12 февраля 2013 года компания FireEye объявила об обнаружении эксплойта нулевого дня для Adobe Reader, применяемого для установки на компьютер ранее неизвестной сложной вредоносной программы. Мы дали новой вредоносной программе имя ItaDuke, потому что она показалась нам похожей на Duqu и потому что используемый ей шелл-код содержит цитаты из «Божественной комедии» Данте Алигьери на языке оригинала.

После публикации первого сообщения мы обнаружили несколько новых атак с применением того же эксплойта (CVE-2013-0640), в ходе которых на компьютерах жертв устанавливаются другие вредоносные программы. Среди обнаруженных атак наше внимание привлекла пара инцидентов, которые оказались столь необычными в некоторых отношениях, что мы решили проанализировать их глубже.

Вместе с нашим партнером CrySyS Lab мы выполнили подробный анализ этих необычных инцидентов. Результаты анализа указывают на появление новой, ранее неизвестной группы киберпреступников. Отчет CrySyS Lab о проведенном исследовании можно найти здесь. Наш анализ представлен ниже.

Основные результаты исследования:

• Организаторы атак с использованием MiniDuke по-прежнему активно действуют: известны образцы созданного ими вредоносного ПО, датируемые 20 февраля 2013 года. Для заражения компьютеров жертв злоумышленники использовали чрезвычайно эффективные методы социальной инженерии: целям атак отправлялись вредоносные PDF-файлы, содержание которых подбиралось очень тщательно и было чрезвычайно актуальным для потенциальных жертв. Это была сфабрикованная информация о семинарах по правам человека (ASEM), а также о внешней политике Украины и ее планах вступления в НАТО.

Компания Mandiant, специализирующаяся на защите от целевых кибератак, предупреждает о вредоносных рассылках, использующих как элемент spear-phishing атаки копию текста ее нового исследования о китайских хакерах.

Отчет Mandiant, опубликованный в середине февраля, содержит доказательства связи одной из наиболее активных хакерских группировок со спецподразделением Народно-освободительной армии Китая. По утверждению экспертов, эта группа китайских хакеров на протяжении многих лет занималась кибершпионажем и похитила сотни терабайт конфиденциальной информации у 140 иностранных организаций. В отчете также указаны свыше 3 тыс. характерных особенностей, позволяющих с уверенностью установить авторство данной группировки.

Компания Adobe Systems объявила о выпуске версий Adobe Reader XI и Acrobat XI с расширенным функционалом «песочницы» и рядом других усовершенствований, повышающих безопасность.

Компания впервые применила технологию «песочницы» в версии Х своего продукта Adobe Reader. В прошлом году аналогичный механизм был реализован в Adobe Acrobat X для безопасного просмотра pdf-документов (Protected View). По свидетельству экспертов, за всю историю внедрения их «песочницу» не смог пробить ни один эксплойт itw.

В предыдущей версии Adobe Reader безопасный режим обеспечивал лишь защиту от несанкционированных запросов на запись, предотвращая инсталляцию зловредов и мониторинг нажатий клавиш при взаимодействии с другой программой. В версии XI Protected Mode ограничивает также действия, предусмотренные режимом «только чтение», что позволяет предотвратить кражу данных.

Дополнительный уровень защиты в версии XI обеспечивает режим безопасного чтения, Protected View, новый для Adobe Reader и усовершенствованный для Acrobat. В обоих продуктах он работает одинаково, создавая изолированную среду для просмотра pdf-документов в браузере или с помощью полнофункционального приложения. В последнем случае Protected View идентичен своему прототипу, разработанному Microsoft для Office 2010. Данный механизм блокирует такие злонамеренные действия, как, например, отслеживание движений курсора на экране (screen scraping)

Еще одним нововведением является поддержка ASLR (Address Space Layout Randomization), элемента платформенной защиты от эксплойтов. Работая под Windows 7 или 8, Adobe Reader/Acrobat XI задействует встроенный механизм Force ASLR, принудительно подвергающий рандомизации все загружаемые приложением dll ― даже те, которые скомпилированы без участия ASLR.

