Веб-сервис VirusTotal отныне будет проверять на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.

PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.

Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:

• проверка файла с помощью IDS — на данный момент Snort и Suricata;
• извлечение метаданных с помощью Wireshark;
• регистрация DNS-запросов;
• регистрация http-активности;
• извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.

Крупнейший телеоператор Deutsche Telekom, предоставляющий услуги более чем в 50 странах мира, ввел в строй новый информационный веб-ресурс с интерактивной картой, отражающей актуальные источники кибератак.

Данные о текущих кибератаках в реальном времени поступают с ловушек компании, размещенных по всему миру. Таких датчиков у Deutsche Telekom около сотни, и в настоящее время они регистрируют до 450 тыс. инцидентов в сутки. Эксперты отмечают, что большинство кибератак проводятся автоматизированными средствами, их число растет по мере того, как злоумышленники активизируют поиск уязвимостей в сетях и системах.

CERT-GIB, российский центр быстрого реагирования на компьютерные инциденты, созданный на базе Group-IB, объявил о запуске краудсорсинг-проекта Antiphishing.ru в помощь борцам с фишингом и зловредами в Сети.

Главной задачей нового ресурса является оперативный сбор и обработка информации о подозрительных сайтах, при этом предполагается, что сигналить о нарушениях будут сами пользователи. Проверка подозрительного URL или IP-адреса средствами Antiphishing.ru осуществляется следующим образом. Пользователь загружает адрес или группу адресов через веб-интерфейс, система поводит автоматизированный сбор дополнительной информации и подвергает ее тщательной обработке. По итогам анализа выносится решение о дальнейшей судьбе соответствующих ресурсов. Предполагается также, что все данные об абьюзах и их инициаторах, собранные через антифишинговый сайт, будут передаваться в правоохранительные органы, чтобы злоумышленники не ушли от ответа.

Авторы нового проекта надеются, что принцип краудсорсинга, положенный в его основу, позволит значительно увеличить объемы оперативной информации и, как следствие, повысить эффективность работы CERT. В реализации Antiphishing.ru приняли участие такие компании, как Яндекс, Web of Trust и Mail.Ru Group. Новая инициатива осуществлена при поддержке Координационного центра доменов RU/РФ.

Команда VirusTotal объявила о продаже своего одноименного сервиса компании Google. По уверениям обеих сторон, VirusTotal продолжит работать в автономном режиме, сохраняя существующие взаимоотношения со всеми своими партнерами.

Google тоже является давним партнером VirusTotal, испанского проекта, запущенного в 2007 году. Последний сфокусирован на предоставлении бесплатных интернет-услуг по проверке подозрительных файлов и URL, его исследовательский арсенал насчитывает свыше 40 современных антивирусов. Результаты проверки VirusTotal сообщает другим борцам с интернет-угрозами, включая разработчиков защитных решений.

Испанцы надеются, что сделка с Google позволит им повысить качество и мощь наличного инструментария, а новая инфраструктура обеспечит его постоянную готовность. Сама компания-покупатель пока не пояснила, как она собирается использовать технологии VirusTotal. Вероятнее всего, они будут в той или иной мере интегрированы в ее продукты и сервисы, а также позволят более четко ранжировать сайты по степени безопасности в поисковой системе.

Группа независимых исследователей HostExploit представила новый инструмент, позволяющий отслеживать географическое распределение и концентрацию зловредного контента в интерактивном режиме. Проект Global Security Map был разработан совместно с российскими экспертами Group-IB и датской аналитической компанией CSIS.

Интерактивная карта киберопасности является пробной попыткой отобразить в географической привязке флуктуацию уровней вредоносной активности, замеряемой по особой методике HostExploit. Разработанный экспертами алгоритм индексации уже несколько лет применяется ими для оценки загрязненности АС-систем; результаты регулярно публикуются в виде квартальных отчетов Top 50 Bad Hosts & Networks («50 самых неблагополучных хостов и сетей»). Отныне эта же статистика и история ее изменений будут доступны на отдельном сайте в разделении по странам.

В настоящее время в базе HostExploit числятся около 41 тыс. публичных АС-систем разной величины, и точно привязать их к определенным регионам порой чрезвычайно трудно. Одним из верных показателей географической принадлежности АС, по мнению экспертов, является страна ее регистрации. Для получения результатов по региональным доменам в каждом были просуммированы уровни криминальной активности по всем прописанным в нем АС. Итоговые сводные рейтинги Топ 10 и Топ 50 неблагополучных стран участники проекта Global Security Map представили в дебютном отчете о глобальной безопасности.

