Новости из мира IT - безопасности

Тема в разделе "Курилка", создана пользователем Petrovic, 19 июн 2015.

  1. Petrovic

    Petrovic Ветеран Команда форума Модератор

    Регистрация:
    30 янв 2015
    Сообщения:
    550
    Симпатии:
    714
    Баллы:
    93
    В Chromium выявлен факт скрытой загрузки бинарного исполняемого компонента
    Разработчики проекта Debian обратили внимание на недопустимое поведение браузера Chromium, который начиная с 43 сборки начал без уведомления пользователя загружать непонятное дополнение "Chrome Hotword Shared Module", поставляемое в виде бинарного файла. Дополнение начинает загружаться сразу после первого запуска браузера, при этом загруженный компонент не отображается в списке установленных дополнений (chrome://extensions/), а в настройках не предусмотрено опции для отключения данного поведения.

    Предполагается, что дополнение обеспечивает работу сервиса голосового управления "Ok Google", но сам факт скрытой загрузки непонятного исполняемого бинарного файла вызывает большие опасения и является значительным нарушением правил поставки пакетов в репозиториях Debian. В настоящее время разработчики Debian рассматривают целесообразность присвоения данной проблеме статуса уязвимости. Также разбирается ситуация, как загрузка бинарного компонента осталась незамеченной сопровождающими, формирующими пакеты для Debian. Провести полный аудит закрытого бинарного дополнения достаточно трудоёмкая задача, поэтому остаётся вероятность, что в такие дополнения могут быть интегрированы бэкдоры, которые могут контролировать действия пользователей (например, в дополнении Hotword постоянно включен захват звука, что можно использовать не только для анализа голосовых команд, но и для организации прослушивания).

    Определить наличие дополнения можно через просмотр секции Shared Module в выводе "chrome://voicesearch", а отключить дополнение можно лишь удалив директорию "Extensions/lccekmodgklaepjeofjdjpbminllajkg/". Выпущенное на днях обновление пакета Chromium для Debian содержит исправление, блокирующее загрузку бинарного модуля. В остальных дистрибутивах, судя по всему, Chromium 43 продолжает загружать бинарный модуль.

    Разработчики проекта Chromium прокомментировали наличие модуля тем, что он не активируется без явного включения опции "Enable Ok Google" в настройках chrome://settings. Т.е. модуль только загружается, но не выполняется без одобрения пользователя (на деле, модуль помечается активным даже при выключенной поддержке Ok Google, см. скриншоты ниже). Отсутствие в списке установленных дополнений объясняется тем, что внутренние модули не выводятся в этом списке. Бинарный характер дополнения связан с реализацией модуля с использованием технологии Native Client и применением проприетарного алгоритма распознавания речи, код которого не является открытым. В ответ на критику разработчики Chromium уже добавили специальный сборочный флаг, запрещающий предварительную загрузку модуля.
    Подробнее
     
    don108, Alex0n75 и grinyaulis нравится это.
  2. Petrovic

    Petrovic Ветеран Команда форума Модератор

    Регистрация:
    30 янв 2015
    Сообщения:
    550
    Симпатии:
    714
    Баллы:
    93
    При помощи Windows Update можно взламывать компьютеры
    Автоматическое обновление софта от Microsoft позволяет злоумышленникам заражать ПК троянцами, таковы результаты исследования, проведенного британской компанией Context.

    По словам экспертов, корпоративные сети могут быть скомпрометированы через Windows Server Update Services (WSUS), который помогает системным администраторам координировать апдейты софта для серверов и компьютеров своей организации. ПО умолчанию при инсталляции WSUS предполагает использование HTTP, а не SSL-зашифрованный HTTP. Эксплуатируя этот недостаток, исследователи из Context сумели получить права на установку фаейковых автоматических обновлений.
    Благодаря этим опасным апдейтам, в систему удастся загрузить все, что пожелает злоумышленник, – троянца или любое другое вредоносное ПО. Специалисты подчеркивают, что угроза актуальна для любого компьютера под управлением Windows, который получает обновления через сервер WSUS, использующий не HTTPS.

    Проблема в том, что Microsoft предлагает HTTPS как опцию, и большинству компаний необходимо провести дополнительные манипуляции, чтобы начать использовать HTTPS для WSUS, объясняют исследователи. Они уверены: если сисадмин не совершил этот шаг, то скомпрометировать сети очень легко. Соответственно, компаниям необходимо проверить действующую у них политику в отношении WSUS.

    Впрочем, специалисты Context считают, что Microsoft для усиления безопасности необходимо использовать отдельный сертификат.
    news.softodrom.ru
     
    don108 нравится это.
  3. Petrovic

    Petrovic Ветеран Команда форума Модератор

    Регистрация:
    30 янв 2015
    Сообщения:
    550
    Симпатии:
    714
    Баллы:
    93
    В госорганах России обнаружены программные закладки американских спецслужб
    В информационных системах органов государственной власти России находятся программные средства иностранных технических разведок. Об этом заявил Секретарь Совета безопасности России Николай Патрушев. Он призвал к усилению мер защиты информации в России.

    Закладки иностранных разведок
    Секретарь Совета безопасности России Николай Патрушев, ранее занимавший должность директора ФСБ, заявил об обнаружении в информационных системах органов государственной власти программных средств иностранных технических разведок, передает ТАСС. Он не уточнил, закладки каких именно зарубежных спецслужб имеет в виду.

    Увеличение числа кибер-атак
    Секретарь Совбеза отметил, что «сегодня специалисты фиксируют заметное увеличение числа компьютерных атак на информационно-телекоммуникационные сети и информационные системы органов государственной власти». Это, наряду с обнаружением следов спецслужб в программном обеспечении, требует совершенствования системы защиты информации в России, добавил он.

