Сегодня мы публикуем последнюю часть анализа буткита Win32/Gapz, а также хотим представить PDF, который содержит анализ этой интересной угрозы со всеми техническими подробностями. На его анализ ушло несколько месяцев интенсивного реверса. В Gapz мы увидели, что разработчики подобного рода угроз вышли на новый уровень сложности. Мы также считаем, что Win32/Gapz, на самом деле, представляет из себя наиболее сложный буткит из всех, что мы видели прежде. Подробный технический анализ этой угрозы вы можете найти в нашем PDF-документе Mind the Gapz: The most complex bootkit ever analyzed?.
Наши коллеги Евгений Родионов и Александр Матросов провели анализ кода Win32/Gapz, начиная с декабря 2012 года. В ходе этого анализа обнаруживалось все больше и больше интересных подробностей об этой угрозе.
Как и в прошлые месяцы, троянская программа Win32/Qhost возглавляет рейтинг угроз по России, причем с большим отрывом от остальных угроз «десятки». В то же время ее активность продолжает снижаться уже третий месяц, с 15,91% в январе до 11,98% в марте 2013 года.
Эта вредоносная программа осуществляет модификацию файла hosts для перенаправления пользователя на фишинговые ресурсы. Ее высокая активность, прежде всего, связана с довольно простой техникой работы, используемой ею, а также с широким спектром фишинговых ресурсов.
В целом угрозы по России показывают различную динамику. Тенденцию к росту продемонстрировали троянские программы Win32/StartPage (1,12%), Win32/Bicololo (2,84%), червь Win32/Dorkbot (2,04%), а также вредоносные объекты веб-страниц HTML/ScrInject (3,90%) и JS/Iframe (3,16%).
Киберпреступная группа Carberp была одной из первых групп, которые массивно использовали семейство вредоносных программ, нацеленных на компрометацию систем удаленного банковского обслуживания и проведение мошеннических операций против крупнейших банков России. Многие члены основной группы Carberp уже были арестованы, но это семейство вредоносных программ по-прежнему активно и продолжает развиваться. Наш коллега Александр Матросов произвел анализ последней модификации банковского трояна Carberp, который мы хотим представить ниже.
Power Loader представляет из себя билдер ботов, которые на самом деле являются загрузчиками/даунлоадерами (downloaders) других семейств вредоносных программ. Этот билдер также является еще одним примером схемы, на основе модульности, которая используется в производстве вредоносных программ. Мы обнаружили боты на базе Power Loader в сентябре 2012. ESET определяет как Win32/Agent.UAW не модифицированные дропперы, собранные с помощью этого билдера. Наш коллега Александр Матросов провел собственное расследование и выяснил, что этот билдер был использован для разработки дропперов Win32/Gapz, начиная с октября 2012. В то же время, уже с ноября 2012 вредоносный код, известный как Win32/Redyms, использовал компоненты Power Loader в своем собственном дроппере. Стоимость Power Loader на киберкриминальном российском рынке была в районе $500 за один билдер с панелью управления C&C.
Несколько дней назад один из наших партнеров прислал нам для анализа интересные спам-сообщения. Эти сообщения содержали информацию о популярной в СМИ теме, посвященной введению разового налога для банковских счетов клиентов кипрских банков. Известно, что эта информация буквально взорвала медийное пространство и дала почву различным спекуляциям на тему этого налога. На момент, когда всевозможные сообщения начали появляться в СМИ, парламент Кипра еще не проголосовал за введение этого налога, к тому же позднее стало известно, что это решение не было принято, так как законопроект не был одобрен. В то же время мы зафиксировали активность со стороны злоумышленников, которые эксплуатировали эту тему и шумиху вокруг нее в своих целях. Эти злоумышленники рассылали сообщения с заголовками, намекающими на то, что парламент Кипра одобрил законопроект о введении налога на депозиты. Спам-сообщение содержало небольшой текст, темой которого было запугивание пользователя на тему того, что законопроект был одобрен в парламенте. При этом письмо выглядело таким образом, как будто оно было отправлено от телекомпании BBC.
На прошлой неделе крупнейшая норвежская телекоммуникационная компания Telenorзаявила, что ее внутренняя сеть подверглась атаке, причем этот инцидент классифицируется как промышленный кибершпионаж. Сообщается, что злоумышленники смогли проникнуть во внутреннюю сеть компании, а также получить доступ к персональным компьютерам топ-менеджеров. Специалисты Telenor обратились за помощью к полиции и CERT за расследованием этого инцидента. Менеджер по вопросам информационной безопасности компании — Rune Dyrlie в комментарии заявил, что атакующие смогли получить доступ к конфиденциальной информации сотрудников компании.
Win32/Theola представляет из себя вредоносный компонент семейства буткитов Win32/Mebroot.FX (известен с 2007 г.). Вредоносное ПО Theola включает в себя специальные плагины для браузеров, которые Mebroot устанавливает для проведения мошеннических операций, связанных с онлайн-банкингом. В этом посте мы расскажем об анализе, который провел Александр Матросов для этих вредоносных плагинов к браузеру, и ответим на вопрос: каким образом осуществляется похищение денежных средств при работе с системой онлайн-банкинга на зараженной машине.
Сегодня последний день докладов (14-15 марта) на конференции Black Hat Europe 2013. Как обычно на мероприятиях подобного рода презентуются доклады с интересным содержимым, не стал исключением и этот год. Список докладчиков можно найти здесь. На этот раз конференция проходила в Амстердаме. Black Hat получил известность по нескольким причинам, например, многие доклады в разные годы заложили тренды развития некоторых областей в области security analysis. Кроме этого, он представляет из себя известную конференцию, на которой предлагается материал из различных областей security analysis, ранее не публиковавшийся.
Банковское вредоносное ПО Win32/Caphaw (также известен как Shylock) использовался злоумышленниками при осуществлении атак на крупные европейские банки, которые продолжались более года. Эта угроза начала распространяться с осени 2011 г. Наш коллега Александр Матросов осуществил детальный анализ этого банковского трояна, и мы хотим представить наиболее интересные находки, сделанные в процессе этого анализа. Win32/Caphaw отличает от других подобных угроз тот факт, что это один из немногих троянов, который может автоматически похитить деньги с банковского счета, когда пользователь активно работает с этим счетом.
Microsoft анонсировали выпуск очередной серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (7 марта) секьюрити-фиксы покрывают в общей сложности 20 уникальных уязвимостей (4 исправления со статусом Critical и 3 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из критических обновлений нацелено на устранение уязвимости, которая присутствует во всех версиях Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10. Другой критический фикс нацелен на платформу Silverlight. Обе этих уязвимости относятся к классу «Remote Code Execution» и потенциально могут быть использованы для успешного осуществления drive-by download/installation атак, например, с вовлечением какого-либо набора эксплойтов для этой цели.
Похоже что контест Pwn2Own в этом году отличился не только по рекордно большому призовому фонду (более $500,000), но и по количеству успешно эксплуатируемых уязвимостей. Итоги выглядят следующим образом:
Pw0ned все заявленные браузеры, кроме Apple Safari
Java pw0ned целых четыре раза (всего $20,000 * 4 = $80,000)
Всего за два дня контеста ресерчеры заработали $480,000
VUPEN оказались наиболее успешными и заработали $250,000
В Ванкувере продолжается контест Pwn2Own, который проходит в рамках конференции CanSecWest. Как обычно, французская компания VUPEN в центре внимания. Шауки Бекрар (Chaouki Bekrar, VUPEN CEO) комментирует:
Соревнования такого рода, которые по-существу являются игрой, занимают много времени и ресурсов, хотя являются хорошо оплачиваемыми. VUPEN также принимает участие в этом соревновании, как компания, которая занимается исследованием уязвимостей и продажей эксплойтов частным клиентам. Потраченное время и усилия стоили того, благодаря высоким денежным вознаграждениям. Мы много думали о том, следует ли участвовать в контесте в этом году, потому что стоимость создания надежного эксплойта весьма высока. Было потрачено несколько недель на поиски уязвимости в IE 10 и еще несколько недель на разработку надежного эксплойта.
CloudFlare представляет из себя популярный CDN-сервис поддержки веб-сайтов и включает в себя различные виды обслуживания, такие как, ускорение загрузки веб-страниц для конечного пользователя, функции обеспечения безопасности, например, anti-DDoS. Мы обнаружили вредоносную программу — Win32/DoS.OutFlare.A, которая нацелена на обход этого сервиса с целью осуществления DoS-атак на сайты, которые находятся под контролем CloudFlare. Наш анализ посвящен Win32/DoS.OutFlare.A.
На сегодняшний день социальная сеть Facebook является крупнейшей в мире по количеству пользователей. Мы доверяем ей свои персональные данные и конфиденциальную информацию. Многие пользователи привязывают к своему Facebook-профилю кредитные карты или аккаунты платежных сервисов (например, PayPal) для онлайн-покупок. Именно поэтому данная социальная сеть становится объектом пристального внимания киберпреступников. В этой статье мы хотим дать несколько практических советов, как обеспечить сохранность своих персональных данных, исключив их попадание в чужие руки.
В прошлой части нашего материала, посвященного отчету Mandiant о группе APT1, мы говорили об основных выводах, которые были сделаны компанией по завершении расследования. Мы не будем повторять эту информацию еще раз, вы можете ознакомиться с ней здесь. В сегодняшнем посте мы поговорим о внутреннем устройстве этой атаки и схемах, которые были использованы для компрометации и вторжений в сети предприятий. Мы также отметим, что, c точки зрения возможностей вредоносного кода, эти атаки не представляют из себя ничего концептуально нового и схемы, которые были использованы, известны уже давно.
Похоже, что начало 2013 года останется у нас в памяти как период времени, на который пришлось большое количество атак, связанных с компрометацией веб-ресурсов крупных изданий. На сей раз речь идет об nbc.com, веб-ресурсе, который является официальным веб-сайтом американской компании NBC. Напомним, что о компрометации своих электронных изданий заявили ранее такие авторитетные издания как The Wall Street Journal, NY Times, Washington Post. Правда в этих случаях, согласно официальным заявлениям, речь шла не про «watering hole», а про компрометацию внутренних сетей компаний и их серверов для получения конфиденциальной информации.
Компания Mandiant вынесла на суд общественности свой детальный отчет, посвященный расследованию большого количества инцидентов, связанных с несанкционнированными проникновениями во внутренние сети различных организаций и их компьютеры по всему миру. Период времени, за который были собраны эти данные, впечатляет — 7 лет. В отчете указывается, что эти случаи имели целью похищение всевозможной конфиденциальной информации этих скомпрометированных организаций, а также были осуществлены одной и той же группой. Mandiant пришла к выводу, что за серией этих атак стоит крупная организация китайского происхождения и сами эти операции по вторжению в частные сети организаций велись под прикрытием китайского правительства и спецслужб на протяжении семи лет (!). Более того, эта организация, на самом деле, является крылом или подразделением Народно-освободительной армии Китая. В нашем посте мы приводим выводы, которые были сделаны Mandiant за семилетний период анализа деятельности этой теневой организации. Детальную версию отчета, включая технические подробности вы можете найти здесь.
Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.
В конце прошлой недели администрация Facebook объявила о том, что ноутбуки некоторых сотрудников компании были заражены вредоносным кодом. В процессе расследования инцидента выяснилось, что заражение произошло через веб-сайт, посвященный разработке для мобильных устройств, который был скомпрометирован вредоносным содержимым. При посещении этого сайта пользователей перенаправляли на набор эксплойтов, которые устанавливали вредоносное ПО на уязвимые для эксплойтов компьютеры. Команда безопасности Facebook отмечает, что ноутбуки сотрудников были скомпрометированы с использованием незакрытой на тот момент 0day Java уявимости. В компании подчеркивают, что у них нет оснований полагать, что злоумышленникам удалось похитить какую-либо информацию об аккаунтах социальной сети или другую персональную информацию пользователей.
Недавно мы опубликовали пресс-релиз по PokerAgent, который вкратце описывал возможности этого вредоносного ПО. Теперь же мы хотим представить его детальное исследование, рассказать о преследуемых им целях, а также описать возможности, которые он открывает злоумышленникам.
