За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.
среда, 30 ноября 2011 г.
понедельник, 28 ноября 2011 г.
ZeroNights: глазами докладчика
Наконец-то нашлось время для того, чтобы как то упорядочить свои впечатления от прошедшей на днях конференции ZeroNights. Организаторам совершенно однозначно удалось достичь высокого уровня докладов и актуальности рассмотренных тем. Так как в этом году мне довелось посетить большое количество зарубежных конференций со всей ответственностью, могу заявить, что ZeroNights был на уровне. Но с точки зрения организации были конечно моменты, которые я озвучу лично оргам и которые хотелось бы избежать в будущих мероприятиях. Мне большего всего не хватало атмосферы "хакерской конференции", как это было на Ekoparty или Confidence.
Мое участие началось с доклада "Современные тенденции развития вредоносных программ для систем ДБО", в котором было рассказано о последних тенденциях и эволюции в разработке банковских троянов, заточенных под Россию. Если охарактеризовать текущую ситуацию одним слайдом, то это будет выглядеть примерно так:
Ярлыки:
Bootkits,
Carberp,
Cybercrime,
Duqu,
Events,
Malware,
VBR,
ZeroNights
среда, 23 ноября 2011 г.
ESET на ZeroNights
Осталось всего несколько дней до основного мероприятия этой осени для исследователей в области ИБ. Мы, как компания с большим штатом ресечеров просто не могли пройти мимо и решили поддержать ZeroNights став основным спонсором мероприятия. Для нашей компании это уже сложившаяся практика поддержки практических конференций. На нашем счету уже такие мероприятия, как PHD, Confidence, Ekoparty, REcon.
В рамках программы мероприятия от нас будет два доклада:
- Современные тенденции развития вредоносных программ для систем ДБО
- Win32/Duqu: инволюция червя Stuxnet (FastTrack)
А еще всех участников конференции ждет новый увлекательный квест по реверсингу, с главным призом Amazon Kindle DX. Подходите к нашему стенду, регистрируйтесь и участвуйте! Правила конкурса простые, кто первый сломал того и Kindle =)
Ярлыки:
Carberp,
Duqu,
Events,
Reversing,
ZeroNights
вторник, 22 ноября 2011 г.
Новая модификация Carberp использует буткит-функционал
Недавно нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.
Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.
Подробное исследование можно найти тут:
А, так же более расширенную версию нашего расследования можно будет услышать на конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".
Ярлыки:
Bootkits,
Carberp,
Cybercrime,
Reversing,
Rovnix,
VBR,
ZeroNights
понедельник, 14 ноября 2011 г.
HACKERPRAKTIKUM в Бохуме
На прошлой неделе удалось побывать на интересном мероприятии HACKERPRAKTIKUM, которое проводится уже на протяжении нескольких лет в университете RUHR города Бохум. Нас, вместе с Евгением Родионовым, пригласили выступить с докладом, который мы уже демонстрировали на Ekoparty в этом году. Мероприятие HACKERPRAKTIKUM, в рамках которого нам предложили выступить, проводится уже не первый год и призвано дать студентам практические знания от специалистов из различных областей в ИБ.
Ярлыки:
Events,
Reflections
вторник, 1 ноября 2011 г.
Win32/Duqu REsearch: что скрывает RPC
Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить, что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании "Stuxnet under the Microscope" (стр. 56-57).
Проанализировав реализацию RPC-сервера в одном из компонентов Duqu, который реализует лишь локальную часть протокола и сравнив в BinDiff две основные процедуры, мы получили интересные результаты:
Ярлыки:
Antiforensics,
Cyberwar,
Duqu,
Reversing,
Stuxnet
Подписаться на:
Сообщения (Atom)