Архив тегов: malware

Червяк длиною в 10 лет.

Всё началось вот с этих вот гаджетов (тогда их называли «девайсы»). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

На этих мобилках разбирался первый мобильный вирус

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из «первых рук» широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir’ом и вообще почему этого червя так назвали.

Дальше: загадочный файл, не предвещавший ничего хорошего…

Ай-да-новости 30.05.2014

Как было обещано, продолжаю традицию еженедельных ой-ай-новостей.

Сегодня — о безопасности критической инфраструктуры. Вернее – о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие АСУ ТП.

На самом деле это не совсем новости прошедшей недели – к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.

А удивляться в критической инфраструктуре есть чему.

Главное кредо инженеров по АСУ – «работает — не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг — система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.

В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.

Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети – это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом – ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:

Ядрёна малвара

Атомный реактор Мондзю, ЯпонияИсточник

Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.

Дальше: мы ходим по краю, но выхода не может не быть…

Ай-да-новости 22.05.2014

Всем привет!

Что-то давненько я не рассказывал ничего интересного про мир кибер-зловредства, что там бурлит и где расцветает. А то вы ещё подумаете что мы тут без работы сидим :) Конечно же, мы публикуем всю эту информацию на специализированных ресурсах, но большинство ведь их не читает! А тут есть что рассказать, самое-самое интересное для самых любопытных.

Итак, что любопытно-занятного случилось на этой неделе?

Дурак сам дурак

Новый виток контр-наездов между США и Китаем в плоскости кибер-шпионажа. На этот раз американцы не просто наехали, а наехали с фотографиями и именами. 5 китайских военных специалистов попали на постеры формата «Wanted» в лучших традициях Дикого Запада за взломы сетей американских компаний и кражу всяких важных секретов. Как их вычислили и вообще насколько это соответствует реальности — остаётся загадкой под грифом «без комментариев». Некто А.Г. по ссылке выше предельно чётко высказался, что атрибуция – наука весьма неточная и трудно не только 100% приписать атаку какой-то стране или спецслужбе, но практически невозможно указать на конкретного человека. В общем, какая-то кибер-алхимия.

Срочно разыскиваются китайские хакеры! Нашедшему - вознагаждение!

Дальше: хакерские атаки с борта атомного авианосца…

Эвристилибристика.

Как 100%-но вычислить зловреда в дремучих джунглях операционной системы? Особенно, когда эту гадость раньше никто не видел, её «IQ» зашкаливает и она уже в компьютере?

НИКАК.

Действительно найти черную кошку в тёмной комнате, при условии, что она там точно есть, смогут немногие спецы и вручную. Но автоматическими и продуктовыми средствами можно попытаться это сделать и с некоторой долей вероятности навести на след заражения. Вот только классическими сигнатурами и файловым сканером эту задачку никак не решить.

Выход – планомерное интеллектуальное развитие антивируса в направлении мега-мозга, анализирующего сигналы от десятков сенсоров, встроенных в операционную систему. Вот такой всеобъемлющий и системный взгляд и отличает гадание на кофейной гуще от научно обоснованного и практически воплощённого подхода к проактивной защите. А помимо общего врага эти сенсоры объединяет и общий инструментарий – практически в каждом используются эвристические методы анализа.

Эвристика в вирусологии прописалась уже лет 20 назад, а смысл её состоит в следующем.

Дальше: об эвристике замолвим слово…

Против лома есть приём.

Бабах!! Ещё одна торпеда, пущенная кибер-негодяями в офисное пространство Микрософт увязла в нашей цепкой защите.

А именно: недавно была обнаружена вроде обычная себе атака — при открытии документов Word незаметно для пользователя в систему внедрялся вредоносный код. Вряд ли это событие добралось до заголовков, кабы не одно обстоятельство: это была атака класса «зеродей» – использовалась ранее неизвестная уязвимость в MS Office, для которой нет «заплатки», при этом большинство антивирусов тоже в упор не видели угрозу. А мы отработали на «отлично»!

Да! – технология автоматической защиты от эксплойтов (AEPAutomatic Exploit Prevention) вычислила аномальное поведение и проактивно блокировала атаку. Никаких обновлений и ожиданий. Сразу и наповал.

С «зиродеями» можно и нужно бороться. Это самое острие атак кибер-атак – зачем нужен антивирус, который работает исключительно сигнатурами, а от будущих угроз защищает только на бумаге (пусть очень красивой бумаге)? Ну, да, разработка таких технологий требует мозгов и инвестиций. Не каждый вендор первое имеет, а второе может себе это позволить. Это не детект у соседа тырить, ага..

Вообще, мы всегда считали, что в IT-секъюрити нельзя жить сегодняшним днём – нужно постоянно заглядывать за горизонт и предвидеть поворот мысли кибер-негодяев. Потому «проактивка» была у нас на повестке дня с бородатых 90-х – среди прочего мы тогда отличились разработкой эвристика и эмулятора. Технологии оттачивались, прокачивались и изобретались, и вот, где-то 2,5 года назад, фичи для защиты от эксплуатации известных и неизвестных уязвимостей были объединены под зонтиком AEP. И очень вовремя! С его помощью мы впоследствии  проактивно накрыли целый зоопарк целевых атак, в том числе Red October, MiniDuke и Icefog.Тогда же случился всплеск нездорового интереса к Java и AEP снова оказался кстати. И одну из первых скрипок здесь играл модуль Java2SW для детекта атак через Java.

О нём сейчас и пойдёт речь.

Программный ландшафт типичного компьютера напоминает лоскутное одеяло с кучей заплаток и не меньшим количеством дыр. После выпуска каждого продукта в нём регулярно находятся уязвимости (чем популярнее продукт, тем чаще и больше) и вендоры их регулярно же латают, выпуская «патчи». Но#1: вендоры выпускают «патчи» не сразу — кое-кто, бывает, ковыряет в носу месяцами. Но#2: большинство пользователей всё равно, пардон, забивает на установку этих «патчей» и продолжают работать на дырявом софте. Зато#1: практически на каждом компьютере есть… антивирус!

Тут на сцену выходит тот самый Java2SW, который в Java домене убивает сразу двух зайцев.

Вообще, с точки зрения безопасности архитектура Java достаточно продвинутая. Каждая программа выполняется в изолированном пространстве (JVM – Java Virtual Machine), под присмотром секюрити-агента. Увы, Java пала жертвой популярности – какой бы защищённой ни была система, рано или поздно (пропорционально популярности) в ней найдутся уязвимости. К этому должен быть готов каждый вендор — своевременно развивать технологии противодействия, скорость реакции и обучать пользователей. У Oracle это как-то не очень получилось. Не получилось настолько не очень, что пользователи начали массово удалять Java с компьютеров даже несмотря на ограничения при просмотре сайтов.

Судите сами: количество обнаруженных уязвимостей в Java в 2010г. – 52, 2011г. – 59, 2012г. – 60, 2013г. – уже 180 (год продолжается!). А число атак на Java росло по вот такой грустной кривой:

Рост количества атак на уязвимости в Java

Дальше: как Java2SW спасает от атак на уязвимости?…

Червь со стажем.

Кстати, ровно сегодня исполнилось 25 лет «Червяку Морриса», который 2го ноября 1988го года устроил первый известный в науке компьютерный апокалипсис. Червяк заражал Юниксовые компы (Винды тогда не было :) и нанёс сокрушительный удар по тогдашним компьютерным сетям (Интернета тогда тоже пока ещё не было!) Подробнее здесь.

А главное — как это тогда сообщалось по американским ТВ-новостям:

Сначала всем смотреть…
…а потом подумать — где и сейчас мы теперь??

// особо в репортаже прикололо «заражено аж 200 компьютеров» :)

// а какие мне вкусные прочие ссылки предлагает Ютюб!
— Amazing predictions from 1958 that came true
— The revolution of the Internet in 1993
— Stupid Blonde in TV, She is Very Stupid, She Don’t
— The Internet in 1969
— WORST NAME EVER!!!!

Я такого в гуглах-ютюбах вообще никогда не искал! Или это из неизведанных глубин сознания оно само вычёрпывает?… Ой, боюсь..

Всем привет из Абу-Даби!

KIS-2014: Звонок другу.

Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.

Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.

(с) Остап Сулейман Берта Мария Бендер-Бей

Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры — особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.

Матчасть блокеров достаточно проста.

Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:

ransomware4

Дальше: заблокировать блокер…

Призрак загрузочного сектора.

My power over you
grows stronger yet
(c) Andrew Lloyd Webber — Phantom Of The Opera

Кто раньше встал – того и тапки
(с) неизвестен.

В противостоянии «вирус vs антивирус» есть одна любопытная игра – «царь горы».

Правила просты: побеждает тот, кто первым занял телеграф, почтамт, вокзал …  В компьютерных войнах победа достаётся тому, кто первым загрузился в память компьютера – он и царь горы. Он первым берёт контроль в свои руки: перехватывает системные вызовы, внедряется в них и тем самым получает полную власть над остальным пространством в компьютере. Остальные, которые появляются позже, работают под присмотром «хозяина» — который в состоянии «нарисовать» им любую реальность – прям как голливудская Матрица.

То есть, реальностью внутри компьютерного мира рулит тот, кто раньше стартовал. Именно он, с вершины своей горы, обозревает окрестности и блюдёт в системе порядок… Или беспорядок, незаметно и безнаказанно – если первым загрузился зловред.

В общем, «The winner takes it all» © ABBA.

А очередь на загрузку начинается с загрузочного сектора – специальной области на диске, где сосредоточены все стрелки на что, когда и куда будет грузиться. И — о, ужас! — даже операционная система подчиняется этому порядку! Немудрено, что кибер-негодяи давно питают нездоровый интерес к оному сектору – это же идеальный вариант надеть тапки первым и полностью скрыть факт заражения компьютера! А помогает им в этом особый класс зловредов – буткиты.

Как загружается ваш компьютер?

loading_comp

О том, что такое буткиты и как мы вас от них защищаем – рассказ ниже.

Дальше: расцвет, падение и возвращение буткитов…

Зловредные истории … (журнал расскажет наш).

По роду профессиональной деятельности мне приходится постоянно метаться туда-сюда по глобусу, выступать на разных мероприятиях, тусоваться с коллегами по цеху, слушать чужие и рассказывать свои курьёзные истории. А почему не поделиться этими историями и здесь — подумал я однажды. И вот — делюсь.

Несколько самых разных «забавных» (в кавычках и без кавычек) историй из IT-безопасности.

Дальше: секретные файлы с доставкой на дом…

Вирусы из Челябинска настолько суровые, что взрывают мозг.

Каждый день (!!) наш доблестный вирлаб обрабатывает сотни тысяч подозрительных файлов. Там бывают и чистые (честные) файлы, и битый (нерабочий) код, разнообразные невинные скрипты, куски каких-то данных и самое разное прочее-прочее-прочее. Если же говорить о зловредах, то большей частью они вполне среднестатистические, анализируются и обрабатываются автоматически (об этом уже было вот здесь) . Но иногда в наши «сети» попадаются очень необычные изделия… Что-то совершенно новое, неожиданное. Нечто, заставляющее мозг активизироваться, сердце стучать чаще, а остальному организму впрыскивать адреналин в кровь в повышенных дозах. Stuxnet, Flame, Gauss, Red October — в списке этих неожиданностей.

Похоже, что мы нашли кое-что ещё.

По просторам Рунета бродит очередной вирус-монстр. По своей сложности он значительно превосходит не только существующие ныне вредоносные программы, включая профессиональные шпионские кибер-атаки и кибер-оружие, но и любое другое известное программное обеспечение — судя по логике алгоритмов вируса и изощрённости их кодирования.

Нам никогда ранее не приходилось сталкиваться с таким уровнем сложности и переплетённости машинного кода, с подобной логикой программ. Для анализа даже самых сложнейших компьютерных червей и троянцев нам требуется от нескольких недель до пары месяцев, но здесь какой-то полный ахтунг..  сложность работы оценке пока не поддаётся. Мне неизвестна ни одна софтверная компания, способная на подобную разработку, даже теоретически невозможно предположить, что этот код написан человеком. Большинство зловредов сделаны разномастными компьютерными уголовниками в их корыстных целях, некоторые кибер-малвары – это просто сетевое хулиганство, а за наиболее сложными атаками предположительно стоят спецслужбы разных стран (что подтверждают некоторые журналистские расследования и здравый смысл).

В данном же случае это ни первое, ни второе, ни третье.

Этот код нечеловечески сложен, боюсь, что червь имеет (не поверите!) внеземное происхождение.

Хохохо!

Дальше: космический вирус подтверждает теорию с космическом происхождении жизни на земле!