Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Agent.btz: źródło inspiracji?

Aleksander Gostiew Kaspersky Lab Expert
Dodany 21 marca 2014, 11:22 CET
Tagi:

W ostatnim czasie w branży bezpieczeństwa IT toczyły się szerokie dyskusje na temat kampanii cyberszpiegowskiej o nazwie Turla, znanej również pod nazwą Snake oraz Uroburos, za którą, według ekspertów G Data, mogły stać rosyjskie służby specjalne.   

Badanie przeprowadzone przez BAE SYSTEMS wskazuje m.in. na związek między autorami Turla a twórcami innego szkodliwego oprogramowania, Agent.BTZ, które w 2008 r. zainfekowało lokalne sieci amerykańskich operacji wojskowych na Bliskim Wschodzie.

Po raz pierwszy dowiedzieliśmy się o tej kampanii ukierunkowanej w marcu 2013 roku. Sprawa stała się oczywista, gdy zbadaliśmy incydent, w którym wykorzystano wysoce wyrafinowanego rootkita. Nadaliśmy mu nazwę „Sun rootkit” od nazwy pliku wykorzystywanego jako wirtualny system plików: sunstore.dmp, dostępny również jako \\.\Sundrive1 oraz \\.\Sundrive2. „Sun rootkit” oraz Uroburos stanowią to samo.      

Nadal...


Powrót do Stuxneta: brakujące ogniwo

Aleksander Gostiew Kaspersky Lab Expert
Dodany 11 czerwca 2012, 14:20 CEST

Dwa tygodnie temu, kiedy ogłosiliśmy wykrycie oprogramowania szpiegowskiego Flame, poinformowaliśmy o dużym podobieństwie kodu i stylu programowania Flame’a do platformy Tilded, na której oparte były szkodniki Stuxnet i Duqu.

Postulowaliśmy jednak, że Flame i Tilded są zupełnie odmiennymi projektami, bazującymi na różnych architekturach i posiadającymi różne cechy charakterystyczne. Na przykład, Flame nigdy nie używa sterowników systemowych, podczas gdy głównym sposobem Stuxneta i Duqu na ładowanie modułów do wykonania było wykorzystanie sterownika jądra.

Okazuje się jednak, że byliśmy w błędzie. Błąd polegał na tym, że wierzyliśmy, iż Flame i Stuxnet to dwa, niepowiązane ze sobą projekty. Nasze badanie ujawniło kilka nieznanych wcześniej faktów, które rzucają nowe światło na to, jak Stuxnet został stworzony i jaki jest jego związek z Flamem.

Flame wewnątrz Stuxneta

Przede wszystkim,...


Flame: replikacja przez serwer proxy utworzony w wyniku ataku MITM

Aleksander Gostiew Kaspersky Lab Expert
Dodany 8 czerwca 2012, 12:53 CEST

Szkodliwy program Flame używa do replikacji wielu metod. Najbardziej interesujące wydaje się być wykorzystywanie usługi Microsoft Windows Update, zaimplementowane w trzech modułach szkodnika ("SNACK", "MUNCH" i "GADGET"). Jako części składowe Flame'a, moduły te są łatwo rekonfigurowalne. Zachowanie modułów jest nadzorowane przez globalny rejestr Flame'a - bazę danych, która zawiera tysiące opcji konfiguracji.


SNACK: spoofing NBNS

Moduł SNACK tworzy gniazdo sieciowe RAW dla wszystkich (lub tylko uprzednio zdefiniowanych) interfejsów sieciowych i rozpoczyna odbieranie wszystkich pakietów sieciowych. SNACK poszukuje pakietów NBNS innych komputerów w sieci, które oczekują na swoje nazwy sieciowe. Gdy taki pakiet jest odbierany, zapisywany jest do zaszyfrowanego pliku dziennika (“%windir%\temp\~DEB93D.tmp”) i przekazywany do dalszego przetwarzania.

Kiedy nazwa w żądaniu NBNS pasuje do wyrażenia "wpad*" lub...


W artykule Flame: Pytania i odpowiedzi postulowaliśmy, że wewnątrz Flame'a może nadal istnieć niewykryta luka zero-day:

"Na dzień dzisiejszy nie zaobserwowaliśmy żadnych oznak 0-day; jednak, robak jest znany z zainfekowania przez sieć w pełni zaktualizowanych systemów operacyjnych Windows 7, co może wskazywać na obecność 0-day."

