28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

Фишинг - далеко не самая новая технология. Наоборот, такое ощущение, что она существовала всегда. Это показатель того, что она очень эффективна: казалось бы, вряд ли человек будет сообщать данные своего банковского счета просто потому, что его об этом спрашивают – и тем не менее, находятся такие, кто продолжает попадаться на удочку киберпреступников, использующих один из простейших методов мошенничества.

Однако осведомлённость пользователей и инструменты борьбы с фишингом усложняют задачу киберпреступников, которые пытаются заполучить наши денежки. Мы наблюдаем эти изменения в уменьшении количества спама. И это не единственная причина: для общения напрямую пользователи переходят на новые платформы, например, используют социальные сети

Сегодня я хотел бы продемонстрировать вам пример креативного способа обходить спам- и фишинговые фильтры.

Четвертого июля с нами связался наш партнер «МегаФон», являющийся одним из крупнейших сотовых операторов в России. Нас уведомили о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play. На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги.

Однако наш анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS спам сообщения, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги.

Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

Find and Call в App Store

Find and Call в Google Play

Фактически все комментарии пользователей (и в App Store, и в Google Play) достаточно агрессивны и содержат одну и ту же жалобу на то, что приложение рассылает SMS спам.

Примеры комментариев

Мне ужасно нравится новое приложение под названием Draw Something, созданное OMGPOP. Я часто играю в эту игру с друзьями — возможно, даже слишком часто. Draw Something загрузили более 50 миллионов пользователей, а компанию, ее разработавшую, только что приобрела за 200 миллионов долларов Zynga. Увидев давеча внизу экрана игры рекламу приложения для оптимизации работы батареи, я был удивлен. А ведь в рекламе говорилось еще о наличии двух апгрейдов!

На конференции по безопасности CanSecWes, которая проходила в Ванкувере, Канада, я подменил Костина Райю и сделал доклад о нашем участии в исследовании командных серверов Duqu.

Тем временем, Google Chrome взломали. Опять. Сдаётся мне, что 60 тысяч долларов — не такие уж большие деньги за обнаружение уязвимости нулевого дня в Chrome, даже с учетом обхода песочницы. Вызывает удивление обнаружение сразу нескольких 0-day уязвимостей, особенно учитывая, как хорошо браузер показал себя на состязании хакеров Pwn2Own.

Я также нашёл весьма любопытными ответы Алекса Райса (Alex Rice) из Facebook на вопросы слушателей после презентации. Презентация Алекса была посвящена социальному CAPTCHA-коду — вторичной аутентификации, использующей фотографии френдов, которая начинает действовать, когда система подозревает, что аккаунт пользователя скомпрометирован или захвачен фишерами.

Введение этой системы означает, что массовые фишинг-атаки на Facebook ушли в прошлое — они стали неэффективными. Тем не менее, на презентации было много комментариев по поводу того, как эту систему можно обойти в ходе целевой атаки.

Очевидно, любую систему, которая устраняет целый класс атак, не влияя при этом на удобство пользователей, следует считать большим успехом. Facebook заслуживает похвалы за это решение; однако, компания пока получает в основном критику от пользователей.

Такое количество критики беспокоит: мы не должны отвергать идеи или системы только из-за того, что они оказались не слишком эффективными против целевых атак. Хорошо бы отойти от черно-белой парадигмы восприятия. В конце концов, большая часть (кибер-)преступности не направлена на четко определенные цели. Давайте не будем об этом забывать.

Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

В апреле в поддоменах .co.cc и .cz.cc появилось большое количество веб-сайтов, распространяющих вредоносное ПО. Вслед за необычно большим количеством DNS-регистраций в доменах .co.cc и .cz.cc наблюдался всплеск распространения фальшивых антивирусов для Apple. Позже регистрация DNS-имен, как и прогнозировалось, привела к всплеску в распространении фальшивых антивирусов для Mac.

Однако, распространение фальшивых антивирусов с начала года неуклонно падало. В последние шесть месяцев произошло несколько связанных с этим событий. Blackhole-операторы мигрировали в поддомены .info, а за ними последовали операторы других вредоносных сайтов. Становится ли домен .info «клоном».cc?

