Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android

Информационная безопасностьСофт


На днях специалисты по информационной безопасности из организации Check Point обнаружили вредоносное программное обеспечение, которое получило название Agent Smith. Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.

Сообщается, что большая часть жертв этого ПО находится в Индии, Бангладеш и Пакистане. Есть жертвы и из других стран, включая Россию. Эксперты отследили место создания вредоноса. Как оказалось, разработчиком является некая компания из Китая. Это вполне официальная организация, которая помогает китайским разработчикам продвигать свои приложения. Но, похоже, организация занимается и другими видами деятельности, не совсем «белыми».
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры12.2K
Комментарии 11

Хакеры устанавливают на Windows уязвимые драйверы Gigabyte для отключения защиты

Антивирусная защитаРазработка под WindowsСофт
image

Эксперты британской компании Sophos сообщили, что операторы шифровальщика RobbinHood устанавливают на компьютеры уязвимые драйверы Gigabyte (с уязвимостью CVE-2018-19320), которые отключают защитные решения. Этот метод работает с Windows 7, Windows 8 и Windows 10.

Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS. Затем, используя уязвимость в этом драйвере, они получают доступ к ядру и используют его для временного отключения принудительного использования подписи драйверов в Windows. В этот момент устанавливается вредоносный драйвер ядра RBNL.SYS. Он применяется для отключения или остановки антивирусных и прочих защитных продуктов. Тогда уже на ПК запускается вымогатель RobbinHood, который шифрует файлы.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры9.6K
Комментарии 8

Mozilla временно отключила сервис отправки файлов Firefox Send: через него передавали зловреды

Информационная безопасностьIT-компании


В начале июля 2020 года Mozilla временно приостановила работу сервиса обмена файлами Firefox Send. Специалисты компании пошли на такой шаг после большого количества жалоб пользователей и ИБ-компаний на распространение вредоносного ПО с помощью этого сервиса.

Mozilla планирует восстановить работу сервиса после проверки всех жалоб пользователей, а также корректировки правил использования сервиса. Предполагается, что там появится служба для проверки и оперативного реагирования на обращения пользователей по поводу размещения и попыток передачи вредоносного контента. Вдобавок в компании планируют убрать возможность анонимной отправки файлов. Таким образом, чтобы разместить файл в сервисе от пользователя будет требоваться регистрация, например, в сервисе Firefox Account.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры2.6K
Комментарии 10

Avast: до 3 млн устройств заражены вредоносными расширениями Chrome и Edge

Информационная безопасностьGoogle ChromeРасширения для браузеровБраузерыMicrosoft Edge
image

Исследователи Avast заявили, что обнаружили 28 вредоносных расширений для браузеров Google Chrome и Microsoft Edge. Как правило, это приложения для загрузки изображений, видео или другого контента с популярных сайтов, включая Facebook, Instagram, Vimeo и Spotify.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры3.5K
Комментарии 5

«Лаборатория Касперского» заявила об обнаружении нового зловреда ЦРУ

Информационная безопасностьСофт

«Лаборатория Касперского» заявила, что обнаружила новое вредоносное ПО, которое, по всей видимости, было разработано Центральным разведывательным управлением США. Фирма сообщила, что обнаружила зловред в «наборе образцов вредоносного ПО», полученном аналитиками и другими службами безопасности в феврале 2019 года.

Читать далее
Всего голосов 26: ↑24 и ↓2 +22
Просмотры24.1K
Комментарии 8

Как оказалось, популярность iPad — хорошее подспорье для мошенников

Чулан
«Хакеры используют популярность Apple iPad с целью распространения вредоносного ПО», сообщает BitDefender.

Под катом подробности (а также пример честного способа зарабатывания денег при помощи iPad).
Читать дальше →
Всего голосов 77: ↑49 и ↓28 +21
Просмотры170
Комментарии 42

Теория о сокрытии процессов руткитами (DKOM)

Информационная безопасность
В данной статье мы попробуем рассмотреть в теории один из самых серьезных методов сокрытия информации руткитами, а именно прямая манипуляция объектами ядра (Direct Kernel Object Manipulation, DKOM), применяемая для сокрытия процессов от операционной системы в целом. Если Вы скрипт-кидди, то читайте «скрываем процессы в винде!».
Читать дальше →
Всего голосов 78: ↑51 и ↓27 +24
Просмотры2.9K
Комментарии 16

Волшебная формула или как увидеть угрозу

Блог компании «Лаборатория Касперского»Информационная безопасностьАлгоритмы
Всякая система работает по уникальному алгоритму, без алгоритма — это не система. Гибкому, жёсткому, линейному, разветвляющемуся, детерминированному, стохастическому — не важно. Важно, что для достижения наилучшего результата система подчиняется неким правилам. Нам часто задают вопрос об алгоритмах нашего продукта, в частности: как удаётся лучше конкурентов вычислять будущие угрозы? По понятным причинам все-все детали этой волшебной формулы раскрыть нельзя, но можно легонько приоткрыть дверь нашей технологической кухни и кое-что узнать.
Приоткрыть дверь и узнать кое-что
Всего голосов 14: ↑8 и ↓6 +2
Просмотры8.1K
Комментарии 7

Вот что будет, если установить топ-10 программ с Download.com

Информационная безопасность
Перевод
Recovery mode


Мы установили десять самых популярных программ с Download.com, и вы не поверите, что произошло! Впрочем, наверное, вы и сами можете догадаться: что-то ужасное. Что-то ужасное — вот что произошло. Присоединяйтесь к нашему веселью!

Уже не первый год мы сетуем на то, что нельзя спокойно порекомендовать скачать бесплатную программу, а недавно мы рассказали, как можно безопасно испытывать любое ПО при помощи виртуальной машины. И мы подумали: а почему бы не повеселиться и не посмотреть, что же, в самом деле, произойдёт, если скачивать программы как обычный ничего не подозревающий пользователь?

Ради эксперимента мы будем просто прощёлкивать все экраны установки с настройками по умолчанию на чистой виртуальной машине. Мы установим десять приложений из списка самых популярных загрузок. И предположим, что наш персонаж — рядовой пользователь.
Читать дальше →
Всего голосов 358: ↑324 и ↓34 +290
Просмотры317.2K
Комментарии 381

Познакомимся с WannaCry поближе

Информационная безопасность
Из песочницы
Атака программы-вымогателя нанесла ущерб многим компаниям и организациям по всему миру, включая испанскую телекоммуникационную компанию Telefonica, больницы в Великобритании и американскую компанию доставки FedEx. Вредоносная программа, относящаяся к классу криптовымогателей, стала известна как «WannaCry».

Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. После чего он требует перечислить какое-то количество биткойнов за расшифровку.
Читать дальше →
Всего голосов 53: ↑49 и ↓4 +45
Просмотры106.5K
Комментарии 69

81% пользователей Tor могут быть деанонимизированы благодаря анализу роутинга

Информационная безопасность
Индийский исследователь полагает, что при помощи всего одного сервера можно деанонимизировать более 80% трафика, проходящего через Tor. В процессе используется технология Netflow, встроенная в роутеры Cisco и специальная программа, анализирующая трафик Tor. Об этих выводах сообщает ресурс The Stack.



Профессор Самбудхо Чакраварти, исследователь темы анонимности и приватности в сети в Институте информационных технологий Индрапрастха в Дели последние шесть лет занимается исследованием, в частности, анонимности в сети Tor. Из его исследований вытекает, что в лабораторных условиях можно деанонимизировать сеть, подобную Tor, на 100%, а в реальных – раскрыть (узнать IP-адрес) до 81% узлов.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры17.9K
Комментарии 9

Криптовымогатели: прошлое, настоящее, будущее

Информационная безопасность


В конце нулевых на компьютерах в России и странах СНГ начала распространяться на тот момент ещё новая и необычная зараза. Незнакомая для пользователей разновидность зловредного программного обеспечения блокировала нормальную работу компьютера и требовала отправить SMS-сообщение на платный номер для получения кода разблокировки. Требования подкреплялись ложными угрозами: на компьютере найдено нелицензионное программное обеспечение или какая-то разновидность порнографии. Пользователя-новичка легко напугать, если представиться органами правопорядка, подростка за монитором родительского компьютера — выводящим порнографию и требующим оплату окошком.

За пару лет распространение получили утилиты для быстрой очистки — подобные программы-вымогатели лишь вмешивались в нормальную работу, но не вредили машине. Однако вскоре по Сети начали гулять куда более разрушительные и действенные зловреды. Они шифровали содержимое накопителей компьютера и требовали деньги для восстановления файлов. Live CD быстрой помощи бессилен против правильно выполненнего криптовымогателя — ключ шифрования остаётся только у злоумышленников.
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры30.2K
Комментарии 84

Затишье перед IoT-бурей или спустя год после Mirai

Облачные сервисы


С момента массовой атаки на IoT-устройства, осуществленной создателями ботнета Mirai, прошло более года. Стоит отметить, что гаджеты из мира «интернета вещей» были выбраны для атаки не случайно. Очень немногие производители таких систем действительно серьезно относятся к защите устройств от внешнего вмешательства. В большинстве случаев разработчики стараются сделать гаджет функциональным, приятным взгляду, но забывают о безопасности. Массовая атака на IoT-системы была лишь вопросом времени и в прошлом году это время пришло.

Для распространения зловреда Mrai понадобилось никаких уязвимостей нулевого дня и прочих сложных вещей. Как оказалось, разработчики большинства умных устройств устанавливают неизменный пароль для доступа к учетной записи администратора. Всего создатели Mirai предусмотрели подбор 61 различных комбинаций для доступа к учетной записи администратора. Большая часть пораженных червем систем была изготовлена с использованием компонентов компании XiongMai Technologies, так что камеры различных производителей оказались подвержены одним и тем же уязвимостям.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры5.7K
Комментарии 1

ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter

Информационная безопасностьСетевое оборудование

Одна из моделей роутеров, заражаемых VPNFilter

На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.

О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры35.9K
Комментарии 21

Вот что будет, если установить топ-10 программ с Download.com: развитие событий

Софт
Вчерашний пост на Хабре со схожим названием подтолкнул меня к идее не только воспроизвести эксперимент, но продолжить его, попытавшись вылечить несчастную ОС.

image

Целью было узнать, легко ли вычистить систему, если ставить приложения с помоек наподобие Download.com.
Размышлизмов не будет, их достаточно в оригинальной статье.
Сразу к делу
Всего голосов 56: ↑51 и ↓5 +46
Просмотры33.1K
Комментарии 67

Криптомайнеры: теперь и в расширениях для Chrome

Софт


Не так давно на Geektimes публиковалась новость о попытке команды The Pirate Bay монетизировать свой ресурс при помощи кода майнера, размещенного на страницах трекера. Эта практика, похоже, становится все более популярной. На днях появилась информация о том, что расширение SafeBrowse для Chrome содержит в своем коде криптомайнер. Число пользователей расширения составляет 140 000, так что прибыль, получаемая теми, кто размеcтил код, должна быть солидной.

Как и в случае с The Pirate Bay, майнер специализируется на получении анонимной криптовалюты Monero. Никаких уведомлений о новой функции расширения его пользователи не получили. Собственно, майнеры такого рода особо ничем не вредят. Но они потребляют ресурсы машины, на которой загружена веб-страница с кодом, а значит, нарушают нормальный рабочий процесс. В случае с обычным пользователем это просто неприятно. А вот если все это работает в пределах сети корпорации, то можно уже говорить о солидном убытке (неэффективная работа, потребление ресурсов и т.п.).
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры16.7K
Комментарии 19

Администрация Трампа обвиняет Северную Корею в разработке червя WannaCry

Софт

Представители Белого Дома на встрече с журналистами 19 декабря 2017 года. Они официально предъявили обвинение в создании WannaCry Северной Корее

О зловреде WannaCry в этом году не писало лишь ленивое издание. Примерно в мае 2017 года в сети стали появляться статьи, которые описывали новую разновидность зловредного ПО, вирус, атакующий компьютеры в различных сетях. На Geektimes такой материал был опубликован 12 мая. Корпорация Microsoft начала предпринимать попытки решить проблему практически сразу после появления зловреда, но это помогло мало, поскольку далеко не все пользователи обновляют ОС на своих компьютерах вовремя. Более того, для младших версий операционных систем ситуация и вовсе была печальной, что привело к заражению 200 000 персональных компьютеров в примерно 150 странах.

Эффективность зловреда объяснялась его способностью проникать на компьютеры жертв через открытые порты Server Message Block. Для этого вирус использовал разновидность SMB эксплоита, которая получила название «Ethernal Blue». Эксплоит, кстати, был разработан представителями НДА, а затем выложен в сеть группой Shadow Brokers. Но кто способен создать такой опасный вирус? По мнению администрации президента США, в случившемся виновата Северная Корея.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры5.7K
Комментарии 18

Открыть нельзя игнорировать

Блог компании Инфосистемы ДжетИнформационная безопасность


Моя работа связана с тем, что я вру людям и эксплуатирую их доверчивость, любопытство, жадность и так далее. Работу я свою люблю и стараюсь подходить к ней творчески. Специфика моей деятельности связана с проведением атак методом социальной инженерии. И в этом посте я бы хотела рассказать о вредоносных вложениях.
Читать дальше →
Всего голосов 57: ↑56 и ↓1 +55
Просмотры25K
Комментарии 32

Как снизить риски, связанные с шифровальщиками-вымогателями

Блог компании NIXИнформационная безопасностьСистемное администрированиеСерверное администрирование
Перевод
Сегодня, когда удалённая работа становится обыденностью, а нагрузка на специалистов по информационной безопасности, особенно в здравоохранении и других критически важных отраслях, ещё никогда не была столь высока, не ослабевает деятельность хак-групп, управляющих приложениями-шифровальщиками.

Многочисленные хак-группы, которые в течение нескольких месяцев проникали в различные сети и накапливали «силы», в первой половине апреля активировали десятки копий своих приложений-вымогателей. Атакам подверглись медицинские учреждения, биллинговые компании из сферы здравоохранения, производители, транспортные компании, правительственные учреждения и разработчики обучающего ПО. Это продемонстрировало, что, несмотря на глобальный кризис, подобные хак-группы пренебрегают функционированием критически важных служб. Впрочем, атакам подвергаются и компании из других сфер, так что организациям необходимо обращать особенное внимание на признаки компрометации.

В течение двух недель работы шифровальщиков несколько возросло количество атак с вымогательством. Однако после проведённого специалистами Microsoft исследования, а также по результатам расследования другого инцидента, проведённого командой DART (Microsoft Detection and Response Team), выяснилось, что многие случаи компрометации, обеспечившие возможность атак, произошли ещё раньше. Используя методику, характерную для атак с помощью управляемых людьми приложений-вымогателей, злоумышленники скомпрометировали целевые сети в течение нескольких предыдущих месяцев и ждали возможности монетизировать результат посредством развёртывания зловредов в наиболее подходящий момент.
Читать дальше →
Всего голосов 13: ↑11 и ↓2 +9
Просмотры4.6K
Комментарии 1

«Улов» на The Standoff: о многообразии пойманных троянов

Блог компании Positive TechnologiesИнформационная безопасность
С 12 по 17 ноября 2020 года на киберполигоне The Standoff прошла крупнейшая битва между командами атакующих и защитников. Действия разворачивались в течение 123 часов в городе FF — цифровом двойнике мегаполиса с характерной инфраструктурой: морским портом, аэропортом, нефтяным месторождением, деловым центром, парком развлечений и другими объектами.



Двадцать девять команд атаковали инфраструктуру, добиваясь реализации бизнес-рисков, опасных для различных компаний, работающих в городе, а другие шесть команд мониторили и изучали активность нападающих, тренировали навыки противодействия и расследования инцидентов. В общем, все как в жизни. Хотя кроме нападающих и обороняющихся была еще третья сторона, которая пристально наблюдала за их действиями, — глобальный SOC (подробнее о нем читайте в другой нашей статье). Прозванный Большим Братом, SOC объединил несколько команд PT Expert Security Center, которые в режиме нон-стоп анализировали события при помощи специальных средств защиты. Одной из таких команд был отдел обнаружения вредоносного ПО, который с помощью песочницы PT Sandbox вылавливал и исследовал троянские программы «редтимеров». Напомним, PT Sandbox может:

• сканировать файл правилами PT ESC,
• сканировать файл движками внешних антивирусных вендоров,
• обнаруживать вредоносную активность после запуска в изолированной среде поведенческими правилами,
• анализировать сетевой трафик правилами PT Network Attack Discovery,
• анализировать дампы процессов правилами PT ESC.

Сегодня мы расскажем о том, что и как нам удалось поймать, а также о том, какие находки нас особенно впечатлили.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры1.8K
Комментарии 0
1