Wiaczesław Zakorzewski
29 grudnia 2015 Nie można być niepodatnym na ataki, ale można być dobrze chronionym Wiaczesław Zakorzewski 16 marca 2012 Mediyes - dropper z ważną sygnaturą Wiaczesław Zakorzewski 28 października 2011 Branża fałszywych programów antywirusowych wciąż żyje i ma się nieźle Wiaczesław Zakorzewski 6 kwietnia 2011 Chiński bootkit Wiaczesław Zakorzewski 23 grudnia 2010 Szkodliwy dodatek do odsyłacza do Faceboooka Wiaczesław Zakorzewski 28 lipca 2010 Zbot i luka CVE2010-0188 Wiaczesław Zakorzewski |
Luki w zabezpieczeniach oprogramowania to jeden z tych problemów, które mogą potencjalnie dotknąć wszystkich użytkowników. Luka to błąd w implementacji programu, który może zostać wykorzystany przez osoby atakujące w celu uzyskania nieautoryzowanego dostępu do danych, wstrzyknięcia szkodliwego kodu lub spowodowania awarii systemu. W większości przypadków, luki wynikają z pominięcia jakichś szczegółów na etapie projektowania, nie zaś z błędów w programowaniu. Czasami system może wydawać się praktycznie niepodatny na ataki na etapie projektowania, później jednak, w którymś momencie, powstaje nowa technologia i hakerzy udowodniają, że taki system można skutecznie zaatakować. Dobrym przykładem jest DES – algorytm szyfrowania z symetrycznym kluczem, który został opracowany w 1975 r. i był w owym czasie uważany za niezawodny. Jednak w 1990 roku został złamany w ciągu 39 dni przy użyciu ogromnej sieci komputerowej. Stworzony w 1998 r. superkomputer zdołał złamać DES w ciągu mniej niż trzech dni.
Ciągłe testowanie popularnego oprogramowania w celu zidentyfikowania luk w zabezpieczeniach oraz publikowanie łat w celu usunięcia zidentyfikowanych luk stanowi część normalnego cyklu życia programu. Im bardziej wyrafinowany i popularny program, tym większe szanse, że luka zostanie wykryta.
Poszukiwanie luk w zabezpieczeniach
Większość twórców próbuje niezwłocznie usunąć wszystkie luki znalezione w ich produktach. Sami analizują swoje oprogramowanie lub wykorzystują do tego ekspertów zewnętrznych. Jednak na luki polują również zewnętrzni badacze. Niektórzy robią to po to, aby poprawił się ogólny poziom bezpieczeństwa online. Innym płacą za szukanie luk w zabezpieczeniach. Jeszcze inni wolą sprzedawać informacje na temat wszelkich wykrytych luk na czarnym rynku.
Robią to, ponieważ informacje dotyczące nowych luk są niezwykle cenne dla cyberprzestępców. Jeśli badacz znajdzie dziurę w systemie i udowodni, że można ją wykorzystać w praktyce (tzn. jeśli napisze exploita), może zarobić na czarnym rynku dziesiątki tysięcy dolarów. Istnieje cały sektor cyberprzestępczego podziemia, który specjalizuje się w znajdywaniu i sprzedawaniu luk w zabezpieczeniach.
Na szczęście, biznes ten nie działa na skalę masową. Jedną z przyczyn jest to, że nie wszystkie luki mogą być wykorzystane w realny świecie. Często niezbędna jest kombinacja różnych warunków, aby mogła zostać wyrządzona realna szkoda, a szanse na wystąpienie takiej kombinacji nie są zbyt duże. Drugą przyczyną jest to, że aby napisać skutecznego exploita, programista musi posiadać duże umiejętności, a takich nie istnieje wielu.
Analizy
Blog
W trakcie naszych badań nad różnymi rodzajami szkodliwych programów dla systemu OS X firmy Apple natknęliśmy się na interesujący problem w przeglądarce internetowej Safari firmy Apple. Safari, podobnie jak wiele innych przeglądarek, wyposażone jest w funkcję przywracania poprzedniej sesji. Innymi słowy, wszystkie strony, które były otwarte w poprzedniej sesji przeglądarki – nawet te, które wymagają uwierzytelniania – mogą zostać ponownie otwarte w kilku prostych krokach. Wygodne? Oczywiście. Bezpieczne? Niestety nie.
Aby przeglądarka mogła wiedzieć, co było otwarte na końcu poprzedniej sesji, odpowiednie informacje muszą być gdzieś przechowywane. Oczywiście, dane takie powinny znajdować się w miejscu, które nie jest łatwo dostępne dla każdego i powinny być zaszyfrowane.
Safari jednak nie szyfruje tych informacji, a do tego przechowuje je w pliku LastSession.plist (jest to typowy format plików dla systemu OS...
Analizy
Blog
Zidentyfikowano liczne pliki droppera z podpisami o różnych datach od grudnia 2011 do 7 marca 2012 r. We wszystkich tych przypadkach został użyty certyfikat wydany dla szwajcarskiej firmy Conpavi AG. Firma ta współpracuje ze szwajcarskimi organami rządowymi, takimi jak samorządy miejskie czy kantony.
Informacje o sygnaturze cyfrowej programu Trojan-Dropper.Win32.Mediyes
Nie znamy jeszcze dokładnego źródła szkodnika Trojan-Dropper.Win32/Win64.Mediyes, mamy jednak przesłanki, aby przypuszczać, że jest on instalowany na komputerach przy pomocy exploitów.
32-bitowy dropper przechowuje swój własny 32-bitowy sterownik – którego nazwa zaczyna się od ‘HID’ – w folderze sterowników...
Analizy
Blog
Od czerwca 2011 roku obserwujemy znaczący spadek liczby fałszywych programów antywirusowych. Obecnie każdego dnia odnotowujemy 10 000 prób infekowania użytkowników szkodnikiem Trojan-FakeAV; jeszcze w czerwcu ilość ta kształtowała się na poziomie 50-60 000.
Pomimo spadku nadal pojawiają się nowe wersje tego typu szkodliwego oprogramowania. Niedawno do listy najpopularniejszych szkodliwych programów została dodana nowa rodzina: Trojan-FakeAV.Win32.OpenCloud.
Powyższy zrzut ekranu pokazuje, jak fałszywy program antywirusowy zidentyfikował standardowe pliki wykonywalne systemu Windows – w tym notepad, wmplayer, paint, calc, explorer itd. – jako “szkodliwe”. W ten sposób fałszywy antywirus ujawnia swoją obecność. Co ciekawe, szkodnik wspomina...
Pobrany przez trojana bootkit Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego, a dokładniej zapisuje oryginalną...
Analizy
Blog
Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.
Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u= link,...
Analizy
Blog
Zdziwiło mnie, że nie natknęliśmy się na te pliki wcześniej, więc postanowiłem przyjrzeć się statystykom dotyczącym luki CVE-2010-0188.
Statystyki dla exploita wykorzystującego lukę CVE-2010-0188 dla 2010 r.
Z wykresu wynika, że szkodliwe oprogramowanie wykorzystujące lukę CVE=2010-0188 zaczęło się aktywnie rozprzestrzeniać pod koniec czerwca. Do tego czasu było raczej mało rozpowszechnione. Być może twórcy wirusów potrzebowali kilku miesięcy, aby stworzyć exploity dla nowej luki w produkcie Adobe – kto wie?
Po bliższym przyjrzeniu się okazało się, że głównym celem PDF-a było pobranie i uruchomienie kolejnego...
Analizy
Blog