Веблог

Двое суток сторонники безопасного интернета наблюдают игру в «кошки-мышки», где главным призом является сотня головных серверов ZeuS, размещенных в Рунете.

9-го марта швейцарские эксперты из ZeuS Tracker, отслеживающие деятельность этого троянца (Trojan-Spy.Win32.Zbot), с удивлением обнаружили, что количество действующих центров управления ботнетами сократилось более чем на треть. Соответственно снизилась и общая активность троянца в Сети: ведь каждый командный сервер ZeuS поддерживает связь с 20-50 тыс. зараженных машин. Среди ушедших в оффлайн командиров был и тот, что помог злоумышленникам обокрасть работяг в штате Кентукки. А со страницы текущей статистики ZeuS Tracker также исчезли шесть российских и украинских хостинг-провайдеров, в сетях которых были размещены эти серверы.

Как позже выяснилось, группа экспертов по интернет-безопасности убедила москвичей – телеоператора «Айхоум» и владельцев нового дата-центра «Оверсан-Меркурий» – отключить интернет-провайдера Troyak, услугами которого, в числе прочих, пользовались 6 упомянутых выше хостинг-провайдеров. Однако на следующий день Troyak нашел нового телеоператора, а когда спустя некоторое время ему и здесь отказали, обратился в RTComm. К вечеру 11-го марта активисты ZeuS Tracker отметили, что большинство отключенных серверов, управляющих троянцем, опять в строю. Это означает, что злоумышленники получили возможность перенести информацию, украденную ZeuS, на более безопасный ресурс и создать резервный центр управления, обновив боты.

Сама компания Troyak в лице некоего Романа Старченко из Казахстана заявила, что временное отсутствие связи с интернетом было вызвано задолженностью администрации по оплате услуг. Организация числится в базе данных WhoIs с ноября 2007 года, а в конце 2009-го зарегистрировала (через Старченко) домен TroyAk.org. Возможно, это простое совпадение, но оформляла домен небезызвестная индийская компания Directi – аккредитованный в ICANN регистратор, пользующийся большой популярностью у спамеров.

Update: утром 12-го марта Troyak был вынужден вновь поменять телеоператора и теперь связан с интернетом через московскую городскую сеть ЭНЛАИН.

События → Заседание продолжается! Юрий Наместников опубликовано 12 мар 2010, 15:26  MSK Сюжеты: Выставки и конференции рейтинг постинга 0.2

А точнее, продолжается наш курс в МГУ. О лекции, состоявшейся во вторник, я могу рассказать не только как зритель, но и как непосредственный участник, а точнее — лектор.

Основной целью лекции было показать, какие концептуальные проблемы стоят перед аналитиками и разработчиками антивирусов. Для начала мы поупражняли свое серое вещество, обсудив различные теоретические вопросы. Возможно ли создание идеального антивируса, детектирующего все вредоносные программы? А возможно ли создание недетектируемого вируса? Это, безусловно, интересные вопросы для затравки, но практика всегда интереснее теории. Я показал цепочку событий из мира вирусов и антивирусов, состоящую из вызовов со стороны вирусописателей и ответов со стороны антивирусных специалистов. Полиморфные движки вредоносных программ и создание эмуляторов специалистами AV-индустрии, противодействие антивирусным программам и разработка технологий самозащиты антивируса — эти и некоторые другие моменты изобразили «гонку вооружений», в которой участвуют вирусописатели и антивирусные вендоры. Ну а чтобы никто не воспринял эти проблемы как чисто теоритические, они были проиллюстрированы примерами из реальной жизни.

После этого у нас осталось еще немного времени, что позволило мне затронуть еще одну важную тему — подход к классификации вредоносных программ. Зачем рассказывать о классификации, спросите вы. Ответ прост — классификация дает нам новые знания. Только верно классифицировав все обработанные вредоносные программы, мы можем строить прогнозы и ориентироваться в неспокойном мире компьютерных угроз. Правильная и строгая классификация позволит нам понять, от чего нужно защищать пользователя и какие технологии нужно развивать именно сейчас.