Nasze podejrzenia wzrosły, ponieważ te w pełni zaktualizowane systemy operacyjne Windows 7 zostały zainfekowane przez sieć w bardzo podejrzany sposób.

W tej chwili możemy potwierdzić, że za wspomniane infekcje odpowiada specjalny moduł Flame'a zwany "Gadget", a pomaga mu moduł "Munch".

UWAGA: Ważne jest, aby zrozumieć, że początkowa infekcja Flamem w dalszym ciągu może postępować poprzez luki zero-day. Moduł "Gadget" jest po prostu wykorzystywany do rozprzestrzeniania Flame'a w sieci z maszyny, która aktualnie jest już zainfekowana szkodnikiem.

Moduły "Gadget" i "Munch" implementują...

Dach płonie: walka z serwerami kontroli Flame'a

Aleksander Gostiew Kaspersky Lab Expert
Dodany 5 czerwca 2012, 13:38 CEST

Aleksander Gostiew
Ekspert z Kaspersky Lab

W niedzielę 27 maja 2012 roku irańska grupa powołana do reagowania na zdarzenia naruszające bezpieczeństwo w sieci internet (MAHER CERT) opublikowała notatkę z informacją o odkryciu nowego ataku o nazwie kodowej „Flamer”. W poniedziałek 28 maja 2012 roku o godzinie 15:00 czasu polskiego, po zakończeniu dochodzenia zainicjowanego i wspieranego przez Międzynarodowy Związek Telekomunikacyjny (ITU), Kaspersky Lab i laboratorium CrySyS Lab z Węgier, ogłoszono wykrycie robaka Flame (znanego również jako Skywiper) - wyrafinowanego programu cyberszpiegowskiego, ukierunkowanego na atakowanie komputerów pracujących pod kontrolą systemu Windows na Bliskim Wschodzie.

Kilka godzin później, około godziny 18:00 czasu polskiego, centrum kontroli Flame’a, które operowało od kilku lat, zostało wyłączone.

Przez ostatnie tygodnie eksperci z Kaspersky Lab dokładnie monitorowali...



Jak wspomnieliśmy już w poprzednim artykule dotyczącym Flame'a - objętość kodu szkodnika i liczba jego funkcji jest tak obszerna, że ich kompletna analiza zajmie wiele miesięcy. Planujemy na bieżąco publikować najważniejsze i najbardziej interesujące szczegóły dotyczące funkcji Flame'a, w miarę jak będziemy je odkrywać. Na chwilę obecną otrzymujemy wiele zapytań, jak sprawdzić system pod kątem infekcji Flame'm. Oczywiście naturalną odpowiedzią z naszej strony jest: "użyć rozwiązania Kaspersky Anti-Virus lub Internet Security". Nasze produkty w powodzeniem wykrywają i usuwają wszelkie możliwe modyfikacje głównego modułu szkodnika oraz wszystkich dodatkowych składników Flame'a. Mimo powyższego, na końcu tego artykułu podamy zalecenia i porady dla tych, którzy samodzielnie chcą przeprowadzić szczegółową kontrolę swojego komputera. MSSECMGR.OCX Główny moduł Flame'a jest plikiem DLL zwanym mssecmgr.ocx....

Flame: Pytania i odpowiedzi

Aleksander Gostiew Kaspersky Lab Expert
Dodany 30 maja 2012, 08:12 CEST

Szkodliwe programy Duqu i Stuxnet pokazały niedawno na Bliskim Wschodzie, jak może wyglądać nowe oblicze cyberwojny. W tej chwili odkryliśmy jednak coś, co stanowi chyba najbardziej wyrafinowaną cyberbroń, jaka została wynaleziona do tej pory. Szpiegowski robak, ‘Flame’, przykuł uwagę naszych ekspertów po tym, jak jedna z agencji Organizacji Narodów Zjednoczonych, Międzynarodowy Związek Telekomunikacyjny (ITU), zwróciła się do nas o pomoc w poszukiwaniu nieznanego kodu szkodliwego oprogramowania, które na Bliskim Wschodzie zostało użyte do niszczenia poufnych informacji. Podczas poszukiwania kodu tego szkodnika, któremu nadaliśmy kryptonim Wiper, wykryliśmy nowy egzemplarz szkodliwego oprogramowania - Worm.Win32.Flame.

Chociaż cechy robaka Flame różnią się w wielu punktach od znanych do tej pory zaawansowanych zagrożeń - Duqu i Stuxneta - to geografia ataków i wykorzystanie określonych luk w zabezpieczeniach...