Вчера мы выпустили полный отчет по теме TDL4: "The Evolution of TDL: Conquering x64" [pdf]. Он характерно отличается от того, что есть на данный момент систематичностью излагаемого материала и его детализацией.
Подробно рассмотрены не только аспекты внедрения и работы самого руткита, но и пути его распространения и кто за этим стоит.
По данной теме планируется в ближайшее время два выступления, причем на CONFidence придется поехать сразу после доклада на PHD :)
Мастер-класс "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4" на Positive Hack Days
Доклад "Defeating x64: The Evolution of the TDL Rootkit" на CONFidence'2011 Krakow
четверг, 31 марта 2011 г.
среда, 30 марта 2011 г.
Positive Hack Days - must see!
Готовится крайне интересное мероприятие и возможно у нас появится наконец хоть одна конфа с большим числом интересных докладов из которых можно извлечь для себя реальную пользу.
вторник, 29 марта 2011 г.
Ralph Langner o PLC Payload из Stuxnet
Ralph Langner довольно неплохо разложил все по полочкам о PLC Payload из Stuxnet:
среда, 23 марта 2011 г.
Безопасность SCADA все больше волнует исследователей
В последнее время все больше внимания привлекается к безопасности в области промышленных SCADA систем. Отчасти катализатором такого пристального внимания стал громкий инцидент с червем Stuxnet и беспрецедентными суммами нанесенного им ущерба.
На недавно прошедшей в Мадриде конференции RootedCon'11 был представлен весьма интересный доклад "SCADA Trojans: Attacking the grid" по этой теме:
- 0-day уязвимости в Advantech/BroadWin WebAccess SCADA
- архитектурные уязвимости в CSE-Semaphore TBOX RTUs
- рассмотрены различные вектора возможных атак
[слайды] SCADA Trojans: Attacking the grid
PoC код эксплойтов
вторник, 22 марта 2011 г.
Phoenix exploit kit 2.5 leaked
Сейчас это наверное самый распространенный и наиболее часто утекающий сплойт-пак, но видимо это следствие вытекает из первого утверждения.
Ссылку на opensc.ws уже прибили, но при умении пользоваться гуглом и небольшой смекалке все находится достаточно быстро. Как я уже писал ранее в последнее время Java стала одним из основных векторов client-side атак и здесь только подтверждается пристальное внимание и особая любовь к Java-сплойтам со стороны разработчиков.
вторник, 15 марта 2011 г.
Использование связки эксплойтов
Попалось мне тут под руку достаточно наглядное видео, демонстрирующее атаку с использованием связки эсплойтов (причем достаточно свежих) для успешного пробива конечной цели. В качестве атакующего софта используется Immunity CANVAS последней версии. Еще обратите внимание на демонстрацию обхода IE sandbox, где то в середине ролика.
среда, 9 марта 2011 г.
Владельцы ботнета TDL4 стали продавать инсталы на инфицированных машинах?
Недавно было замечено, что некоторые свежие сэмплы TDL4 тащат за собой всякое (Win32/Glupteba.E, Win32/Glupteba.D). Причем ставится эта малвара без использования возможностей самого руткита по сокрытию сторонних процессов в системе. TDL4 выполняет только команду DownloadAndExecute и на этом его участие заканчивается.
Троянцы Win32/Glupteba.D, Win32/Glupteba.E, нацелены на скликивания контекстной рекламы, особенно активно проявили себя относительно рекламной сети бегуна.
Подписаться на:
Сообщения (Atom)