Корпорация Microsoft выпустила патчи для приличного числа уязвимостей в своих программах — всего закрывается 19 дыр. Все выпущенные обновления представлены в шести Бюллетенях безопасности, вышедших в этом месяце (с MS12-071 по MS12-076). Уязвимости в четырех Бюллетенях обозначены как критические, при этом только в двух из них обновления обозначены как требующие срочной установки крупными клиентами, для которых важна совместимость и производительность. Стоит отметить, что Internet Explorer 10 не содержит уязвимостей, указанных в соответствующем Бюллетене, а только что выпущенная Windows 8 содержит очередную ошибку обработки шрифтов, описанную в CVE-2012-2897 и аналогичную той, что использовалась Duqu. Уязвимости, связанные с обработкой шрифтов, представляют особый интерес, поскольку эксплойт, примененный в Duqu, сейчас входит в наборы эксплойтов, предназначенные для организации массовых заражений – вместе с распространенными эксплойтами для Java и Adobe Reader. С помощью этих наборов распространяются троянцы-вымогатели, ZeroAccess и вообще самые разные троянские программы. Хотя Duqu распространялся больше года назад, а патч был выпущен несколько месяцев назад, эксплойты для этой уязвимости по-прежнему включаются в эксплойт-паки и успешно применяются злоумышленниками.

У меня сложилось впечатление, что в последнее время фишинговых атак в социальных сетях стало меньше, чем раньше. Но сегодня, как только я зашёл в Twitter, я заметил, что получил два личных сообщения с очень похожим содержанием.

Первое сообщение пришло два дня назад. Я попытался проверить, ведет ли ссылка на ресурс, распространяющий вредоносное ПО, или на фишинговый сайт, но она была уже неактивна. Поэтому когда я получил второе сообщение, я проверил ссылку сразу же – сейчас, когда я это пишу, фишинговый сайт ещё активен.

По своей структуре сообщения были похожи. Единственное отличие заключалась в выборе сервиса сокращения ссылок (использовались сервисы bit.ly и y.ahoo.it), да ещё в тексте письма было изменено одно слово.

"hey, someone is spreading nasty rumours about you URL"
"hey, someone is spreading terrible rumours about you URL"

После публикации технического описания вредоносной программы Shamoon, в прессе появились сообщения о том, что эта программа связана с атакой на компанию Saudi Aramco.

Присутствующая в теле программы дата и время соответствуют тем, которые были заявлены группой хакеров перед нанесением удара по компании Saudi Aramco как время начала атаки. Однако мы до сих пор не можем с уверенностью сказать, что Shamoon ответствен за ущерб, причиненный компьютерным системам Saudi Aramco.

А на прошлой неделе другая ближневосточная энергетическая компания, RasGas, стала жертвой вирусной атаки, и в прессе логично поставили вопрос о причастности Shamoon и к этому инциденту.

Оставляя догадки другим, мы концентрируемся на технической стороне вопроса. Этот пост является продолжением нашего исследования вредоносной программы Shamoon.

NETINIT.EXE

В основной программе Shamoon имеется ресурс PKCS7:113, содержащий исполняемый файл, который сохраняется на диск как %WINDIR%\System32\NETINIT.EXE. Эта программа является модулем общения с командным центром и запрограммирована на запуск с параметрами. Автор не был чересчур изобретателен и заложил обработку всего двух значений аргумента: '0' и '1'.

Если значение аргумента '0', то программа принимает второй аргумент как данные, которые необходимо отправить в URL с http get-запросом на командный центр. Вредоносная программа единожды соединяется с командным центром и завершает работу. Мы не обнаружили в коде Shamoon функционала по запуску программы netinit.exe с аргументом '0'.

Зато мы обнаружили, что netinit.exe запускается как 'netinit.exe 1'. После запуска программа регулярно соединяется с командным центром, чтобы сообщить о себе и получить команды. Этот цикл завершается, как только другой деструктивный модуль создает файл %WINDIR%\inf\netfb318.pnf, сообщая тем самым, что пришло время зачищать данные и разрушать операционную систему.

Активное использование эксплойтов 0-day для Java, которое наблюдается и предотвращается нами вот уже целую неделю, чересчур активно и опрометчиво обсуждалось в интернете, а некоторые посты в блогах содержали ссылки на ресурсы, обслуживающие эти эксплойты. В действительности, подобное стремление раньше всех высказать свою точку зрения на проблему безответственно (кстати, уязвимости присвоен номер CVE-2012-4681 – проблема обработки контроля доступа в рамках «защитных доменов»). Скажите, вы бы посоветовали беззащитным прохожим идти по темной улице, на которой, как вы точно знаете, орудуют преступники? Или вы все-таки сообщите «куда следует» о местонахождении опасных элементов и, может быть, даже позаботитесь, чтобы улицы вашего района были хорошо освещены? Ну, или как минимум, вы просто предложите прохожему пойти другим маршрутом? В общем, на этот раз все попытки оказались не вовремя и не к месту…

Но так или иначе, первоначально сайты, на которых размещались эксплойты, были единичны и распространяли уже известные компоненты для APT, в том числе версию Poison Ivy. Ниже представлена карта ранней стадии активности компонента Poison Ivy, несколько удивляющая нас результатами:

А это карта фиксирует первые вспышки заражения Java-эксплойтами посредством веб-страниц и Java-скриптов:

Все вредоносные программы данной тематики, которые мне встречались, были нацелены на Windows. Эскплойты эффективны против Java 7. Со времени первых направленных атак информация об эксплойтах и их экземпляры успели попасть в руки специалистов по IT-безопасности, вот только за дело взялись разработчики Metasploit, которые добавили PoC в свою базу. А авторы BlackHole, в свою очередь, добавили эксплойт в свои пакеты COTS. Таким образом, эти атаки сразу стали распространенным явлением. Первыми жертвами команды Blackhole стали Соединенные Штаты, Россия, Беларусь, Германия, Украина и Молдова. Но, поскольку в пакет от Blackhole входят и разные другие эксплойты, удары по пользователям конкретно с помощью 0-day эксплойтов наносятся не всегда. Чаще всего страдают пользователи Internet Explorer, за ними следуют пользователи Firefox, Chrome и Opera, а замыкают список еще несколько приложений, имеющих дело с URL-ссылками внутри своих файлов и в конечном итоге направляющих вредоносные .jar-файлы в Java-клиенты, например, в Adobe Reader.

Для определения вредоносных сайтов и веб-страниц, кода эксплойта и вредоносного контента, получаемого с таких сайтов, мы используем ряд методик и техник. И хотя конкретно этот 0-day для Java становится повсеместно известным, мы все чаще детектируем и блокируем на системах пользователей и эксплойты постарше, также используемые в пакете Blackhole. Таким образом, пользователи «Лаборатории Касперского» так или иначе защищены от сайтов Blackhole и веб-страниц, обслуживающих 0-day эксплойт для Java, а также от взломанных сайтов, перенаправляющих посетителей на сайты Blackhole; от огромного числа предыдущих эксплойтов Blackhole и их сайтов, и от троянцев, получаемых через эти страницы. Ко всему прочему, модуль Kaspersky Advanced Exploit Prevention создает дополнительный уровень защиты против эксплойтов 0-day с помощью "Exploit.Java.Generic".

Лично для меня это дополнение наиболее интересно – авторы эксплойт-паков всегда концентрировались на улучшении серверного полиморфизма эксплойтов Java, а вышеописанная функция предотвращает эти попытки. Таким образом, доступ наших пользователей к сайтам Blackhole полностью блокируется, а с помощью компонента Advanced Exploit Prevention еще и предотвращаются любые попытки работы эксплойта. Отдельные веб-страницы Blackhole детектируются как "Trojan-Downloader.JS.Agent" в нескольких вариациях, бэкдоры детектируются как "Trojan.Win32.Generic" и т.п. (то есть, 61A3CE517FD8736AA32CAF9081F808B4, DEC9676E97AE998C75A58A02F33A66EA, 175EFFD7546CBC156E59DC42B7B9F969, 0C72DF76E96FA3C2A227F3FE4A9579F3). В свою очередь, Java 0day эксплойт выделяется среди других эксплойтов как "HEUR:Exploit.Java.Agent.gen" (то есть E441CF993D0242187898C192B207DC25, 70C555D2C6A09D208F52ACCC4787A4E2, E646B73C29310C01A097AA0330E24E7B, 353FD052F2211168DDC4586CB3A93D9F, 32A80AAE1E134AFB3D5C651948DCCC7D).

Так что, когда на Virustotal вы встретите неизбежные жалобы, что сканер не может найти часть измененного кода, или неточные выводы вроде «Антивирус неисправен!» или «Антивирус этого не детектирует!», не обращайте внимания. Потому что на самом деле вся эта история с массовыми client-side эксплойтами гораздо сложнее и глубже, чем эти жалобы.

В то же самое время, Oracle не мешало бы принять меры и выпустить специальный патч, что они, по традиции, не делают. Может быть случившееся привлечет внимание разработчиков к проблеме усовершенствования процесса обновлений безопасности. Они привлекли хорошие ресурсы, и теперь лед должен тронуться — лучше поздно, чем никогда.

Несколько дней назад мы зарегистрировали новую APT-кампанию, в которой был применен новый вариант бэкдора для MacOS X, нацеленный на уйгурских активистов.

Однако прежде чем перейти к подробностям, предложу вам небольшую викторину:

Далай-лама заходит в магазин Apple Store. Зачем?

Возможный ответ: «Чтобы купить новый компьютер MacBook Pro с дисплеем Retina!» (кстати говоря, я бы тоже купил такой с большим удовольствием, но чем я буду оправдывать дыру в семейном бюджете?).