    Критика использования Google, Yahoo и WhatsApp
    Патрушев также раскритиковал чиновников за то, что они пользуются американскими сервисами Google, Yahoo и WhatsApp, и потребовал от губернаторов принять меры для решения этой проблемы.

    «Сотрудниками органов государственной власти Хабаровского края использовались возможности целого ряда зарубежных информационно-телекоммуникационных сервисов, таких как Google, Yahoo, WhatsApp и иных. Это системный вопрос для всей России, но на Дальнем Востоке он стоит особенно остро», — передает ТАСС слова Патрушева.

    Секретарь Совбеза отметил, что использование чиновниками для решения служебных вопросов ресурсов, расположенных за рубежом, представляет серьезную опасность. «Прошу глав регионов округа обратить на эти вопросы особое внимание и принять соответствующие меры», — заявил он.

    Формальный характер мер защиты
    Вопрос усиления мер информационной защиты в органах государственной власти поднимался неоднократно. Однако в большинстве субъектов РФ (как, например, в Красноярске) организационно-распорядительные акты, в которых прописаны меры по защите информации, носят формальный характер, констатировал Патрушев.

    Комментарий Николая Никифорова
    В марте 2014 г. министр связи и массовых коммуникаций Российской Федерации Николай Никифоров заявил, что американские «силовики» сами ставят крест на дальнейшем использовании программного и аппаратного обеспечения из США в госсекторе России. Такую реакцию министра вызвала статья, опубликованная газетой Wall Street Journal. В ней было написано о провале американской разведки, которая не смогла узнать о готовящемся «захвате Крыма».

    Жучки АНБ во всем мире
    В январе 2014 г. в Сеть попал список жучков, которые Агентство национальной безопасности (АНБ) США устанавливает в оборудование связи различных производителей, в том числе идущее на экспорт заказчикам в других странах. В марте 2014 г. выяснилось, что АНБ установила жучки в корпоративную сеть крупнейшего китайского производителя оборудования связи Huawei, что позволяло спецслужбам получать доступ к разговорам топ-менеджеров компании и узнавать принципы работы ее решений. В октябре 2013 г. стало известно, что АНБ прослушивало телефонные разговоры 35 лидеров стран мира, включая канцлера ФРГ Ангелы Меркель
     
    don108 и BassD нравится это.
  4. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    В БОЛЬШИНСТВЕ АНТИВИРУСОВ НАШЛИ ДЫРЫ, КОТОРЫЕ УПРОЩАЮТ ВЗЛОМ

    Исследователи из компании enSilo нашли шесть серьёзных проблем с безопасностью, свойственных пятнадцати продуктам таких компаний, как AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все они напрямую связаны с методами перехвата вызывов других процессов, которые используют антивирусы и средства виртуализации.

    В enSilo обнаружили уязвимости, когда изучали, каким образом различные приложения используют технологию под названием hooking и внедряют свой код в другие процессы, чтобы перехватывать, отслеживать и модифицировать выполняемые ими системные вызовы.

    Эта технология широко применяется антивирусами для того, чтобы следить за вредоносным поведением приложений. Кроме того, hooking используют для защиты от эксплойтов, виртуализации, мониторинга производительности и сэндбоксинга.
    Некоторые дыры, найденные enSilo, позволяют полностью обойти средства защиты Windows и других программ от эксплойтов. В результате злоумышленники получают возможность эксплуатировать такие уязвимости, которые в другом случае были бы труднодоступны, а то и недоступны вовсе.

    Другие дыры могут привести к тому, что вредоносная программ останется незамеченной или сможет внедрять собственный код в любые программы, запущенные на компьютере жертвы.

    Некоторые компании, упомянутые в отчёте enSilo, уже устранили замеченные ошибки, но рассчитывать на скорое решение всех проблем не приходится.

    Поскольку в список уязвимых продуктов входит Microsoft Detour, в enSilo полагают, что под удар попали сотни тысяч пользователей. Уязвимость в Detour остаётся неисправленной по меньшей мере восемь лет. Ожидается, что её устранят в августе.

    Источник
     
    yan_nemiroff, svytoi, grinyaulis и 2 другим нравится это.
  5. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Зловред в придачу: «Лаборатория Касперского» раскрыла еще один способ распространения банковского троянца Lurk – через легитимное ПО

    Эксперты «Лаборатории Касперского» выяснили, что нашумевший троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin. Злоумышленники использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.

    По данным «Лаборатории Касперского», банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты «Лаборатории Касперского» проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.

    Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные. Об этом инциденте «Лаборатория Касперского» также проинформировала Ammyy Group.

    1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, «охотившийся» за персональной информацией пользователей. Как и во всех предыдущих случаях, после сообщения от «Лаборатории Касперского» Ammyy Group удалила зловреда со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.

    «Использование легитимного ПО для распространения зловредов – крайне эффективная техника киберпреступников. Ведь выбирая программы от известных разработчиков и скачивая их из официальных источников, пользователи даже и не подумают, что вместе с нужным им ПО они в придачу могут получить какие-либо вредоносные вложения. Таким образом, злоумышленники гораздо легче получают доступ к интересующим их устройствам, а количество жертв при подобном способе заражения увеличивается в разы», – поясняет Василий Бердников, антивирусный аналитик «Лаборатории Касперского».

    Защитные продукты «Лаборатории Касперского» детектируют все обнаруженные на сайте ammyy.com зловреды как Trojan-Spy.Win32.Lurk и Trojan-PSW.Win32.Fareit и блокируют их. Эксперты компании рекомендуют организациям проверить свои корпоративные сети на наличие этих вредоносных программ.

    Подробнее о том, как киберпреступники использовали легитимное ПО Ammyy Admin для распространения троянца Lurk, читайте в отчете «Лаборатории Касперского»: Lurk: опасность там, где ее не ждешь.

    Детальный разбор функций и особенностей банковского троянца Lurk можно найти здесь:Банковский троянец Lurk: специально для России.

    Источник
     
    svytoi и grinyaulis нравится это.
  6. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    В ПРОДУКТАХ APPLE НАЙДЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ, ОЧЕНЬ ПОХОЖАЯ НА STAGEFRIGHT

    Все наверняка хорошо помнят проблему Stagefright, которой подвержены устройства на базе Android. Она позволяет скомпрометировать девайс, попросту отправив на него вредоносное MMS-сообщение. Теперь очень похожая уязвимость угрожает и пользователям устройств Apple. Баг CVE-2016-4631 обнаружили сотрудники Cisco Talos, и они сообщают, что проблема распространяется практически на все продукты Apple: OS X (теперь macOS), iOS, tvOS и watchOS.

    Об уязвимости рассказал исследователь Cisco Talos Тайлер Бохан (Tyler Bohan), назвав проблему «в высшей степени критической». Проблема действительно очень «созвучна» Stagefright: атакующие могут скомпрометировать систему жертвы, попросту отправив ей вредоносное изображение по почте, посредством iMessages или MMS-сообщения. Также атака сработает, если вредоносная картинка будет размещена на сайте злоумышленников, или будет передана при помощи любых других приложений.

    Проблема сопряжена с тем фактом, что многие продукты Apple попытаются автоматически обработать полученное изображение и создать для него превью. На этом этапе происходит сбой в работе с пространством памяти, что позволяет атакующему выполнить вредоносный код, встроенный в изображение, и перехватить контроль над устройством. Исследователь отмечает, что даже если атакующий сразу не получит в системе высокие привилегии, у него будет возможность повысить права, что в итоге все равно приведет к практически полной компрометации устройства.
    Кроме того, исследователь обнаружил и описал проблемы, связанные с обработкой файлов OpenEXR (CVE-2016-4629, CVE-2016-4630), Digital Asset Exchange (CVE-2016-1850) и BMP (CVE-2016-4637).

    18 июля 2016 года разработчики Apple устранили описанные уязвимости в iOS, представив версию 9.3.3, также исправившую 42 других бага. Патчи также были выпущены для tvOS (9.2.2), watchOS (2.2.2) иEl Capitan (v10.11.6).

    Источник
     
    Последнее редактирование: 22 июл 2016
    svytoi нравится это.
  7. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Появилась утилита, снимающая шифрование трояна-вымогателя Bart

    Аналитик антивирусной компании AVG Якуб Крустек разработал бесплатную утилиту, которая восстанавливает файлы, закодированные трояном-вымогателем Bart.

    Bart — это относительно новая вредоносная программа. Первая кампания по распространению этого трояна стартовала в конце июня. Спам со ссылками на него рассылал ботнет Necurs, в прошлом участвовавший в распространении Dridex и Locky (с последним Bart связывают многие общие черты).

    Поразив компьютер жертвы, Bart упаковывает файлы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал. После этого он требует у пользователя три биткоина (около 129 тысяч рублей) и восстанавливает файлы только после уплаты выкупа.

    Поскольку Bart обходится без крипто, ему не нужен командный сервер для хранения ключей от файлов жертвы. За счёт этого он может работать автономно и причинять вред даже в тех случаях, когда доступа к интернету нет. Его нельзя заблокировать при помощи прокси, как некоторые другие трояны-вымогатели.

    [​IMG]

    Утилита, которую разработал Якуб Крустек, определяет пароль путём сравнения файла, над которым уже поработал Bart, и его оригинала. Как правило, это не проблема: хотя бы один из закодированных файлов наверняка сохранился в почте, бэкапах или другом источнике.

    После запуска декриптор AVG запрашивает пару файлов для анализа. Кроме того, нужно показать ему, где лежат остальные документы, испорченные трояном-вымогателем. Об остальном программа позаботится сама.

    Источник
     
    yan_nemiroff, svytoi и Softservice нравится это.
  8. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Данные почти 800 000 игроков популярного шутера Warframe продаются на черном рынке

    Кооперативный тактико-стратегический шутер Warframe является весьма популярной игрой. Благодаря тому, что Warframe доступен на PC, Playstation 4 и Xbox One, а также в силу своей бесплатности, игра давно и прочно укрепилась в топ-20 самых популярных игр в Steam. Эксперт в области информационной безопасности и владелец агрегатора утечек «Have I Been Pwned?» Трой Хант (Troy Hunt) сообщил, что в даркнете продают базу данных, содержащую информацию почти о 800 тысячах игроков.


    Хант рассказал журналистам издания Vice Motherboard, что обнаружил утечку данных в начале июля. Также он предоставил редакции образец данных для анализа и проверки. Журналисты связались с разработчиками игры, компанией Digital Extremes, и те подтвердили, что информация подлинная.
    Выяснилось, что сайт Wareframe был взломан еще в ноябре 2014 года. В Digital Extremes подчеркнули, что среди похищенных злоумышленниками данных не было паролей от игровых аккаунтов или парольных хешей. Также злоумышленники не похищали никаких данных об игровых аккаунтах пользователей и их личные данные, такие как настоящие имена и фамилии, физический адрес или платежную информацию. Фактически скомпрометированы были только email-адреса пользователей, их юзернеймы и даты создания аккаунтов.

