Наконец-то Twitter отменил возможность базовой аутентификации для сторонних приложений, введя обязательную авторизацию по протоколу OAuth для всех приложений, — давно пора. Это событие должно порадовать всех, кто заботится о безопасности своей учетной записи на Twitter.

Таким образом, закрывается потенциальная уязвимость в процессе предоставления доступа считывания/записи сторонним приложениям, что могло привести к взлому учетной записи на Twitter. Теперь это исключено. Вам больше не нужно сообщать имя пользователя и пароль сторонним разработчикам, если вы хотите использовать их приложение в своем аккаунте на Twitter.

Меня всегда интересовали вопросы безопасности, и я приветствую переход Twitter на OAuth. Это позволяет мне использовать приложение без необходимости сообщать имя пользователя и пароль на Twitter неизвестно кому. Также честь и хвала всем разработчикам, которые вовремя обновили свои приложения и сделали это максимально безболезненно для большинства пользователей.

Однако не стоит забывать, что OAuth не обеспечивает защиту от локальных атак, т.е. от кражи паролей непосредственно с компьютеров пользователей. При входе на Twitter убедитесь, что ваш компьютер не заражен. Также предлагаю вашему вниманию свое краткое руководство на сайте Threatpost, How to Avoid Getting Your Twitter Account Hacked («Как избежать хакерской атаки на Twitter-аккаунт»), где можно найти дополнительные советы по безопасности.

Packed — особый тип детектируемых объектов, используемый для определения зловредных файлов, защищенных вредоносным упаковщиком. Главная цель вредоносного упаковщика — максимальное усложнение детектирования на различных уровнях. Модификация Packed.Win32.Katusha.n появилась в конце мая 2010 года. Ее характерным признаком стала оперативная техническая поддержка: детектирование вирусописатели пытаются сбивать в течение кратчайшего времени после выхода свежих антивирусных баз.

Динамика распространения Packed.Win32.Katusha.n

Как видно на графике, обновления данного упаковщика происходили с завидной периодичностью — им соответствуют пики на кривых. Также можно установить, что на одну зараженную систему приходилось в среднем по три вредоносные программы.

Конечная цель выполнения большинства зловредных упаковщиков — передать управление на исходный код упакованной вредоносной программы после его расшифровки. Katusha.n имеет довольно необычный способ получения адресов зашифрованного кода и ключа. С этой целью упаковщик ищет в системных библиотеках определенные сигнатуры и выбирает на некотором расстоянии от них всегда фиксированные на любых системах 4 байта (длина адреса на 32-х битных системах).

Затем к выбранным 4-м байтам добавляется заранее вшитое в код значение — и результат используется как адрес. Главная цель этих действий — обойти слабую эмуляцию и подложные библиотеки. Библиотеки специально выбираются различные (например, SHELL32.DLL, GDI32.DLL, VERSION.DLL).

После упаковщик выделяет память, куда копирует собственный зашифрованный код, и дешифрует его парой xor key/add key. Адрес ключа также получается динамически вышеуказанным способом. В ранних версиях использовалась тройная расшифровка каждых 4-х байт данной парой, затем разработчики оставили лишь одну:

После этого управление передается на расшифрованный код в выделенной памяти. В первую очередь там происходит восстановление импортов по хэш-функциям их имен:

После идет второй уровень расшифровки уже исходного кода обработанной вредоносной программы, который осуществляется в несколько приемов:

Затем управление передается на оригинальный код.

Несколько слов о том, как была реализована обфускация. Первые версии были разбавлены легко узнаваемыми «мусорными» инструкциями.

Затем инструкциями, которые немного отличались от первоначальных:

Однако уже через 5 дней создатели вредоносной программы отказались от данного способа.

В последних версиях вирусописатели постарались разбросать функциональный код упаковщика в разные функции, а также разделить его большим количеством более осмысленных бесполезных инструкций.

Данный упаковщик продолжает развиваться, реализуя новые способы обхода текущего детектирования. Судя по завидной периодичности выхода обновлений, можно предположить, что Katusha.n создан на заказ с условием техподдержки. Стоит отметить еще один интересный факт — иногда после выхода свежего обновления детектирования создатели останавливали на время распространение Packed.Win32.Katusha.n и распространяли с тех же сайтов Trojan.Win32.Monder.

Определить перспективы развития упаковщика непросто. Предполагаю, что рано или поздно его создатели ввиду нерентабельности постоянной поддержки уже столь изученной текущей версии приступят к созданию новой.

В настоящее время все продукты «Лаборатории Касперского» успешно находят и удаляют существующие версии Packed.Win32.Katusha.n. Детектирование новых версий добавляется в базы в кратчайшие сроки.

На прошлой неделе наблюдалась массированная рассылка предложений купить дешевые копии дорогих часов (+17,3%), доля которых составила пятую часть всего потока спама. Лидирующая рубрика «Медикаменты; товары/услуги для здоровья» заметно сдала позиции (-4,9%). Также уменьшились доли тематик «Компьютерное мошенничество»(-4,3%) и «Реклама спамерских услуг» (-5,4%).

Пятерка лидирующих тематик:

• Медикаменты; товары и услуги для здоровья — 28,3% (-4,7%)
• Реплики элитных товаров — 20,9% (+17,3%)
• Образование — 13,0% (-1,8%)
• Компьютерное мошенничество — 7,0% (-4,3%)
• Реклама спамерских услуг — 5,3% (-5,4%)

Доля спама в почтовом трафике русскоязычного сектора интернета на прошлой неделе в среднем составила 81,3%.

Интересные новости появились в продолжение истории о троянских программах SMS-блокерах (Winlock и т.д.). Данный зловред (вернее, его многочисленные варианты) блокировали работу Windows и требовали отправки SMS на платный короткий номер для снятия блокировки. Этакий модный сейчас интернет-рэкет.

Итак, дело дошло до Генеральной прокуратуры, негодяев подозреваемых локализовали, изолировали (вроде бы) и скоро будут судить в Москве.

Всего «доход» мошенников оценивается в 790 тыс.руб. (25К у.е.). Помимо этого, был нанесен и непрямой ущерб: неизвестное количество домашних и корпоративных машин было убито, что иногда требовало полной переустановки софта и восстановления данных с бэкапа.

Но я не совсем о факте раскрытия, арестах и прочем. Я о результатах, вернее — о возможных вариантах завершения этого дела.

Итак, это далеко не первое «компьютерное» дело в России. Да, воруют, да, иногда ловят. Да, иногда судят. И судят, как и в этом случае, не только по «компьютерной» 273-й статье УК РФ («Создание, использование и распространение вредоносных программ для ЭВМ»), но и по более «взрослым» статьям, например «Мошенничество», ст. 159 , по которой можно и до десятки схлопотать, если «группой лиц» и «в особо крупном размере».

Так вот, если в случае преступлений подобного масштаба (сотни тысяч рублей), совершенных «в реале», преступников ждёт гарантированная отсидка — то вот с компьютерными преступлениями всё наоборот весьма и весьма шоколадно. Не знаю, чем там «мотивируются» судьи, но часто и за гораздо более серьёзные суммы киберкриминал в России (да и не только) получает весьма щадящие условные сроки (например, дело об ATM-трояне). Или судьям жаль «компьютерных мальчиков», или они не считают настоящими «интернет-деньги», а интернет-преступность не считают преступностью — не знаю... Только вот что-то мне подсказывает, что дело опять закончится «условно-досрочным ничем». И ко мне снова придёт А. со словами «мы, похоже, не тем бизнесом занимаемся», а опера и следователи привычно выматерятся и пойдут пить водку... (кстати, демотивация у них полная после условных сроков, которые получают их «подопечные»).

Вот я и думаю открыть тотализатор и начать принимать ставки. На тему — чем именно закончится суд над Винлокерами.

1. Ничем. Оправдают.
2. Два года условно.
3. Три года условно.
4. Один год отсидки.
5. Два+ года отсидки.

Я ставлю на троечку.

P.S.: А сегодня пришло продолжение истории. В рамках расследования этого уголовного дела к делу привлекается и «крупнейший контент-провайдер».

P.P.S.: Новости продолжают приходить с каждой минутой и теперь история приобретает более впечатляющий размах. В Москве были арестовано 10 человек. Злоумышленники действовали около года и, по оценкам сотрудников милиции, получили незаконный доход, превышающий более 500 млн рублей.

Все мы знаем, что объектом атак киберпреступников становится всё, до чего они могут дотянуться. Мы в «Лаборатории Касперского» знаем также и то, что многие системные администраторы не слишком беспокоятся о безопасности своих интернет-ресурсов. Печально, но факт: спросите рядового сисадмина, надежно ли защищены его серверы. В ответ получите: «Да ладно! Кому нужен мой SQL-сервер?»

Несколько месяцев назад мы установили в нашем японском исследовательском центре в Токио новую «ловушку» www.mwcollect.org. «Ловушка» используется в основном для сбора вредоносных исполняемых файлов Windows, с чем она достаточно хорошо справляется, эмулируя шелл-код при обнаружении сетевых эксплойтов. Кроме того, при использовании «ловушки» для «прослушивания» всех портов мы получаем статистику (а также неожиданные данные) по разным сетевым портам хоста, имеющего глобальный IP-адрес.

На графике показано количество атак и нежелательных соединений на отдельных портах нашего сервера. Здесь приведены десять наиболее часто используемых злоумышленниками портов, но даже самый редко атакуемый порт в этом списке (порт 1130) получает порядка шестнадцати нежелательных соединений в день. Вот таблица сервисов, стандартно использующих каждый порт:

Надеюсь, этого вполне достаточно, чтобы доказать вам, что в интернете все-таки есть те, кому нужен ваш SQL сервер (и кое-что еще…). Данные, приведенные выше, показывают, что в Сети полным-полно мальчишей-плохишей, которые ищут лазейки в незащищенных хостах. Кто-то из них пытается найти машины, на которых установлен Backdoor.Win32.Noknok, другие пытаются взломать легитимные сервисы, такие как Radmin и Windows Remote Desktop.

Хотите знать, кто именно ведет охоту на плохо защищенные ресурсы? Вот еще один график, показывающий, сколько соединений с нашей «ловушкой» производится ежедневно из разных стран:

Задержитесь на минутку и сравните этот график с предыдущим! Вы увидите, что количество MSSQL-атак коррелирует с количеством атак, исходящих из Китая. А недавно к этой массированной атаке на сервис MSSQL присоединились и южнокорейские хосты.

«Ловушка» помогает нам получить ценную информацию, которую мы изучаем и анализируем. Кроме того, это достаточно недорогое развлечение. Мы используем для «ловушки» компьютер с процессором Pentium III 500 МГц и 384 Мб ОЗУ, который в наши дни стоит, наверное, меньше $100. Поэтому, если вы собираетесь выбросить старый медленный компьютер, подумайте лучше о том, чтобы установить на него «ловушку»!