Vinni Опубликовано 21 февраля, 2008 Автор Поделиться Опубликовано 21 февраля, 2008 _ttp://subscribe.ru/archive/inet.safety.spamtest/200802/21100650.html Ботнет MayDay атакует корпоративные сети 20.02.2008 Специалисты по сетевой безопасности выявили новый ботнет, специализирующийся на рассылке поддельных извещений о состоянии кредита, снабженных "троянскими" pdf-вложениями. Ботнет, получивший условное название MayDay, ориентирован на работу в условиях защищенных корпоративных сетей и использует для связи с командным сервером http-протокол. Эксперты установили, что прикрепленный к спамовым письмам pdf-файл содержит программу-даунлоудер. Согласно классификации "Лаборатории Касперского", она является представителем семейства Backdoor.Win32.Mayday <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.viruslist.com/ru/find?words=Backdoor.Win32.Mayday&search=%CF%EE%E8%F1%EA> . После активации троянец <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.symantec.com/security_response/writeup.jsp?docid=2008-020622-1906-99> посредством http-запросов через прокси-сервер устанавливает связь с командным сервером и загружает на компьютер жертвы другие программы, необходимые для ведения спам-рассылок и осуществления отчетности. Эксперты установили также, что для поддержания связи между своими элементами в случае отключения командного сервера ботнет использует протоколы TCP и ICMP. В целях маскировки длительность сеансов связи зараженных машин с командным сервером ограничена. Адрес выявленного командного сервера <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.sophos.com/security/blog/2008/02/1057.html> принадлежит домену ".co.uk". По оценке наблюдателей за деятельностью ботнетов из компании Damballa, размеры MayDay пока невелики. Ботнет составляют несколько тысяч инфицированных ПК, работающих преимущественно во внутренних сетях крупных бизнес-структур (включая компании, входящие в список Fortune 50), учебных заведений и ведущих интернет-провайдеров. 96,5% ресурсов MayDay расположены на территории США, 2,5% - в Канаде. Тем не менее, специалисты по безопасности сходятся во мнении, что узкая специализация ботнета и применение технических средств камуфляжа создают предпосылки для его дальнейшей экспансии, а ущерб от его деятельности в Интернете может оказаться весьма значительным. Источник: DARKREADING <http://www.darkreading.com/document.asp?doc_id=144919&WT.svl=news2_1> Источник: TheRegister <http://www.theregister.co.uk/2008/02/13/new_botnet_advances/> Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 23 февраля, 2008 Автор Поделиться Опубликовано 23 февраля, 2008 в 2007 году с помощью шпионских программ стали воровать деньги из онлайн-банкинга гораздо чаще. SANS NewsBites Vol. 10 Num. 15 --Losses From Cyber Intrusions at US Banks Rise Significantly (February 20, 2008) According to an anonymously obtained copy of a non-public Federal Deposit Insurance Corporation (FDIC) quarterly Technology Incident Report, financial institutions in the US experienced a considerable increase in the number of intrusions leading to account hijackings and stolen money over the last year. The report indicates that the cost of these breaches is increasing for all involved - banks, businesses, and consumers. The report looks into suspicious activity reports, or SARs. Banks are required to report fraudulent and suspicious transactions of US $5,000 or more. The report says that the average cost per SAR in the second quarter of 2007 was US $29,630; the average cost per SAR in the same period a year earlier was US $10,536. The majority of SARs were classified as "unknown unauthorized access - online banking." The report suggests that Trojan horse programs and keystroke loggers are used in many instances of unauthorized access. http://blog.washingtonpost.com/securityfix...mputer_int.html http://www.informationweek.com/shared/prin...cleID=206801184 [Editor's Note (Pescatore): That report does point out that the number of suspicious activity reports that are computer intrusion-related are still less than 2% of those due to mortgage and check fraud, but the widespread prevalence of compromised PCs is causing the computer related incidents to be fast growing. (Paller): While the overall pattern of increase may be correct, several banks have experienced significant decreases in losses from money taken stolen from customer accounts through theft of customer credentials (via phishing or keystroke loggers, primarily). These banks set up a series of increasingly difficult challenges to transactions based on the transaction's score on (at least) three variables: (1) whether the transaction is done regularly, (2) whether the IP address is the one usually used, and (3) how large the transaction is. Customers doing their regular banking from home are not impacted because they don't trigger the defenses. Defense in depth; simple and effective.] основной мишенью становятся физлица и мелкий бизнес как наиболее незащищенные - причины описаны в _ttp://blog.washingtonpost.com/securityfix/2008/02/banks_losses_from_computer_int.html Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 29 февраля, 2008 Автор Поделиться Опубликовано 29 февраля, 2008 ворованных с помощью троянов паролей от FTP стало настолько много (десятки тысяч), что их стали продавать с помощью специального сайта как номера аськи. _ttp://www.darkreading.com/document.asp?doc_id=147123&WT.svl=news2_1 Stolen FTP Credentials Offered for Sale: Major Firms at Risk Nearly 9,000 stolen FTP server admin credentials offered with an automated crimeware kit, Finjan says FEBRUARY 27, 2008 | 3:42 PM By Kelly Jackson Higgins Senior Editor, Dark Reading Cybercriminals are selling a new crimeware package that can automatically infect nearly 9,000 FTP servers at some major global companies, researchers said today. Researchers at Finjan say they recently stumbled upon a Website selling and trading these stolen FTP server administrator credentials in a software-as-a-service model. ”They are providing an application where you can trade and validate [these credentials], and even get their Google page ranking,” says Yuval Ben-Itzhak, CTO at Finjan. ”You don’t need to hack or develop your own Trojan, and there’s no need to compromise a server by yourself” to gain access to the FTP servers and ultimately, the victim organization’s Website, he says. Finjan won’t divulge which organizations’ FTP credentials it found among the stolen, but they include companies in the financial, manufacturing, government, IT, and security industries, many of which Finjan has already alerted in addition to law enforcement. ”There were some big names on the list,” Ben-Itzhak says, including some of the world's top 100 domains as ranked by Alexa.com. The so-called meoryprof.info (Me-or-you-Profit) site is selling username, password, and server addresses of these FTP servers as well as the NeoSploit Version 2 crimeware package, which basically lets the bad guys who buy it instantly infect these sites with malicious code -- with the goal of stealing valuable and confidential data from them as well as any visitors to the sites. It also ”qualifies” the stolen accounts so that buyers either can then set a price to resell the compromised FTP credentials to other cybercriminals, or determine which are the more potentially lucrative sites to hack. ”With a click of a button they say ‘I want to infect his FTP server’ with the crimeware,” says Ben-Itzhak. Finjan did not test all of the sites to see if they had been infected yet or not. ”The significance of the theft of the FTP credentials really depends upon the security practices in place at each site and the content on the server,” says Randy Abrams, director of technical education for Eset. ”Unfortunately, the people most likely to have encountered the theft probably are not at the top of their security game. If the FTP server and other assets share the same logon credentials, the entire organization is owned. This is a very likely scenario.” An attacker with admin credentials can replace any file, he says, and that could mean swapping valid apps for keyloggers, bots, and other crimeware. Companies that run FTP services on the same server as their Web apps are even more at risk. ”If the FTP server is not a dedicated server, then the gamut of content the thieves have access to can be devastating. Storing HR records on the same box? Storing sensitive trade secrets, client records, client lists, etc. on the same box?" Abrams says. The "service" works like this: A buyer can purchase an exclusive list of FTP domains to attack, and the SaaS-like crimeware site provides the tool that injects iFrames into the compromised FTP servers. This SaaS-like model basically replaces manual hacking of a site. ”Before, they had to go online and buy a malicious toolkit, and then go and compromise the Website... Now they don’t need to download anything or do any manual hacking of a remote server,” Ben-Itzhak says. Finjan isn’t sure who’s behind the scam, but there were many pages on the server written in Russian. ”We don’t know if it’s the [Russian Business Network] or other groups... We just know it exists and is operating,” Ben-Itzhak says. One interesting twist to this operation: The bad guys behind the scam inadvertently tipped their hand to Finjan while trying to make their code undetectable. Finjan researchers about a month ago noticed someone submitting the same URL over and over to its URL analysis page that checks for malicious code. ”They were trying to write malicious code that would be undetected by security products,” Ben-Itzhak says. That then led Finjan to the meoryprof.info site, and to the database of stolen FTP credentials. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 7 апреля, 2008 Автор Поделиться Опубликовано 7 апреля, 2008 Электронный журнал "Спамтест" No. 227 28.03.2008 Специалисты по компьютерной безопасности предупреждают о применении злоумышленниками новой тактики при проведении кибератак с использованием уязвимостей в "движке" Microsoft Jet Database Engine. Сценарий атаки выглядит следующим образом. Пользователь получает спамовое послание с двумя вложенными файлами - в форматах ".doc" и ".mdb" (файл базы данных). Почтовый клиент сохраняет оба файла в одной директории. Пользователь открывает текстовый файл, и тот, напрямую обращаясь к компоненту базы данных "msjet40.dll", автоматически загружает заряженный эксплойтом mdb-файл. Использованные в данной атаке эксплойты хорошо известны и зарегистрированы в базе "Лаборатории Касперского" как Trojan-Dropper.MSAccess.Jet.c <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.viruslist.com/ru/viruses/encyclopedia?virusid=121221> и Trojan-Dropper.MSAccess.Jet.f <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.viruslist.com/ru/viruses/encyclopedia?virusid=98571> . При успешной эксплуатации уязвимости на машину жертвы устанавливается троянская программа удаленного администрирования Backdoor.Win32.Ayam <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.viruslist.com/ru/viruses/encyclopedia?virusid=42570> . Поскольку сценарий кибератаки не срабатывает, если doc-файл открывается непосредственно из почтового аккаунта (без использования программы-клиента) либо в отсутствие в той же директории зараженного mdb-файла, злоумышленники в некоторых случаях архивируют этот тандем и рассылают его в виде zip-вложения. Эксплуатируемые в описанных атаках уязвимости - CVE-2005-0944 и CVE-2007-6026 - до сих пор не пропатчены. Mdb-файлы Microsoft считает небезопасными, их автоматически блокируют и Internet Explorer, и Outlook. Однако, поскольку браузер и почтовый клиент настроены на фильтрацию почты на основе файловых расширений, злоумышленники научились обходить эту преграду, переименовывая вредоносный mdb-файл и снабжая <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.avertlabs.com/research/blog/index.php/2008/03/26/more-analysis-on-the-ms-jet-exploits-camouflaging-as-microsoft-word-files/> его более безобидным расширением - ".asd", ".doc". Microsoft разработала новую версию библиотеки "msjet40.dll", устранив названные уязвимости; она уже используется в Windows Vista и Windows Server 2003 SP2. По заявлению представителей компании, подготовленный к выпуску пакет Windows XP SP3 также будет защищен от mdb-атак. Не исключена возможность выпуска патчей для более ранних версий MS Office. А пока Microsoft советует администраторам корпоративных сетей блокировать mdb-файлы (в том числе и переименованные) на входе, а индивидуальным пользователям - проявлять бдительность и никогда не открывать вложения в письма из незнакомых и подозрительных источников. Источник: AvertLabs <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.avertlabs.com/research/blog/index.php/2008/03/21/microsoft-jet-database-engine-attacked-through-word/> Источник: SYMANTEC <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080403100713/n/m4696343/-/www.symantec.com/enterprise/security_response/weblog/2008/03/another_reason_why_microsoft_s.html> Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 30 апреля, 2008 Автор Поделиться Опубликовано 30 апреля, 2008 Rock Phish вновь меняет тактику 25.04.2008 Согласно наблюдениям исследователей компании RSA, одиозная группировка Rock Phish <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080430130629/n/m4696343/-/www.spamtest.ru/news?id=207508807> вознамерилась повысить эффективность фишинговых атак, дополнив свой арсенал троянской программой семейства Zeus <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080430130629/n/m4696343/-/www.viruslist.com/ru/analysis?pubid=204007578#12> . Теперь, получив фишинговое послание с ботнета, контролируемого Rock Phish, неосторожный пользователь рискует попасть под двойной удар. Пройдя по указанной злоумышленниками ссылке на поддельную веб-страницу, он может, утратив бдительность, оставить на ней персональную информацию. Однако, вне зависимости от того, поддастся он искушению или нет, велика вероятность, что на его компьютер будет скрытно установлена многоцелевая модификация троянца Zeus. Специалисты RSA отмечают, что при проведении данных атак процент заражений очень высок, так как злоумышленники используют уязвимости "нулевого дня" пользовательских ОС, браузеров и прикладных программ. Кроме того, троянец загружается с веб-хостинга, в адрес которого внедрен домен одного из сервисов Google; сами URL динамически изменяются, затрудняя работу защитных систем. По сведениям экспертов, злоумышленникам даже не пришлось прибегать к услугам вирусописателей: последняя модификация Zeus продается на подпольном рынке готовым комплектом за умеренную цену - 700 долларов. Во избежание обнаружения бинарный файл троянской программы автоматически обновляется перед каждой атакой, сводя на нет использование занесенных в антивирусные базы сигнатур. За последние полгода в RSA было зарегистрировано более 150 вариантов Zeus, производительность которых составляет в среднем 4000 заражений в сутки. В функционал бота, помимо стандартных процедур инсталляции и внедрения в запущенные процессы, входит комплексная процедура кражи информации. Троянец ворует сохраненные в системе пользовательские пароли, контролирует осуществляемый через браузер ввод данных в формы - особенно информации финансового характера, делает скриншоты экрана при использовании виртуальной клавиатуры, подменяет содержимое запрашиваемых веб-страниц. По оценке экспертов, группировка Rock Phish, которой многие приписывают российские корни, ответственна за половину фишинговых атак в Интернете. Используемые ею новаторские методы всегда обеспечивали высокую эффективность злонамеренных эскапад. С именем Rock Phish связывают появление графического спама и "одноразовых" URL, применение ботнетов для проведения фишинговых атак. Данная группировка использует такой прием обхода спам-фильтров, как "зашумление" контента и URL в электронных сообщениях, а рассылка с помощью спам-бота по спискам активных адресов, найденных в базе резидентной машины, обеспечивает впечатляющий процент доставки фишинговых посланий. Источник: RSA <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080430130629/n/m4696343/-/www.rsa.com/blog/blog_entry.aspx?id=1274> Источник: SearchSecurity.com <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080430130629/n/m4696343/-/searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1310679,00.html Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.