В течение последних месяцев мы не замечали ничего интересного среди червей, написанных на Java и скриптовых языках, таких как JavaScript и VBScript. Основной причиной этого была невысокая квалификация вирусописателей, которые выпускали в свет ничем не примечательные творения. Но не так давно наше внимание привлекла парочка образцов, сложность которых свидетельствует о том, что за дело берутся и профессионалы.

Наши продукты детектируют этих особенных червей как Worm.JS.AutoRun и Worm.Java.AutoRun. Также они детектируются эвристическими методами как HEUR:Worm.Script.Generic и HEUR:Worm.Java.Generic соответственно.

Червей объединяет следующее: сильная обфускация, основной функционал, относящийся к функционалу бэкдора, и способ распространения. Оба зловреда распространяются с помощью копирования себя и конфигурационного файла autorun.inf в корневые каталоги логических томов съёмных носителей и сетевых дисков. Таким образом, открытие заражённых разделов на других компьютерах может приводить к инфицированию последних. Заразив операционную систему и «прописавшись» в ней, вредоносные программы инициируют свой основной функционал.

Из месяца в месяц число обнаруженных у наших пользователей AutoRun-червей было примерно одинаковым. По данным Kaspersky Security Network, таким способом распространяется половина всех скриптовых червей. Что касается Java-червей, то для них такой способ распространения не характерен. Но буквально в последние три месяца мы наблюдаем резкий скачок числа новых модификаций Worm.Java.AutoRun.

 
Число обнаруженных уникальных скриптовых червей, скриптовых червей AutoRun и обнаруженных эвристическими методами скриптовых червей AutoRun (апрель 2012 года - май 2013 года)

Компания «Яндекс» запустила поведенческий анализатор выполняемых в браузере Java-приложений. Он распознает вредоносный код, предупреждает владельца сайта о заражении и помогает устранить проблему через Яндекс.Вебмастер.

По данным Яндекса, 3/4 заражений через интернет (76,2%) происходят посредством загрузки в браузер вредоносных Java-апплетов. Новый инструмент поможет ограничить число таких загрузок, так как выявленные с его помощью источники будут блокироваться в службах Яндекс.Поиск, Яндекс.Почта и Яндекс.Браузер до тех пор, пока не излечатся.

Java-анализатор был запущен в эксплуатацию месяц назад и за истекший период обнаружил свыше 4 тыс. зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. в сутки. По данным Яндекса, около 10% этих ресурсов хостятся в доменных зонах .ru, .tr, .su, .by, .ua и .kz.

Чтобы предотвратить заражение, Яндекс рекомендует пользователям использовать актуальные версии ПО, включая антивирусы; регулярно обновлять Java и плагины браузера; отключить в браузере запуск Java-апплетов по умолчанию и разрешать его лишь для доверенных сайтов.

Активное использование эксплойтов 0-day для Java, которое наблюдается и предотвращается нами вот уже целую неделю, чересчур активно и опрометчиво обсуждалось в интернете, а некоторые посты в блогах содержали ссылки на ресурсы, обслуживающие эти эксплойты. В действительности, подобное стремление раньше всех высказать свою точку зрения на проблему безответственно (кстати, уязвимости присвоен номер CVE-2012-4681 – проблема обработки контроля доступа в рамках «защитных доменов»). Скажите, вы бы посоветовали беззащитным прохожим идти по темной улице, на которой, как вы точно знаете, орудуют преступники? Или вы все-таки сообщите «куда следует» о местонахождении опасных элементов и, может быть, даже позаботитесь, чтобы улицы вашего района были хорошо освещены? Ну, или как минимум, вы просто предложите прохожему пойти другим маршрутом? В общем, на этот раз все попытки оказались не вовремя и не к месту…

Но так или иначе, первоначально сайты, на которых размещались эксплойты, были единичны и распространяли уже известные компоненты для APT, в том числе версию Poison Ivy. Ниже представлена карта ранней стадии активности компонента Poison Ivy, несколько удивляющая нас результатами:

А это карта фиксирует первые вспышки заражения Java-эксплойтами посредством веб-страниц и Java-скриптов:

Все вредоносные программы данной тематики, которые мне встречались, были нацелены на Windows. Эскплойты эффективны против Java 7. Со времени первых направленных атак информация об эксплойтах и их экземпляры успели попасть в руки специалистов по IT-безопасности, вот только за дело взялись разработчики Metasploit, которые добавили PoC в свою базу. А авторы BlackHole, в свою очередь, добавили эксплойт в свои пакеты COTS. Таким образом, эти атаки сразу стали распространенным явлением. Первыми жертвами команды Blackhole стали Соединенные Штаты, Россия, Беларусь, Германия, Украина и Молдова. Но, поскольку в пакет от Blackhole входят и разные другие эксплойты, удары по пользователям конкретно с помощью 0-day эксплойтов наносятся не всегда. Чаще всего страдают пользователи Internet Explorer, за ними следуют пользователи Firefox, Chrome и Opera, а замыкают список еще несколько приложений, имеющих дело с URL-ссылками внутри своих файлов и в конечном итоге направляющих вредоносные .jar-файлы в Java-клиенты, например, в Adobe Reader.