Швейцарские активисты с Abuse.ch официально объявили о прекращении поддержки базы данных AMaDa и соответствующих блоклистов в связи с закрытием этого проекта.

Борцы с ботнетами запустили AMaDa (Abuse.ch Malware Database) в 2010 году. За прошедшее время они проанализировали около 170 тыс. вредоносных URL, свыше 160 тыс. вредоносных файлов, а также идентифицировали порядка 1,7 тыс. C&C ботнетов, созданных на основе Mebroot (Sinowal), TDSS, Carberp, BlackEnergy и многих других опасных зловредов. Черные списки AMaDa использовали интернет-провайдеры, национальные CERT (группы быстрого реагирования на киберинциденты), правительственные и общественные организации. К сожалению, у Abuse.ch больше нет возможности поддерживать этот проект с надлежащим качеством, посему было принято решение от него отказаться.

Palevo Tracker, открытый год назад в рамках AMaDa, продолжит свое существование и уже перенесен вместе с блоклистами на собственный поддомен, palevotracker.abuse.ch. ZeuS Tracker и SpyEye Tracker кончина AMaDa не затронет, так как они изначально являются самостоятельными проектами.

Напомним, что червь-полиморфик Palevo, он же Pilleuz, Butterfly, Bfbot и Rimecud, опасен своей способностью к быстрому саморазмножению и использует для этого р2р-сети, съемные накопители и системы мгновенного обмена сообщениями. Широкие слои интернет-сообщества узнали о нем 2 года назад, когда был ликвидирован многомиллионный ботнет Mariposa, составленный на его основе. Palevo содержит функционал бэкдора и способен по удаленной команде загружать другие вредоносные файлы — кейлоггеры, банковских троянцев, компоненты для проведения DDoS-атак. По данным Palevo Tracker, в настоящее время в Сети активны свыше 80 доменов, используемых ботоводами для управления этим зловредом.

На прошлой неделе неизвестные злоумышленники провели сокрушительные DDoS-атаки на ресурсы борцов с интернет-мошенничеством.

419eater.com и aa419.org ведут учет поддельных сайтов и организуют коллективное противостояние «нигерийским» мошенникам. scamwarners.com публикует информацию о разных видах сетевого мошенничества, поддерживает онлайн-дискуссии на эту тему, а также принимает жалобы от пользователей и оказывает консультативную помощь.

В результате DDoS-атаки все три сайта на несколько дней потеряли связь с интернетом. Для распространения актуальной информации их администраторы были вынуждены использовать блоги, Facebook и другие альтернативные каналы. К 12 декабря 419eater.com и scamwarners.com вновь вышли в эфир, а aa419.org до сих пор работает в ограниченном режиме и готовится к запуску нового сервера.

Личности нападавших пока не установлены, причиной, скорее всего, является месть.

Голландский транзит-провайдер A2B Internet обратился в местную полицию с жалобой на антиспамерскую организацию Spamhaus, которая, по утверждению заявителей, использует незаконные методы воздействия, а именно ― шантаж и «DoS-атаки».

Яблоком раздора в начавшейся тяжбе является голландский хостинг-провайдер Cyberbunker (AS34109), он же CB3ROB, который использует серверы датацентра, выходящего в Сеть через A2B (AS51088). По словам активистов, Cyberbunker предоставляет своим клиентам «пуленепробиваемые» площадки, которые исправно служат спамерам, фишерам и распространителям зловредов. Его услугами в свое время пользовались The Pirate Bay и RBN (Russian Business Network).

По свидетельству Spamhaus, в текущем году криминальная активность в сетях Cyberbunker усилилась, однако хостер упрямо отказывался прекратить обслуживание веб-сайтов, продвигаемых через спам-рассылки. Борцы за чистоту интернета пытались заручиться поддержкой вышестоящего провайдера, A2B, но тот, по их словам, долгое время игнорировал их призывы. Проблемы начались, когда активисты вознамерились напрочь лишить Cyberbunker доступа к интернету. Уступив их напору, A2B заблокировал блок IP-адресов, засветившийся в черных списках Spamhaus, однако этого оказалось мало. В начале октября антиспамеры занесли в блок-лист весь диапазон A2B, и компании ничего не оставалось, как отлучить сомнительного клиента от Сети.

