Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich

Igor Sołmenkow
Dodany 24 kwietnia 2013, 15:03 CEST
Tagi:

Dnia 12 lutego 2013 r. firma FireEye ogłosiła wykrycie exploita 0-day dla aplikacji Adobe Reader, który był wykorzystywany do wdrażania nieznanego dotychczas, zaawansowanego szkodliwego oprogramowania. Nadaliśmy temu nowemu oprogramowaniu nazwę „ItaDuke”, ponieważ przypominało nam ono Duqu, oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Wcześniej pisaliśmy o innej kampanii, uderzającej w rządy i różne instytucje, zwanej „MiniDuke”, która również wykorzystywała exploity PDF z wersetami z „Boskiej komedii”. W międzyczasie wpadliśmy na trop innych ataków, które używały tego samego kodu exploitów wysokiego poziomu, z tą różnicą, że tym razem celem byli aktywiści ujgurscy.

Wraz z naszym partnerem, laboratorium AlienVault, podjęliśmy się analizy tych nowych exploitów. Artykuł specjalistów z AlienVault, zawierający...


MiniDuke: wektor infekcji poprzez WWW

Igor Sołmenkow
Dodany 24 kwietnia 2013, 14:27 CEST
Tagi:

Wraz z naszym partnerem, laboratorium CrySyS Lab, wykryliśmy dwa nowe, dotychczas nieznane, mechanizmy infekcji wykorzystywane przez MiniDuke'a. Te nowe wektory infekcji bazują na podatnościach w Javie i Internet Explorerze.

Podczas inspekcji jednego z serwerów centrum kontroli (C&C) MiniDuke'a natrafiliśmy na pliki, które nie są powiązane bezpośrednio z kodem C&C, lecz wydają się być przygotowane pod kątem infekcji podatnych użytkowników za pośrednictwem internetu.

Strona hxxp://[nazwa_hosta_centrum_kontroli]/groups/business-principles.html jest wykorzystywana jako punkt początkowy ataku. Składa się ona z dwóch ramek: jednej do ładowania wabiącej strony z legalnej witryny internetowej (skopiowanej zhttp://www.albannagroup.com/business-principles.html) i drugiej – wykonującej złośliwe działania (hxxp://[nazwa_hosta_centrum_kontroli]/groups/sidebar.html).


Kod źródłowy strony „business-principles.html”

...


Potwierdzono istnienie botnetu Flashfake Mac OS X

Igor Sołmenkow
Dodany 6 kwietnia 2012, 08:14 CEST
Tagi:

4 kwietnia Dr.Web poinformował o wykryciu botnetu Flashback (Flashfake) dla systemu Mac OS X. Według informacji tej firmy, szacowany rozmiar botnetu wynosi ponad 500 000 zainfekowanych Maków.

Przeprowadziliśmy analizę najnowszego warianta tego bota, którym jest Trojan-Downloader.OSX.Flashfake.ab.

Trojan ten jest rozprzestrzeniany za pośrednictwem zainfekowanych stron internetowych jako applet Java, który podszywa się pod aktualizację dla Adobe Flash Playera. Następnie Aplet Java wykonuje downloadera pierwszego etapu, który następnie pobiera i instaluje główny komponent trojana. Głównym komponentem jest trojan downloader, który nieustannie łączy się z jednym z swoich serwerów command-and-control (C&C) i czeka na pobranie i wykonanie nowych komponentów.

Bot lokalizuje swoje serwery C&C według nazw domen generowanych przy użyciu dwóch algorytmów. Pierwszy algorytm opiera się na bieżącej dacie, drugi...


Tajemnica Szkieletu Duqu

Igor Sołmenkow
Dodany 12 marca 2012, 12:47 CET
Tagi:

Podczas analizy komponentów Duqu odkryliśmy interesującą anomalię w głównym komponencie odpowiedzialnym za jego logikę biznesową – szkodliwą funkcję (Payload DLL). Chcielibyśmy podzielić się naszymi odkryciami i poprosić o pomoc w zidentyfikowaniu kodu.

Struktura kodu

Na pierwszy rzut oka Payload DLL wygląda jak zwykły plik Windows PE DLL skompilowany przy użyciu Microsoft Visual Studio 2008 (wersja linkera 9.0). Kod punktu wejścia jest całkowicie standardowy, jest też jedna funkcja eksportowana przez liczebnik porządkowy 1, która również wygląda jak MSVC++. Funkcja ta jest wywoływana z PNF DLL i w rzeczywistości stanowi „główną” funkcję, która implementuje całą logikę kontaktowania się z serwerami C&C, otrzymując dodatkowe moduły funkcji szkodliwej oraz wykonując je. Najciekawsze jest to, w jaki sposób logika ta została zaprogramowana i jakie wykorzystano narzędzia.

Sekcja kodu Payload...