенных обеспокоены тем, что их персональные данные, которыми располагает работодатель, могут оказаться в распоряжении посторонних в случае утечки. Источник: ixbt.com | |
| |
28.03.2016 - 10:32 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Вымогатель «Петя» блокирует загрузку ОС и требует выкуп за расшифровку данных Эксперты компании G DATA сообщают об обнаружении необычной вымогательской малвари. Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требованием выкупа при этом гласит, что малварь использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу. » подробно о заразе « В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом малвари. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа. Тем не менее, специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа малварь заявляет, что сочетает в себе функции блокировщика и шифровальщика разом. Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого). Запуск этого .exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты G DATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки. После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно. Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера. Специалисты G DATA пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, малварь просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе. Посмотреть на «Петю» в действии можно в ролике на YouTube »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Новость утащил с xakep.ru | |
| |
11.04.2016 - 13:17 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
На днях появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя. У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд. » Нажмите, для открытия спойлера | Press to open the spoiler « Этот же пользователь создал сайт , который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска. Что нужно делать? Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки. Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar , создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы. Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля. Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data. Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте. Если все сделано правильно, должно появиться вот такое окно: Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты. Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль. Petya начинает дешифровку тома, и все начинает работать по завершению процесса. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
|
|