AVAR'2012

В начале ноября мне довелось побывать на конференции AVAR (Association of anti Virus Asia Researchers), которая проходила в этом году в Китае в городе Ханчжо́у. Как и многие другие конференции в антивирусной отрасли AVAR каждый год проходит на новом месте. В данном случае новое место выбирается где-нибудь в Азии.

Итак, конференция в первую очередь интересна тем, что собирает большое количество азиатских исследователей из самых разных регионов. Ну и помимо исследователей, конечно, она пестрит разношерстными представителями локальных компаний, так или иначе аффинированных с АВ-индустрией.

ZeroNights'2012: еще одно мнение

Сначала хочется сказать, что чуть больше года назад у нас не было ни одной конференции нацеленной на исследователей в области ИБ. Сейчас есть два мероприятия, которые не только не уступают западным, но и превосходят многие по своей масштабности и качеству контента. Можно отметить, что произошла некоторая качественная эволюция всех этих бестолковых инфобезов ... (которые постепенно загибаются), в нечто совершенно иное и куда уже не стыдно пригласить  именитых зарубежных исследователей.

Ну, а теперь о самом мероприятии, конечно очень сложно сделать все идеально. Особенно когда мероприятие на несколько сотен человек готовится не большим коллективом и по большей части на энтузиазме. Хочу поблагодарить ребят из Digital Security за отличную конференцию, фейлы конечно были, но писать о них я не буду ;)

Win32/Flamer: Reverse Engineering and Framework Reconstruction

Одноименный доклад был представлен нами на конференции ZeroNights'2012. Целью доклада было осветить проблемы реверсинга больших программ на C++ в которых применяется ООП. Проблема освещалась через призму реконструкции объектно-ориентированной платформы на которой была разработана вредоносная программа Flame.

Virus Bulletin 2012: немного впечатлений

Чуть больше недели назад состоялось одно из важнейших ежегодных мероприятий для антивирусных компаний. Речь идет об одной из старейших конференций организованной для обмена опытом между представителями различных антивирусных вендоров и просто исследователей ИБ. Конечно же речь идет о Virus Bulletin, которая в этом году состоялась в Далласе.

Отдельно стоит отметить, что ESET является уже на протяжении многих лет одним из основных спонсоров этой конференции и в этом году мы выступили на ней более чем достойно. Всего от нас было восемь докладов: 4 в техническом потоке и 4 в корпоративном. 

Открывал конференцию достаточно интересный кейнот "The trade in security exploits: free speech or weapons in need of regulation" о горячо обсуждаемой теме продажи эксплойтов и легальных компаниях, которые их скупают/продают.

Не обошлось и без фото Чарли Миллера на слайдах :)

Вообщем и целом ничего особенного в этом спиче сказано не было, просто еще раз обсудили положение дел, но сам докладчик был довольно задорный.

Flame: реконструкция ООП фреймворка

Уже много слов было сказано про червя Flame (Win32/Flamer), но почему то никто не публикует результаты более детального изучения кода этой вредоносной программы. А код у Flame между тем очень интересен и таит в себе еще не мало открытий для вдумчивых и усидчивых исследователей. Ведь не спроста он оставался незамеченным на атакованных системах долгое время, причем на этих системах стаяло антивирусное ПО некоторых известных вендоров, но сейчас все же не об этом ;)

Итак, в чем же связь между Flame, Duqu и Stuxnet? Так как нами были проанализированы все три вредоносные программы, то мы решили не просто описать свои внутренние ощущения, а подтвердить это родство техническими фактами.

Начнем с того, что код Win32/Flamer анализировать не очень приятно, даже при отсутствии жесткой обфускации. Объектно-ориентированный код схож с тем, что уже встречалось ранее в Stuxnet и Duqu, но однозначного сходства не так уж и много. В основном схожесть кроется в стиле кодирования и архитектуре этих вредоносных программ. Если в случае Stuxnet и Duqu ООП архитектура была построена на одном фреймворке и концепциях, то у Flame есть отличия. У всех трех вредоносных программ реализована сложная логика работы, а использование ООП концепций, реализованных на C++, заставляют разбираться в работе не только самой вредоносной программы, но и компилятора тоже. В качестве наглядного примера посмотрите на реконструкцию вызова метода Rc4_GetBufferSize() в модуле mssecmgr.ocx:

