Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов:

Недавно нам встретился web-зловред (http://www.securelist.com/en/blog/208193624/Who_is_attacking_me), который вместо внедрения iframe, указывающего на фиксированный существующий адрес, генерирует псевдослучайное доменное имя, зависящее от текущей даты. Такой подход не нов – он широко используется ботнетами при генерировании доменного имени командного сервера; однако он не особо типичен для web-зловредов, которые мы видели до сих пор.

После деобфускации видим, что iframe, перенаправляющий пользователя на вредоносный URL-адрес со сгенерированным доменным именем, прикреплен к HTML-файлу. Все URL-адреса состоят из 16 псевдослучайных букв, относятся с домену .ru и выполняют PHP-скрипт на стороне сервера со строкой sid=botnet2 в качестве аргумента:

Каждый день создается новое доменное имя, так что бороться с ними, внося становящиеся активными вредоносные URL-адреса в черные списки, сродни донкихотству. К счастью, если мы знаем алгоритм, мы можем легко прогнозировать доменные имена для любой будущей даты. Этот зловред детектируется продуктами «Лаборатории Касперского» как Trojan-Downloader.JS.Agent.gsv.

Сегодня нам встретился новый, весьма затейливый вид фишинга. Пользователю приходило письмо якобы от компании McDonald's о том, что он выиграл возможность участвовать в опросе и мгновенно получить за это $80 на свой счет.

Казалось бы, ничего не предвещало беды: пользователь проходит по ссылке, действительно попадает на форму опроса удовлетворенности качеством, проходит его, нажимает кнопку...

Мы обнаружили новый XSS-эксплойт для Twitter, только что взятый на вооружение киберпреступниками.

Распространяемый ими вредоносный код на JavaScript достаточно прост и использует уязвимость XSS («межсайтовый скриптинг» — Cross-Site Scripting), чтобы украсть у пользователя социальной сети Twitter файл cookie, который затем передается на два сервера. В результате оказывается взломанной любая учетная запись, пользователь которой кликнул по вредоносной ссылке.

Вопрос в том, сколько нашлось таких пользователей. Собранная сервисом bit.ly статистика по одной из вредоносных ссылок вселяет тревогу: по ссылке прошли более 100 000 человек.

Все улики указывают на то, что источником атаки является Бразилия. Во-первых, оба доменных имени, используемых для сбора краденых файлов cookie, зарегистрированы на бразильских граждан. Во-вторых, один из доменов размещен на бразильском хостинге. И наконец, достаточно просто взглянуть на сообщение в Twitter, с помощью которого распространяется эксплойт:

Pe Lanza da banda Restart sofre acidente tragico — это короткое tweet-сообщение на португальском языке о «трагическом инциденте», в который якобы попала бразильская поп-группа Restart. Похоже, источник атаки сомнений не вызывает.

Данные вредоносные скрипты детектируются нами как Exploit.JS.Twetti.a, а используемые для проведения атаки URL включены в черные списки. Сейчас мы работаем над тем, чтобы вывести из строя эти вредоносные URL и, насколько возможно, минимизировать нанесенный пользователям ущерб. Разумеется, мы проинформировали о проблеме не только Twitter, но и другие крупные социальные сети.

ДОПОЛНЕНИЕ: Twitter подтвердил, что данная уязвимость уже закрыта.

Новая концепция фишинговой атаки, которую обрисовал разработчик из Mozilla Аза Раскин (Aza Raskin), делает ставку на невнимательность пользователя и подспудную веру в неприкосновенность страниц, открытых в окне обозревателя.

Ключевым элементом атаки является javacript-код, внедренный в веб-страницу. Если пользователь, путешествуя по интернету, попадает на нее, зловредный скрипт незаметно меняет одну из вкладок в браузере, включая значок сайта (фавикон), описание и содержимое самой страницы. Подмена происходит не сразу, а по истечении некоторого времени, когда пользователь уже ушел с зараженной страницы. Изменения вносятся в ту вкладку, к которой давно не обращались.

Вернувшись к этой вкладке, пользователь видит копию страницы регистрации одного из ресурсов, которые он часто посещает (например, вход в почтовый ящик). При обилии вкладок он может забыть, что уже авторизовался на этом сайте, и ввести на подставной странице идентификаторы, которые затем отправятся прямиком на сервер злоумышленника. При таком способе атаки фишеру даже не надо менять адрес в строке браузера.

Данная разновидность фишинга допускает проведение таргетированных атак, если подмена вкладки будет соответствовать регулярным запросам потенциальной жертвы. В этом случае пользователю предъявляется копия страницы авторизации конкретного банка, социальной сети, почтового сервиса, электронного кошелька и т.п. Если злоумышленник выяснит, к каким сервисам подключен его объект в момент нападения, его шансы на успех возрастут. В качестве поддельной страницы он получит возможность выводить убедительное сообщение, что интервал ожидания истек и для доступа необходимо произвести повторную авторизацию. После кражи идентификаторов пользователя можно перенаправить на соответствующий сервис, благо он с него и не выходил.

Разумеется, данный способ фишинговой атаки может сработать только в том случае, если у пользователя открыто несколько вкладок и нет запрета на исполнение javascript-кода на зараженной странице.

Сегодня мы нашли интересный зараженный сайт. В HTML текст оригинальной страницы был встроен вредоносный код. Он представлял собой отдельную HTML страницу. Т.е. авторы этого кода, нарушая стандарт HTML, вставили дополнительный контейнер <html> </html>.

Удивительно, но браузер (проверено в Internet Explorer, Firefox и Opera) с удовольствием принимает и обрабатывает такую некорректную веб-страницу. С другой стороны, разве можно требовать от злоумышленников соблюдения стандартов?

Большинство фреймворков (стандартов и готовых программных модулей), предназначенных для реализации интерактивного функционала в веб-приложениях, некорректно используют язык JavaScript. Это обстоятельство может привести к утечке данных о пользователях из веб-приложений, утверждают сотрудники американской компании Fortify Software.

Проблема, которую в Fortify Software назвали «взломом яваскрипта», возникает по причине того, что многие утилиты на базе популярного комплекса технологий AJAX используют скриптовый язык как транспортный механизм, не уделяя при этом должного внимания безопасности. Основная угроза при этом исходит от сайтов, применяющих так называемую подделку http-запросов (XSRF). С помощью подобных запросов владельцы вредоносных сайтов воруют данные из AJAX-приложений. Пока эта проблема актуальна для относительно небольшого числа сайтов, однако использование AJAX растет, а вместе с ним будет расти и число уязвимых систем, отмечает ведущий научный специалист Fortify Software Брайан Чесс (Brian Chess).

»Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения», — заявил Чесс.

В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.

Как происходят подобные заражения? Три варианта:

• «Живое» хакерское вторжение.

  Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.

• Массивная автоматическая эксплуатация сервисов веб-серверов.

  В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.

  Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?

  Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.

Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то...

• Воровство паролей с машин конечных пользователей FTP веб-сервера.

  Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.

  Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.

  Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.

По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:

• обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
• регулярно обновлять базы антивируса на таких компьютерах;
• и снабдить их нормальным межсетевым экраном.

Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.

Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?

Черви и вирусы, распространяющиеся благодаря низкой степени защиты браузеров и веб-серверов, вероятно, станут основной угрозой для интернет-пользователей. Такое мнение выразили специалисты в области информационной безопасности, выступая на брифингах конференции Black Hat на прошлой неделе, сообщает сайт Security Focus.

В ходе выступлений эксперты продемонстрировали методы использования JavaScript для сбора информации о пользователях. Эти методы позволяют получать данные о том, какие сайты посещает пользователь, и сканировать внутренние сети. Кроме того, эксперты показали, как с помощью технологии AJAX можно создавать вредоносные программы для хищения персональной информации о пользователях.

Все эти угрозы — не теория. С ними уже сталкивались пользователи ресурсов MySpace и Yahoo!, заявил главный эксперт компании SPI Dynamics Билли Хоффман (Billy Hoffman): «Это не чистая теория. Это не из академической области. Люди уже пользуются этим».

В прошлом году пользователи ресурса MySpace столкнулись с червем Samy. Эта вредоносная программа, используя JavaScript и AJAX, добавляла в список друзей посетителей MySpace нового пользователя — Samy. Появление этой вредоносной программы спровоцировало ожидание других червей, способных заражать компьютеры посетителей сайтов. И такие черви появились. В июне в почтовой службе Yahoo! распространялся червь Yamanner, который собирал адреса пользователей и отправлял их создателям вредоносной программы. «Мы прошли путь от пустого развлечения на MySpace до сбора почтовых адресов с их последующей продажей спамерам менее чем за 8 месяцев», — отметил Хоффман.

Описанные выше атаки — лишь первый признак того, что нас ожидает, считает основатель и технический директор компании WhiteHat Security Джеремия Гроссман (Jeremiah Grossman). «Мы вернулись к первым дням появления почтовых вирусов, когда люди экспериментировали, чтобы увидеть, что они могут сделать», — сказал Гроссман. Он продемонстрировал метод, позволяющий выявить, какие популярные сайты посещала потенциальная жертва вирусописателя. Гроссман также показал, каким образом, используя JavaScript и не используя уязвимости в программном обеспечении, можно сканировать внутреннюю сеть. «Теперь нам не нужно взламывать операционную систему — все, что нужно — это онлайн-атака», — отметил эксперт.

По сообщению Yahoo! количество аккаунтов, попавших под атаку почтового червя Yamanner, приближается «всего лишь» к двумстам миллионам.

Примечателен новый червь тем, что для активации вредного кода от пользователя не требуется совершения каких-либо действий, помимо открытия письма в веб-интерфейсе Yahoo Mail. Когда пользователь открывает письмо, исполняется скрипт, рассылающий червя на все адреса из адресной книги пользователя, в которых домен соответствует @yahoo.com либо @yahoogroups.com.

Помимо этого, открывается заданная веб-страница (в настоящий момент не функционирует), а адресная книга зараженного аккаунта отсылается на заданный сервер.

Очевидно, что функционал невинный. Два «но»:

• по некоторым особенностям кода и функционала червя можно судить, что он был написан «на коленке», и автор продолжает активную работу над ним.
• код червя открыт, и добавить к нему несколько более злостных функций не составляет труда.

Каковы признаки зараженного червем сообщения?

Имеющиеся у нас образцы зараженных сообщений имеют тему New Graphic Site и адрес отправителя av3@yahoo.com. Стоит иметь в виду, что эти данные могут быть с легкостью изменены.

Кто находится под ударом?

Все пользователи Yahoo Mail, кроме тех, кто использует сторонние сервисы для получения своей почты через POP3 в автономный почтовый клиент (например, Outlook). Поскольку платформа распространения червя — скриптовый язык JavaScript, поддерживаемый всеми полнофункциональными браузерами, то браузер не играет роли.

Как защититься?

Единственная эффективная защита от червя — полное отключение скриптов в браузере. Однако это делает невозможным использование веб-интерфейса Yahoo Mail.

Yahoo! предпринимает меры для фильтрации почтовых сообщений, использующих данную уязвимость, а также рекомендует переходить на новую тестовую версию почтового программного обеспечения от Yahoo! —Yahoo Mail Beta, для которой данная уязвимость не актуальна.

Наша альтернативная рекомендация — не использовать веб-интерфейсы для чтения почты, но скачивать ее в автономный почтовый клиент.

Чего ждать?

Как всегда, ничего хорошего (шутка). Потенциально уязвим любой почтовый сервис, базирующийся на веб-интерфейсе (например, Google Mail). Функционал любого JavaScript-вируса или червя ограничен лишь количеством патчей, установленных в системе, и в любой момент может расшириться за счет обнаружения новой уязвимости.