Фабио, наш аналитик в Бразилии, отмечает, что авторы вредоносных программ стали использовать старый способ обфускации URL-адресов. Фокус заключается в том, что в качестве URL дается IP-адрес (например, 66.102.13.19 — IP-адрес www.google.com, полученный от моего коллеги Костина), представленный в недесятичной системе счисления. Поддерживаются восьмеричная и шестнадцатеричная системы; адрес можно выразить даже одним 32-битным числом. Таким образом, все ссылки, приведенные ниже, действительны и ведут на сайт www.google.com:

• http://0x42.0x66.0x0d.0x63
• http://0x42660d63
• http://1113984355
• http://00000102.00000146.00000015.00000143

Сей технический факт сам по себе банален; описываемый метод представления IP-адресов известен довольно давно. Однако вполне вероятно, что защитное ПО может не распознавать обфусцированные подобным способом адреса как таковые и, соответственно, пропускать те из них, что ведут на известные вредоносные сайты.

Протестировав вышеуказанные адреса в Firefox под Windows, я обнаружил, что все они поддерживаются. Однако Марко из немецкого офиса «Лаборатории Касперского» сообщил, что под Linux некоторые из этих адресов не поддерживаются.

Исходя из того факта, что не все браузеры полностью поддерживают URL-адреса, представленные в недесятичных системах счисления, можно предположить, что инструменты URL-фильтрации также могут пропускать некоторые из подобных ссылок, ведущих на вредоносные сайты. Таким образом, ничего не подозревающий пользователь может пребывать в уверенности, что конкретный URL-адрес не представляет угрозы его безопасности, что в конечном счете и является целью злоумышленников, использующих эту технику обфускации.

Вести о новейшем эксплойте нулевого дня для Internet Explorer разлетелись быстро. Как сообщил Райан Нарейн (Ryan Naraine), к сожалению, эксперт компании McAfee, сам того не желая, раскрыл слишком подробную информацию об уязвимости, используемой эксплойтом, что привело к нежелательным последствиям. Сделано это было в попытке рекламы качества защиты от данного эксплойта, обеспечиваемой его работодателем.

Результатом этого стало немедленное создание модуля PoC Metasploit, что сделало возможным широкое распространение эксплойта, который ранее применялся только в целевых атаках. Как следствие, эксплойт стал угрожать всем пользователям версий 6 и 7 браузера Internet Explorer.

Какая именно информация была раскрыта? Для меня это интересный вопрос, поскольку я часто сталкиваюсь с выбором, что следует придавать огласке, а что нет. Выясняется, что эксперт сообщил лишь список имен файлов, связанных с атакой, и название домена, с которым соединялось вредоносное ПО.

Публиковать подобную информацию в блогпосте — вполне разумная идея, не так ли? Ведь специалистам, создающим сигнатуры для систем предотвращения вторжений (IDS), полезно знать используемые вредоносными программами URL-адреса, а другим антивирусным экспертам могут помочь имена файлов, используемых в ходе атаки.

Возникает закономерный вопрос: какую именно информацию можно безбоязненно сообщать? Никакую? Мне, как техническому специалисту, неприятно, когда автор скрывает все существенные данные, относящиеся к угрозе; эксперт McAfee, очевидно, хотел заинтересовать подобных мне людей.

Хочу предложить следующий простой принцип для специалистов, пишущих об актуальных угрозах: если домены, используемые для размещения экслойтов, на момент написания являются действующими, то не следует публиковать связанные с этими эксплойтами URL-адреса или имена файлов, поскольку Google зачастую позволяет легко найти соответствующие страницы.

Значит ли это, что экспертам не следует обмениваться ключевой информацией об актуальных угрозах? Конечно, нет — мы постоянно это делаем. Но при этом данные не становятся достоянием широкой общественности — существует масса безопасных способов сообщить коллегам подробную информацию об актуальных угрозах.

Этот вторник ознаменован появлением самого большого количества патчей: наши друзья из Рэдмонда выпустили 13 «заплаток» для которые закрывают 34 уязвимости, которые могли бы использоваться злоумышленниками. Для трех из этих уязвимостей код эксплойта находится в открытом доступе, а 11 из них с высокой долей вероятности могут постоянно использоваться злоумышленниками.

Самой громкой в этом месяце стала уязвимость MS09-050, которая, согласно ее исследователю, была создана патчем для уязвимости MS07-063. MS09-050 была впервые описана 7 сентября в блоге антивирусного исследователя Лорана Гафье (Laurent Gaffie), где описывалась DoS-уязвимость SMB 2.0, в частности драйвер srv2.sys. Вы наверняка помните, какая шумиха поднялась, едва об этой уязвимости стало известно — многие говорили о том, что эта DoS-атака также вполне могла привести к удаленному выполнению кода. Но что должно беспокоитьMicrosoft, так это то, что уязвимость имеется на компьютерах, на которых установлены Windows Vista и Windows 7, и ее нет на Windows XP.

В этот патч также входят обновленные элементы управления ActiveX в стиле MS09-035, который, как мы помним, был связан с несколькими уязвимостями ATL. Кроме этого, MS09-060 была написана с целью закрыть эти уязвимости, так как они имеют отношение к MS Office. Не может не беспокоить то, что эта уязвимость по-прежнему еще не полностью закрыта. Еще один заметный патч этого месяца — MS09-056, «заплатка» для уязвимости, позволяющей подмену сертификата SSL. Те, кто следил за конференцией Blackhat в Лас Вегасе в июле, наверняка не забыли, что выступление Мокси Марлинспайк (Moxie Marlinspike), который с энтузиазмом рассказывал об этом эксплойте, прошло при полном аншлаге. Интересно, что уязвимость была обнаружена Дэном Камински.

Как всегда, не забывайте как можно скорее воспользоваться патчами, а в особенности в этом месяце, если вы используете Windows Vista или выше с SMB!