    Представители Digital Extremes заверили журналистов, что относятся к безопасности пользователей очень серьезно. Так, Drupal давно был заменен собственной кастомной системой компании, которая, к тому же, не хранит никакой информации об аккаунтах пользователей, чтобы избежать возможных утечек в будущем. (facepalm)

    Источник
     
    svytoi и yan_nemiroff нравится это.
  9. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Сноуден разработал чехол для смартфона, следящий за утечками информации

    Эдвард Сноуден и хакер-железячник Эндрю Хуан по кличке «Банни» предложили конструкцию чехла, следящего за информацией, которую передаёт смартфон. Разработку продемонстрировали на мероприятии лаборатории медиа Массачусетского технологического института (MIT Media Lab).

    [​IMG]

    Чехол, получивший название Intospection Engine, содержит миниатюрный компьютер, работающий автономно от смартфона, за которым следит. У него есть собственная батарея и дисплей, показывающий статус мониторинга.

    Это сделано сознательно. Весь смысл чехла в том, что телефону доверять нельзя. Авторы проекта пишут, что при желании можно купить вредоносные программы, которые способны, ничем не выдавая себя, активировать телефонные радиомодули. В таких условиях полагаться на телефон так же неразумно, как «позволять пьяному решать, достаточно ли он трезв, чтобы садиться за руль».

    Чехол мониторит активность различных радиокомпонентов мобильного телефона и сообщает, если после включения авиарежима телефон продолжает испускать радиосигналы, тем самым выдавая расположение своего обладателя.

    [​IMG]

    Устройство следит за статусом сотового модуля iPhone, а также GPS, Wi-Fi и Bluetooth. Чтобы определить расположение и спецификации антенн, создатели чехла руководствовались инструкциями по ремонту iPhone. Антенну NFC, которую использует Apple Pay, они рекомендуют отключить.

    Прототип, который разработали Сноуден и Хуанг, подходит только к iPhone 6, но в будущем они рассчитывают добавить поддержку других мобильных телефонов.

    Источник
     
    svytoi и yan_nemiroff нравится это.
  10. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Вымогатель PowerWare старательно копировал Locky, но его шифрование все равно взломали

    Начиная с самых первых версий, вымогатель PowerWare пытался замаскироваться под представителя других семейств малвари. К примеру, ранее он уже имитировал CryptoWall и TeslaCrypt. Исследователи Palo Alto Networks сообщают, что теперь шифровальщик имитирует поведение Locky, однако не слишком успешно: специалисты сумели взломать его шифрование и представили бесплатный инструмент для расшифровки данных.

    Впервые шифровальщик PowerWare был замечен экспертами компании Carbon Black в марте текущего года. Тогда исследователи сделали вывод, что вредонос представляет собой более комплексную версию вымогателя PoshCoder, известного еще с 2014 года.

    Как уже было сказано выше, авторы PowerWare пошли по пути наименьшего сопротивления, и их вредонос стал подражать сначала CryptoWall, а позже TeslaCrypt. Еще в марте текущего года вымогатель выдавал себя за одну из версий TeslaCrypt, однако недавно разработчики данного шифровальщика свернули все свои операции и переключились на другую малварь. Создателям PowerWare тоже пришлось найти себе новый «образец для подражания» и их выбор пал на Locky, который на данный момент является одним из наиболее активных и опасных шифровальщиков в мире.

    Так как PowerWare предпочитает скрываться в тени более известных угроз, наиболее последняя версия PowerWare подменяет расширение зашифрованных файлов на .locky, слово в слово копирует сообщение Locky с требованием выкупа, и даже сайт, через который жертвы вымогателя должны производить оплату, выглядит практически аналогично сайту Locky.

    На специалисты Palo Alto Networks доказывают, что скопировать текст и дизайн сайта – это далеко не самое главное. PowerWare использует для работы шифрования PowerShell и алгоритм AES-128, но малварь не генерирует случайные ключи и не отправляет их на сервер злоумышленников. Оказалось, что вместо этого единый ключ жестко прописан прямо в коде шифровальщика.

    Обнаружив эту особенность малвари, исследователи смогли написать скрипт на Python, который жертвы могут запустить через Windows CLI и расшифровать свои данные.

    [​IMG]
    Скрипт Palo Alto Networks в работе

    Также эксперты Palo Alto Networks и AVG пишут, что авторы PowerWare явно не делали упор на качество кода и не пытались создать надежный шифровальщик. Так, малварь использует очень простой алгоритм и шифрует только первые 2048 байт каждого файла. Аналитики AVG отмечают, что такая же ситуация наблюдалась и в случае более ранних версий вымогателя, когда он еще не выдавал себя за Locky.

    Источник
     
    svytoi и yan_nemiroff нравится это.
  11. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Роскомнадзор заблокировал ресурсы крупнейшего поставщика SSL-сертификатов

    В список запрещенного контента попали сайты компании Comodo.

    Основываясь на решении Октябрьского районного суда Ставрополя от 2013 года, Роскомнадзор внес в реестр запрещенных сайтов ресурсы компании Comodo. Компания является крупнейшим поставщиком SSL-сертификатов в мире, а также производителем программного обеспечения, в том числе бесплатного антивируса и брандмауэра. Под блокировку попали ресурсы центра сертификации, технические домены и IP-адреса, позволяющие обеспечивать проверку подлинности сертификата.

    Согласно комментарию следящего за деятельностью Роскомнадзора эксперта, пожелавшего остаться анонимным, возможно, адреса Comodo попали в список заблокированных 1,5 тыс. ссылок из некой большой выгрузки, поскольку маловероятно, что все эти адреса могли быть перечислены в рамках одного решения.

    «Может быть они запускали приложение и мониторили, куда от него идет трафик. Так они внесли в реестр уйму прямых IP и ссылок на CDN CloudFlare и Akamai. […] Это же объясняет попадание сегодня в реестр Zeoinsight, службы сбора статистики использования мобильных приложений, а именно URL с какой-то служебной информацией. Эдак они и Google Analytics могут запросто по ошибке внести», - сообщает источник.