Для определения вредоносных сайтов и веб-страниц, кода эксплойта и вредоносного контента, получаемого с таких сайтов, мы используем ряд методик и техник. И хотя конкретно этот 0-day для Java становится повсеместно известным, мы все чаще детектируем и блокируем на системах пользователей и эксплойты постарше, также используемые в пакете Blackhole. Таким образом, пользователи «Лаборатории Касперского» так или иначе защищены от сайтов Blackhole и веб-страниц, обслуживающих 0-day эксплойт для Java, а также от взломанных сайтов, перенаправляющих посетителей на сайты Blackhole; от огромного числа предыдущих эксплойтов Blackhole и их сайтов, и от троянцев, получаемых через эти страницы. Ко всему прочему, модуль Kaspersky Advanced Exploit Prevention создает дополнительный уровень защиты против эксплойтов 0-day с помощью "Exploit.Java.Generic".

Лично для меня это дополнение наиболее интересно – авторы эксплойт-паков всегда концентрировались на улучшении серверного полиморфизма эксплойтов Java, а вышеописанная функция предотвращает эти попытки. Таким образом, доступ наших пользователей к сайтам Blackhole полностью блокируется, а с помощью компонента Advanced Exploit Prevention еще и предотвращаются любые попытки работы эксплойта. Отдельные веб-страницы Blackhole детектируются как "Trojan-Downloader.JS.Agent" в нескольких вариациях, бэкдоры детектируются как "Trojan.Win32.Generic" и т.п. (то есть, 61A3CE517FD8736AA32CAF9081F808B4, DEC9676E97AE998C75A58A02F33A66EA, 175EFFD7546CBC156E59DC42B7B9F969, 0C72DF76E96FA3C2A227F3FE4A9579F3). В свою очередь, Java 0day эксплойт выделяется среди других эксплойтов как "HEUR:Exploit.Java.Agent.gen" (то есть E441CF993D0242187898C192B207DC25, 70C555D2C6A09D208F52ACCC4787A4E2, E646B73C29310C01A097AA0330E24E7B, 353FD052F2211168DDC4586CB3A93D9F, 32A80AAE1E134AFB3D5C651948DCCC7D).

Так что, когда на Virustotal вы встретите неизбежные жалобы, что сканер не может найти часть измененного кода, или неточные выводы вроде «Антивирус неисправен!» или «Антивирус этого не детектирует!», не обращайте внимания. Потому что на самом деле вся эта история с массовыми client-side эксплойтами гораздо сложнее и глубже, чем эти жалобы.

В то же самое время, Oracle не мешало бы принять меры и выпустить специальный патч, что они, по традиции, не делают. Может быть случившееся привлечет внимание разработчиков к проблеме усовершенствования процесса обновлений безопасности. Они привлекли хорошие ресурсы, и теперь лед должен тронуться — лучше поздно, чем никогда.

3 декабря мы зафиксировали резкий рост количества срабатываний на эксплойты, использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Эта уязвимость была опубликована 18 октября, но стала использоваться не так давно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ.

Количество уникальных пользователей, на компьютерах которых были задетектированы эксплойты семейства Exploit.Java.CVE-2011-3544

Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время эксплойт-паков – BlackHole Exploit Kit.

Мы проанализировали актуальные наборы BlackHole. На сайтах, на которых осуществляется drive-by атака с помощью BlackHole, нам выдавался достаточно старый эксплойт для уязвимости CVE-2010-0188, выполненный в виде PDF-файла, и новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Соответствующие файлы выделены красными овалами на скриншоте ниже.

Скриншот списка файлов, перехваченных при заходе на сайты с установленным BlackHole

Брайан Кребс также сообщает, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор. Согласно статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а троянцы-банкеры атакуют пользователей в развитых странах.

В очередной раз мы видим, что злоумышленники не стоят на месте и совершенствуют свои творения. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Патч, устраняющий, в том числе, уязвимость CVE-2011-3544, можно скачать здесь.

По оценке датской компании CSIS, 85% заражений происходят в результате зловредных drive-by загрузок, проведенных с участием готового набора эксплойтов. В 99,8% случаев такие атаки, реализованные на платформе Windows, завершаются успехом по вине пользователя, забывшего закрыть брешь в Java, Adobe Reader/Acrobat, Adobe Flash или Internet Explorer.

