Arts of Bootkit

Несколько недель назад на конференции MalCon'2011 была представлена любопытная работа "Windows 8 Bootkit and Art of Bootkit Development" (Peter Kleissner). В ней описывается практически все известные наработки в области создания современных буткитов и что наиболее интересно автор нашел возможность создания рабочего концепта для Win8, несмотря на все утверждения MS о новых технологиях защиты SecureBoot (UEFI-based). 

Видео с демонстрацией работы концепта:

The Art of Bootkit Development [pdf]

Видимо следующем шагом в эволюции высокотехнологичных вредоносных программ станет переход к использованию технологий аппаратной визуализации в массовом порядке, а не только в редких концептах.

Обзор книги «A Bug Hunter’s Diary»

Не так давно появилась в продаже англоязычная версия  достаточно любопытной книги «A Bug Hunter’s Diary», изданной издательством No Starch Press. 

"Give a man an exploit and you make him a hacker for a day; teach a man to exploit bugs and you make him a hacker for a lifetime." - Felix 'FX' Lindner, Head of Recurity Labs / Phenoelit

В последнее время получается так, что книги именно этого издательства чаще всего попадают на мою книжную полку (The Tangled Web, Metasploit, IDA Pro Book). Собственно, чем же меня заинтересовала эта книга, ответ достаточно прост: я давно уже искал книгу для студентов.  Требования к книге  были довольно просты, она должна была бы разъяснять методы эксплуатации уязвимостей не на каких-то надуманных искусственных  примерах и при этом позволяла бы людям не искушенным в этом вопросе ознакомиться с предметной областью. A Bug Hunter’s Diary оказалась именно той книгой, что я искал в качестве дополнительной литературы и которую я мог бы рекомендовать моим студентам. Автор книги Tobias Klein, выстроил ее таким образом, что она постепенно переходит к более сложным темам и  при этом рассматриваются уязвимости в реальных программных продуктах, которые известны многим и пользуются популярностью. Но сразу стоит сказать, что книга рассчитана на людей не искушённых с темой поиска уязвимостей и их эксплуатации, здесь вы не найдете новых методик обхода DEP/ASLR или руководство по использованию ROP.

Возвращение SpyEye

На прошлой неделе попался на глаза интересный сэмпл SpyEye. Собственно интересен он тем, что имеет целевые плагины для российских ДБО систем.

Carberp + BlackHole = рост ДБО инцидентов

В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:

• glavbukh.ru - скрытая переадресация на  jya56yhsvcsss.com/BVRQ (BlackHole)
• ria.ru - скрытая переадресация на   aysh5tg2h3nk.com/BVRQ (BlackHole)

У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.

Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в  ноябре месяце: