В этом посте мы хотим рассказать об обнаруженных нами в последнее время угрозах для ОС Linux и об атаках на нее. Известно, что эта операционная система чаще используется на серверах, чем на пользовательских компьютерах. Таким образом, цели, преследуемые киберпреступниками при атаках на Linux, имеют свою специфику, отличную от обычных атак на Windows-системы.
В первой части мы расскажем о Linux/SSHDoor.A – угрозе, которая используется злоумышленниками для получения скрытого доступа на скомпрометированный сервер и для кражи информации. Вторая часть материала посвящена исследованию атаки, проводимой на Linux-серверы, которые используют Apache в качестве веб-сервера.
Специалисты компании FireEye обнаружили PDF, эксплуатирующий незакрытую уязвимость в Adobe Reader и Acrobat. Под ударом оказались Adobe PDF Reader и Acrobat версии XI (11.0.1), а также более ранние версии. В процессе расследования инцидента, связанного с 0day, были выявлены две уязвимости CVE-2013-0640 и CVE-2013-0641. Используя их, злоумышленник может выполнить произвольный код. Бюллетень безопасности Adobe доступен здесь.
В прошлом месяце неоспоримым лидером была троянская программа Win32/Qhost. Ее рейтинг активности в России, по сравнению с другими угрозами, остается очень высоким, 15.9 %. Мы уже упоминали ее в прошлых ежемесячных отчетах, в одном из них она также возглавляла нашу “десятку” угроз. Win32/Qhost не представляет из себя технологически сложную угрозу, одним из основных ее предназначений является модификация служебного hosts файла. С использованием вредоносных записей, добавляемых в этот текстовый файл, злоумышленники переадресуют пользователя на фишинговые ресурсы. При этом перенаправление на такие ресурсы осуществляется за счет стандартных механизмов ОС и при минимальном участии самого пользователя, которому достаточно просто воспользоваться браузером для посещения веб-ресурсов.
Прошлая неделя отметилась сразу двумя 0day уязвимостями для Flash. На свет появились CVE-2013-0633 и CVE-2013-0634. Интересен тот факт, что представлены «в свет» эти 0day были почти одновременно с выходом соответствующего обновления от Adobe, которое их устраняет. Таким образом из 0day они быстро превратились в ex-0day. В частности, одной из первых, об обнаружении эксплойтов, используемых в атаках на пользователей, сообщила компания FireEye. Эти эксплойты встраивались в .doc MS Word файлы и в таком виде доставлялись пользователю. Эксплойт, который был использован в этой атаке мы определяем как Win32/Exploit.CVE-2013-0634.A.
Менее часа назад Microsoft анонсировали выпуск очередной серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (7 февраля) секьюрити-фиксы покрывают в общей сложности 57(!) уникальных уязвимостей (5 исправлений со статусом Critical и 7 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь.
В последние несколько лет увеличилось распространение вредоносных программ (буткитов), модифицирующих загрузочные сектора в процессе заражения системы. Среди самых видных представителей — TDL4, Olmasco и Rovnix. Каждый из них использует различные способы заражения жесткого диска, это либо модификация главной загрузочной записи (MBR), либо модификация первых секторов загрузочного раздела, т. е. VBR или IPL (первые сектора тома, куда передается управление из MBR — Volume Boot Record/Initial Program Loader). Наглядно эти семейства показаны на рисунке ниже.
С начала 2013 года мы начали отслеживать интересное семейство троянских программ — Win32/Redyms. Эта угроза примечательна тем, что использует технику подмены результатов поисковых запросов популярных поисковых систем. Мы установили, что наибольшее распространение она получила в США и Канаде. Именно в этих странах киберпреступный рынок предлагает самые высокие цены за перенаправление (клики) пользователя с популярных поисковых систем на вредоносные или рекламные ресурсы.
Нас, как крупную IT-компанию, беспокоят две вещи, связанные с пиратством, — это розничные продажи взломанных антивирусов (некоторые умудряются продавать пиратские версии по розничным ценам за легальные продукты) и обилие ресурсов в Интернете, на которых размещается дикое количество ключей и так называемых лекарств, призванных отучать наш продукт от желания проверять валидность ключа. И мы продолжаем с этим бороться.
После публикации нашего поста по работе с e-mail, хабралюди спросили, чем мы еще занимаемся и как развивались прошедшие 4 года в России. Мы решили поделиться некоторыми нашими бизнес-идеями тоже, может и вам будут полезными.
За четыре года наш коллектив вырос с 3 до 70 человек, появилось три офиса плюс общение со штаб-квартирами. Поэтому по ходу пришлось менять и стиль, и правила работы в компании. В итоге в области коммуникаций это вылилось в следующий свод правил — часть уже можно встретить в литературе по тайм-менеджменту, часть придумали сами. Возможно, это будет полезно и вашей компании. Подходит для компаний, где у всех есть компьютер и e-mail.
