Архив тегов: malware

Яблочный треугольник.

Всем привет,

Сегодня у нас очень большая и важная новость.

Экспертами нашей компании была обнаружена крайне сложная, профессиональная целевая кибератака с использованием мобильных устройств производства Apple. Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.

Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передаёт на удалённые серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца заражённого устройства.

Атака проводится максимально скрытно, однако факт заражения был обнаружен нашей системой мониторинга и анализа сетевых событий KUMA. Система выявила в нашей сети аномалию, исходящую с Apple устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).

Дальше: работаем!…

Рисёрч с человеческим лицом.

Прошу прощения за использование профессионального сленга: «рисёрчем» мы называем публикуемые исследования о кибератаках, уязвимостях и прочих неприятных событиях в киберпространстве. Будучи важной частью мирового экcпертного комьюнити сообщества, которое общается на английском, это накладывает на нас определённую профессиональную деформацию :)

Пока некоторые разработчики-пустышки массируют пользователям мозги маркетинговой лапшой об их, пустышек, революционных искусственно-интеллектуальных изобретениях (которые на поверку оказываются примитивными методами машинного обучения, неспособными к проактивному обнаружению угроз), наши технологии по-настоящему работают.

В наших (и ваших тоже :) продуктах давно работает один из лучших в мире (это я на всякий случай поскромничал, потому что на самом деле «лучше» мне неизвестны) поведенческих движков для предотвращения эксплуатации уязвимостей в софте. И он регулярно, проактивно выявляет новые уловки кибер-негодяев, которые они используют, чтобы незаметно просочиться на ваши компьютеры.

В феврале движок сообщил о подозрительной активности, связанной с ранее известной атакой на подсистему логирования Windows. Копнули — ба! — зеродей! Ой, простите, снова профессиональная деформация :) Зеродей = уязвимость нулевого дня, то есть открытая дыра в Windows, для которой ещё нет «лекарства». Оказалось, что этот зеродей использовал шифровальщик Nokoyawa.

Дальше: человеческое лицо вне политики…

Ай-да-новости: Петя лютует, а страховые рыдают. Почти полтора $-лярда на покрытие издержек.

Мальчики и девочки, давненько у нас не было материалов из рубрики «Ай-да-новости» — удивительное и невероятное в мире кибербезопасности или около него, а также что из этого следует, и какие пора готовиться делать выводы.

Кратко о новости: в США завершился судебный процесс по делу компании Merck, нехило пострадавшей от шифровальщика NotPetya (он же ExPetr, он же Petya). Ущерб от атаки оценили в 1.4 миллиарда(!!!) долларов США и присудили страховой компании компенсировать ущерб.

Краткое содержание предыдущих серий: в июне 2017 года на дикие интернет-прерии вырвался злобный и технологически продвинутый червь-шифровальщик NotPetya, который начал свою победоносную мировую экспансию с Украины, где атаковал жертв через популярное бухгалтерское ПО: пострадали банки, правительственные сайты, аэропорт Харькова, системы мониторинга Чернобыльской АЭС (!!!) и т.д. и т.п. Дальше эпидемия перекинулась на Россию, а потом по цепочке прокатилась по всему земному шару. Некоторые источники считают атаку NotPetya самой разрушительной за всю цифровую историю человечества. Количество пострадавших от атаки компаний огромно, десятки из них оценили свои потери в сотни миллионов долларов, а общий ущерб мировой экономике оценивается как минимум в десять миллиардов долларов!

Одной из самых значимых жертв атаки и была американская фармацевтическая Merck. Пишут, что первых 15 000 компьютеров они лишись за 90 (!) секунд от начала заражения, резервный дата-центр был подключён к основной сети, и его тоже сразу потеряли. Всего же по данным журналистов у Merck грохнуло более 30 000 рабочих станций и 7.5 тыс. серверов. Ушли месяцы на устранение последствий атаки, ущерб оценили в 1.4 миллиарда долларов. Из-за остановки производства компании пришлось одалживать вакцины из внешних источников на сумму $250 млн.