Доброе имя A2B было сразу же восстановлено, однако интернет-провайдера возмутили неучтивое поведение и нецивилизованный modus operandi, который, по его словам, избрала некоммерческая организация. В действиях борцов со спамом пострадавший усмотрел стремление навязать собственное мнение, пренебрежение к национальным законам и чужим политикам в отношении абьюзов. Глава компании намерен предать широкой гласности этот конфликт и обсудить его на ближайшем совещании участников RIPE.

Spamhaus, со своей стороны, пытается доказать свою правоту, намекая на нечистоплотность самого транзит-провайдера . По данным антиспамеров, до A2B виновник междоусобицы выходил в Сеть через Ecatel.net, затем Grafix.nl и Datahouse.nl. Последние два канала контролирует A2B, а репутация Ecatel давно подмочена связями с киберкриминалом. Тем временем, оставшись без связи, Cyberbunker нашел альтернативный канал, но так и не избавился от сомнительных клиентов. Расследованием его деятельности с подачи Spamhaus займутся голландские борцы с преступлениями в сфере высоких технологий, которым активисты передали всю соответствующую документацию.

Окружной апелляционный суд США повторно признал финансовые притязания e360 к Spamhaus безосновательными и сократил штраф, вчиненный антиспамерам, до символической суммы 3 доллара.

Напомним, что в 2006 году маркетинговая компания e360 Insight LLC обвинила некоммерческую организацию Spamhaus в подрыве репутации и препятствовании деловым операциям. Основанием для исковых претензий явилось упорное (и, надо отметить, справедливое) нежелание ответчика снять с e360 позорное клеймо спамера. Американских судей не смутил тот факт, что Spamhaus базируется за рубежом, и они, поверив на слово истцу, заочно назначили антиспамерской организации немалый штраф ― 11,7 млн. долларов. Ободренный успехом спамер вознамерился заодно лишить активистов права на домен spamhaus.org, но из этой попытки ничего не вышло.

В ответ Spamhaus подала апелляцию о пересмотре суммы штрафа и добилась ее уменьшения до 27 тысяч. Однако такое решение не удовлетворило активистов. Они вновь обратились в апелляционный суд ― и одержали окончательную победу. Дело в том, что e360 так и не смогла представить суду разумную оценку финансового ущерба, якобы причиненного ей действиями антиспамеров. В ходе затянувшегося судебного процесса истец порядком поиздержался, его немногочисленные клиенты разбежались, и владельцу e360 даже пришлось объявить о банкротстве. Теперь ему придется изыскивать средства для возмещения Spamhaus издержек, связанных с пересмотром дела в апелляционном порядке.

Швейцарские активисты, занимающиеся мониторингом ботнетов ZeuS, а с недавних пор и SpyEye, запустили сервис Palevo Tracker. Новый ресурс предоставляет открытый доступ к актуальной статистике и призван привлечь внимание интернет-общественности к растущей угрозе.

Червь-полиморфик Palevo (P2P-Worm.Win32.Palevo) приобрел печальную известность в конце 2009 года, когда был обезоружен гигантский ботнет Mariposa (по-испански «бабочка»), составленный на его основе. После этого события интерес СМИ к зловреду постепенно угас, хотя сам он успешно продолжает завоевывать место под солнцем, имея для этого все предпосылки. Напомним, что Palevo наделен функционалом бэкдора и распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Он может долго оставаться незамеченным: постоянно обновляется, шифрует данные, отсылаемые в центр управления, и использует UDP-протокол.

Эффективный функционал и высокая скорость распространения давно снискали Palevo популярность в криминальных кругах. Если также учесть, что червь доступен на черном рынке в составе готового комплекта для построения ботнетов, становится понятным, почему в минувшем году он был обнаружен на миллионах ПК. (В рейтинге ЛК за прошлый год Palevo занял 10-е место по числу локальных заражений.) В настоящее время, по данным Palevo Tracker, общее количество C&C серверов бота-«бабочки» приблизилось к 80, и большинство из них активны. В России они нашли приют в сетях ОАО «Вебальта» (AS 41947).

Остается надеяться, что массовое отключение функции автозапуска в Windows, на которое, наконец, отважилась Microsoft, поможет сдержать натиск Palevo и других зловредов, использующих эту, в общем-то, полезную «фичу» для самораспространения.