Шутки шутками, а Далай-лама — известный пользователь компьютеров Mac. Вот фото, на котором он использует Mac во время сеанса конференц-связи:

Глубоко в одном из конфигурационных блоков Stuxnet заложена 8-байтовая переменная, которая содержит некое число, и если это число прочитать как дату, оно указывает на 24 июня 2012 года. А в действительности это день, когда подпрограммы распространения Stuxnet посредством LNK-файлов прекратили работу и перестали заражать USB-носители.

Майкрософт выпустил блок из семи бюллетеней, в которых в общей сложности было исправлено 26 программных уязвимостей. Закрыто несколько брешей, которые делают возможным удалённое выполнение кода, но первоочередными являются обновления для Internet Explorer и Remote Desktop Protocol (RDP). Почти половина из 26 уязвимостей, закрытых в этом месяце, присутствуют в Internet Explorer 6, 7, 8 и 9 — и все они исправлены в бюллетене по безопасности MS12-037.

Протокол RDP не включен по умолчанию в системах Windows, однако закрытая в этом месяце уязвимость, которая делает возможным удалённое выполнение кода, является проблемой для многих компаний, подтверждением чего стала недавняя активность червя Morto. Многие компании испытывают необходимость в RPD, но используют его, зачастую не зная как это делать, или просто не утруждая себя тем, чтобы прятать порт за межсетевой экран, или ограничить доступ, или потребовать только VPN-доступ. Ранее вскрытые уязвимости преаутентификации в RPD должны были научить пользователей осторожности, и народ должен понимать, что лучше было бы этот сервис изолировать. В ближайшие недели мы увидим, воспользовался ли кто-нибудь этой уязвимостью. Установка патча MS12-036 является обязательной для всех ОС: от Windows 2003 до Windows Server 2008 R2 SP 1. Обновление имеет рейтинг «критически важный»: большинство версий ОС Windows Server уязвимы не только к DoS-атакам, но и к удаленному выполнению кода.

На большинстве компьютеров лицензионные Windows-системы с включенным обновлением обновились автоматически.

Обновления можно запустить и вручную, найдя в меню «Центр обновления Windows» и нажав кнопку «Проверка обновлений».

Призрак объявленной ФБР в ноябре 2011 года и надолго затянувшейся операции «Ghost Click», в рамках которой делаются попытки вылечить компьютеры, входящие в ботнет Rove Digital (мы уже писали про эту операцию), по-прежнему не дает покоя интернету и средствам массовой информации. Опубликованные на днях статьи в Forbes и Time снова вывели привидение на передний край. В одном из этих материалов содержалось неверное утверждение о новизне созданного рабочей группой по DNSChanger (DNSChanger Working Group) сайта, посвященного этой вредоносной программе. Операция 2011 года, о которой мы здесь говорим, временные подменные DNS-серверы, поддерживаемые аутсорсером, и задержка с лечением зараженных машин — все это одна и та же история. В этом призраке нет ничего сверхъестественного — так к чему столько слов? Решение федерального судьи, позволяющее ФБР использовать подменные DNS-серверы, в любом случае требует отключить эти серверы в начале июля. Когда эти серверы (принадлежавшие раньше компании Rove Digital) перестанут действовать, обработка DNS-запросов, посылаемых с зараженных компьютеров, прекратится. Девятое июля наступит совсем скоро, а в данный момент продолжается отправка уведомлений по поводу все еще зараженных машин, число которых достигает сотен тысяч в одних только Соединенных Штатах.

Недавно в Швеции мошенники провернули крупную операцию, в результате которой с банковских счетов пользователей было украдено более 1,2 млн. шведских крон (около 177 800 американских долларов). Злоумышленники устанавливали на компьютерах жертв троянскую программу, которая обеспечивала им доступ к зараженным машинам. К счастью, преступников поймали и приговорили к тюремным срокам, но расследование потребовало определенного времени, поскольку в мошеннической схеме было задействовано более 10 человек.

Однако подобные атаки уже не так эффективны, как раньше: последнее время киберпреступники все чаще прибегают к другим методам поиска новых жертв и проведения атак. Уже довольно давно мы сталкиваемся с тем, что они используют взломанные учетные записи в Facebook, чтобы заманить в ловушку друзей владельцев этих аккаунтов. Пользователей обманным путем побуждают выполнять самые разные действия, от перехода по вредоносным ссылкам до перевода денег на банковские счета мошенников.

Интернет полон зараженных компьютеров. По осторожным оценкам, в любой момент времени к интернету подключено более 40 миллионов зараженных компьютеров-жертв и «хостов», используемых для распространения вредоносного ПО. В их числе и традиционные компьютеры, и сетевые устройства, и смартфоны. Это значит, что в Cети очень много ресурсов, представляющих собой рассадники киберпреступности, вирусов, червей, эксплойтов и шпионского ПО. Выдвигалось много предложений о том, как вычистить эти авгиевы конюшни, однако, проблемы сложны, а дежурная очистка занимает гораздо больше времени, чем ожидалось.