В конце весны текущего года произошло обновление семейства Win32/Sirefef и Win64/Sirefef, так же известных под именем ZeroAccess. Мы отследили появление новых модификаций в начале мая, примерно в это же время стартовала новая партнерская программа (PPI) по распространению ZeroAccess. Обновленная версия не содержит системных драйверов и скрытого хранилища для хранения файлов. Сначала разработчики в предыдущей версии избавились от драйвера для версии Win64/Sirefef, а теперь и для всего семейства целиком. Как и в предыдущих версиях для монетизации используется схема по подмене поискового трафика в популярных поисковиках. Объявление призывающая участвовать в новой партнерской программе, размещенное на закрытом форуме verified.ms, выглядит следующем образом:
среда, 27 июня 2012 г.
пятница, 22 июня 2012 г.
ACAD/Medre: история украденных чертежей
Некоторое время назад ESET начал расследование довольно нетипичной вредоносной программы ACAD/Medre, которая распространялась через модифицированные файлы для AutoCAD. ACAD/Medre предназначалась для промышленного шпионажа и занималась хищением файлов с проектами AutoCAD всех актуальных версий. Наиболее интересным фактом всей этой истории, является то, что самое активное распространение ACAD/Medre происходило в регионе Перу (данные из нашего облака LiveGrid). Вероятнее всего, это связано с началом распространения именно в этом регионе, за счет чего произошел такой всплеск инфекций, именно в этом регионе.
четверг, 21 июня 2012 г.
JS/Exploit.CVE-2012-1889: тихий 0-day
Не успела MS отрапортовать об успешно закрытых 13-ти уязвимостях в MS12-037, как Google наводит панику с очередной уязвимостью нулевого дня (CVE2012-1889) во всей линейке IE. А к тому же уязвимость еще проявляется в MS Office 2003/2007 и вполне пригодна для целенаправленных атак. Cпустя несколько дней появляется публичный эксплойт в составе проекта Metasploit.
Собственно уязвимость кроется в Microsoft XML Core Services. Происходит повреждение памяти при обращении к не инициализированному участку с несуществующим XML Node (посредством вызова метода get_definition()), что в итоге может привести к удаленному выполнению кода. Простейший код приводящий к IE к аварийному завершению выглядит следующим образом:
Этот код пытается обратиться к
не инициализированному объекту в памяти, но ссылка на этот регион памяти все же создается, что собственно приводит к потенциальной возможности выполнения кода в функции _dispatchImpl :: InvokeHelper().
Ярлыки:
0-day,
CVE-2012-1889,
Exploits,
heap-spray,
IE,
Javascript,
Metasploit,
Reversing,
ROP
понедельник, 18 июня 2012 г.
Bootkit threats: in-depth reverse engineering & defense
Нам выпала честь в этом году выступить на конференции REcon в Монреале. Где был представлен доклад "Bootkit threats: in-depth reverse engineering & defense", который рассказывал о современных тенденциях в разработке буткитов и подходах реверсинга для них. Ниже привожу слайды нашего доклада.
понедельник, 4 июня 2012 г.
Впечатления от PHDays'2012
Выжидал я время, пока утихнут блоги ИБ деятелей от PHDays'2012, но чувствую произойдет это не скоро и к тому моменту я уже с трудом припомню свои собственные ощущения от мероприятия, поэтому все-таки не удержусь и выскажусь сейчас.
Сначало искренне хочется поблагодарить организаторов, которые проделали колоссальную работу по подготовке PHDays'2012 и продолжали напряженно работать на протяжении всего мероприятия. Ребята, большой вам респект за все это!
Приехав на конференцию к 8:30, я так и не смог посмотреть доклады других участников до своего выступления, так как критическая масса друзей и знакомых просто зашкаливала.
А так же в этом году приехал мой коллега Пьер-Марк Бюро из Канадского R&D, чтобы представить мастер-класс по реверсингу "Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ". Конечно, там речь не шла о каком-то мега хардкоре, но было интересно все собрано в одном практическом примере, как можно использовать возможности автоматизации на встроенном в IDA питоне. И мне было нужно ему помочь освоится в незнакомой обстановке :)
Ярлыки:
Carberp,
Cybercrime,
Events,
PHD,
Reflections,
Reversing,
SmartCard
Подписаться на:
Сообщения (Atom)