Для корпоративных пользователей Windows и Mac OS разработчики предусмотрели возможность формирования белых списков, позволяющих системным администраторам включать дополнительные функции, такие как выполнение JavaScript, для избранных pdf-файлов, сайтов или хостов. Adobe Reader/Acrobat XI поддерживает также криптосистему ECC (Elliptic Curve Cryptography), используемую для создания цифровых подписей содержимого.

Обнаружив 2 хакерские утилиты со своей цифровой подписью, Adobe убедилась в ее подлинности и начала расследование. Запятнанный сертификат будет заменен 4 октября для всех кодов, подписанных позднее 10 июля текущего года.

Как выяснилось, злоумышленникам удалось получить доступ к одному из build-серверов Adobe, имеющему выход на сервис цифровых подписей компании. Эксперты полагают, что взлому предшествовала целевая атака и несанкционированное проникновение в корпоративную сеть. Найдя ключи к серверу разработчиков, хакеры отправили с него запрос на подпись через стандартный протокол Adobe. К счастью, других прав доступа к инфраструктуре открытых ключей (PKI) у взломанного аккаунта не было. Приватный ключ, используемый для формирования цифровой подписи, компания хранит в отдельном, хорошо защищенном аппаратном модуле, и он не попал к злоумышленникам. Исходный код единственного продукта, который мог пострадать, оказался нетронутым. К прочим исходникам, включая Flash Player, Adobe Reader, Shockwave Player и Adobe AIR, взломанный сервер доступа не имел.

Adobe удалось идентифицировать сторонние программы, получившие стараниями хакеров ее цифровую подпись. Одна из них, pwdump7 v7.1, предназначена для извлечения хэшей паролей из Windows. Вторая, myGeeksmail.dll, была определена как фильтр ISAPI, который может использоваться для перехвата и подмены http-запросов на сервере (ЛК детектирует эту утилиту как Trojan.Win32.Agent.hwet). Общедоступных версий этого продукта Adobe не нашла. По словам экспертов, обе утилиты происходят из одного источника.

Разработчик поделился своими находками с производителями антивирусного ПО и решил аннулировать потерявший доверие сертификат, выпустив соответствующие обновления. Поскольку, обнаружив абьюз, Adobe приостановила эксплуатацию инфраструктуры сертификации своих разработок, ей пришлось запустить временный сервис цифровой подписи, чтобы не отстать от графика. Временное решение предусматривает процедуру ручной верификации оффлайн и позволит также заново подписать все компоненты, выпущенные после 10 июля и подписанные тем же ключом, что и хакерские утилиты.

Отзыв сертификата распространяется на ряд программных продуктов Adobe, совместимых с платформой Windows, и на 3 приложения Adobe AIR, работающих как под Windows, так и под Mac OS: Adobe Muse, Adobe Story AIR и сервисы Acrobat.com для настольных ПК. По словам экспертов, замена сертификата в большинстве случаев не потребует каких-либо действий от пользователя. Список программ, получающих новую подпись, и инструкции по установке обновлений приведены на сайте техподдержки компании.

В предыдущем блогпосте мы писали о вредоносной кампании Madi, обнаруженной в ходе совместного расследования с нашим партнером Seculert.

В этом блогпосте мы расскажем об инфраструктуре Madi, коммуникациях, сборе данных и жертвах.

Слежка за жертвами и коммуникации реализованы в инфраструктуре Madi достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.

Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi:

Почти на протяжении года на всей территории Ближнего Востока продолжалась кампания по проникновению в компьютерные системы, направленная на пользователей в Иране, Израиле, Афганистане и других странах по всему миру.

Совместно с нашим партнером — израильской компанией Seculert — мы провели подробное расследование данной операции, присвоив ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники. С аналитическим постом Seculert можно ознакомиться здесь.

В ходе этой кампании использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности. Большие объемы собираемых данных показывают, что данная кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникации которых находились под пристальным наблюдением в течение продолжительных периодов времени.

Данный пост представляет собой исследование используемых технологий для распространения зловреда Madi на системы жертв, инструментах шпионского ПО и их особенностях. В некоторых случаях атакованные организации не желают предоставлять более подробную информацию о произошедшей атаке, поэтому сведения о некоторых аспектах кампании могут быть ограниченными.

Попадание в систему

Схемы социальной инженерии для установки и запуска шпионского ПО

При атаках Madi для распространения шпионского ПО используются преимущественно технологии социальной инженерии:

В Adobe Reader/Acrobat обнаружена критическая брешь, которую разработчики обещают залатать для версий 9.х на следующей неделе.

CVE-2011-2462 обусловлена ошибкой при обработке U3D-данных, которая может привести к сбою. При успешной эксплуатации данная уязвимость позволяет злоумышленникам установить полный контроль над системой. По данным Adobe, новая лазейка уже используется itw, но пока в ограниченном объеме: все известные случаи ― целевые атаки против версии 9.4.6 под Windows. Тем не менее, эксперты предупреждают, что CVE-2011-2462 актуальна для всех версий Reader/Acrobat и для всех платформ, кроме Android. Adobe Flash Player она не затрагивает.

Соответствующий патч для Adobe Reader 9.x и Acrobat 9.x, установленных на платформе Windows, будет выпущен на следующей неделе. Версии Х снабжены «песочницей», способной предотвратить выполнение эксплойта, посему заплатки для них будут включены в очередной пакет обновлений. Он появится после новогодних праздников, 10 января. Пользователям Reader/Acrobat X рекомендуется удостовериться, что в этих приложениях включен повышенный уровень защиты (Edit > Preferences > Security (Enhanced)), а защищенный режим включается при запуске (Edit > Preferences > General).

Поскольку специфических атак на Macintosh и UNIX не зарегистрировано, патчи для них выйдут тоже в январе.

По оценке датской компании CSIS, 85% заражений происходят в результате зловредных drive-by загрузок, проведенных с участием готового набора эксплойтов. В 99,8% случаев такие атаки, реализованные на платформе Windows, завершаются успехом по вине пользователя, забывшего закрыть брешь в Java, Adobe Reader/Acrobat, Adobe Flash или Internet Explorer.

Эти неутешительные результаты были получены по итогам анализа сетевой активности 50-ти разных эксплойт-китов, размещенных злоумышленниками на 44 серверах и IP-адресах. За 3 месяца непрерывного мониторинга исследователям удалось идентифицировать свыше полумиллиона drive-by атак. В 31,3% случаев зловред успешно проникал в систему через дыру, которую жертва не удосужилась вовремя залатать. Более 80% drive-by загрузок были нацелены на кражу конфиденциальной информации, персональных данных или на отъем денег с помощью поддельных security-программ.

Разделение попыток эксплойтов по версии Windows выглядело следующим образом: 41% были ориентированы на уязвимости в XP, 38% ― в Vista, 16% в Windows 7. Из веб-браузеров повышенным вниманием злоумышленников пользовался IE (66% drive-by атак), много меньше ― Firefox (21%), в 8% случаев Google Chrome. Среди приложений, установленных под ОС Windows, безусловным лидером по абьюзам вполне ожидаемо оказалась платформа Java JRE (37%). За ней с небольшим отрывом следовала пара Adobe Reader/Acrobat (32%), и лишь потом Adobe Flash (16%) и MS Internet Explorer (10%).

Вчера я написал блог о старой версии Adobe Flash Player в недавно приобретенном мной Google Chromebook. Днем ранее, во вторник, я отправил письмо в Adobe PSIRT и спросил, известно ли компании о том, что происходит с этой более ранней версией.

Сегодня мне ответили из Adobe, что версия Flash Player 10.2.158.27 является последней версией Flash для Chromebooks. Этот патч был выпущен вчера после публикации моего блога. (как Вы можете видеть, на моем скриншоте стоит версия 10.2.158.26)

В данный момент нам неизвестно, что исправлено в последней конфигурации. В некоторых источниках утверждается, что версия 10.2.158.26 уже включала все защитные заплаты. Мы ждем окончательного подтверждения от Adobe по этому вопросу.

В связи с этим возникает еще один вопрос — почему ChromeOS обновляется в Flash 10.2 branch? Согласно собственной документации Adobe 10.2.x.x должна все же содержать некоторые незакрытые уязвимости.

На этой неделе я наконец-то получил свой Samsung Chromebook. Мой интерес к этой платформе в особенности возрос после того, как мой коллега Костин Райю после представления Chromebook провел превосходный анализ платформы.

Google утверждает, что платформы Chromebooks безопасны настолько, что даже не требуют использования антивирусной программы. Разумеется, после такого заявления я заинтересовался защитным механизмом системы.