Корпорация Microsoft выпустила патчи для приличного числа уязвимостей в своих программах — всего закрывается 19 дыр. Все выпущенные обновления представлены в шести Бюллетенях безопасности, вышедших в этом месяце (с MS12-071 по MS12-076). Уязвимости в четырех Бюллетенях обозначены как критические, при этом только в двух из них обновления обозначены как требующие срочной установки крупными клиентами, для которых важна совместимость и производительность. Стоит отметить, что Internet Explorer 10 не содержит уязвимостей, указанных в соответствующем Бюллетене, а только что выпущенная Windows 8 содержит очередную ошибку обработки шрифтов, описанную в CVE-2012-2897 и аналогичную той, что использовалась Duqu. Уязвимости, связанные с обработкой шрифтов, представляют особый интерес, поскольку эксплойт, примененный в Duqu, сейчас входит в наборы эксплойтов, предназначенные для организации массовых заражений – вместе с распространенными эксплойтами для Java и Adobe Reader. С помощью этих наборов распространяются троянцы-вымогатели, ZeroAccess и вообще самые разные троянские программы. Хотя Duqu распространялся больше года назад, а патч был выпущен несколько месяцев назад, эксплойты для этой уязвимости по-прежнему включаются в эксплойт-паки и успешно применяются злоумышленниками.

Вчера вечером на нескольких российских форумах появились сообщения об эксплойте, позволяющем злоумышленникам взламывать аккаунты Skype. Об эксплойте, который сейчас активно циркулирует в «дикой среде», написали несколько российских блогеров.

Ранее в этом году на хакерском форуме были опубликованы хеш-суммы около 6,5 млн паролей к учётным записям LinkedIn. Хеш-суммы представляли собой простые SHA1-дайджесты пользовательских паролей в том виде, в каком они хранятся в базе данных LinkedIn.

Хакеры тут же стали пробовать взломать эти пароли; более половины всех паролей оказались взломаны практически сразу.

Существует две основных причины, по которым пароли оказались так быстро взломаны:

• * использование самой функции SHA1
• * использование быстрых графических процессоров.

Рассмотрим обе причины.

Функция SHA1 была в первую очередь разработана как замена более слабого криптографического алгоритма MD5. На графической карте AMD / ATI 7970 “hashcat” (см. https://hashcat.net/oclhashcat-plus/) считает чуть более двух миллиардов SHA1-хешей в секунду. Это означает, что за очень короткое время можно протестировать множество комбинаций.

Для решения этой проблемы существуют современные, более безопасные алгоритмы, такие как функция sha512crypt, использованная в Ubuntu и последних версиях Fedora Core Linux. При использовании этой функции на той же графической карте можно взломать вместо 2 млрд. хешей лишь чуть более 12000 sha512crypt-комбинаций в секунду. Например, перебор миллиарда sha512crypt-комбинаций займёт около 24 часов; при этом перебор того же количества SHA1-комбинаций займёт менее секунды.

На днях мы получили интересную коллекцию образцов от коллег из другой антивирусной компании.

Образцы представляют интерес прежде всего потому, что они содержат модуль со следующей строкой:

C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

Конечно же, при упоминании 'wiper' нам в голову сразу же приходят инциденты с удалением данных с иранских компьютеров в апреле 2012 года, при расследовании которых был обнаружен Flame.

Вредоносная программа представляет собой исполняемый PE-файл размером 900 Кб, содержащий несколько зашифрованных ресурсов:

В предыдущем блогпосте мы писали о вредоносной кампании Madi, обнаруженной в ходе совместного расследования с нашим партнером Seculert.

В этом блогпосте мы расскажем об инфраструктуре Madi, коммуникациях, сборе данных и жертвах.

Слежка за жертвами и коммуникации реализованы в инфраструктуре Madi достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.

Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi:

Почти на протяжении года на всей территории Ближнего Востока продолжалась кампания по проникновению в компьютерные системы, направленная на пользователей в Иране, Израиле, Афганистане и других странах по всему миру.

Совместно с нашим партнером — израильской компанией Seculert — мы провели подробное расследование данной операции, присвоив ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники. С аналитическим постом Seculert можно ознакомиться здесь.

В ходе этой кампании использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности. Большие объемы собираемых данных показывают, что данная кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникации которых находились под пристальным наблюдением в течение продолжительных периодов времени.

Данный пост представляет собой исследование используемых технологий для распространения зловреда Madi на системы жертв, инструментах шпионского ПО и их особенностях. В некоторых случаях атакованные организации не желают предоставлять более подробную информацию о произошедшей атаке, поэтому сведения о некоторых аспектах кампании могут быть ограниченными.

Попадание в систему

Схемы социальной инженерии для установки и запуска шпионского ПО

При атаках Madi для распространения шпионского ПО используются преимущественно технологии социальной инженерии:

Операция ФБР под названием “Operation Ghost Click”, о которой мой коллега Курт рассказывал здесь и здесь, наконец подходит к завершению.

В понедельник, 9 июля в 06:00 центрально-европейского времени, будут отключены врЕменные DNS-серверы, установленные ФБР. В то же время заражёнными остаются тысячи компьютеров. Очевидный вопрос — что же будет с ними?

У каждого компьютера в интернете есть свой уникальный адрес — IP-адрес. Существует две версии IP-адресов:

IPv4 — 32-битный адрес, например 195.122.169.23, и
IPv6 — 128-битный адрес, например 2001:db8:85a3:8d3:1319:8a2e:370:7347.

Очевидно, что такие адреса запоминать гораздо сложнее, чем всем привычные доменные имена сайтов, такие как “kaspersky.com”. Чтобы переводить удобные для пользователей доменные имена в соответствующие им IP-адреса серверов, была создана так называемая Система доменных имён.

Вредоносная программа DNSChanger производит на зараженной машине подмену DNS-серверов своими собственными (см. пресс-релиз ФБР).

Недавно мы писали о том, что Далай-лама часто пользуется компьютерами Mac. Но хотя Его Святейшество использует компьютеры Apple, пока еще не все его сторонники перешли на Маки.

Вы спросите, какое это имеет значение? Дело в том, что 6 июля Его Святейшеству исполняется 77 лет. Круглое число, в каком-то смысле. Неудивительно, что уже вовсю идут атаки, эксплуатирующие тему дня рождения Далай-ламы.

Третьего июля мы обнаружили новую APT-кампанию, озаглавленную «Dalai Lama’s birthday on July 6 to be low-key affair» (день рождения Далай-ламы 6 июля пройдет тихо):

Глубоко в одном из конфигурационных блоков Stuxnet заложена 8-байтовая переменная, которая содержит некое число, и если это число прочитать как дату, оно указывает на 24 июня 2012 года. А в действительности это день, когда подпрограммы распространения Stuxnet посредством LNK-файлов прекратили работу и перестали заражать USB-носители.

Недавно в поле нашего зрения попала интересная целевая атака, которая успешно обходила большинство антивирусных продуктов. Это рассылка, нацеленная на различных активистов, выступающих за независимость Тибета и за права человека. Атака показываетчто на проникновение в эти целевые группы было потрачено много усилий, поскольку эксплойт имеет уникальные характеристики, не свойственные прочим многочисленным эксплойтам, использующим уязвимость CVE-2012-0158. Вот как выглядят подобные письма: