Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

_ttp://www.viruslist.com/ru/analysis?pubid=204007581

Сетевой экран — дополнительное средство безопасности, актуальность которого растет по мере ускорения темпов создания новых вредоносных программ. Использование сетевого экрана позволяет блокировать нежелательный сетевой трафик — как входящий, так и исходящий. Проверить надежность экрана с точки зрения контроля исходящего трафика и эффективности защиты от утечек информации с компьютера позволяют тесты на утечки — ликтесты, о которых и пойдет речь в этой статье.

...

Что такое утечки и тесты на утечки

 

Утечка (leak) — это технология обхода механизмов контроля сетевой активности в сетевом экране, позволяющая приложениям, не имеющим разрешающих правил в списке правил сетевого экрана, производить отправку данных вовне. При этом сетевой экран не блокирует их отправку и в режиме обучения не уведомляет пользователя о данной сетевой активности.

 

Правильно спроектированный сетевой экран не должен допускать никаких утечек и идентифицировать все попытки входящей и исходящей сетевой активности. Поэтому, говоря о качестве работы сетевого экрана, применяют два критерия: качество контроля входящих данных (inbound protection — защита от проникновения на компьютер снаружи) и качество контроля исходящих данных (outbound protection — защита от утечки информации с компьютера).

 

Для тестирования качества inbound protection сетевого экрана обычно применяются различные сканеры открытых портов (например, ShieldsUP!, Quick test и другие).

 

Для анализа качества защиты от утечек, предоставляемой сетевым экраном, используются тесты на утечки (ликтесты, от англ. leak tests) — небольшие не вредоносные программы, которые эксплуатируют одну или несколько утечек. Такие программы написаны в основном исследователями и экспертами в области сетевой безопасности. Очевидно, что единственная возможность для организации утечек — использование уже существующих «отверстий» (разрешающих правил) для известных приложений. Однако прежде требуется «убедить» сетевой экран, что данная сетевая активность инициирована именно доверенным приложением.

...

Существуют 3 базовые идеи, позволяющие обойти защиту сетевого экрана:

 

1. Обмануть сетевой экран, «убедить» его, что сетевая активность инициирована одним из доверенных приложений — путем подмены исполняемого файла одного из доверенных приложений на диске или подмены данных неизвестного процесса на данные доверенного процесса в памяти компьютера.

2. Исполнить код от имени доверенного приложения, внедрив dll или просто небольшую часть кода неизвестного приложения в адресное пространство доверенного процесса. Сетевой экран не сможет отличить сетевую активность таких внедренных элементов от обычной сетевой активности доверенного приложения.

3. Использовать документированные интерфейсы, предоставляемые доверенными приложениями. При использовании таких интерфейсов сетевую активность будут проявлять доверенные приложения, однако вся она будет контролироваться неизвестным приложением. Это позволит последнему передать через интерфейсы данные вовне без предупреждений сетевого экрана.

...

Несколько лет назад сетевой экран как средство защиты персональных компьютеров использовался довольно редко. Как следствие, лишь отдельные экземпляры вредоносных программ применяли утечки для обхода сетевого экрана. Однако в последнее время авторы вредоносного программного обеспечения используют средства автоматизации для быстрого получения новых экземпляров своих программ, в результате чего их поток в Сети растет все быстрее и быстрее. В связи с этим роль дополнительных средств защиты персональных компьютеров значительно возрастает, и повышается популярность сетевых экранов.

...

Какую же пользу можно извлечь из сравнительных тестов с использованием ликтестов? В первую очередь, это, конечно, определение интегрального качества системы защиты при выборе комплексной системы защиты компьютера пользователя.

 

В настоящее время при выборе системы антивирусной защиты пользователи часто смотрят только на такие характеристики, как уровень детектирования и время реакции продукта (например, по тестам av-comparatives.org, av-test.de). Но для анализа качества современных систем защиты этого недостаточно. Следует анализировать качество «проактивной» составляющей антивируса. Лечение зараженной машины, противодействие активному руткиту, качество самозащиты — примеры не менее важных характеристик, которым, к сожалению, авторы сравнительных тестов уделяют мало внимания. Кроме того, при выборе комплексного продукта для защиты следует проанализировать его дополнительные компоненты, такие как сетевой экран и спам-фильтр.

 

Если независимые тесты антиспам-систем персональных продуктов защиты нам не известны, то тесты для проверки качества работы сетевого экрана существуют. Как было сказано выше, качество его работы определяется двумя критериями: контроль входящих данных и контроль исходящих данных. Хорошие показатели в тестах контроля исходящих данных позволяют говорить о том, что сетевой экран является не просто «довеском» к антивирусу, а представляет собой дополнительный уровень защиты, способный предотвратить, например, отправку конфиденциальных данных пользователя злоумышленникам — даже в случае, если антивирусный компонент вдруг не остановил троянскую программу-похитителя.

 

На наш взгляд, продукты, получившие при тестировании matousec.com защиты от утечек оценку «Very good» или «Excellent», обеспечивают достойный уровень защиты пользователей. В тех случаях, когда продукт оценен как «Good», а тем более как «Poor» и «Very Poor», автор вредоносной программы может выбирать практически любой способ для обхода сетевого экрана данного продукта.

...

В будущем во вредоносных программах будут использоваться новые методы обхода защитных механизмов как новой операционной системы, так и существующих систем защиты. Поэтому роль сетевого экрана как одного из дополнительных средств защиты компьютера будет только возрастать. В условиях более активного использования авторами вредоносных программ технологий утечек для обхода сетевых экранов применение ликтестов в качестве инструмента для проверки надежности защиты компьютера станет обязательным и необходимым.

...

Основные положения

 

1. Сетевой экран является дополнительным средством защиты, которое может помочь в борьбе с вредоносными программами, еще не добавленными в антивирусные базы и не определяемыми модулями проактивной защиты.

2. Для обхода сетевого экрана, отслеживающего сетевую активность приложений, вредоносные программы могут применять утечки. Утечки организовываются при помощи технологий обхода механизмов контроля сетевой активности в сетевом экране, позволяющих производить успешную отправку данных вовне приложениям, для которых в списке правил сетевого экрана не существует разрешающих правил.

3. Существует 6 основных технологий утечек, реализующих 3 базовые идеи: обман сетевого экрана, исполнение кода от лица доверенного приложения, использование документированных интерфейсов, предоставляемых доверенными приложениями.

4. В реальных вредоносных программах в прошлом утечки применялись редко, однако с ростом популярности комплексных средств защиты со встроенными сетевыми экранами намечается тенденция к увеличению числа вредоносных программ, использующих различные типы утечек.

5. Для проверки способности сетевого экрана противостоять утечкам используются ликтесты — небольшие не вредоносные программы, написанные экспертами по компьютерной безопасности.

6. Продукты, получившие в тестах оценки уровня защиты от утечек «Very good» и «Excellent», обеспечивают достойную защиту компьютеров пользователей. В тех случаях, когда продукт имеет оценку «Good», а тем более «Poor» и «Very Poor», автор вредоносной программы может выбирать практически любой способ для обхода сетевого экрана данного продукта.

7. Новая операционная система Windows Vista за счет улучшений в системе безопасности позволяет блокировать ряд ликтестов (и, соответственно, утечек), но для блокирования большинства утечек все равно необходима установка стороннего комплекса защиты.

8. Роль сетевого экрана как дополнительного средства защиты растет. Ликтесты являются необходимым инструментом для проверки надежности системы безопасности компьютера.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

_ttp://www.cnews.ru/news/line/index.shtml?2007/12/12/279201

 

Установки ботам даются через RSS-агрегаторы

12.12.07, Ср, 16:35, Мск

 

Finjan обнаружила новый подход в управлении ботами. В своем отчете о тенденциях веб-безопасности за четвертый квартал 2007 г. вендор описывает, как сервис Web 2.0 может быть использован операторами ботов. Вместо командования и контроля серверов напрямую или через сети Fast Flux, хакеры могут отправлять инструкции и получать сообщения ботов, передаваемые через блоги и RSS-агрегаторы.

 

Нападающий при помощи троянов инфицирует подходящее число компьютеров, причем используется эксплойт Iframe injection. Троян принимает команды сервера через RSS-ленты и сообщения в блогах, используемых злоумышленником. Команды сервера ботнета помещаются в блог и передаются через RSS-агрегатор на компьютеры, зараженные трояном.

 

Этот метод делает управление ботами невидимым для пользователей. Устройство крупных RSS-сервисов (Google, Yahoo и т.п.), как правило, препятствует быстрому обнаружению проблемы. Однако, такие сервисы блокируют вредоносный трафик, не запрещая доступа пользователей к безопасным сайтам. Меры, необходимые для защиты от атак такого рода, уже вырабатываются. Finjan сообщила, что обнаружено уже три трояна, использующих эту технику, и в 2008 г. прогнозируется многократное увеличение их числа.

 

и Д. Эйтел из Immunity в своих программах предлагает аналогичный способ. :smile10:

 

 

Ссылка на комментарий
Поделиться на другие сайты

случай из жизни на тему - "Россия как рассадник ботнетов". :smile10:

 

"Электронный журнал "Спамтест" No. 215" (_ttp://subscribe.ru/blog/inet.safety.spamtest/post/20071229100539)

Против ожиданий, праздничные спам-рассылки с "подарками" от операторов "штормового" ботнета _ttp://www.spamtest.ru/news?id=207508831 появились только в канун Рождества. Стараясь наверстать упущенное, злоумышленники распространяют под видом файла с "рождественским стриптизом миссис Клаус" и новогодних поздравительных открыток новую разновидность троянца, зарегистрированную "Лабораторией Касперского" как Email-Worm.Win32.Zhelatin.pd.

 

Первая атака данного троянца была зафиксирована специалистами по сетевой безопасности 24 декабря. Заголовки вредоносных сообщений отражали рождественскую тематику, а их текст призывал насладиться праздничным стриптизом, пройдя по прилагаемой ссылке на веб-сайт merrychristmasdude.com. При попытке скачать с него бесплатное развлечение посетитель загружал на свой компьютер троянскую программу.

 

По данным Центра по сетевым угрозам (Internet Storm Center, ISC) института SANS, указанный спамерами домен был зарегистрирован службой nic.ru, его хостинг находился в сети на 1000 узлов и был защищен от обнаружения технологией "fast-flux DNS" (динамическая перерегистрация IP-адресов). Эксперты F-Secure отметили, что IP-адрес сайта менялся ежесекундно.

 

Рождество повелители "штормового" троянца отметили новой спам-рассылкой. На сей раз они решили заблаговременно разослать вредоносные "поздравления" к очередному празднику - Новому году, в которых приглашали пользователей посмотреть открытку на веб-сайте uhavepostcard.com. По данным специалистов F-Secure, на указанном ресурсе эксплойтов пока не обнаружено, но загружаемый файл под именем "happy2008.exe" содержит все тот же вариант троянской программы.

 

Исследователи SANS определили, что регистратор "новогоднего" домена - та же nic.ru, хостинг размещен на том же ресурсе, но количество узлов в сети увеличилось до 8000.

 

26 декабря вредоносная открытка перекочевала на страницу happycards2008.com, имя загружаемого файла тоже изменилось - "happy-2008.exe". На следующий день специалисты по безопасности обнаружили новый вредоносный домен - newyearcards2008.com, и новое имя троянского файла - "happynewyear.exe".

 

Для затруднения детектирования "штормовой" троянец ведет себя как вирус-полиморфик, ежеминутно меняя код. На настоящий момент английская компания Prevx зафиксировала _ttp://www.prevx.com/blog/74/Storm-Worm-third-round.html уже 4 версии "штормового" троянца, одна из которых в течение 10 часов сменила 166 вариантов. В базу данных исследователей в течение 4 дней было также занесено более 400 модификаций другой версии этого троянца. По данным Prevx, две последние его версии дополнительно защищены руткитом.

 

_ttp://isc.sans.org/diary.html?storyid=3784

_tttp://www.f-secure.com/weblog/archives/00001349.html>

 

SpamHaus решил попробовать побороться с этим. В _ttp://www.spamhaus.org/news.lasso?article=624 описан эта же история.

так как для заражения используются веб-сервера, которые могут оперативно мигрировать с провайдера на провайдер, если их закроют где-то, где-то с помощью технологии "быстрого переключения"(fast-flux). Ключевой момент в такой технологии - регистрация домена, в котором будут веб-сервера с троянами. Если заблокировать такие домены (это может сделать только их регистратор), то все запросы к ним будут неуспешными.

Как написано выше, домены зарегистрированы в русском регистраторе NIС.RU, которому, судя по внешним признакам, пофиг на безопасность (люди видимо уже отмечают вовсю несколько дней :smile6: ). SpamHaus пытался связаться всеми возможными способами с ними, но так и не смог это сделать.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

а вот и руткит, встраивающийся в master boot record(MBR) пошел в массы (подробное описание - _ttp://www2.gmer.net/mbr/).

 

_ttp://isc.sans.org/diary.html?n&storyid=3820

Master Boot Record rootkit

Published: 2008-01-08,

by Swa Frantzen (Version: 2)

 

Matt Richard from Verisign's iDefense sent us some information regarding the Master Boot Record (MBR) rookit that's been found in the wild in the past weeks.

 

The first interesting part is the timeline:

 

* Aug 1, 2005 - eEye publishes PoC code

http://research.eeye.com/html/tools/RT20060801-7.html

* Aug. 3, 2007 - Vbootkit presentation at Black Hat USA

http://www.blackhat.com/presentations/bh-e...kumar-apr19.pdf

* Oct. 30, 2007 - Original version of MBR rootkit written and tested by attackers

* Dec. 12, 2007 – First known attacks installing MBR code

about 1,800 users infected in four days.

* Dec. 19, 2007 - Second wave of attacks installing MBR code

about 3,000 users infected in four days

* Dec. 22, 2007 – Malware Research Form members discover rootkit in the wild

* Jan. 2, 2008 - GMER research and analysis of MBR Rootkit code

http://www2.gmer.net/mbr/

* Jan. 7, 2008 – First anti-virus vendors detect MBR rootkit components

 

The next big thing is that those distributing this rootkit, also distribute the Torpig banking Trojan.

 

The rootkit is currently being installed through a set of relatively old, and easy to patch Microsoft vulnerabilities:

 

* Microsoft JVM ByteVerify (MS03-011)

* Microsoft MDAC (MS06-014) (two versions)

* Microsoft Internet Explorer Vector Markup Language (MS06-055)

* Microsoft XML CoreServices (MS06-071)

 

But that can change at any moment to something more recent.

 

The different files involved had rather spurious detection in the anti-virus world.

Ссылка на комментарий
Поделиться на другие сайты

Еще информация из SANS NewsBytes о новом способе заражения посетителей веб-сайтов (около 70000 сайтов :smile10: ). Если в веб-приложении (сейчас IIS+ASP+MSSQL) есть уязвимость SQL injection, то атакующие вставляют во все символьные поля всех таблиц базы данных тег со JS-скриптом c хакерского сайта в расчете на то, что потом содержимое этого поля будет отображено на какой-то веб-странице без фильтрации и таким образом в страницу будет добавлен скрипт, пытающийся установить трояна на машину посетителя.

 

Техническая информация - см. _ttp://isc.sans.org/diary.html?n&storyid=3823

--SQL Injection Attack Infects Thousands of Websites

(January 7 & 8, 2008)

At least 70,000 websites have fallen prey to an automated SQL injection

attack that exploits several vulnerabilities, including the Microsoft

Data Access Components (MDAC) flaw that Microsoft patched in April 2006.

Users have been redirected to another domain [u c 8 0 1 0 . c o m], that

attempted to infect users' computers with keystroke loggers. Many of the

sites have since been scrubbed. The attack is similar to one launched

last year against the Miami Dolphins' Stadium website just prior to the

Super Bowl.

http://www.computerworld.com/action/articl...intsrc=hm_topic

http://www2.csoonline.com/blog_view.html?CID=33430

http://www.theregister.co.uk/2008/01/08/ma...tors/print.html

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...