Rovnix.D: механизмы мультиинжекта

Не так давно я уже писал о новой модификации буткита Rovnix.D. Наш дальнейший анализ показал, что есть еще интересные детали, которые остались за рамками предыдущего поста. В первую очередь хочется отметить механизм множественных инжектов пейлоада, что раньше не было замечено в этом семействе буткитов. Механизм множественного внедрения кода позволяет на одной зараженной машине устанавливать несколько полезных нагрузок одновременно и внедрять их в разные пользовательские процессы. Причем, все полезные нагрузки будут храниться в скрытом файловом хранилище. Такой подход открывает злоумышленникам большие возможности по сдаче такого ботнета в аренду и при этом сохраняя контроль на инфицированной машиной при помощи вредоносного драйвера.

Сейчас у нас нет данных о существовании большой ботсети на основе Rovnix.D,  а в тестовой C&C насчитывается около 9000 активных ботов.

ESET crackme challenge for BlackHat

Очередной конкурс по реверсингу от ESET и на это раз мы добрались до Black Hat в Вегасе. Задание, как всегда сложное, но интересное ;)

Итак, официальный сайт: go.eset.com/us/rulethecode (стоит заходить только с US IP адресов)

Или же, вот прямой линк на бинарь с заданием: забирать здесь

Всем удачи и терпения =)

Обновился фреймворк Rovnix для разработки VBR-буткитов

В прошлом месяце нами была зафиксирована новая модификация буткита Rovnix (VBR-буткита). Rovnix это фреймворк для создания буткитов, который уже был задействован в банковском троянце Carberp. Он состоит из двух основных компонентов, это динамическая библиотека инсталятор BkSetup.dll и драйвер, который загружается в процессе выполнения буткит-кода и внедряет полезную нагрузку в указанные процессы.

В новой версии появились изменения связанные с противодействиям обнаружению, так например изменилась схема полиморфных преобразований, которые реализуют расшифрование вредоносного кода VBR.

Подробнее обо всех изменениях читайте в моем англоязычном блоге.

Игры с JIT или эксплуатация CVE-2012-1723

Со времен активной эксплуатации уязвимости CVE-2012-0507 мало что изменилось и Java по прежнему остается самым популярным вектором, использующимся в популярных наборах эксплойтов. Буквально вчера появилась публичная информация об использовании CVE-2012-1723 в наборе эксплойтов BlackHole, а ведь сама уязвимость была только недавно найдена в середине июня и публичных реализаций эксплойта она не имеет. Почему же такое пристальное внимание к Java уязвимостям и они настолько оперативно попадают в наборы эксплойтов?

Все дело в том, что  Java-уязвимости довольно просто эксплуатируются и не требуют обхода DEP/ASLR и прочих механизмов безопасности. А в большинстве случаев при небольшой адаптации эксплойт может стать еще и кроссплатформенным. К примеру сделать стабильный эксплойт под тот же CVE-2012-1889 в разы сложнее. Да, собственно и разбираться с работой самой уязвимости тоже. Все, что я видел из боевых эксплойтов для CVE-2012-1889 работали с кучей допущений на Win7/Vista и по большей части эффективнее всего пробивали только WinXP.

Новый ZeroAccess: хроники внедрения кода

В конце весны текущего года произошло обновление семейства Win32/Sirefef и Win64/Sirefef, так же известных под именем ZeroAccess. Мы отследили появление новых модификаций в начале мая, примерно в это же время стартовала новая партнерская программа (PPI) по распространению ZeroAccess. Обновленная версия не содержит системных драйверов и скрытого хранилища для хранения файлов. Сначала разработчики в предыдущей версии избавились от драйвера для версии Win64/Sirefef, а теперь и для всего семейства целиком.  Как и в предыдущих версиях для монетизации используется схема по подмене поискового трафика в популярных поисковиках. Объявление призывающая участвовать в новой партнерской программе, размещенное на закрытом форуме verified.ms, выглядит следующем образом:

ACAD/Medre: история украденных чертежей

Некоторое время назад ESET начал расследование довольно нетипичной вредоносной программы ACAD/Medre, которая распространялась через модифицированные файлы для AutoCAD. ACAD/Medre предназначалась для промышленного шпионажа и занималась хищением файлов с проектами AutoCAD всех актуальных версий. Наиболее интересным фактом всей этой истории, является то, что самое активное распространение ACAD/Medre происходило в регионе Перу (данные из нашего облака LiveGrid). Вероятнее всего, это связано с   началом распространения именно в этом регионе, за счет чего произошел такой всплеск инфекций, именно в этом регионе. 

JS/Exploit.CVE-2012-1889: тихий 0-day

Не успела MS отрапортовать об успешно закрытых 13-ти уязвимостях в MS12-037, как Google наводит панику с очередной уязвимостью нулевого дня (CVE2012-1889) во всей линейке IE. А к тому же уязвимость еще проявляется в MS Office 2003/2007 и вполне пригодна для целенаправленных атак. Cпустя несколько дней появляется публичный эксплойт в составе проекта Metasploit.

Собственно уязвимость кроется в Microsoft XML Core Services. Происходит повреждение памяти при обращении к не инициализированному участку с несуществующим XML Node (посредством вызова метода get_definition()), что в итоге может привести к удаленному выполнению кода. Простейший код приводящий к IE к аварийному завершению выглядит следующим образом:

Этот код пытается обратиться к  не инициализированному объекту в памяти, но ссылка на этот регион памяти все же создается, что собственно приводит к потенциальной возможности выполнения кода в функции  _dispatchImpl :: InvokeHelper().

Bootkit threats: in-depth reverse engineering & defense

Нам выпала честь в этом году выступить на конференции REcon в Монреале. Где был представлен доклад "Bootkit threats: in-depth reverse engineering & defense", который рассказывал о современных тенденциях в разработке буткитов и подходах реверсинга для них. Ниже привожу слайды нашего доклада.

Впечатления от PHDays'2012

Выжидал я время, пока утихнут блоги ИБ деятелей от PHDays'2012, но чувствую произойдет это не скоро и к тому моменту я уже с трудом припомню свои собственные ощущения от мероприятия, поэтому все-таки не удержусь и выскажусь сейчас. 

Сначало искренне хочется поблагодарить организаторов, которые проделали колоссальную работу по подготовке PHDays'2012 и продолжали напряженно работать на протяжении всего мероприятия. Ребята, большой вам респект за все это!

Приехав на конференцию к 8:30, я так и не смог посмотреть доклады других участников до своего выступления, так как критическая масса друзей и знакомых просто зашкаливала. 

А так же в этом году приехал мой коллега Пьер-Марк Бюро из Канадского R&D, чтобы представить мастер-класс по реверсингу "Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ". Конечно, там речь не шла о каком-то мега хардкоре, но было интересно все собрано в одном практическом примере, как можно использовать возможности автоматизации на встроенном в  IDA питоне. И мне было нужно ему помочь освоится в незнакомой обстановке :)

Впечатления от CARO'2012

Я уже писал о конференции CARO, на которой мне посчастливилось побывать уже три раза, при чем два из них в качестве докладчика. В прошлом году нами было представлено исследование "Cybercrime in Russia: Trends and Issues" проведенное совместно с Group-IB. В этом году мы углубились в тему расследования наверное одной из самых крупных групп по мошенничеству в системах ДБО, которая продолжает разработку вредоносной программы Carberp. И представили доклад "Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon" в котором рассказали много интересных деталей по расследованию, техническому анализу и привели примеры реальных атак.

Конференцию CARO выгодно отличает от других отсутствие журналистов и непонятных людей, участниками конференции могли стать только непосредственно люди имеющие репутацию среди исследователей ИБ. В этот раз было запрещено делать самим какие-либо фото в конференц-зале, фотографировать было разрешено только фотографу со стороны организаторов.

Ниже вы можете увидеть публичную версию слайдов нашего доклада:

King of Spam: Festi botnet analysis

Мы подготовили очередное исследование интересного на наш взгляд семейства руткитов Win32/Rootkit.Festi с довольно уникальными функциональными характеристиками. Основная направленность этого бота рассылка спама, но так же присутствует специальный плагин для DDoS атак. Интересен этот бот еще тем, что именно с этого ботнета была осуществлена DDoS атака на платежную систему Ассист, в результате расследования которой был арестован Павел Врублевский.

Ну не будем углубляться в конспирологические теории, нашей основной задачей был технический анализ. По статистике M86 Security Labs, активного спам-трафика Festi ботнет занимает почетное третье место.

Умные редиректы на Nuclear Pack

Нам удалось зафиксировать интересную волну распространения Carberp при помощи последней версии Blackhole и в последствии Nuclear Pack. Причем похожая история уже произошла месяцем ранее в Нидерландах, но в ней участвовал только Nuclear Pack версии 2, а распространялся другой банковский ветеран Sinowal/Mebroot.

