В тот самый день, когда в Бостоне произошел взрыв, я как раз направлялся на SourceConference. Трудно описать свои чувства по прибытии в город. Как сказал президент Обама в своем обращении к жителям Бостона: «Вы будете бегать снова». Мои искренние соболезнования, друзья.

В своей презентации на конференции Source я рассказывал о мошенничестве в Твиттере. В последнее время мы встречаем в этой социальной сети довольно много спам-ботов – как тех, которые наугад рассылают незапрошенные сообщения другим пользователям, так и тех, что проводят предварительный семантический анализ ваших твитов, чтобы затем осуществить целенаправленную атаку.

Продолжая тему Winnti, мы расскажем о том, как и чем эта группа попыталась повторно заразить некую игровую компанию. После того как обнаружилось, что серверы этой компании заражены вредоносным ПО, мы, вместе с системным администратором этой компании, занялись ликвидацией заражения, очищая корпоративную сеть от вредоносных файлов. Это заняло какое-то время, потому как сначала не было понятно, каким образом злоумышленники проникли в компанию, полностью закрыть для них доступ не получалось, и вредоносные файлы все появлялись и появлялись. Результаты анализа, проведенного самой игровой компанией, навели на мысль, что заражение началось после установления рабочих контактов с одной южнокорейской игровой компанией. Это подтвердили и наши исследования: как мы уже писали, группа Winnti работает наиболее активно в восточноазиатском регионе, и как раз в Южной Корее мы зафиксировали 14 зараженных игровых компаний.

В ходе мероприятий по ликвидации заражения игровая компания высылала нам подозрительные файлы, появляющиеся на их компьютерах. Многие из них являлись вредоносными программами Winnti. Как только информация о вредоносных файлах добавлялась в антивирусные базы, в корпоративной сети игровой компании с помощью наших продуктов проходила ликвидация зловредов Winnti. Но злоумышленники действовали очень быстро: казалось бы, только вчера на компьютерах компании были задетектированы и удалены вредоносные программы, а сегодня уже новые образцы зловредов появлялись мистическим образом там же, где накануне только избавились от заражения. Но в итоге наши усилия принесли плоды, и злоумышленникам был перекрыт доступ к компьютерам игровой компании.

Но, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами.

В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

На прошлой неделе Adobe выпустил патч, закрывающий уязвимость Flash Player, которая эксплуатировалась в ходе целевых атак.

Прежде чем продолжать чтение, рекомендуем вам на минуту прерваться и установить этот патч. Чтобы проверить, стоит ли у вас последняя версия Flash Player, можно воспользоваться оригинальной утилитой от Adobe.

Если вы используете Google Chrome, убедитесь, что у вас стоит версия 24.0.1312.57 m или более поздняя.

Вернемся теперь к CVE-2013-0633 – критической уязвимости, которую обнаружили мы с Александром Поляковым – и незамедлительно сообщили в Adobe о своей находке. Эксплойты для CVE-2013-0633 были обнаружены в ходе мониторинга так называемых «легальных» программ слежения, созданных итальянской компанией HackingTeam. Ниже мы опишем некоторые из атак и то, как эта 0-day уязвимость используется для установки вредоносного ПО от HackingTeam, продаваемого под названием Remote Control System.

После публикации нашего отчета коллеги из компании Seculert обнаружили еще один вектор доставки вредоносного кода, примененный в атаках Red October, и опубликовали в блоге сообщение о его использовании.

В дополнение к документам Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), злоумышленники, по-видимому, использовали для проникновения в сети жертв эксплойт для уязвимости (CVE-2011-3544) в Java (MD5: 35f1572eb7759cb7a66ca459c093e8a1 – «NewsFinder.jar»), известный под именем Rhino.

На днях Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Ирана сделала заявление об обнаружении нового зловреда, удаляющего данные. Продукты «Лаборатории Касперского» детектируют этот зловред как Trojan.Win32.Maya.a.

Угроза носит крайне примитивный характер. По сути, злоумышленник создал BAT-файлы и затем при помощи утилиты BAT2EXE преобразовал их в файлы Windows PE. По видимости, была использована вот эта утилита BAT2EXE или её вариант.

Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.

Вредоносный модуль создан специально для версии ядра 2.6.32-5-amd64. Это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. Возможно, модуль находится на стадии разработки: создается впечатление, что некоторые функции не до конца отлажены или, может быть, еще не полностью реализованы.

Рабочая группа по борьбе с киберугрозами и абьюзами M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) призвала пользователей системы аутентификации DKIM усилить криптозащиту цифровых подписей и применять ключи длиной не менее 1024 бит.

Технология DKIM (DomainKeys Indentified Mail) используется как де-факто стандарт многими бизнес-структурами, правительственными учреждениями, крупными почтовыми службами. Шифрованная подпись, создаваемая по этой системе, призвана удостоверить аутентичность домена, указанного в адресе отправителя, и исключить его подделку – например, с целью фишинга. Возможность такой подделки в современных условиях была недавно продемонстрирована математиком из Флориды. При наличии доступа к недорогому “облачному” кластеру тот взломал 512-битный криптоключ Google за трое суток. Как оказалось, не только Google, но и многие другие приверженцы DKIM, включая Microsoft, PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, HP и HSBC, используют ключи длиной менее рекомендованных 1024 бит, считая их достаточно криптостойкими. Более того, некоторые получатели принимают запущенную в тестовом режиме DKIM-подпись за подлинную, что также противоречит RFC-рекомендациям.

Удостоверившись в реальности рисков, американская CERT (Computer Emergency Readiness Team, группа быстрого реагирования на компьютерные инциденты) публично признала наличие ошибок в современных реализациях DKIM и рекомендовала поклонникам этой технологии придерживаться базовых спецификаций RFC 6376. M3AAWG тоже ратует за приведение в соответствие криптобазы DKIM на местах и опубликовала ряд полезных советов:

• длина ключа, используемого для создания подписи DKIM, должна составлять не менее 1024 бит;
• ключи менять ежеквартально;
• через настройки с каждой заменой ключа упразднять цифровую подпись и вовремя отзывать устаревшие открытые ключи, обновляя записи в DNS;
• сократить тестовый период и сразу отзывать тестовый ключ при переводе DKIM-системы в рабочий режим;
• дополнить DKIM протоколом обратной связи DMARC (Domain-based Message Authentication, Reporting and Conformance), используя его в режиме мониторинга, и отслеживать частоту обращения к своим ключам через DNS;
• использовать именно DKIM, а не его прародителя DomainKeys, который менее эффективен;
• насаждать вышеперечисленные практики в партнерской среде, оказывающей почтовые услуги.

Ежегодно 31 октября во многих странах мира отмечается праздник Хэллоуин. Спамеры, конечно же, не могли обойти это событие стороной, и за последний месяц сотрудники ЛК регулярно детектировали рассылки, посвящённые этому празднику.

Уже немало сказано о новейшем вредоносном ПО, распространяемом через сервис мгновенных сообщений Skype. Я лишь хотел добавить то, о чем еще не упоминалось. Прежде всего, это дата начала атаки. По данным сервиса коротких ссылок Google, это произошло 6 октября: