10 років безпеки в мережі

Десять років – аж ніяк не малий термін, навіть в загальноісторичному контексті; за цей час можуть статися дуже значні зміни. Наприклад, 1976 рік не має нічого спільного з 1966 році, і з тих пір з кожним новим десятиліттям у світі міняється практично все. Внаслідок розвитку Інтернету і процесів глобалізації культурні зрушення сьогодні, можливо, менш помітні, але з точки зору кібербезпеки з 2006 року минуло вже дуже багато часу.



Читати далі →

Невелике занурення всередину зламаного сайту

Не секрет, що більшість сайтів в наші дні зламуються не вручну. Є велика армія ботів, які шукають уразливість в скриптах сайтів, брутфорсят адмін-панелі CMS, FTP, SSH акаунти, потім завантажують невеликі скрипти-завантажувачі або бекдори, через них впроваджують у скрипти сайту кілька десятків керуючих «агентів», а також розкидають по випадковим каталогами, відкритим на запис, веб-шеллі, спам-рассыльщики та інші шкідливі php (і іноді perl) скрипти. Зсередини заражений сайт виглядає приблизно так (фрагмент звіту сканера AI-BOLIT):



Патерни зараження (кількість, склад і призначення шкідливих скриптів) можуть змінюватися. В даному випадку статистика по зараженню наступна:

  • 41 вставка бекдор
  • 5 WSO веб-шелл
  • 4 скрипта, що впроваджують шкідливий код .php файли
  • 7 mail() спам-людей, які розсилають
  • 2 спам-рассыльщика, що працюють через SMTP
  • 1 бекдор
  • 1 скрипт, впроваджує шкідливий код в wordpress/joomla скрипти
Серед «шкідливий» є всякі цікаві екземпляри. Але мова сьогодні піде не про них. Цікавіше аналізувати не стільки статичний шкідливий код в файлах, скільки процес роботи з «шкідливими програмами» в динаміці: які терміни і в якому форматі шлють командні центри впровадженим бэкдорам, з якою інтенсивністю, з якими параметрами і т. п. Крім того, статичний аналіз для сучасних зловредів працює погано, тому що деякі скрипти не містять payload'ів.
Читати далі →

SaaS-рішення для захисту будь-яких пристроїв в будь-якому місці: чому це простіше і дешевше + приклад впровадження



У наші дні підприємства будь-яких розмірів при веденні бізнес-діяльності все більше залежать від своїх ІТ-систем і, як результат, вони стали більш чутливі до вразливостей і інших проблем ІТ-безпеки. Додайте до цього зрослу мобільність персоналу і об'єктивні труднощі в управлінні віддаленими і мобільними пристроями. У результаті ми маємо сценарій, при якому управління операціями безпеки стали більш комплексними, дорогими і складними. Фактично, багато збої і простої ІТ-систем викликані людськими помилками в силу ручного характеру управління традиційними локальними ІТ-рішеннями.

Для вирішення цих проблем з'являються нові рішення класу SaaS, які здатні замінити або розширити можливості традиційних локальних рішень. Зокрема, SaaS-рішення з безпеки кінцевих точок, такі як Symantec Endpoint Protection, можуть бути доступні в будь-який час з будь-якого пристрою через звичайний веб-браузер, забезпечуючи просте і зрозуміле централізоване управління брандмауером і захистом від шкідливих програм будь-яких пристроїв незалежно від їх місця розташування (у локальній мережі, у віддалених офісах або в мобільних співробітників) без додаткової інфраструктури.

Крім того, часто впровадження і використання SaaS-рішень не вимагає спеціальних технічних навичок. Наприклад, для впровадження централізованої захисту Symantec Endpoint Protection у компанії з 15-20 комп'ютерів не потрібно навіть системний адміністратор.
Читати далі →

Security Week 12: ФБР зламає айфон без допомоги Apple, криптодыра в iMessage, шифрувальники в лікарні

Перш ніж перейти до новин, поговоримо про фізиків і лириках про маркетинг вразливостей. Цей відносно новий термін народився пару років тому, з появою Heartbleed — першої уразливості, отримала власне ім'я, логотип і рекламний ролик. Не можна сказати, що всі сприйняли таке нововведення позитивно: мовляв компанії або експерти, які виявили дірку, замість суворого технічної мови використовують мову реклами, і таким чином наживаються на біді. Не можу з цим погодитися. Хоча певний момент реклами тут є (а де його немає?), спроби пояснити простими словами (чи навіть образами) складні технічні речі, про які важливо знати і неспеціалістам, повинні тільки вітатися.

Дана тема отримала свій розвиток на цьому тижні, коли з'явилася, немає, не інформація про уразливості, а анонс уразливості. Фахівці компанії SerNet, в команді якої є розробники протоколу SMB (точніше вільної його реалізації Samba), оголосили про серйозної уразливості в такому. Порушена як Linux-реалізація протоколу, так і власне Windows. Але деталі розкривати не стали: інформація буде розкрита тільки 12 квітня. Чому зробили саме так? Автори дослідження вважають, що так у потенційних жертв атаки буде можливість підготуватися. Досить спірне твердження: критики цієї ідеї утверждают, що таким чином дослідники могли дати фору атакуючим, якщо останні здогадаються про характер уразливості, хоча б з назви мінісайт (Badlock). Чи варто було так робити — дізнаємося через два тижні, у всіх файлових кулях інтернету.

А тепер до новин. Попередні випуски дайджесту тут.

Читати далі →

Обходимо антивірус за допомогою десяти рядків коду

Фахівець з інформаційної безпеки під ніком evasiv3 опублікував минулого тижня запис в своєму блозі, в якій розповідається про те, як можна обійти будь-антивірус за допомогою десяти рядків коду.

Спочатку Evasiv3 планував написати величезний пост про способи обходу антивірусного захисту, однак, протестувавши перший крок свого «керівництва» він був дуже здивований: ні один із 56 протестованих продуктів, покликаних забезпечити безпеку користувача в мережі, не виявив його бінарники.

image
Після отримання такого результату я вирішив відмовитися від своєї ідеї довгого і виснажливого обходу антивірусного захисту і діяти швидко, «брудно», але при цьому неймовірно просто.

Читати далі →

Security Week 11: трояни на iOS без джейлбрейка, витік в American Express, крадіжка учеток Steam

На цьому тижні відбулося наступне:
— Дослідники Palo Alto розкрили досить складну з технічної точки зору, але діючу схему протягування шкідливих програм на айфони і айпади без використання джейлбрейка. Хоча методу не судилося стати масовим, він ще раз показує, що захист у Apple хороша, але якщо її все-таки пробити, то далі ніяких проблем у зловмисника не буде.
— У American Express вкрали дані через підрядника. Деталі компанія не розкриває, але судячи по всьому пішли і номери кредитних карт. Скарбничка з історіями про злом контрагентів вже переповнилась і скоро лопне.
— Експерти «Лабораторії» поділилися інформацією про методи крадіжки ігрових акаунтів, насамперед у Steam. Незважаючи на гадану несерйозність даного напрямку, на перепродажі крадених «ніштяків» заробляють великі гроші.
Попередні випуски доступні по тегу. Бонус до сьогоднішнього випуску — неймовірні стокові фото киберженщины з качаном.

Читати далі →

Для Apple OS X виявлений перший вимагач

Фахівці компанії Palo Alto Networks обнаружили перший справжній вимагач (ransomware) для Apple OS X. Шкідлива програма отримала назву KeRanger і виявляється нашими антивірусними продуктами як OSX/Filecoder.KeRanger.A. KeRanger відноситься до типу crypto-ransomware або filecoder і спеціалізується на шифрування файлів користувача з подальшим вимаганням викупу за розшифровку.



Для поширення шкідливої програми зловмисники обрали ефективний спосіб компрометації дистрибутивів ПЗ під назвою Transmission для OS X. Ця програма представляє із себе простий вільно поширюваний клієнт BitTorrent. Кілька днів тому два дистрибутива Transmission v2.90 були скомпрометовані KeRanger і поширювалися на офіційному веб-сайті клієнта. Так як Transmission є вільним, зловмисники могли просто скомпілювати спеціальну backdoored-версію і замінити її на сервері розробників. Крім цього, скомпрометований дистрибутив був підписаний легітимним цифровим сертифікатом розробника для Mac.


Читати далі →

Security Week 09: атака DROWN, HackingTeam повертається, враження c RSA Conference 2016

Сьогодні в Сан-Франциско закінчується одне з важливих заходів в індустрії інфобезпеки — конференція RSA. Свої рішення тут представляють понад 400 компаній. Тут є все: від точкових рішень захист VPN і шифруванню до комплексних систем безпеки. Однією з ключових тем конференції стала еволюція кіберзагроз та власне розвиток інфраструктури, яку передбачається від них захищати. Серед знайомих, але як і раніше актуальних тем — захист хмарних систем (в будь-якому розумінні цього терміну), а серед нових — захист Internet of Things, екосистеми, де ми скоро будемо мати справу з мільярдами пристроїв, малопотужних окремо, але в сукупності дають небачену нині обчислювальну потужність.

Але IoT — це тема хоч і найближчого, але майбутнього, а самої серйозною практичної темою стала захист від цільових атак. Чому це важливо? Мова йде про цільові атаки на конкретні компанії. Якщо традиційне шкідливе ПЗ «б'є по площах», то тут ми говоримо про спроби зламати заздалегідь обрану жертву. А значить в таких атаках розвідка і використання унікальних особливостей інфраструктури не менш важливі, ніж власне інструменти атаки. Останні можуть бути унікальними для кожної конкретної жертви, що добре показано на прикладі кампанії Poseidon.

Є тисячі способів злому однієї тієї ж компанії. Виявити і закрити всі потенційно вразливі точки неможливо. Але робити щось треба, і тут кожен виробник пропонує свої способи. Загальний момент: потрібно збирати і обробляти величезний масив інформації і виявляти підозрілу активність, відмінну від нормальної мережевий діяльності співробітників. Ми в «Лабораторії» показали на конференції своє рішення — Kaspersky Anti Targeted Attack Platform — докладніше про нього можна почитати тут. Нові загрози тим часом з'являються без перерв і вихідних, і ключова подія цього тижня — атака DROWN. Про неї поговоримо детальніше. Всі випуски дайджесту доступні по тегу.

Читати далі →

Антивірусний бот для Telegram

Минулого тижня «Доктор Веб» випустив антивірусного бота для Telegram. Я, як безпосередній учасник цього проекту, хотів би від імені всієї команди розповісти про те, навіщо ми зробили цього бота, як він працює і пора вже відмовлятися від настільного антивіруса.



Читати далі →

Kaspersky Security Center — боротьба за автоматизацію

Як це не дивно, я знайшов на Хабре одну статтю з даної тематики — та ту у пісочниці і сильно незакінчену фактично містить у собі маленький шматочок трохи переробленою довідки по продукту. Та й Google за запитом klakaut мовчить.

Я не збираюся розповідати, як адмініструвати ієрархію Kaspersky Security Center (далі по тексту KSC) з командного рядка — мені це поки не знадобилося ні разу. Просто хочу поділитися деякими міркуваннями з приводу засобів автоматизації з тими, кому це може знадобитися, і розберу один кейс, з якими мені довелося зіткнутися. Якщо тобі, %habrauser%, ця тема буде цікавою — ласкаво просимо під кат.

Читати далі →