Nuclear Pack сейчас вновь набирает популярность среди наборов эксплойтов. Собственно миграция с Blackhole обусловлена его хорошим детектом со стороны защитного софта и пристального внимания большого количества исследователей со всего мира.

Самые ходовые наборы эксплойтов сейчас следующие:

• Blackhole
• Eleonore
• Nuclear Pack
• Incognito
• Phoenix
• Sakura

Но вернемся все же к нашей истории, итак на этой неделе были зафиксированы массовые атаки из сети Leksim Ltd/RELNET-NET AS5577, точнее сказать именно здесь хостились наборы эксплойтов на которых шло перенаправление с легальных веб-ресурсов.

Кстати, что символично именно этот хостинг уже был замечен в нелегальной деятельности год назад и что характерно именно в апреле. 

Но речь в этом посте пойдет совсем о другом, все дело в том, что чаще всего активные системы сбора вредоносных сэмплов и поиска редиректов, построены довольно просто и не многие из них могут реально понимать DOM-модель и создавать иллюзию работы реального пользователя.

Blackhole + CVE-2012-0507 = Carberp

На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java кода за пределами песочницы JRE (Java Runtime Environment).

Первые упоминания о боевом эксплойте для этой уязвимости появились от компании Immunity, которая выпустила специальный модуль для своего продукта Immunity CANVAS еще в начале марта 7.03.2012. Эта уязвимость была закрыта 15 февраля в рамках критического обновления от Oracle. Буквально вчера поздним вечером, на момент подготовки этой публикации, появился публичный эксплойт для CVE-2012-0507 в составе Metasploit Framework. Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX. Последняя особенно интересна в свете увеличения количества вредоносных программ для нее, распространяющихся в том числе и посредством эксплуатации Java уязвимостей. Эксплойт из Metasploit Framework выглядит очень похожим на тот, что был обнаружен в обновленном Blackhole и складывается впечатление, что он был рипнут по большей части от туда ;)

В последнее время я довольно часто писал об эксплойтах для Java и они действительно в последний год самые пробивные в инцидентах массового распространения вредоносных программ. Разработчики наборов эксплойтов, таких как Blackhole, используют только так называемые 1-day уязвимости, т.е. уже содержащие официальное исправление от разработчиков. Потому что использование 0-day слишком дорого для их целей и совершенно себя не окупает, но бывают исключения, когда 0-day попадает на паблик вместе с PoC. Использование уязвимости нулевого дня на данный момент можно чаще всего увидеть в целенаправленных атаках. Кстати довольно занимательный пост о ценах на 0-day и карме ресечеров можно почитать тут.

Вернемся к нашему эксплойту, на этой неделе было замечено снова распространение Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame конструкций для перенаправления на ресурс с набором эксплойтов.

Первым нам попался ресурс lifenews.ru, на котором содержался следующий iFrame:

Как видно из внедренного кода сразу происходила атака именно CVE-2012-0507, а доменное имя на котором был расположен Blackhole очень схоже с именем атакованного веб-ресурса. Результат выполнения кода в iFrame можно увидеть даже визуально на модифицированной оригинальной странице.

Мастер-класс по анализу Win32/Georbot на PHD

На прошлой неделе мы обнародовали информацию о распространении Win32/Georbot нацеленного на хищение конфиденциальной информации, установки дополнительных модулей, предоставления злоумышленникам несанкционированного удаленного доступа и много чего еще.  

Подробный отчет по Win32/Georbot  можно найти здесь

Вся работа по анализу этой угрозы была проделана нашей канадской лабораторией. В рамках конференции PHD пройдет эксклюзивный мастер-класс, подготовленный Пьер-Марком Бюро, по анализу этой угрозы. Пьер-Марк возглавляет программу по глобальному мониторингу вредоносной активности и до недавнего времени занимал должность старшего вирусного аналитика, а это говорит о том, что он знаком с анализом вредоносных программ не понаслышке. В рамках мастер-класса будут рассмотрены наиболее интересные моменты по анализу Win32/Georbot:

• IDA Pro кунг-фу 
• деобфускация вызовов системных функций
• написание скрипта для расчистки мусорных команд
• обратный анализ протокола взаимодействия с командным центром
• анализ управляющих команд и восстановление их логики работы
• анализ дополнительных модулей и алгоритма взаимодействия с ними  

Помимо этого можно будет обсудить все детали атаки и попробовать узнать не паблик информацию. Приходите будет интересно!

Обнаружен новый драйвер для Duqu

Обнаружен новый драйвер (mcd9x86.sys) для Duqu, у которого дата компиляции соответствует концу февраля текущего года. До этого момента наборы компонентов Duqu, которые были у нас в распоряжении, датировались: 2010-11-03/2010-11-03/2011-10-17.

Собственно о чем это может говорить, фактов пока его использования у нас нет, да и подделать дату компиляции не так сложно. Но помимо этого есть еще небольшие интересные находки.

Drive-by FTP: новый вектор атаки CVE-2011-3544

Не так давно нам стало известно, об интересной активности с использованием Java/Exploit.CVE-2011-3544. Собственно основной интерес скрывался в том, что помимо стандартной активности по HTTP протоколу, была замечена загрузка полезной нагрузки через FTP. Причем эксплойт CVE-2011-3544 использовавшийся для этой атаки не подходил не под один шаблон, который  был известен в составе распространенных эксплойт паков.

Сразу после посещения вредоносной веб-страницы начиналась атака с использованием Java/Exploit.CVE-2011-3544:

Проанализировав сетевую активность сразу бросается в глаза загрузка /1/s.hml по протоколу FTP, а в дальнейшем и загрузка /1/exp.jar тем же способом.  

MS12-020 или червивый RDP

Вчера Microsoft выпустила очередную порцию патчей и среди них мое внимание особенно привлек MS12-020, который имеет критический статус. Уязвимость позволяет выполнить произвольный код на удаленной системе при мощи специально сформированного RDP пакета. Данной уязвимости подвержены все версии MS Windows в том числе и 64-битные версии. На самом деле в рамках патча MS12-020 было закрыто две уязвимости CVE-2012-0002 (RCE в RDP) и CVE-2012-0152 (DoS в Terminal Server). Меня больше интересует первая уязвимость, так как она гораздо более опасная и может повлечь за собой появление сетевых червей, которые будут ее активно эксплуатировать (на данный момент о случаях ее использования во вредоносных программах мне не известно).

Кстати относительно недавно уже закрывалась уязвимость MS11-065 (август 2011), которая позволяла осуществлять DoS (WinXP/2003) и была замечена в том же драйвере rdpwd.sys, в котором была найдена CVE-2012-0002. Эти изменения можно отследить по временным меткам в   rdpwd.sys до и после патча. А также в официальных списках изменений для MS11-065 и для MS12-020.

Обзор книги: Practical Malware Analysis

В феврале вышла любопытная книга Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, авторы которой Michael Sikorski и Andrew Honig, являются известными практиками в области анализа вредоносных программ. 

И уже традиционно обозреваемые мной книги выходят в издательстве No Starch Press, именно это издательство выпускает сейчас больше всего книг для исследователей в области информационной безопасности и любезно предоставило специальный скидочный код «MATROSOVBLOGS», который дает вам 30% скидку на покупку любых книг (в том числе и электронных) на сайте издательства до первого мая текущего года.

CVE-2011-3544: самый пробивной в Рунете

Про Java эксплойты вроде бы уже давно всем все понятно, но как показывает практика положение дел от этого не меняется. Казалось бы прошлогодняя уязвимость CVE-2011-3544 (Java/Exploit.CVE-2011-3544) и патч уже давно есть, но по количеству пробивов по-прежнему на первом месте. Сподвигло меня вернуться к этому вопросу, лишь тот факт, что по-прежнему есть огромное количество успешных атак использующих эти уязвимости. Несмотря на большой шум вокруг безопасности платформы Java в последнее время, она не становится от этого безопаснее. Вот пример статистики, позаимствованный из блога французского исследователя Xylitol, на которой изображены в процентном соотношении пробивы из BlackHole последней версии:

Новый виток развития VBR-буткита Rovnix

В начале февраля мы столкнулись с новой модификацией уже хорошо знакомого нам семейства Win32/Rovnix, которое продолжило развитие VBR-буткитов. По сути Rovnix, это единственное семейство инфицирующие VBR и получившее широкое распространение (ну разве, что Olmasco еще использует VBR, но совсем по другому). Буткит фреймворк Rovnix был так же использован в качестве платформы для буткит части известного банковского троянца Carberp. Больше информации о семействе Win32/Carberp можно будет узнать из нашего доклада “Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon”, который планируется сделать на конференции CARO 2012.

В процессе анализа распакованного дропера Win32/Rovnix.B, нами были замечены интересные строковые константы и отладочные сообщения:

Примерно такие же строки можно было найти и в дропере Carberp с буткитом, только были некоторые отличия в идентификаторе версии установщика. У Rovnix мы видим версию 2.5, а у Carberp версию 2.1

IDA и Appcall: зачем это все?

Начиная с версии IDA Pro 5.6 появился достаточно интересный, но не однозначный функционал, который позволяет вызывать нативные функции из отлаживаемого приложения прямо в процессе его отладки. Называется он appcall, но я встречал мало людей, которые действительно нашли ему применение в реальной жизни. Для себя же я счел его полезным для некоторых вещей в процессе исследования вредоносных программ, о чем и хочу рассказать вам ниже.

Одно самое важное ограничение appcall, это работа только в режиме отладки, то есть с уже запущенной программой, что в моем случае не всегда удобно, так как исследование вредоносных программ не всегда возможно в отладчике IDA. Причин на это достаточно много, начиная от более привычного и удобного для меня интерфейса OllyDbg и заканчивая рядом возможностей ольки, которых просто нет в отладчике IDA. Но при всем при этом, appcall парой может быть полезен. Например, во вредоносной программе используется функция хеширования для сокрытия явного обращения к библиотечным функциям, можно реализовать ее функционал в виде скрипта и обращать непонятные значения во волне читаемые имена функций, но это все же займет больше времени, чем просто вызывать соответствующий блок кода из уже отлаживаемой программы.

Обзор книги: "The Tangled Web"

Люди занимающиеся практической информационной безопасностью безусловны знакомы с исследованиями Michal Zalewski, который практически является законодателем моды, всего того, что касается безопасности современных веб-браузеров. Так вот совершенно недавно вышла  за его авторством замечательная книга "The Tangled Web: A Guide to Securing Modern Web Applications".

“Thorough and comprehensive coverage from one of the foremost experts in browser security.” - Tavis Ormandy, Google Inc.

В информационной безопасности есть такие области для которых очень редко выходят стоящие книги из разряда "must read". Вот и веб-безопасность относится к таким областям, литература вроде бы есть вокруг, но стоящее чтиво в этой области большая редкость. И именно о такой стоящей книге пойдет сегодня речь ;)

Обновление TDL4: Purple Haze all in my brain

Purple haze all in my brain
Lately things just don't seem the same
Actin' funny, but I don't know why
                                      Jimi Hendrix

Давно я не писал про TDL4 (Win32/Olmarik.AYD) и обновления этого семейства, собственно ничего интересного там и не происходило уже несколько месяцев. Но не так давно нам попался на глаза интересный образец (отдельное спасибо за это Mila [contagiodump blog]). Немного углубившись в анализ стало понятно, что это модифицированный Olmarik, у которого поменялся дроппер и немного изменилась скрытая файловая система.

Собственно начнем с дроппера, который использует несколько интересных методик для поднятия привилегий, которые раньше нам в этом семействе не встречались. В процессе установки на Vista/Win7 для обхода UAC скачивается дистрибутив Adobe Flash Player и используется в качестве плацдарма для последующей атаки DLL hijacking. Подобная техника уже была ранее описана относительно ZeroAccess с подменой модуля msimg32.dll. Но в нашем случае подменяется ncrypt.dll.

MS12-004 в дикой природе

В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно интересна. Этой уязвимости подвержены все существующие ОС от MS.

Уязвимость содержится в библиотеке winmm.dll, которая реализует все необходимое для обработки MIDI файлов. Кстати сам MIDI (Musical Instrument Digital Interface) формат уходит своими корнями в далекий 1982 год. Неплохое описание самого формата есть здесь. Ключевым моментом в этой уязвимости является сам формат MIDI, а точнее две структуры MThd и MTrk, которые заполняются в памяти.

Carberp, Facebook и ddos.plug

Про Carberp я уже писал ни раз, но тут опять граждане отличились интересной активностью. Во первых на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных Facebook пользователей за вход.

И причем очень настойчиво их требовал уплатить в размере 20 Euro через Ukash:

Были мысли, что быть может новая модификация какая, но нет только специальный конфигурационный файл содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

Тенденции развития буткитов за прошлый год

Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появилась полноценная поддержка 64-битных систем.

Эволюцию современных буткитов можно изобразить в виде следующей схемы: