У каждого есть свои предпочтения в выборе приложений: любимый браузер, мессенджер, медиаплеер, почтовый клиент и т. д. Многие пользователи настолько привыкли к их использованию в повседневной жизни, что испытывают дискомфорт от отсутствия любимых программ на работе или в институте. В результате пользователи прибегают к использованию портативных приложений, о которых мы и поговорим в этом выпуске.

Портативные приложения, записанные на съемный носитель, весьма удобны – они не требуют установки и могут быть использованы практически в любой среде. Это позволяет пользователю всегда иметь под рукой полный набор любимых инструментов для самых различных действий: от воспроизведения фильмов и музыки до анализа и восстановления системы.

Однако такие приложения тоже могут представлять угрозу ИБ. Пользователи, у которых нет прав локального администратора, не могут устанавливать программы на ПК, но они могут воспользоваться портативными приложениями, не требующими установки, чтобы обойти это ограничение. Поскольку такие приложения мобильны и хранятся на съемных носителях, они могут оставаться незаметными для аудита приложений в локальной сети. Это усложняет задачу расследования инцидентов, связанных с использованием портативных приложений, поскольку важная для расследования информация о съемном носителе и установленном на него ПО часто не доступна сотрудникам ИБ.

Случай из практики

Некая аналитическая компания, занимающаяся обработкой больших объемов персональной информации, предлагала подработку для студентов и неспециалистов в области IT-технологий: пару дней в неделю надо было переносить данные из бумажных анкет в электронные, перепроверять имеющиеся данные на наличие ошибок, обзванивать людей для уточнения информации.

Последнее время к нам в ловушки часто попадают вот такие письма:

В них некто со звучным английским именем просит зарезервировать отель или билеты на самолет для себя и семьи. "Ошиблись адресом," - подумает наивный пользователь, получивший подобное письмо и будет неправ.

Весна уже на исходе, но у спамеров романтическое настроение все еще в разгаре. Среди привычных рассылок, рекламирующих виагру или недорогой отдых, нам все чаще стали встречаться предложения знакомств с юными и привлекательными девушками. Видимо, «прекрасные незнакомки» настроены очень решительно, так как для распространения своих посланий они использовали различные спам-приемы, в том числе и давно известные, но ныне почти не встречающиеся. Например, получателю приходило письмо, которое на первый взгляд могло показаться бессмысленным набором цифр и черточек.

Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.

Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.

Согласно статистике ProlexicTechnologies, в январе-марте 2013 года средняя мощность DDoS-атак повысилась на 718% и составила 48,25 Гб/с. Более того, эксперты отметили тенденцию к росту pps-показателя: в минувшем квартале он достиг 32,4 млн. пакетов в секунду. Этот показатель обычно не учитывается в статистических отчетах, однако атаки с высоким ppsнацелены, в первую очередь, на вывод из строя таких элементов инфраструктуры, как сетевые карты и граничные маршрутизаторы. Справиться с многомиллионным pps-потоком способны лишь самые дорогие устройства, порог остальных заведомо ниже.

Около 25% DDoS-атак, заблокированных Prolexic, составили инциденты мощностью менее 1 Гб/с, в 11% случаев этот показатель превысил 60 Гб/с. Самая мощная DDoS-атака была зафиксирована в марте — 130 Гб/с. Пытаясь противостоять атакам большой мощности, многие операторы сетей и интернет-провайдеры вынуждены зафильтровывать весь трафик на атакуемом IP-адресе, чтобы сохранить работоспособность остальных хостов в сети. Этот способ известен как nullrouting, или blackholing, и весьма неприятен для заблокированного клиента. Что касается, pps-показателя, в 22% случаев он превысил 20 млн., в 26% — опустился ниже 1 млн., что характерно для атак прикладного уровня. Самым «урожайным» месяцем оказался март, на который пришлось 44% квартальных DDoS‑атак.

По данным Prolexic, 76,54% DDoS‑атак были проведены с использованием протоколов 3-го и 4-го уровня, остальные — на прикладном уровне. Наибольшее распространение получили такие типы атак, как SYN flood (25,83%), HTTP GET flood (19,33%), UDP flood (16,32%) и ICMP flood (15,53%).   

Веб-сервис VirusTotal отныне будет проверять на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.

PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.

Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:

• проверка файла с помощью IDS — на данный момент Snort и Suricata;
• извлечение метаданных с помощью Wireshark;
• регистрация DNS-запросов;
• регистрация http-активности;
• извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.

В Испании по запросу голландских властей задержан предполагаемый инициатор недавней DDoS-атаки на антиспамерскую организацию Spamhaus, создавшей большие проблемы в европейском сегменте интернета.

В пресс-релизе прокураторы Нидерландов задержанный значится как «35-летний голландец S.K.». Не исключено, что речь идет о Свене Камфёйсе (Sven Olaf Kamphuis), проживающем в Барселоне владельце голландской хостинг-компании Cyberbunker, чье имя часто фигурирует в черных списках от Spamhaus. Активисты вновь заклеймили Cyberbunker в минувшем марте, после чего на Spamhaus, ее хостера и канальных провайдеров обрушилась мощнейшая в истории DDoS-атака. Ответственность за нее взяла на себя оппозиционерская группа Stophaus, заявление которой озвучил в прессе Камфёйс.

На барселонской квартире задержанного проведен обыск, в ходе которого изъяты компьютерная техника и мобильные телефоны. Ожидается, что в скором времени «S.K.» будет препровожден в Нидерланды. В расследовании данного дела, помимо голландской полиции, принимают участие правоохранительные органы США и Великобритании.

Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Из-за DDoS-атаки на государственный сервис многие голландцы не смогли воспользоваться гражданским ID для оплаты счетов и налоговых сборов.

23 и 24 апреля неизвестные злоумышленники атаковали DigiD – единую систему авторизации в инфраструктуре, обеспечивающей голландским гражданам доступ к государственным сервисам. Простой этого веб-портала обескуражил многих налогоплательщиков: все налоговые декларации в стране уже несколько лет принимаются лишь в электронной форме. По официальным данным, DigiDв настоящее время используют свыше 10 млн. голландцев (численность населения Нидерландов составляет 17 млн.) и более 500 правительственных структур.

Министерство внутренних дел Нидерландов заявило, что в ходе инцидента персональные данные пользователей не пострадали. Полиция и национальный центр кибербезопасности уже проводят расследование.

Апрель для голландцев стал урожайным на DDoS-атаки. В начале месяца варварскому нападению подверглись крупнейший банк Нидерландов ING, авиакомпания KLM и популярная платежная система iDeal. Их веб-сервисы были недоступны по нескольку часов, утечки пользовательских данных не зафиксировано.

Австралийская федеральная полиция обвинила сотрудника IT-компании в проведении хакерской атаки на правительственный сайт. По данным полиции, 24-летний житель Нового Южного Уэльса является самопровозглашенным главарем хактивистской группировки LulzSec. Занимая ответственный пост в компании, специализирующейся в области информационных технологий, он имел доступ к конфиденциальной информации ее клиентов, в том числе правительственных ведомств.

По факту взлома и дефейса сайта возбуждено уголовное дело. Австралийцу придется отвечать по статьям «несанкционированное изменение данных с целью нанесения вреда» и «несанкционированный доступ к защищенным данным либо внесение несанкционированных изменений». В Австралии максимальное наказание за эти правонарушения составляет 10 и 2 года лишения свободы соответственно. Подозреваемый пока отпущен под залог и предстанет перед судом в середине мая.

Судебные процессы в отношении участников LulzSec проходят также в США и Великобритании. Неделю назад в Лос-Анджелесе был оглашен приговор 25-летнему Коди Кретсингеру (Cody Andrew Kretsinger), атаковавшему веб-сайт Sony Pictures Entertainment весной 2011 года. Получив посредством SQL-инъекции доступ к инфраструктуре компании, хакер украл персональные данные десятков тысяч клиентов Sony, которые были впоследствии опубликованы в Сети. Взломщик осужден на 1 год с выплатой пострадавшей стороне компенсации в размере около 606 млн. долларов. Судьба автора последующего, октябрьского взлома сервисов Sony решится в мае.

В том же месяце завершится лондонский процесс о хакерских атаках LulzSec на медиасервисы Sony, 20th Century Fox, News International, а также сайты ЦРУ и британской спецслужбы SOCA. Четверо фигурантов данного дела уже сознались в своих преступлениях.