Эти неутешительные результаты были получены по итогам анализа сетевой активности 50-ти разных эксплойт-китов, размещенных злоумышленниками на 44 серверах и IP-адресах. За 3 месяца непрерывного мониторинга исследователям удалось идентифицировать свыше полумиллиона drive-by атак. В 31,3% случаев зловред успешно проникал в систему через дыру, которую жертва не удосужилась вовремя залатать. Более 80% drive-by загрузок были нацелены на кражу конфиденциальной информации, персональных данных или на отъем денег с помощью поддельных security-программ.

Разделение попыток эксплойтов по версии Windows выглядело следующим образом: 41% были ориентированы на уязвимости в XP, 38% ― в Vista, 16% в Windows 7. Из веб-браузеров повышенным вниманием злоумышленников пользовался IE (66% drive-by атак), много меньше ― Firefox (21%), в 8% случаев Google Chrome. Среди приложений, установленных под ОС Windows, безусловным лидером по абьюзам вполне ожидаемо оказалась платформа Java JRE (37%). За ней с небольшим отрывом следовала пара Adobe Reader/Acrobat (32%), и лишь потом Adobe Flash (16%) и MS Internet Explorer (10%).

По данным Microsoft, со второго квартала счет попыткам эксплуатации уязвимостей в Java-приложениях пошел на миллионы.

Число уязвимостей в ПО, работающем на движке Java, взмыло круто вверх еще в 2008 году. К началу текущего года количество инцидентов, связанных с несовершенством этой платформы (не путать с атаками, использующими JavaScript!), превысило все «рекорды» Adobe. Эксперты отмечают, что наибольшую популярность у злоумышленников снискали три уже пропатченные уязвимости: CVE-2008-5353, CVE-2009-3867 и CVE-2010-0094, во многом схожая с первой. Их успешная эксплуатация обеспечивает удаленное выполнение кода на ПК под ОС Windows, Linux и Mac OS X. Небезызвестный Брайан Кребс (Brian Krebs) полагает, что активная эксплуатация Java-брешей связана с включением соответствующих эксплойтов в популярные готовые наборы, которые продаются по доступной цене на подпольном рынке.

Клиентская база Java весьма обширна, но так как эта технология работает без визуальных эффектов, в фоновом режиме, многие пользователи даже не подозревают, что такая среда исполнения установлена на машине, и не знают, что она снабжена встроенным механизмом обновления, который по умолчанию активируется лишь раз в месяц. Ввиду обострения ситуации расписание работы апдейтера рекомендуется откорректировать и обязательно загрузить последнее обновление с сайта Oracle — Java 6 Update 22, которое исправляет около 30 недочетов в программном коде.

Эксперт из SecureWorks Джо Стюарт (Joe Stewart) продолжает регистрировать атаки обновленного троянца BlackEnergy , который научился воровать пользовательские данные в процессе аутентификации в системе онлайн-банкинга.

По утверждению Стюарта, BlackEnergy 2, как он его называет, создан на базе троянца BlackEnergy (Backdoor.Win32.Kbot), который применялся злоумышленниками для проведения DDoS-атак. Однако первоначальный код был основательно переиначен; новая версия имеет модульную архитектуру, использует шифрование и современные руткит-технологии. Базовый комплект плагинов, загружаемых ботом, включает три модуля, совокупно обеспечивающих ddos-функционал, которым обладал еще первый вариант BlackEnergy. В дикой природе замечены также добавочный модуль для рассылки спама — перекомпилированная версия спамбота Grum, а также пара плагинов для облегчения доступа к банковским счетам. Однако любой злоумышленник, владеющий навыками работы с API, может расширить функционал BlackEnergy 2 по своему усмотрению.

Один из плагинов, предназначенных для кражи финансовой информации, ориентирован на обход Java-приложения, используемого многими банками для аутентификации клиентов. Внедряясь в процессы режима пользователя на зараженной машине, он ворует приватный ключ, считываемый сертифицированным Java-апплетом со съемного носителя, и контрольную фразу, вводимую пользователем в диалоговое окно. Похищенные данные, включая URL банка, отсылаются на управляющий сервер ботнета.

Второй плагин из этой упряжки выполняет команду kill — переписывает все разделы жестких дисков на зараженном компьютере, пытается удалить файлы ntldr и boot.ini, а затем завершает работу Windows. По-видимому, данный функционал используется для того, чтобы законный владелец счета не смог отследить движение денежных средств и уведомить банк о незаконных транзакциях. С той же целью BlackEnergy 2 проводит DDoS-атаку на соответствующий банк после того, как взломал его систему аутентификации.