Итак, как же выглядел этот переход? Давайте посмотрим на то, что происходило в начале года. Регистраторы доменов .co.cc и .cz.cc предлагают бесплатную регистрацию в системе DNS и дешевый, а то и бесплатный хостинг. Распространители вредоносного ПО воспользовались предлагаемыми бесплатными ресурсами и использовали эти URL-адреса для хостинга пакета эксплойтов Blackhole, используемого для автоматизации загрузки фальшивых антивирусов и других зловредов. Эксплойты Java стали самыми эффективными и наиболее популярными в пакете Blackhole; вслед за ними идут эксплойты, направленные на уязвимости в Adobe Reader и в протоколе Microsoft HCP. Для привлечения трафика к этим пакетам использовались различные методы: искажение результатов поиска в Google Image, заражение легитимных сайтов, перенаправление браузеров на сайты, содержащие эксплойты, при помощи внедренных iframe и img src, и, наконец, успешная реклама вредоносных ресурсов на страницах крупных почтовых сервисов.

Не так давно компания Google объявила о скором появлении версии Ice Cream Sandwich, Android 4.0. Казалось бы, Android далеко продвинулся за такое короткое время. Я хотел бы остановиться на усовершенствованиях в области безопасности и дополнительных возможностях этой версии Android.

Android от Google появился в ноябре 2007 года, и его популярность неуклонно росла. В то же время исследователи занялись поиском уязвимостей в нем. Было найдено некоторое количество уязвимостей, от таких, которые дают возможность получить права суперпользователя, например Rage Against the Cage, до ошибок типа cross-application scripting, таких как CVE-2011-2357.

С выпуском Ice Cream Sandwich можно ожидать прогресса в безопасности Android. Google обещает следующее:

Обнаруживать и блокировать сайты с вредоносным ПО с каждым годом становится все сложнее, сообщается в новом отчете Google "Trends in Circumventing Web-Malware Detection report".

В ходе исследования было обработано около 160 миллионов страниц, размещенных на 8 миллионах сайтов. Ежедневно Google рассылает около 3 миллионов предупреждений о возможном наличии вредоносного ПО среди 400 миллионов пользователей.

Согласно данным экспертов, выросли масштабы использования методов социального инжиниринга, когда вредоносные программы маскируются под антивирусы или плагины для браузера. Однако пока количество сайтов, распространяющих их, по-прежнему не превышает 2% от общей массы источников вредоносного ПО. Чаще встречаются клоакинг по IP-адресу и drive-by загрузки, в ходе которых атакующая сторона часто меняет эксплойты, чтобы избежать обнаружения.

В отчете Google делается вывод о том, что ни один из инструментов для обнаружения вредоносных программ — ловушки на виртуальных компьютерах, эмуляторы браузеров, классификация, основанная на репутации доменов и антивирусные движки — сам по себе не является эффективным. Социальный инжиниринг ограничивает действия виртуальных компьютеров-жертв. Запутанный JavaScript, взаимодействующий с Document Object Model, позволяет избежать ловушек в эмуляторах браузеров и антивирусных движках. Легальные антивирусы и настройки компьютеров страдают от ложных срабатываний и т.д.

Вопрос о способностях Google отслеживать и блокировать вредоносное ПО был поднят после заявления Imperva о запуске хакерами более 80 тысяч поисковых запросов в день с целью выявления наименее защищенных объектов.

Как известно, в сущности, киберкриминальный бизнес — это такой же бизнес, как, например, производство макаронных изделий или продажа запчастей для автомобилей. У него есть свои издержки и статьи расхода. Разумеется, как и любой предприниматель, злоумышленник пытается сэкономить на атаке и минимизировать ее себестоимость.

В общем случае, для веб-атаки необходимо наличие доменного имени и хостинга для размещения вредоносных файлов. В случае хостинга все достаточно просто: злоумышленник либо покупает его самостоятельно, либо пользуется взломанными серверами для расположения своих файлов. Средства защиты от атак не могут быстро заблокировать хостинг целиком, поскольку на нем могут располагаться легитимные ресурсы.

Доменные имена же достаточно быстро блокируются комплексными средствами защиты. В связи с этим, злоумышленнику приходится постоянно менять доменные имена, с которых происходит атака.

Регистрация доменного имени второго уровня стоит относительно много (в среднем от 5 до 20 долларов за штуку), поэтому последнее время злоумышленники все чаще пытаются экономить и используют сервисы бесплатных доменных имен третьего уровня.

За последний год лидерами в области регистрации доменных имен третьего уровня для вредоносных целей являются сервисы co.cc и cz.cc. Каждый день в этой зоне регистрировались сотни доменных имен, с которых распространялось огромное количество различных вредоносных программ.

Однако пару недель назад произошло беспрецендентное событие — поисковая система Google принудительно удалила все ресурсы, которые располагались в доменной зоне co.cc, из своих результатов.

В связи с этим злоумышленникам стало невыгодно регистрировать доменные имена в этой зоне — особенно тем, кто имеет дело с поисковыми системами (например, распространяющим поддельные антивирусы с помощью черной поисковой оптимизации).