Так вот, переходим к самому интересному.

Дальше: а именно…

Линукс вылечит себя сам? Нет! Пора разворачивать полевой госпиталь. Вместе.

Долгое время считалось, что Линукс – это такая непобедимая операционка, которой не нужны никакие антивирусы, ибо кибернегодяи туда особо не лезут. Я и сам долгое время аргументировал отсутствие у нас «домашнего» продукта под Linux тем, что киберпреступникам совершенно неинтересно атаковать персональные компьютеры под управлением этой ОС, поскольку максимум, что они могут оттуда украсть – это дипломную работу…

Долгое время так и было. Домашние линуксоиды были да и остаются народом продвинутым, но малочисленным. В основном это технари, которые свое дело знают хорошо. Но в корпоративном сегменте за последние лет 10 ситуация очень сильно поменялась. Особенно, если говорить о крупном и среднем бизнесе, госучреждениях. Там стали всё чаще и чаще использовать Линукс с целью снижения издержек и создания легко масштабируемой инфраструктуры. Но, к сожалению, ложное чувство защищённости у ИТ- и ИБ-отделов компаний осталось. А киберзлодеи не дремлют и наборы инструментов для проведения сложных атак и кибершпионажа постоянно совершенствуют. Вот и находки Линукс-зловредов стали для нас всё более частой историей.

источник

За последний год мы неоднократно сталкивались с применением шифровальщиков для «корпоративного» Линукса в целевых атаках таких группировок, как RansomEXX, REvil, DarkSide, HelloKitty, Babuk, Conti, Hive. Были и supply chain атаки на репозитории. На серверы устанавливают различных ботов (ddos, майнеры). Конечно, целевые атаки на Линукс пока все ещё случаются не слишком часто, но каждая крупная киберпреступная группа уже создаёт для них специальное вредоносное ПО. За последнее десятилетие такие операции проводили многие крупные группы, в том числе печально известные Sofacy, Equation, Lazarus. Эти атаки, несмотря на свою малочисленность или, наоборот, благодаря ей, оказываются весьма успешными и трудными для обнаружения.

Что имеем в сухом остатке?

Если вы пользователь Линукса на домашнем устройстве, мы с Линусом Торвальдсом жмём вашу руку, вы в относительной безопасности, наряд скорой помощи 24/7 под окнами вам не нужен. А развернуть полевой госпиталь и помочь со всем необходимым мы всегда готовы. Кстати, если есть волонтёры – то можно начинать разворачивать и прямо сейчас. Например, сделать OEM B2C AV-Linux на наших потрохах. Есть желающие? Пишите письма!

Ещё раз, крупным шрифтом: если у кого-либо, читающего этот текст, возникнет желание попробовать свои силы в разработке персонального Линукс-антивируса на наших «запчастях» (технологиях) – стучитесь по адресу выше, давайте это обсудим. Будем рады партнёрству.

Ну а если у вас корпоративный Линукс на критически важных серверах, то не советовал бы расслабляться. Защищайтесь, господа, кибервраг не дремлет! Подробнее о наших корпоративных Линукс-решениях читайте здесь.

«Не думай о секундах свысока» (с). Особенно при защите от шифровальщиков!

Разработка киберзащиты – работа сложная, которая «на первый взгляд, как будто не видна» (с).

Здесь неспроста использованы слова из известного гимна: наши продукты ловят зловредов, блокируют хакерские атаки, обновляют легитимные программы, режут назойливые рекламные баннеры, защищают приватность и многое, МНОГОЕ другое… и всё это происходит незаметно, в фоновом режиме и в бешеном ритме. За секунду KIS на вашем компьютере или умнофоне может проверять тысячи объектов, да так, что при этом можно ставить мировые рекорды по скоростной игре в новый Doom!

За этим бешеным ритмом стоит титаническая работа сотен разработчиков, тысячи(!) человеко-лет исследований и разработки. Даже миллисекунда задержки здесь, там и сям в конце концов снижает общее быстродействие компьютера. А с другой стороны, нужно работать настолько тщательно, чтобы ни одна кибер-тварь не пролезла :)

Недавно я рассказывал о том, как мы порвали всех конкурентов в тестировании 11 популярных продуктов против рансомвары (шифровальщиков) – на сегодня, пожалуй, самой опасной разновидности кибер-зловредства. Как нам удаётся занимать высшие места по качеству защиты и скорости работы? Конечно, высокие технологии, завёрнутые в бескомпромиссность детекта и помноженные на чудеса оптимизации :)

Сейчас мы убедимся в этом на одном показательном примере – оригинальной технологии обнаружения неизвестной рансомвары с помощью умной модели машинного обучения (патентная заявка RU2020128090).

Дальше: пить Боржоми никогда не поздно!…

Против самой злобной кибер-дряни: кто на свете всех сильней?

Самая неприятная заноза в современном кибер-мире с точки зрения ущерба, изощрённости и изобилующая громкими случаями… Ну, кто догадается?

Конечно рансомвара! (также известна как «шифровальщики», но далее будет использоваться профессиональный термин «рансомвара»). Так вот: рансомвара (не слишком ли уже часто здесь используется этот термин? :) настолько глубоко впилась в «цифру», столько «завалила» крупных организаций (даже являясь косвенной причиной человеческих жертв) и столько выкачала из них отступных, что даже СМИ охладели к новостям о новых атаках. Подумаешь, снова инцидент, снова выкуп, снова, снова и ещё раз. И это очень-очень тревожный звонок. Он означает, что кибер-негодяи выигрывают. Увы. Кибер-вымогательство становится нормой и с этим ничего не могут поделать.

Выигрывают они по трём причинам: в-третьих (начну с конца), «большие мальчики» не могут оставить геополитические игры, в результате национальные кибер-полиции не обмениваются оперативной информацией для координированного отлова операторов рансомвари; во-вторых, пользователи оказались недостаточно подготовлены к отражению таких атак; и (самое главное) – во-первых, не все стиральные порошки одинаковы антирансомварные технологии одинаково эффективны.

Эти технологии заявлены «на упаковке», но в реальной жизни работают в лучшем случае «не каждый раз. И в результате пользователи оказываются совершенно не защищены от профессиональных и весьма технически изощрённых атак рансомварных зловредов.

И этому факту теперь есть подтверждение: не так давно немецкий институт AV-TEST исследовал способности киберзащитных продуктов бороться с рансомварой. Не на бумаге, и в не гламурных маркетинговых слоганах, а в реальных боевых условиях, с «живой» реализацией всего возможного на текущий момент арсенала технологий шифровальщиков. Результат оказался ошеломляющим… В плохом смысле.

С защитой против известной рансомвары в каноническом сценарии атаки на защищённую систему справились почти все – если зловред попал в коллекции антивирусных компаний и практически все «знают его в лицо», то проблем с обнаружением нет.

Но если усложнить ситуацию и максимально приблизить её к реальной жизни? Как различные продукты среагируют на новый метод атаки рансомварного зловреда? Что будет если он тайно проникнет в корпоративную сеть и начнёт учинять там беспорядки? Например, как насчёт предотвращения сетевых атак, при которых удалённо шифруются файлы в общих папках? Причём с использованием тех же самых образцов рансомвары, которые были успешно обнаружены в первом сценарии.

Дальше: держитесь за стул…

Против самой злобной кибердряни: кто на свете всех сильней?

Самая неприятная заноза в современном кибермире с точки зрения ущерба, изощрённости и изобилующая громкими случаями… Ну, кто догадается?

Конечно рансомвара! (также известна как «шифровальщики», но далее будет использоваться профессиональный термин «рансомвара»). Так вот: рансомвара (не слишком ли уже часто здесь используется этот термин? :) настолько глубоко впилась в «цифру», столько «завалила» крупных организаций (даже являясь косвенной причиной человеческих жертв) и столько выкачала из них отступных, что даже СМИ охладели к новостям о новых атаках. Подумаешь, снова инцидент, снова выкуп, снова, снова и ещё раз. И это очень-очень тревожный звонок. Он означает, что кибернегодяи выигрывают. Увы. Кибервымогательство становится нормой, и с этим ничего не могут поделать.

Выигрывают они по трём причинам: в-третьих (начну с конца), «большие мальчики» не могут оставить геополитические игры, в результате национальные киберполиции не обмениваются оперативной информацией для координированного отлова операторов рансомвари; во-вторых, пользователи оказались недостаточно подготовлены к отражению таких атак; и (самое главное) – во-первых, не все стиральные порошки одинаковы антирансомварные технологии одинаково эффективны.

Эти технологии заявлены «на упаковке», но в реальной жизни работают в лучшем случае не каждый раз. И в результате пользователи оказываются совершенно не защищены от профессиональных и весьма технически изощрённых атак рансомварных зловредов.

И этому факту теперь есть подтверждение: не так давно немецкий институт AV-TEST исследовал способности киберзащитных продуктов бороться с рансомварой. Не на бумаге и в не гламурных маркетинговых слоганах, а в реальных боевых условиях, с «живой» реализацией всего возможного на текущий момент арсенала технологий шифровальщиков. Результат оказался ошеломляющим… В плохом смысле.

С защитой против известной рансомвары в каноническом сценарии атаки на защищённую систему справились почти все – если зловред попал в коллекции антивирусных компаний и практически все «знают его в лицо», то проблем с обнаружением нет.

Но если усложнить ситуацию и максимально приблизить её к реальной жизни? Как различные продукты среагируют на новый метод атаки рансомварного зловреда? Что будет, если он тайно проникнет в корпоративную сеть и начнёт учинять там беспорядки? Например, как насчёт предотвращения сетевых атак, при которых удалённо шифруются файлы в общих папках? Причём с использованием тех же самых образцов рансомвары, которые были успешно обнаружены в первом сценарии.

Дальше: держитесь за стул…

Выкуп кибервымогателям: совсем не платить иль не платить ничего?

Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа «подумайте о том, чтобы заплатить выкуп». В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует — и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.

Во-первых, вы спонсируете киберпреступность.

Дальше: а что ж тогда делать-то?…

Рансомварное: шутки закончились.

Сначала краткое изложение событий.

10 сентября ransomware-малвара DoppelPaymer шифрует 30 серверов больницы г.Дюссельдорфа из-за чего пропускная способность учреждения существенно деградирует. Неделю спустя по этой причине больница отказывает в приёме пациентке, срочно нуждающейся в операции, перенаправляя её в соседний город. По пути она умирает. Это первая известная человеческая жертва вследствие ransomware-атаки.

Это очень грустный случай. Он тем более грустный, что здесь сошлись фатальная случайность, пренебрежение к основным правилам компьютерной гигиены и неспособность правоохранительных органов противостоять организованной преступности.

Немного технических деталей: атакована больница была через уязвимость в серверах Citrix Netscaler, также известную как «Shitrix». Кстати, обновление, устраняющее уязвимость, доступно с января – это я по теме важности регулярных обновлений для всех умных железок – всех вообще, а не выборочно. По всей видимости, системные администраторы всё же допустили значительное временнóе окно между выходом обновления и его установкой: именно в этот промежуток злоумышленники смогли проникнуть в сеть и установить бэкдор.