По словам Стюарта, с конца прошлого года он зафиксировал более десятка атак на финансовые организации с применением BlackEnergy 2. В качестве мишеней зловред выбирает, в основном, банки России и Украины, так как в них часто используется вышеописанная система аутентификации. Насколько известно, новый троянец устанавливается на машины пользователей участниками партнерских программ «pay-per-install», хотя нельзя исключить возможность его распространения через вредоносные письма или drive-by загрузки.

Вы, наверное, помните о том, что в феврале этого года нами был обнаружен первый троянец для платформы J2ME — RedBrowser, способный функционировать на большинстве современных мобильных телефонов (имеющих поддержку Java). Троянец посылал множество SMS на платные номера без ведома владельца телефона, чем очень быстро опустошал его баланс.

Сегодня наш пользователь сообщил нам о том, что на одном из популярных российских сайтов, посвященных мобильным телефонам, распространяется некая программа, якобы предназначенная для «воровства денег у оператора». Пользователь прислал её нам для анализа.

Это оказался совершенно новый троянец для платформы J2ME. Если запустить этот троянец на телефоне, то он отсылает пять SMS на платный номер 1717. В качестве текста сообщения используются произвольно выбранные коды из тела троянца.

Нам удалось установить сайт, занимающийся продажей игр, мелодий и картинок с этого номера — http://games.gsmland.ru/.

Стоимость каждой заказанной игры составляет 3 доллара США. Таким образом, в результате работы троянца со счета пользователя будет списано 15 долларов.

Троянец представляет собой jar-файл, с именем pomoshnik.jar и имеет размер 32647 байт. Помимо самого троянского файла в нем содержатся две картинки:

Детектирование нового троянца под именем Trojan-SMS.J2ME.Wesber.a уже добавлено в наши антивирусные базы.

Компания Sun выпустила восьмое обновление для Java Runtime Environment 5.0. Это очень важное обновление.

JRE давно используется вирусописателями для установки вредоносных программ, поскольку содержит многочисленные уязвимости, позволяющие запускать программы на удаленной машине. Еще одним важным фактором является то, что JRE работает во всех современных веб-браузерах. То есть, уязвимость в JRE затронет все существующие браузеры.

В восьмом обновлении была наконец-то исправлена самая серьезная на мой взгляд проблема JRE: предыдущие версии JRE не мешали Java-апплету обращаться к более старым версиям JRE. Поскольку предыдущие версии JRE автоматически не деинсталлируются, возникала потенциально опасная ситуация: если на компьютере была установлена новая версия JRE, но предыдущие версии вручную не деинсталлированы, то такой компьютер оставался уязвимым.

Поэтому последнее обновление следует установить как можно быстрее. Сделать это можно, скачав обновление с сайта Java или воспользовавшись модулем обновления в контрольной панели JRE.

Учтите, что апдейтер в контрольной панели Java может рапортовать, что последняя версия уже установлена, хотя на самом деле это не так — внимательно проверьте, действительно ли у вас установлена последняя версия или же обновляйтесь через веб-сайт.

P.S. Если вы деинсталлируете вручную все предыдущие версии JRE, то вы наверняка освободите внушительное пространство на своем жестком диске.

Компания Sun Microsystems выпустила обновления для семи опасных брешей в исполнительной среде Java Runtime Environment, которые позволяют хакерам устанавливать полный удаленный контроль над уязвимой системой, сообщает сайт News.com.

Упомянутые бреши представляют опасность для компьютеров под управлением операционных систем Windows, Solaris и Linux. Каждая из этих систем использует приложения Java Development Kit 1.5, Software Development Kit (SDK) 1.3 и 1.4, и JRE 1.3, 1.4, 1.5 и 5.0 или предшествующие им продукты.

Приложение JRE, в частности, версия 1.4 используется на большом количестве компьютеров и позволяет пользователям работать с Java-утилитами, созданными для так называемой песочницы (sandbox). «Песочница» ограничивает радиус действия java-апплета для того, чтобы обеспечить защиту всей системы от внешних вторжений.

Бреши, для которых Sun Microsystems выпустила обновления, были обнаружены в интерфейсе программирования приложений (API), который обеспечивает связь «песочницы» с основной системой. Используя эти бреши, хакеры могут получить удаленный доступ к java-апплетам и таким образом читать и записывать файлы и даже запускать собственные исполняемые коды.

Sun Microsystems не впервые выпускает целый пакет патчей для JRE. В ноябре прошлого года компания выпустила сразу пять обновлений для уязвимостей в JRE. При этом три из них также затрагивали API.