Новый ZeroAccess: хроники внедрения кода

В конце весны текущего года произошло обновление семейства Win32/Sirefef и Win64/Sirefef, так же известных под именем ZeroAccess. Мы отследили появление новых модификаций в начале мая, примерно в это же время стартовала новая партнерская программа (PPI) по распространению ZeroAccess. Обновленная версия не содержит системных драйверов и скрытого хранилища для хранения файлов. Сначала разработчики в предыдущей версии избавились от драйвера для версии Win64/Sirefef, а теперь и для всего семейства целиком.  Как и в предыдущих версиях для монетизации используется схема по подмене поискового трафика в популярных поисковиках. Объявление призывающая участвовать в новой партнерской программе, размещенное на закрытом форуме verified.ms, выглядит следующем образом:

ACAD/Medre: история украденных чертежей

Некоторое время назад ESET начал расследование довольно нетипичной вредоносной программы ACAD/Medre, которая распространялась через модифицированные файлы для AutoCAD. ACAD/Medre предназначалась для промышленного шпионажа и занималась хищением файлов с проектами AutoCAD всех актуальных версий. Наиболее интересным фактом всей этой истории, является то, что самое активное распространение ACAD/Medre происходило в регионе Перу (данные из нашего облака LiveGrid). Вероятнее всего, это связано с   началом распространения именно в этом регионе, за счет чего произошел такой всплеск инфекций, именно в этом регионе. 

JS/Exploit.CVE-2012-1889: тихий 0-day

Не успела MS отрапортовать об успешно закрытых 13-ти уязвимостях в MS12-037, как Google наводит панику с очередной уязвимостью нулевого дня (CVE2012-1889) во всей линейке IE. А к тому же уязвимость еще проявляется в MS Office 2003/2007 и вполне пригодна для целенаправленных атак. Cпустя несколько дней появляется публичный эксплойт в составе проекта Metasploit.

Собственно уязвимость кроется в Microsoft XML Core Services. Происходит повреждение памяти при обращении к не инициализированному участку с несуществующим XML Node (посредством вызова метода get_definition()), что в итоге может привести к удаленному выполнению кода. Простейший код приводящий к IE к аварийному завершению выглядит следующим образом:

Этот код пытается обратиться к  не инициализированному объекту в памяти, но ссылка на этот регион памяти все же создается, что собственно приводит к потенциальной возможности выполнения кода в функции  _dispatchImpl :: InvokeHelper().

Bootkit threats: in-depth reverse engineering & defense

Нам выпала честь в этом году выступить на конференции REcon в Монреале. Где был представлен доклад "Bootkit threats: in-depth reverse engineering & defense", который рассказывал о современных тенденциях в разработке буткитов и подходах реверсинга для них. Ниже привожу слайды нашего доклада.

Впечатления от PHDays'2012

Выжидал я время, пока утихнут блоги ИБ деятелей от PHDays'2012, но чувствую произойдет это не скоро и к тому моменту я уже с трудом припомню свои собственные ощущения от мероприятия, поэтому все-таки не удержусь и выскажусь сейчас. 

Сначало искренне хочется поблагодарить организаторов, которые проделали колоссальную работу по подготовке PHDays'2012 и продолжали напряженно работать на протяжении всего мероприятия. Ребята, большой вам респект за все это!

Приехав на конференцию к 8:30, я так и не смог посмотреть доклады других участников до своего выступления, так как критическая масса друзей и знакомых просто зашкаливала. 

А так же в этом году приехал мой коллега Пьер-Марк Бюро из Канадского R&D, чтобы представить мастер-класс по реверсингу "Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ". Конечно, там речь не шла о каком-то мега хардкоре, но было интересно все собрано в одном практическом примере, как можно использовать возможности автоматизации на встроенном в  IDA питоне. И мне было нужно ему помочь освоится в незнакомой обстановке :)