    По словам одного из читателей Роскомсвободы, Роскомнадзор сам является клиентом Comodo. Компания выдает SSL-сертификаты подсайтам ведомства, включая реестр запрещенного контента.

    Согласно комментарию пресс-секретаря Роскомнадзора Вадима Ампелонского корреспондентам TJournal, ссылки на Comodo уже удалены из реестра, но их попадание в список не было ошибкой. «Внесенные в реестр URL использовались для передачи данных нелегального online-тотализатора. В связи с устранением нарушений ссылки исключены из реестра», - заявил Ампелонский.

    Источник
     
    svytoi нравится это.
  12. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Вымогатель CTB-Faker использует защищенные паролем архивы вместо шифрования

    [​IMG]

    Аналитики Bleeping Computer и компании Check Point обнаружили малварь CTB-Faker, которая маскируется под более известное семейство шифровальщиков CTB-Locker. Это не первый подражатель обнаруженный специалистами, совсем недавно был найден вымогатель PowerWare, который старательно выдавал себя за другого вредоноса (Locky). Как и в случае PowerWare, код CTB-Faker не отличается качеством, похоже авторы малвари вообще решили сэкономить время, так что вместо надежного алгоритма шифрования здесь используются обыкновенные архивы, защищенные паролями.

    Специалисты пишут, что на сегодняшний день CTB-Faker распространяется преимущественно через сайты для взрослых, на которых посетителям предлагают заплатить за просмотр приватного танца. Здесь жертву обманом вынуждают скачать ZIP-архив, который содержит исполняемый файл малвари.

    [​IMG]
    Распространение CTB-Faker

    Как только пользователь «распакует архив», CTB-Faker начнет медленно и неумолимо перемещать файлы жертвы в защищенный паролем архив Users.zip, лежащий в корневом каталоге диска C. Для этих целей вредонос использует обычный WinRAR. Как только процесс перемещения данных завершен, вымогатель инициирует перезагрузку компьютера, а после перезапуска системы отображает сообщение с требованием выкупа. Это сообщение полностью копирует сообщение вымогателя CTB-Locker, то есть подражатель стремится походить на свой прототип по максимуму, также как и в случае с PowerWare и Locky. Очевидно идея злоумышленников заключается в том, что погуглив «CTB-Locker», пользователь испугается больше, узнав, что он пал жертвой распространенной и опасной угрозы, от которой нельзя спасти данные.

    Специалисты Bleeping Computer сумели установить, что такая тактика работает. На данный момент авторы CTB-Faker заработали уже порядка 577 биткоинов, то есть около $381 000. По приблизительным подсчетам экспертов, выкуп заплатили около 7200 пользователей.

    Хотя в сообщении с требованием выкупа утверждается, что CTB-Faker использует в работе комбинацию алгоритмов SHA-512 и RSA-4096, на самом деле шифровальщик применяет стандартное шифрование AES-256, которое используется для создания архивов WinRAR.

    Исследователи обнаружили, что ключ шифрования (WinRAR пароль) был жестко закодирован в исходном исполняемом файле, который пользователи скачивали с сайта для взрослых. То есть данные можно извлечь и без оплаты выкупа. Эксперт Bleeping Computer Лоренс Абрамс сообщил, что он готов помочь всем жертвам шифровальщика восстановить информацию, если у них на руках остался этот исходный файл.

    Источник
     
    svytoi нравится это.
  13. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Новый метод обхода UAC в Windows 10 позволяет подключить вредоносную DLL-библиотеку

    [​IMG]

    Метод не предполагает использование копии файла с привилегиями или внедрение кода.

    Исследователи Мэтт Гребер (Matt Graeber) и Мэтт Нелсон (Matt Nelson) обнаружили новый способ обхода функции Контроля учетных записей в Windows, предназначенной для предотвращения несанкционированных изменений в компьютере.

    Новая атака работает на устройствах под управлением Windows 10, и в отличие от остальных подобных методов, не детектируется решениями по безопасности, поскольку не предполагает использование копии файла с привилегиями или внедрение кода. Греберу и Нелсону удалось обойти UAC, используя сложный, многоэтапный процесс, в конечном итоге позволяющий подключить вредоносную DLL-библиотеку и запустить ее на системе с повышенными привилегиями.

    Проанализировав ряд установленных по умолчанию задач в планировщике Windows 10, исследователи выяснили, что один из процессов (SilentCleanup) может запускаться непривилегированным пользователем, но исполняться с повышенными правами. Как пояснили эксперты, файл SilentCleanup связан с утилитой Disk Cleanup или Cleanmgr.exe. При запуске cleanmgr.exe права процесса автоматически повышаются до максимального уровня, что связано с установленными настройками в конфигурации задачи.

    После запуска утилита Disk Cleanup создает новую папку GUID в C:\Users\\AppData\Local\Temp, куда копируется несколько DLL-файлов, а также dismhost.exe. Запустившись dismhost.exe. начинает в определенном порядке выгружать файлы DLL из папки C:\Users\\AppData\Local\Temp\ <guid>. Поскольку текущий пользователь имеет доступ с правом на запись к директории %TEMP%, вполне возможно подменить DLL, используемый процессом dismhost.exe.

    Исследователи представили свои наработки специалистам Microsoft, однако в компании отметили, что механизм Контроля учетных записей не относится к функциям безопасности и, соответственно, данная проблема не может рассматриваться как уязвимость.

    Источник
     
  14. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    КОМПАНИЯ VIRTUOZZO ПРЕДСТАВИЛА ПЛАТФОРМУ VIRTUOZZO 7 НА БАЗЕ НОВОГО ЯДРА LINUX

    [​IMG]

    Разработчики Virtuozzo представили новую версию своей платформы виртуализации для сервис-провайдеров.Virtuozzo 7 позволяет запускать приложения или сервисы в контейнерах, а также поддерживать работу гипервизоров. В дополнение к этому Virtuozzo поддерживает различные инструменты управления, к примеру, OpenStack или специально разработанных платформ.

    В состав новой платформы входит обновленное ядро последней версии CentOS (3.10+), которое гарантирует большие уровни стабильности и производительности, сохраняя приверженность Virtuozzo к использованию ПО с открытым исходным кодом. Также в этой версии разработчики представили новую функцию ReadyKernel™, которая позволяет моментально применять обновления ядра без перезагрузки системы, обеспечивая тем самым сохранение доступности самых чувствительных и критически важных приложений вместе со своевременным применением практик информационной безопасности.

    К наиболее важным особенностям Virtuozzo 7 были отнесены:
    • оптимизированная версия KVM с переработанным гипервизором на базе системы KVM с открытым кодом обеспечивает повышенные параметры плотности, производительности и безопасности;
    • возможность обновления ядра без перезагрузок вместе с ReadyKernel;
    • поддержка корпоративного уровня в режиме 24×7;
    • более 200 различных улучшений, включая средства резервного копирования, готовые системы обеспечения высокой доступности и оптимизированное управление памятью, которое позволяет превзойти результаты CentOS KVM на 33% по части производительности;
    • дополнительная поддержка Docker, включая новый плагин для системы хранения;
    • Virtuozzo Storage работает быстрее Ceph – самой популярной программно-определяемой платформы хранения – опережая
    • разработку с открытым кодом вплоть до 10 раз на идентичном оборудовании;
    • расширенная поддержка Windows, добавленная к возможностям KVM, позволяет заказчикам запускать нагрузки Linux и Windows с идентичными возможностями и единым уровнем стабильности.
    Также компания заявляет, что стоимость Virtuozzo 7 по-прежнему весьма привлекательна. Так, по данным самой компании, Virtuozzo 7 предлагает решение со стоимостью владения в три раза ниже, чем для разработок с открытым кодом и в пять раз ниже, чем для частного ПО и популярных коммерческих гипервизоров. Подробности о различных вариантах поставки и лицензирования можно найти на официальном сайте продукта.

    Источник
     
  15. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    В Google Play обнаружено Android-приложение, похищающее фото и видео пользователей

    Программа похищает контент папок /DCIM/Camera и /DCIM/100LGDSC/ и отправляет данные на удаленный web-сервер.

    Специалисты компании Symantec обнаружили в online-каталоге Google Play вредоносное Android-приложение, предназначенное для кражи фото и видео со смартфонов жертв. Программа HTML Source Code Viewer позиционируется как инструмент для разработки, однако на самом деле похищает контент папок /DCIM/Camera и /DCIM/100LGDSC/ и отправляет данные на удаленный web-сервер.

    Как выяснилось в ходе анализа, на сервере хранится огромный массив персональных медиафайлов, собиравшийся по крайней мере с марта 2015 года. Данная информация может использоваться в различных целях: для шантажа, атак с использованием вымогательского ПО, хищения личности и пр., отмечают эксперты.

    Согласно данным сервиса Whois, сервер, на который отправляется информация, расположен в Азербайджане. На момент обнаружения вредоносного приложения, его скачали 5 тыс. раз. Эксперты Symantec проинформировали о проблеме компанию Google, в настоящее время программа уже удалена из магазина.

    Источник
     
    BassD и grinyaulis нравится это.
  16. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    САЙТЫ ОТСЛЕЖИВАЮТ ПОЛЬЗОВАТЕЛЕЙ ЧЕРЕЗ СОСТОЯНИЕ БАТАРЕИ

    Исследователи из Принстонского университета, Стив Инглхард (Steve Engelhard) и Арвинд Нараянан (Arvind Narayanan), рассказали, как один из элементов HTML5, Battery Status API, используется для слежки за пользователями.

    Суперкуки, малварь, специальные приложения? Зачем, когда еще в 2015 году исследователи из Стэнфорда доказали, что следить за пользователем можно, полагаясь на данные об использовании батареи в телефоне. Теперь похожее исследование представили специалисты из Принстона, которые обнаружили, что Battery Status API может использоваться для выяснения, на какие сайты заходит пользователь.

    Battery Status API, впервые представленное в составе HTML5, в настоящее время является частью браузеров Firefox, Chrome и Opera. Исходно предполагалось, что API позволит владельцам сайтов видеть уровень заряда батарей ноутбуков, планшетов или смартфонов посетителей. По идее, опираясь на эти данные, владельцы сайтов могли бы создать более энергоэффективную версию ресурса, которая помогала бы экономить заряд батарей пользователей.

    О том, что данный инструмент может использовать совсем не по прямому назначению, еще в 2015 году предупреждали (PDF) исследователи Лёвенского католического университета и национального исследовательского института Франции. Тогда эксперты писали, что API позволяет присвоить пользователю псевдоуникальный идентификатор, основывающийся на скорости разрядки батареи (в секундах) и уровне заряда (в процентах).

    Но тревога специалистов осталась практически незамеченной, а теперь ситуация ухудшилась. Вышеупомянутые исследователи из Принстона, Стив Инглхард и Арвинд Нараянан, представили доклад (PDF), в котором рассказали, что обнаружили два скрипта, которые отслеживают пользователей посредством Battery Status API. Первый скрипт собирает данные о текущем уровня заряда и комбинирует эти данные с локальным IP-адресом пользователя и другими уникальными параметрами. Второй скрипт собирает данные о текущем уровня заряда, статусе батареи и времени, оставшемся до перезарядки или разрядки устройства.

    Один из французских исследователей, работавших над докладом в прошлом году, на этой неделе опубликовал сообщение в блоге. Он уже видел новый доклад, представленный коллегами, и пишет, что индустрия уже обратила внимание на Battery Status API:
    Эксперт явно недалек от истины, так как пару месяцев назад глава отдела экономических исследований компании Uber Кит Чин (Keith Chen) сообщил, что компания следит за уровнем заряда устройств пользователей, так как если батарея почти на нуле, клиент готов заплатить за такси практически любые деньги, до 9,9 раз больше, чем обычно.

    Источник
     
  17. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    УЯЗВИМОСТИ QUADROOTER УГРОЖАЮТ 900 МИЛЛИОНАМ УСТРОЙСТВ НА БАЗЕ ANDROID

    О различных проблемах устройств, работающих на базе железа Qualcomm, эксперты говорили неоднократно. На этот раз специалисты компании Check Point рассказали на конференции DEF CON 24 сразу о четырех новых уязвимостях, которые присутствуют на устройствах с чипсетами Qualcomm. Эти проблемы получили единое название QuadRooter и угрожают 900 миллионам устройств на платформе Android.

    Обнаруженным багам были присвоены следующие идентификаторы: CVE-2016-2503 (обнаружена в драйвере Qualcomm GPU, исправлена с выходом Android Security Bulletin в июле 2016 года), CVE-2016-2504 (еще один баг в драйвере Qualcomm GPU, исправлен в августе 2016 года), CVE-2016-2059 (проблема в модуле ядра Qualcomm, устранена в апреле 2016 года, но статус патча неизвестен), CVE-2016-5340 (уязвимость в драйвере Qualcomm GPU, исправлена, но статус патча неизвестен).

    Все обнаруженные уязвимости могут использоваться хакерами для получения полного контроля над устройствами и для доступа к конфиденциальным личным и корпоративным данным. При помощи QuadRooter злоумышленники также могут отслеживать набор с клавиатуры, местонахождение пользователя по GPS, записывать видео и аудио.

    Все уязвимости были обнаружены в программных драйверах, которые Qualcomm поставляет вместе со своими чипсетами. Хакер может эксплуатировать данные баги через вредоносное приложение. Таким приложениям не потребуются специальные разрешения владельца смартфона, поэтому их действия не вызовут подозрений. По оценкам экспертов, в опасности находятся около 900 миллионов устройств, включая следующие модели:
    • Samsung Galaxy S7 & S7 Edge
    • Sony Xperia Z Ultra
    • Google Nexus 5X, 6 & 6P
    • HTC One M9 & HTC 10
    • LG G4, G5 & V10
    • Motorola Moto X
    • OnePlus One, 2 & 3
    • BlackBerry Priv
    • Blackphone 1 & 2
    Специалисты Check Point создали бесплатное приложение для поиска уязвимости QuadRooter, которое можно установить через Google Play.

    [​IMG]

    Майкл Шаулов, глава отдела управления мобильными продуктами Check Point Software Technologies, прокомментировал:
    Подробности о QuadRooter и полный отчет о багах опубликованы на официальном сайте Check Point.

    Источник
     
    grinyaulis нравится это.
  18. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    Bleeping Computer подал в суд на разработчика антивирусной утилиты Spyhunter

    Портал Bleeping Computer подал встречный иск против Enigma Software, вендора антивирусных решений, который ранее обвинил ресурс в намеренном разрушении репутации утилиты Spyhunter

    В феврале этого года Enigma Software, разработчик программы Spyhunter, подал иск против технического портала Bleeping Computer, который помимо прочего предлагает услуги помощи в устранении заражений на компьютерах, вызванных троянами-вымогателями, и делает обзоры антивирусных программ.

    Острая реакция Enigma Software
    Enigma в своем иске указывала, что Bleeping намеренно опубликовал необъективный отзыв о продуктах компании на форуме в пользу другого продукта, который рекламировался на сайте.

    [​IMG]

    Дело еще не завершено, но большинство людей, знакомые с ситуацией, отмечают, что автором отзыва является модератор волонтерского форума Bleeping Computer, который ответил на вопросы о трех инструментах борьбы с вредоносными программами (тема, в который был оставлен отзыв называется "spyhunter vs malwarebytes vs iobit"). Это вызвало острую реакцию Enigma Software, даже несмотря на то что, что аргументы модератора были подкреплены ссылками.

    Многие наблюдатели назвали поданный иск смешным, потому что модератор не является работником Bleeping Computer и высказывал свое собственное субъективное мнение. Тем не менее, Enigma подал в суд на портал.

    Bleeping Computer обвиняет Enigma Software в черном пиаре и клевете
    Спустя шесть месяцев после иска Enigma, владелец ресурса Лоренс Абрамс опубликовал подробности о состоянии дел и объявил о подаче встречного иска, в котором он делает ряд серьезных обвинений.

    Согласно содержанию иска после того, как компания Enigma подала в суд на Bleeping, она начала проводит клеветническую кампанию.

    В заявлении утверждается, что Enigma Software и ее агенты тайно зарегистрировали домены и создали сайты, использующие торговую марку Bleeping. Bleeping считает, что Enigma использует эти сайты, чтобы связать их бренд с вредоносными программами.

    Enigma якобы скопировала содержимое сайтов Bleeping Computer, но скрыла это от реальных пользователей, оставив ресурсы видимыми только для поисковых систем, чтобы повысить позиционирование поддельных сайтов в выдаче.

    [​IMG]

    Более того, в новом иске упоминается, что данные сайты используются для продвижения утилиты Spyhunter и для классификации Bleeping продуктов Rkill и Unhide в качестве вирусов.

    Некоторые из доменов были упомянуты в иске: bleepingcomputerregistryfix.com, adware.bleeping.computer.remover.getridofspywareonphone.com и browser.hijack.bleeping.computer.virus.spywareremovalfreetrial.com. Если визуально просмотреть сайты, становится ясно, что они используются для продвижения Spyhunter с помощью торгового знака Bleeping Computer.

    Поисковый запрос "Spyhunter review" в англоязычном Google выдает одним из топовых результатов негативный обзор программы на форуме сайта Bleeping Computer, что объясняет неприязнь Enigma Software и вероятно, и стало причиной умышленной SEO-кампании.

    Представители популярного ресурса Softpedia, решили разобраться в деталях, и отправили официальный запрос в Enigma Software, но компания отказалась от комментариев.

    Источник
     
  19. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    ПОДОЗРИТЕЛЬНЫЙ ПРОЕКТ БЕСПЛАТНО РАЗДАЕТ ВЫМОГАТЕЛЯ SHARK, НО МАЛВАРЬ РАБОТАЕТ

    [​IMG]

    Сербский независимый исследователь GrujaRS обнаружил в даркнете странный проект под названием Shark, который предлагает всем желающим одноименное вымогательское ПО. Странность заключается в том, что Shark распространяется совершенно бесплатно. Заподозрив какое-то мошенничество, исследователь изучил малварь, но оказалось, что шифровальщик Shark на самом деле работает.

    Малварь поставляется в виде архива, содержащего файлы ReadMe.txt, Payload Builder.exe (архив, похоже, с сюрпризом) и Shark.exe. Readme гласит:
    Shark.exe представляет собой готовую к работе версию вымогателя, а Payload Builder.exe, соответственно, является билдером, при помощи которого любой начинающий злоумышленник может кастомизировать шифровальщика, создав собственную версию.

    Билдер позволяет задать произвольное расширение для зашифрованных файлов, выбрать, какие именно директории будет атаковать малварь, задать адрес биткоин-кошелька и составить собственное сообщение с требованием выкупа. Также билдер имеет фильтр по странам, позволяя назначить разный размер выкупа для жертв в разных регионах.

    [​IMG]

    Но зачем кому-то распространять абсолютно бесплатную малварь, к тому же, укомплектованную билдером, в чем подвох? Как оказалось, все крайне просто: авторы вымогателя Shark используют централизованную систему платежей и демонстрируют новый подход к бизнес-модели ransomware-as-a-service (RaaS). Авторы шифровальщика оставляют себе 20% от всех полученных выкупов, а 80% средств получают операторы малвари.
    Интересно, что рекламировался Shark в основном посредством банального спама, за что проект забанен на многих андеграундных форумах, вроде Megatop. Также многие склонны относиться к Shark, как скаму: более опытные мошенники хитростью вынуждают новичков пользоваться своей малварью и тем самым генерировать прибыли.

    Сколь бы странным ни казался проект Shark, GrujaRS установил, что всеми заявленными функциями шифровальщик действительно обладает и работает как должно. Ниже можно увидеть демонстрацию работы вредоноса, записанную исследователем.

    Shark Ransomware NEW!Demonstration of attack video review.

    Источник
     
  20. Aleks

    Aleks Постоялец

    Регистрация:
    21 май 2015
    Сообщения:
    237
    Симпатии:
    260
    Баллы:
    63
    Пол:
    Мужской
    БАГ В CHROME И FIREFOX ПОЗВОЛЯЛ ПОДМЕНИТЬ URL, ИСПОЛЬЗУЯ АРАБСКИЕ СИМВОЛЫ

    Независимый исследователь Рафай Балоч (Rafay Baloch) обнаружил баг, суммарно принесший ему $5000 по bug bounty программам Google и Mozilla. Исследователь рассказал, что подменить URL в адресной строке браузера можно просто использовав арабскую письменность или символы любого другого языка, в котором чтение и письменность осуществляются справа налево.

    В своем блоге Балоч пишет, что проблема очень проста и связана с тем, как браузеры обрабатывают ссылки, в которых сочетаются символы арабского языка или иврита (которые записываются и читаются справа налево), и обычная латиница, знаки и цифры. Некоторые браузеры в таком случае меняют части ссылок местами, создавая у пользователя иллюзию, что он находится совсем не на том сайте, который открыт в окне браузера.

    [​IMG]

    Исследователь приводит простой пример: 127.0.0.1/ا/Example Domain. Из-за использования символа «ا» ссылка превратится в http://example.com/ا/127.0.0.1. Опасность заключается в том, что пользователь будет убежден, что находится на example.com, тогда как на самом деле в его браузере может открыться совсем другой сайт.

    Баг, найденный Балочем, это настоящий подарок для фишеров, которые могут встраивать такие ссылки в почтовый спам, SMS-сообщения и так далее. Когда пользователь кликнет по такой ссылке, в адресной строке браузера он увидит адрес легитимного домена, хотя на самом деле будет направлен на сервер злоумышленника.
    Проблема затрагивает браузеры Firefox для Android (CVE-2016-5267) и Chrome, но в браузере Mozilla реализация атаки выглядела немного иначе. Для Firefox атакующий не обязательно должен был задействовать IP-адрес, здесь было достаточно использования арабских символов, к примеру, URL вида http://عربي.امارات/google.com/test/test/test превращается в google.com/test/test/test/عربي.امارات.

    [​IMG]

    В настоящий момент проблема устранена в Firefox для Android, а Google обещает представить исправление для Chrome в сентябре 2016 года. Однако исследователь пишет, что такой же баг присутствует и в других браузерах. Так как патчей еще нет, Балоч не раскрывает их названий.

    Источник
     
    YuriPet нравится это.

Поделиться этой страницей