Исследования → И снова многострадальный Adobe Женя Асеев опубликовано 12 мар 2010, 14:31  MSK Сюжеты: Критические уязвимости, Статистика по уязвимостям рейтинг постинга 0.2

В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.

Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.

В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.

Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.

При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.

К двум годам и семи месяцам тюремного заключения приговорил эстонский суд нераскаявшегося хакера, решавшего свои проблемы посредством DDoS-атак.

Согласно материалам следствия, 44-летний Артур Бойко неоднократно предъявлял свои претензии разным организациям таким незамысловатым способом. Жертвой его вендетты пали сайты страховой компании IF Eesti Kindlustus, которая не нашла оснований для выплаты страховки после автомобильной аварии; ресурсы провайдеров Starman, Microlink Eesti, Elion, а также интернет-портал стран Балтии Delfi. Во время атаки на страховщиков под раздачу попал и сервер безвинного департамента полиции.

В ожидании приговора Бойко уже отсидел в КПЗ год и семь месяцев, так что пребывать в казенном доме ему осталось не так долго. Он также должен будет возместить ущерб пострадавшим в размере 6,5 млн. крон (около 570 тыс. долларов).

По свидетельству F-Secure, осужденный является автором сетевого червя-полиморфика Allaple (в классификации ЛК Net-Worm.Win32.Allaple), который и помог ему осуществлять эти кибердиверсии. Вся беда в том, что этот червь — не бот и не имеет центров управления. Обосновавшись на зараженной машине, он будет выполнять свои задачи, пока его не выгонят. Эксперты утверждают, что детище Бойко осело на тысячах ПК, разбросанных по всему миру, и его заразительное шествие пресечь пока не удалось.

Virus Watch → Хорошего понемножку Джош Филлипс опубликовано 12 мар 2010, 11:58  MSK Сюжеты: Критические уязвимости, Статистика по уязвимостям рейтинг постинга 0.2

Вести о новейшем эксплойте нулевого дня для Internet Explorer разлетелись быстро. Как сообщил Райан Нарейн (Ryan Naraine), к сожалению, эксперт компании McAfee, сам того не желая, раскрыл слишком подробную информацию об уязвимости, используемой эксплойтом, что привело к нежелательным последствиям. Сделано это было в попытке рекламы качества защиты от данного эксплойта, обеспечиваемой его работодателем.

Результатом этого стало немедленное создание модуля PoC Metasploit, что сделало возможным широкое распространение эксплойта, который ранее применялся только в целевых атаках. Как следствие, эксплойт стал угрожать всем пользователям версий 6 и 7 браузера Internet Explorer.

Какая именно информация была раскрыта? Для меня это интересный вопрос, поскольку я часто сталкиваюсь с выбором, что следует придавать огласке, а что нет. Выясняется, что эксперт сообщил лишь список имен файлов, связанных с атакой, и название домена, с которым соединялось вредоносное ПО.

Публиковать подобную информацию в блогпосте — вполне разумная идея, не так ли? Ведь специалистам, создающим сигнатуры для систем предотвращения вторжений (IDS), полезно знать используемые вредоносными программами URL-адреса, а другим антивирусным экспертам могут помочь имена файлов, используемых в ходе атаки.

Возникает закономерный вопрос: какую именно информацию можно безбоязненно сообщать? Никакую? Мне, как техническому специалисту, неприятно, когда автор скрывает все существенные данные, относящиеся к угрозе; эксперт McAfee, очевидно, хотел заинтересовать подобных мне людей.

Хочу предложить следующий простой принцип для специалистов, пишущих об актуальных угрозах: если домены, используемые для размещения экслойтов, на момент написания являются действующими, то не следует публиковать связанные с этими эксплойтами URL-адреса или имена файлов, поскольку Google зачастую позволяет легко найти соответствующие страницы.

Значит ли это, что экспертам не следует обмениваться ключевой информацией об актуальных угрозах? Конечно, нет — мы постоянно это делаем. Но при этом данные не становятся достоянием широкой общественности — существует масса безопасных способов сообщить коллегам подробную информацию об актуальных угрозах.