ESET crackme challenge for BlackHat

Очередной конкурс по реверсингу от ESET и на это раз мы добрались до Black Hat в Вегасе. Задание, как всегда сложное, но интересное ;)

Итак, официальный сайт: go.eset.com/us/rulethecode (стоит заходить только с US IP адресов)

Или же, вот прямой линк на бинарь с заданием: забирать здесь

Всем удачи и терпения =)

Обновился фреймворк Rovnix для разработки VBR-буткитов

В прошлом месяце нами была зафиксирована новая модификация буткита Rovnix (VBR-буткита). Rovnix это фреймворк для создания буткитов, который уже был задействован в банковском троянце Carberp. Он состоит из двух основных компонентов, это динамическая библиотека инсталятор BkSetup.dll и драйвер, который загружается в процессе выполнения буткит-кода и внедряет полезную нагрузку в указанные процессы.

В новой версии появились изменения связанные с противодействиям обнаружению, так например изменилась схема полиморфных преобразований, которые реализуют расшифрование вредоносного кода VBR.

Подробнее обо всех изменениях читайте в моем англоязычном блоге.

Игры с JIT или эксплуатация CVE-2012-1723

Со времен активной эксплуатации уязвимости CVE-2012-0507 мало что изменилось и Java по прежнему остается самым популярным вектором, использующимся в популярных наборах эксплойтов. Буквально вчера появилась публичная информация об использовании CVE-2012-1723 в наборе эксплойтов BlackHole, а ведь сама уязвимость была только недавно найдена в середине июня и публичных реализаций эксплойта она не имеет. Почему же такое пристальное внимание к Java уязвимостям и они настолько оперативно попадают в наборы эксплойтов?

Все дело в том, что  Java-уязвимости довольно просто эксплуатируются и не требуют обхода DEP/ASLR и прочих механизмов безопасности. А в большинстве случаев при небольшой адаптации эксплойт может стать еще и кроссплатформенным. К примеру сделать стабильный эксплойт под тот же CVE-2012-1889 в разы сложнее. Да, собственно и разбираться с работой самой уязвимости тоже. Все, что я видел из боевых эксплойтов для CVE-2012-1889 работали с кучей допущений на Win7/Vista и по большей части эффективнее всего пробивали только WinXP.

Новый ZeroAccess: хроники внедрения кода

В конце весны текущего года произошло обновление семейства Win32/Sirefef и Win64/Sirefef, так же известных под именем ZeroAccess. Мы отследили появление новых модификаций в начале мая, примерно в это же время стартовала новая партнерская программа (PPI) по распространению ZeroAccess. Обновленная версия не содержит системных драйверов и скрытого хранилища для хранения файлов. Сначала разработчики в предыдущей версии избавились от драйвера для версии Win64/Sirefef, а теперь и для всего семейства целиком.  Как и в предыдущих версиях для монетизации используется схема по подмене поискового трафика в популярных поисковиках. Объявление призывающая участвовать в новой партнерской программе, размещенное на закрытом форуме verified.ms, выглядит следующем образом:

ACAD/Medre: история украденных чертежей

Некоторое время назад ESET начал расследование довольно нетипичной вредоносной программы ACAD/Medre, которая распространялась через модифицированные файлы для AutoCAD. ACAD/Medre предназначалась для промышленного шпионажа и занималась хищением файлов с проектами AutoCAD всех актуальных версий. Наиболее интересным фактом всей этой истории, является то, что самое активное распространение ACAD/Medre происходило в регионе Перу (данные из нашего облака LiveGrid). Вероятнее всего, это связано с   началом распространения именно в этом регионе, за счет чего произошел такой всплеск инфекций, именно в этом регионе.