Что вообще происходит с этим миром? Как можно больнице допустить такой инцидент, чтобы хакеры смогли затроянить систему через известную уже уязвимость, для которой был патч?  Сколько раз мы говорили, что FreeBSD (а именно на ней работает Netscaler) – не только не гарантия безопасности, но наоборот – «ложный друг» безопасника? В этой операционной системе точно так же есть недостатки, использующиеся в сложных кибератаках. Более того, для организаций критической инфраструктуры обязательна многоуровневая защита, где каждый уровень способен страховать другие. Если бы в сети больницы стояла надёжная защита, то хакерам скорее всего не удалось бы осуществить задуманное.

А вот дальше начинаются предположения. Не исключено, что через некоторое время доступ к бэкдору был продан другим хакерам на подпольном форуме как «университет» — атака действительно была изначально нацелена на местный Heinrich Heine University. Именно он был указан в письме вымогателей, когда они потребовали выкуп за возврат зашифрованных данных. Когда хакеры узнали, что это больница, то немедленно предоставили ключи шифрования и исчезли. Видимо затрояненые больницы не пользуются спросом у киберкриминала – слишком «токсичный» актив (что, собственно, и было доказано). Однако, это не спасло ситуацию.

Теперь же самый интересный вопрос: кто это сделал?

Вероятнее всего, что за DoppelPaymer стоит известная хакерская группировка Evil Corp, на которой висит ответственность за десятки других громких взломов и вымогательств (в том числе громкая атака на сеть Garmin). В 2019-м правительство США выпустило ордер на арест людей, причастных к деятельности Evil Corp и объявило награду в $5млн за помощь в поимке. Что любопытно – личности преступников известны, а сами они до недавнего времени бравировали крутыми (обратите внимание на номер на фотке внизу) тачками и вели богемный образ жизни.

источник

Полиция Германии сейчас проводит расследование для выяснения реальных причин смерти пациентки. Надеюсь, что немецкие власти запросят от России содействия в задержании преступников — и это прямое обращение действительно наконец-то сдвинет ситуацию с мёртвой точки.

Для возбуждения уголовного дела требуется по крайней мере формальное заявление или предмет преступления. «Написано на заборе» правовая система не принимает к рассмотрению. Нет заявления – нет дела, потому что иначе любой адвокат вмиг его развалит. Если есть серьёзные доказательства преступления, то надо запускать нормальную процедуру, основанную на межгосударственном взаимодействии. Как говорится «that’s the way it works». Правительствам имеет смысл превозмочь свои геополитические предрассудки и действовать совместно. А покамест из-за политической заморозки международного сотрудничества уже гибнут люди, а киберкриминал оборзел до космических масштабов.

UPD: первый шаг к восстановлению сотрудничества в кибербезопасности сделан.

Кстати, а вы заметили, что в прессе почти нет новостей об успешных атаках шифровальщиков против российских организаций? Оставив в стороне смешную конспирологию о том, что «рансомварщики» работают под «крышей» российских спецслужб (не могут же они «крышевать» также китайских, корейских, украинских, иранских и прочих других хакеров), у меня остаётся только один разумный ответ этому парадоксу.

Да потому что подавляющее большинство российских предприятий защищено нормальной киберзащитой, а в перспективе ещё лучше накроется киберимунной операционкой. Да, да, той самой защитой, которую в США запретили использовать в государственных учреждениях.

UPD2: Вчера стало известно, что из-за ransomware-атаки крупнейшая американская больничная сеть UHS отключила компьютерную систему, обслуживающую ~250 учреждений по всей стране, переведя регистрацию пациентов на бумагу. Подробности пока неизвестны.

Королевство кривых зеркал.

Неисповедимы пути вредоносного кода.

Он как вездесущий газ заполняет собой пространство, проникая на компьютеры через любое доступное «отверстие для маленьких жучков». Мы же эти «отверстия» находим и конопатим. При этом часто случается, что конопатим проактивно – то есть пока «жучки» эти «отверстия» в операционных системах и приложениях не нашли. А как найдут – мы их там с мухобойкой уже ждём :)

На самом деле, проактивность защиты, способность предугадать действия нападающего и заранее создать барьер на пути проникновения – это отличает действительно хорошую, высокотехнологичную кибербезопасность от маркетинговых пустышек.

Сейчас я расскажу вам о «безфайловом» (иногда его называют «бестелесным») вредоносном коде – опасном виде «жучков-призраков», которых научили использовать архитектурные недостатки Windows для заражения компьютеров. А также о нашей патентованной технологии борьбы с этой кибер-заразой. Будет всё как вы любите – просто о сложном, в лёгкой захватывающей манере кибер-триллера с элементами саспенса :)

Вангую самый первый вопрос: «безфайловый» — это как и что такое?

Объясняю. Попадая на компьютер, такой вредоносный код не создаёт своих копий в виде файлов на диске, и таким образом избегает обнаружения традиционными способами, например, при помощи антивирусного монитора, который следит за появлением зловредных и нежелательных файлов-приложений.

Как же такие вредоносы-призраки существует в системе? Исключительно в оперативной памяти доверенных процессов! Вот так.

В Windows (на самом деле не только в Windows) с древних времён существует возможность выполнения динамического кода, которая в частности используется для динамической компиляции, т.е. перевода программного кода в машинный не сразу, а по мере надобности с целью увеличения скорости исполнения приложения. Для поддержки этой возможности Windows позволяет приложениям загружать код в оперативную память через другие доверенные процессы и исполнять его.

Согласен – не самая здравая реализация с точки зрения безопасности, но, как говорится, «поздно пить боржоми». Так работают миллионы приложений, написанных на Java, .NET, PHP, Python и других языках и платформах.

Разумеется, что возможность использовать динамический код полюбили кибер-негодяи, которые изобрели различные способы злоупотребления им. Один из самых удобных и поэтому распространённых способов – техника «отражающей инъекции» (Reflective PE Injection). Не торопитесь падать в обморок от этого технического термина — сейчас популярно расскажу что это такое. Будет интересно! :)

Запуск приложения для пользователя выглядит… Да никак он не выглядит :) Кликнул на иконку и всё. Но за этими декорациями проходит непростая работа: вызывается системная программа-загрузчик, которая берёт наш файл с диска и исполняет его. И этот стандартный процесс контролируется антивирусными мониторами, которые «на лету» проверяют приложение на безопасность.

При «отражении» код загружается мимо системного загрузчика (а соответственно и антивирусного монитора) – он копируется напрямую в память доверенного процесса, создавая «отражение» исполняемого модуля. И всё выглядит как будто бы он был загружен системным загрузчиком. Такое «отражение» может исполняться как настоящий модуль, загруженный стандартным способом, но оно не зарегистрировано в списке модулей и, как уже указывалось выше, не имеет файла на диске.

Причём, в отличие от других техник инъекций кода (например через шелл-код), отражающая инъекция позволяет создавать функционально сильный код на высокоуровневых языках и стандартными средствами разработки с минимальными ограничениями. Итог: никаких файлов, надёжная маскировка в доверенном процессе, вне радаров традиционных защитных технологий, приемлемая свобода действий. Вот такое «королевство кривых зеркал». И окон.

Вполне естественно, что отражающая инъекция получила большую популярность у разработчиков вредоносного кода. Сначала техника появилась в эксплойт-паках, потом её «прелести» оценили кибер-военщина (например, операторы операций Lazarus и Turla) и продвинутый кибер-криминал (это же отличная легитимная лазейка для скрытого исполнения сложного кода!). Ну а дальше, как говорится, техника «пошла в народ».

Найти такую «бестелесную» заразу не так-то просто. Немудрено, что большинство продуктов с ней справляется «так себе», а некоторые «вообще никак».

Читаем дальше: исправляем кривизну окна…