Rusecurity.com Информационный блог о кибербезопасности

30Апр/100

Документ NSA по поводу атак и обороны в компьютерных сетях

Несколько последних дней я провел в Мехико-Сити, принимая участие в ежегодном собрании Проекта «Honeynet»,  международного объединения,  призванного разрабатывать и распространять технологии, предназначенные для сбора сведений о методах, используемых хакерами в своих атаках. Это событие собрало экспертов со всего мира, а устроители конференции из Мексиканского национального автономного университета (National Autonomous University of Mexico, по-испански - UNAM) были гостеприимны и всегда готовы помочь.

Сети-ловушки  и другие «обманные» технологии обсуждались, среди прочего,  в следующем документе, изданном Дирекцией по безопасности информации Национального агентства безопасности (Information Assurance Directorate, National Security Agency, NSA).  Один из моих источников передал мне этот документ уже некоторое время назад, но обнаружил я его только недавно.  Я не смог найти опубликованной версии этого документа (он ранее был опубликован), поэтому размещаю здесь имеющийся вариант.

605-страничный PDF-документ выглядит подобно списку доводов «за» и «против» в отношении большого массива оборонительных  и контрразведывательных подходов и технологий, которые организации могут применять в целях защиты своих сетей. Особенно интересным для меня оказался раздел, посвященный использованию сетей-ловушек с целью раскрыть методы, используемые атакующей стороной, а также правовые аспекты использования сетей-ловушек. В другом разделе рассматриваются проблемы правильной идентификации источников происходящих сетевых атак.

Документ происходит из своего первоначального варианта от 2004 года, хотя, как мне сказали, окончательная версия документа мало отличается от этого варианта. В любом случае удивительно, насколько много проблем и технологий остаются настолько же актуальными сейчас, как и шесть лет назад. Он внедрен на блог в виде файла Scribd, доступном для просмотра после перехода на него (размер документа превышает 5 Мб, потому запаситесь терпением).  Я удалил PDF-файл Scribd, поскольку он создавал проблемы для многих читателей. Полная PDF-версия доступна     по этой ссылке.

Источник: NSA on Computer Network Attack & Defense

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
29Апр/100

Взглянем внимательней на программу Rapport от компании Trusteer

Несколько читателей написали недавно, что их банк убеждает своих клиентов установить программу под названием Rapport  для защиты онлайновых банковских операций от мошенников. Читатели, которые мне об этом сообщили, немногое знают об этом продукте и спросили моего мнения, стоит ли его устанавливать? Поскольку последний раз я интересовался этой программой два года назад, то подумал, что будет полезно пообщаться с создателями программы и выяснить, как в ее последней версии учтены новейшие угрозы.

Основные элементы программы Rapport - созданной компанией  Trusteer  - не слишком изменились. Как я писал еще в мае 2008 года,  программа контролирует  программные интерфейсы приложений (application programming interfaces, API)   системы Windows, то есть те средства,  которые разработчики приложений используют для взаимодействия своих программ с системой.

Из статьи 2008 года:

«Некоторые из наиболее опасных вредоносных программ,  предназначенных для кражи данных, перехватывают эти интерфейсы API. Например, «клавиатурные шпионы» просто перехватывают тот интерфейс Windows API, который отвечает за передачу данных с пользовательских интерфейсов, таких, как клавиатура и мышь. Более продвинутые образцы вредоносного ПО, называемые «граббером (или перехватчиком) форм», «form grabber» - перехватывают интерфейс WinInet, который устанавливает безопасные соединения по SSL (https://...)  между браузером пользователя и Web-сайтом.  Захватив этот API,  «граббер» может перехватывать имена пользователей и пароли, даже если речь идет о соединении с сайтом, при котором все данные передаются в зашифрованном виде, поскольку перехват информации происходит на более низком уровне операционной системы, еще до шифрования.

Программное обеспечение от Trusteer  обследует эти и другие критически важные интерфейсы Windows API, чтобы определить, не пытается ли посторонний процесс перехватить данные. Если такой процесс обнаруживается, то программа его блокирует».

На прошлой неделе я разговаривал с генеральным директором Trusteer,  Микки Будеем (Mickey Boodaei) о программном обеспечении его компании, о том, как оно изменилось, и что в нем появилось нового.

Брайан Кребс: Многие пользователи, которых просят загрузить и установить эту программу, мало что знают, как о фирме Trusteer, так и о программе Rapport. Один из написавших мне пользователей обслуживается в банке BBVA, другой в Fifth Third. У обоих этих банков в последнее время имелись множественные случаи потерь (речь идет о сотнях тысяч долларов) в результате онлайновых мошенничеств того типа, о которых я недавно писал.

Микки Будей: Ну, чем больше нас освещает пресса, тем быстрее потребители познакомятся с нашим брендом.

БК: Тогда, когда мы с вами разговаривали последний раз, вы сотрудничали лишь с горсткой банков, таких, как ING.  Можете рассказать, что изменилось с тех пор и с какими банками вы сотрудничаете сейчас?

МБ: На протяжении прошлого года мы наблюдали в США значительный рост интереса к нам со стороны банков, особенно, если говорить о банках, обслуживающих предприятия. Похоже на то, что банки начинают по настоящему беспокоиться по этому поводу, поскольку многие из них столкнулись со  значительными потерями в результате мошенничеств. Сейчас в Северной Америке уже около 50 банков использует нашу технологию, и еще несколько в Соединенном Королевстве.

Читайте ниже, что я думаю об этом ПО, также там обсуждаются некоторые виды вредоносных программ, созданные специально для борьбы с Rapport.

БК: Так что, если вкратце, делает ваша компания для банков, с которыми вы сотрудничаете?

МБ: Для каждого такого банка мы анализируем прежние инциденты с мошенничествами и выясняем, какие варианты вредоносного ПО при этом использовались. Затем мы обеспечиваем многоуровневую защиту от этих угроз на стороне сервера.

БК: Вы работаете с любыми банками, которые делают установку вашего ПО обязательным предварительным условием для ведения онлайновых операций с банком?

МБ: У нас есть пара банков, которые присоединились недавно, и которые планируют сделать установку нашего ПО обязательным условием.

БК: Можете назвать эти банки?

МБ: Не сейчас. Это небольшие банки, у каждого от 5 000  до 10 000 бизнес-клиентов. Так что для нас это что-то вроде эксперимента. Но пока что мы не рекомендуем нашим клиентам делать это обязательным условием.

БК: Почему нет?

МБ: Ну, в зависимости от того, как пойдет дело с этими двумя банками, мы можем изменить наши подходы. Основная причина в том, что мы не хотим создания такого впечатления, будто мы что-то навязываем клиентам. Это создает негативный фон, который нам не нужен. Мы хотим подтолкнуть банки к тому, чтобы они сами занимались обучением своих клиентов относительно этой проблемы.

БК: Я заметил, что есть несколько  недавних образцов вредоносного ПО,  которые атакуют или отключают  Rapport. Вы не думали, что ваше ПО может стать в какой-то момент объектом атак?

МБ: Определенно, это была одна из наших ключевых предпосылок: если мы добьемся успеха в блокировании мошенничеств, то сами станем мишенью для преступников. Мы наблюдаем направленные атаки, исходящие от серьезных преступных группировок, которые очень сильно стараются найти пути обхода нашего ПО.

БК: Если я установлю Rapport и банк тоже будет использовать на своей стороне это ПО, то чего мне следует ожидать?

МБ: Наше программное обеспечение интегрируется в банковский сайт и устанавливает связь с ПО Rapport, установленном на машине клиента банка, и затем они могут работать совместно таким образом, что банк может эффективно контролировать, какое ПО работает на компьютере клиента. Всякий раз, когда клиент регистрируется на сайте банка, банк знает, на месте ли программа Rapport, актуальна ли она, и не подверглась ли она атаке и не была ли скомпрометирована.

БК: То есть, для вашего ПО выпускаются обновления, как для антивирусов?

МБ: Обычно мы выпускаем обновления почти еженедельно. Это не обновления сигнатур, обновляются наши защитные механизмы и способы их работы.

БК: То есть вы более или менее уверены, что ваше ПО сможет обнаружить и заблокировать большинство атак, которые мы наблюдаем со стороны таких штук, как троян ZeuS  и подобных ему угроз?

МБ: В случае с ZeuS у нас предусмотрено несколько уровней защиты.  Очевидно, что в первую очередь необходимо предотвратить открытие страницы загрузки ZeuS в браузере. Сверх этого, за последние два года мы добавили еще несколько уровней защиты, так, что мы можем предотвратить загрузку ZeuS на компьютер клиента, и мы предотвращаем установку ZeuS.

Но посмотрите на главное средство борьбы с этими угрозами - антивирусные программы. Уровень обнаружения вещей наподобие [последних, самых совершенных версий]  ZeuS  антивирусными программами упал с величины около 50 процентов до, практически, нуля, потому что [автор ZeuS] изменяет все даже после установки, так, что установленный троян выглядит совершенно по разному на разных компьютерах.

Все-таки наше ПО - не серебряная пуля. Оно не может решить все проблемы, с которыми сталкиваются банки и предприятия. Но мы уверены, что оно действительно полезно, особенно при интеграции в более крупные банковские системы обнаружения мошенничеств.

АНАЛИЗ

Продукт Trusteer, безусловно, поднимает планку для авторов вредоносного ПО, и вынуждает их разрабатывать атаки с учетом специфики Rapport. Испанская фирма    S21sec  сообщила недавно о лабораторных испытаниях, которые подтвердили, что «…троян ZeuS не может перехватить никакие данные на машине, где установлено это ПО. К несчастью, ребята со стороны ZeuS тоже не теряют зря времени; в одном из последних образцов этого трояна мы увидели, как ZeuS, сразу после инфицирования компьютера, загружает и выполняет еще один файл, назначение которого состоит в нейтрализации этого ПО».

Тем не менее, я думаю, что Rapport будет хорошим дополнением к защите ПК пользователей, выполняющих банковские операции при помощи Windows-систем. Но я не вполне уверен, что стоит рекомендовать это решение для предприятий, в основном, по той причине, что компании, которые  теряют деньги в результате кражи банковских верительных данных,  почти всегда оказываются «крайними». Все чаще пострадавшие от мошенничеств предприятия судятся со своими банками, чтобы возместить потери или их часть, аргументируя свои требования тем, что банку следовало принять меры по обнаружению мошенничества.

В таких случаях главный юридический вопрос состоит в том, скомпрометировали преступники клиентскую систему или систему банка. Я упоминаю об этом обстоятельстве потому, что компания Trusteer  недавно встроила в Rapport новый компонент под названием  Flashlight, который пытается предоставить банку возможность увидеть, инфицирована клиентская система вредоносным ПО, или нет.  Будут ли банки активно использовать такую функциональность для защиты от онлайновых мошенничеств,  - остается неясным, но это определенно затруднит положение малых и средних предприятий, которые потеряли деньги в результате онлайнового мошенничества и утверждают, что состояние их компьютеров не было единственной причиной потерь.

Малым и средним фирмам, вероятно, лучше бы было полагаться на использование загрузочных CD для ПК, с которых совершаются банковские операции. Подробней об этом методе можно прочесть здесь  и  здесь.

Источник: A Closer Look at Rapport from Trusteer

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
28Апр/100

Печально известный червь «Storm» готовится к реваншу

Сетевой червь «Storm», - образец вредоносного ПО, в одно время ответственный за распространение 20 процентов мирового объема спама, - и приконченный примерно 18 месяцев назад, на этой неделе воскрес.  Исследователи, знакомые с прежними штаммами этого червя, говорят, что различные признаки в новой версии определенно наводят на мысль, что это ПО было полностью и заново перестроено своими первоначальными авторами, или же было продано другой группе авторов вредоносного ПО.

Червь Storm впервые появился на поверхности в январе 2007 года, маскируясь под видеоролики, изображающие разрушения, вызванные необычайно сильными бурями, проносившимися над Европой в то время. Но когда исследователи начали  углубляться в код этого червя, то быстро поняли,  что имеют дело со значительно более изощренным и опасным противником, чем те, кто представлял угрозу в последнее время.

Storm распространялся, вынуждая инфицированные системы устанавливать связь с такими же системами в файло-обменных сетях, которые миллионы людей используют для обмена музыкой и видео. Эти весьма децентрализованные сети просто напрашивались на внимание авторов вредоносного ПО, поскольку в них отсутствовал единый командный центр - а это было самым уязвимым местом в архитектуре, обычной для ботнетов - дистанционно управляемых сетей, состоящих из взломанных ПК - той архитектуре, разрушать которую для исследователей проблем безопасности стало привычным делом.

Storm также включал в себя механизмы самозащиты, которые автоматически запускали разрушительные Internet-атаки против сетей, из которых исследователи пытались инфильтрироваться в ботнет Storm или разрушить его.

Исследователи, изучившие новейший вариант Storm, говорят, что, хотя воскрешенному червю  и не хватает новейшей функциональности для работы в файло-обменных сетях, он сохранил свою способность атаковать тех, кто пытается проникнуть в его секреты.

По словам участников проекта Honeynet, международной группы исследователей, новый червь Storm содержит, приблизительно, две трети кода первоначального варианта Storm.

«Мы обнаружили, что 236 из 310 функций червя остались прежними [как в старой версии]», сказал Феликс Ледер (Felix Leder), аналитик вредоносного ПО этого проекта. «Поскольку исходный код Storm никогда не был опубликован, мы делаем вывод, что для этой новой версии имеется две возможности: первая состоит в том, что это сделала та же самая команда разработчиков, а вторая возможность - другая команда купила исходный код червя».

Остается неясным, добьется ли Storm 2.0 такого же успеха, как и свой предшественник. Но, если верить посту на блоге  компании CA, кураторы нового Storm уже активно используют инфицированные этим вредоносным ПО компьютеры для рассылки спама, рекламирующего «пилюли для потенции» и сайты «для взрослых».

Подробней об анализе этой новой угрозы, сделанном участниками проекта Honeynet, читайте по этой ссылке.

Источник: Infamous Storm Worm Stages a Comeback

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
27Апр/100

Толкачи фальшивых антивирусов переигрывают производителей антивирусов настоящих

Согласно новым данным от Google, распространители фальшивых антивирусов (программ разряда «scareware») ведут агрессивную игру с целью скрыть свое ПО от обнаружения настоящими антивирусами.

В выпускаемом сегодня отчете компания Google сообщает, что между январем 2009 и концом января 2010 ее инфраструктура по обнаружению вредоносного ПО нашла около 11 000 вредоносных или взломанных сайтов, навязывающих посетителям фальшивые антивирусы. По сведениям поискового гиганта, по итогам 2009 года распространители фальшивых антивирусов значительно увеличили, как число новых уникальных образцов вредоносного ПО, предназначенного для установки фальшивых антивирусов, так и скорость, с которой они наращивают количество взломанных и вредоносных сайтов, посетителям которых устанавливаются эти вредоносные программы.

Фальшивые антивирусы используют ложные сообщения и видеоролики для того чтобы испугать пользователя и заставить его думать, что его компьютер инфицирован, после чего ему предлагается загрузить бесплатный антивирус. Фальшивый сканер затем сообщает, что обнаружил море инфицированных файлов и те жертвы, которые попались на эту уловку, подталкиваются далее к платной регистрации фальшивого ПО с тем, чтобы избавиться от постоянно появляющихся надоедливых предупреждений. Что еще хуже, фальшивые антивирусы часто идут в одной связке с другим вредоносным ПО. Наконец, для оплаты регистрации жертва вводит данные своей кредитной карты, которые почти наверняка будут использованы мошенниками.

Рисунок 4: Степень обнаружения фальшивых антивирусов. Внутренние алгоритмы фиксируют рост способности атакующей стороны избегать обнаружения антивирусами.

Компания Google обнаружила, что злоумышленники, распространяющие фальшивые антивирусы, в последние шесть месяцев начали принимать агрессивные меры против двух основных механизмов своего обнаружения - это: ежедневные обновления, выпускаемые производителями антивирусов; и такие поисковики, как Google, который сканирует миллионы Web-страниц, обнаруживая вредоносные страницы и помечая их в поисковой выдаче.

Автоматизированные системы Google сканируют потенциально вредоносные страницы в реальном времени, используя ряд лицензированных антивирусов, и все эти файлы к концу обследования сканируются повторно. Начиная с июня 2009 компания Google отметила резкий рост количества уникальных образцов программ установки фальшивых антивирусов - этот скачок, по мнению экспертов Google, означает попытку подавить способность настоящих антивирусов обнаруживать антивирусы фальшивые. Действительно, в этот временной промежуток компания обнаружила, что темп появления новых уникальных программ установки вырос от  300 до 1 462 в день, что привело к падению уровня обнаружения ниже планки в 20 процентов.

«Мы обнаружили, что, если у вас на компьютере установлена антивирусная защита, но сигнатуры вредоносного ПО устарели всего на пару дней, это радикально снижает уровень обнаружения», сказал Нильс Провос (Niels Provos), старший инженер по ПО в инфраструктурной группе Google. «Оказалось, что чем ближе к настоящему времени, тем хуже коммерческие антивирусы обнаруживали страницы с фальшивыми антивирусами».

Кроме того, в Google определили, что среднее время жизни сайтов, перенаправляющих пользователей на страницы с фальшивыми антивирусами, сокращается со временем - среднее время жизни их упало со 100 часов в апреле 2009 года до 10 часов в районе сентября 2009 и наконец, до часа в январе 2010 года.

«Эти тенденции указывают на ротацию доменов, технику, которая позволяет атакующей стороне переносить трафик на фиксированное число адресов с множества доменов», - говорится в отчете компании. «Обычно это сопровождается созданием множества подставных доменов, - при этом, либо создаются специальные сайты, либо инфицируются обычные существующие сайты - которые перенаправляют браузеры на сайты-посредники, находящиеся под контролем атакующей стороны. Сайты-посредники затем направляют трафик на активные домены, которые и распространяют фальшивые антивирусы».

Провос сказал, что техника ротации доменов, видимо, является одним из проявлений «гонки вооружений вредоносного ПО» и ставит своей целью избежать обнаружения, основывающегося на слежении за доменами.

«Собственно, мы заметили четкую корреляцию между нашей способностью обнаруживать фальшивые антивирусы  и временим жизни таких доменов», сказал Провос.

В прошлом году, после фальшивого объявления на сайте New York Times, приведшему к атаке фальшивого антивируса на множество систем, я написал краткое наставление для читателей The Washington Post, которое называлось «What To Do When Scareware Strikes» (Что делать при нападении фальшивых антивирусов), в котором описывались необходимые действия. Главное правило сводилось к тому, чтобы сохранять спокойствие и не щелкать ни на каких ссылках. Это наставление доступно здесь.

В специальном отчете, выпущенном в понедельник, корпорация  Microsoft  сообщила, что ее антивирусные продукты вычистили вредоносное ПО, имеющее отношение к фальшивым антивирусам, с 7,8 миллиона компьютеров за вторую половину 2009 года, и с 5,3 миллиона компьютеров за первую половину текущего года - что означает рост в 46,5 процента.

Копия отчета Google доступна  здесь  (файл PDF).

Обновлено 4:47: Компания  CA   сообщает,  что червь Storm, по всей видимости,  вновь пробудился. По сообщению CA,  эта компания обнаружила загрузчик этого трояна в одной связке с загрузчиками фальшивых антивирусов.

Источник: Fake Anti-virus Peddlers Outmaneuvering Legitimate AV

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
26Апр/100

Убить Мулла

Немало цифровых чернил было пролито на страницах этого блога на тему «денежных мулов» («деньгоносов») - лиц, резидентов Соединенных Штатов, которые, осознанно или неосознанно помогают отмывать деньги международным организованным бандам киберпреступников. Эта тема почти всегда вызывает оживленную дискуссию  среди читателей, и сводится такая дискуссия в конце концов к вопросу - понимал «мул», что помогает преступникам, или не понимал?

Конечно, незнание законов не освобождает от ответственности, и этот пост ни в коей мере не ставит своей целью оправдать мулов. Но я действительно хотел бы пролить немного больше света на те усилия, которые прилагают шайки киберпреступников с целью заставить «мула» поверить, что он работает на вполне легальную фирму.

Возьмем для примера махинацию, которую назовем «Back Office» (подсобки или операционные помещения, куда не пускают клиентов - прим. перев.), - это схема по найму мулов, название которой вытекает из того факта, что Web-сайты, предназначенные для поиска и вербовки мулов, почти всегда включат в свое название слово «backoffice». Потенциальных мулов вербуют при помощи e-mail, причем в сообщении говорится, что наниматель нашел резюме мула на одном из сайтов поиска работы, и не желает ли он или она работать в качестве финансового агента международной финансовой компании?

Те, кто отвечает на сообщение, направляются на сайт, где им предлагается создать учетную запись, а потом нового рекрута подвергают нескольким собеседованиям. Как рассказывают мулы, завербованные таким способом, процесс начинается с пространного телефонного собеседования, в котором потенциального мула расспрашивают о его или ее трудовой биографии, этических взглядах и жизненных позициях.

Вслед за телефонным собеседованием мула просят заполнить довольно длинный вопросник, ответив примерно на три дюжины вопросов - таких, которые вполне можно встретить в собеседовании при приеме на работу в нормальную легальную компанию.

«Что вы понимаете под жизненным успехом»?

«Какие занятия или семинары вы посещали в последние три года с целью повысить свой профессиональный уровень»?

Источник: To Catch a Mule

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
23Апр/100

Карта электронных банковских мошенничеств

Аарон Джекобсон (Aaron Jacobson)  из компании  Authentify   составил эту карту, нанеся на нее 43 жертвы мошенничеств  с онлайновыми  банковскими  операциями, которые я упоминал  в постах на  Krebsonsecurity.com   и на блоге  Washington Post.

Щелчок на этой  ссылке на карту Google  откроет интерактивную версию карты, показывающую  имена и денежные потери нанесенных на нее жертв.

 

И что интересно - пока я не увидел эту карту, я не сознавал, что жертвы сосредоточены, в основном, на Восточном побережье и на Среднем Западе. Не знаю, есть ли тут какая-то связь, но воры, организующие эти мошенничества, рекрутируют своих «денежных мулов» почти исключительно в этих регионах. Возможно, дело тут в том, что преступники - а большинство из них находится во временной зоне Восточной Европы (Eastern European Time Zone, EET), - не хотят тратить всю ночь на работу с мулами. Поэтому преступники стараются не иметь дела с мулами из западных штатов. Конечно, может и не быть никакой реальной связи между этой закономерностью в выборе мулов и распределением жертв мошенничеств, но подумать об этом стоит.

Источник: Charting the Carnage from eBanking Fraud

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
23Апр/100

Как спрятать свое вредоносное ПО от поисковых ботов

Традиционно, хакеры-злоумышленники тратят немало времени на то, чтобы  обмануть Internet-поисковики   таким образом, чтобы ссылки на созданные ими вредоносные сайты  появлялись в поисковых выдачах на первой странице,  в списке  «горячих новостей». Однако все чаще обнаруживается, что компьютерные преступники  предпринимают также  и противоположные усилия - стараются блокировать индексирование ботами поисковых систем легальных Web-страниц, которые они взломали и «заминировали» своим вредоносным кодом.

У поисковых гигантов, таких, как  Yahoo!  и  Google,  имеются автоматизированные программы, просматривающие каждую неделю миллионы Web-сайтов в поисках  размещенного там вредоносного кода.  Когда поисковики обнаруживают такие страницы, они помечают их в поисковой выдаче специальным предупреждением, например,  «Этот сайт может причинить вред вашему компьютеру».  Подобные предупреждения не только уменьшают число посетителей сайта, но и оповещают легальных владельцев сайтов о факте взлома и наличии у них вредоносного кода.

Для нас с вами это полезно и удобно, но для плохих парней это не очень хорошо. Если, конечно, плохие парни не предусмотрели подобную ситуацию, и взломанные ими сайты не выдают вредоносный код всем желающим, но только не  ботам основных поисковых систем.

Что в точности и обнаружил эксперт по безопасности  Дэвид Дид (David Dede)  при анализе вредоносных Web-страниц, и  сообщил об этом на своем блоге.

«Таким образом, в сущности, вредоносное ПО проверяет, не является ли посетитель ботом Google или Yahoo, в этом  случае ему не передается  вредоносное ПО», пишет Дид, эксперт из Бразилии, который ведет блог  Sucuri Security. «В то же время обычные посетители инфицированного сайта  получают вредоносные скрипты Javascript, которые пытаются загрузить им вредоносное ПО», - пишет Дид.

Денис Синегубко (Denis Sinegubko), российский исследователь, пишущий на блоге  UnmaskParasites.com,  недавно документировал, как минимум,   два  образца  вредоносного ПО,  которое внедряется в блоги и модифицирует сайт так, чтобы прятать от поисковых ботов Google размещенное на сайте вредоносное ПО.

«И тот факт, что я вижу множество таких блогов в поисковой выдаче Google без всяких предупреждений о вредоносном ПО, доказывает, что этот простой трюк действительно срабатывает», - пишет Синегубко.

Эксперты из Google говорят, что им известно об этих техниках сокрытия, и они постоянно ищут пути для их преодоления.

Нильс Провос (Niels Provos), старший инженер по программному обеспечению в Google, сказал, что киберпреступники часто пытаются работать в обоих направлениях одновременно, скрывая от поисковых ботов вредоносное ПО, размещенное  на взломанных сайтах, и, одновременно, стараясь обмануть поисковые системы с целью повысить рейтинг сайтов в поисковой выдаче.

«Это продолжается уже некоторое время. Что происходит, когда поисковый бот-паучок заходит на сайт (предполагается, что атакующая сторона сконфигурировала сайт определенным образом):  сайт показывает боту актуальный контент, взятый с новостных сайтов», - сказал Провос. «Это делается для того, чтобы повысить рейтинг сайта в поисковой выдаче. Но когда на сайт заходит обычный посетитель, увидевший сайт в поисковой выдаче, он получает код эксплойта».

Провос отказался обсуждать конкретные меры, которые компания Google  принимает для противодействия этой тактике, но заметил, что борьба с взломщиками Web-сайтов представляет собой непрекращающуюся  «гонку вооружений».

«Очень часто такие вещи имеет своей целью просто затруднить для внешнего расследователя обнаружение вредоносного кода», сказал Провос. «В любом случае, нам приходится делать поправки время от времени, но мы продолжаем работаем над этим».

Источник: Hiding from Anti-Malware Search Bots

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
22Апр/100

Толкачи фальшивых антивирусов ухватились за ошибку McAfee

Поставщики фальшивых антивирусов (т. н. «scareware»),  часто  пользуются  «горячими» темами дня, для того чтобы продвинуть в поисковом рейтинге свои «заминированные» страницы. Так что, возможно, нет ничего удивительного в том, мошенники сделали ставку на поисковые слова, связанные с темой ошибки  McAfee,  - лишь вчера эта компания выпустила обновление своего антивируса, причем ошибка в обновлении  привела к серьезным проблемам  у большого числа клиентов.

Поиск сканера McAfee в сочетании с названием вчерашнего ошибочного обновления возвращает целые страницы ссылок, которые, если их открыть, начинают запугивать посетителя несуществующими угрозами и убеждать его купить фальшивое (просто фальшивое - это в лучшем случае, возможно, также и вредоносное) антивирусное ПО. Я сделал несколько снимков экрана при помощи Internet Explorer 8,  поскольку обычные вредоносные страницы просто не загрузятся в мой Firefox  благодаря  надстройке noscript.

Обновлено 11:08: Компания Panda Security  только что опубликовала  похожий пост, где приведен ряд поисковых слов,  связанных с ошибкой McAfee, которые приводят на сайты, подобные тем, что изображены ниже.Источник: Rogue Antivirus Gangs Seize on McAfee Snafu

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
22Апр/100

Фирма, занимающаяся пожарной сигнализацией, пострадала от электронного мошенничества

Компания в Арканзасе, занимающаяся пожарной сигнализацией, потеряла в этом месяце более 110 000 долларов, когда хакеры украли ее банковские верительные данные и опустошили ее счет.

В среду 7 апреля компания JE Systems Inc., расположенная в Форт-Смите, получила по телефону из своего банка сообщение, что ей необходимо пополнить свой зарплатный счет, - как рассказала президент фирмы, Мелани Экель (Melanie Eakel). В течение двух предыдущих дней кто-то провел два пакета платежей по зарплатным ведомостям, - один на сумму 45 000 долларов, и второй на сумму 67 000.

«Они сказали - “Ваш счет в овертдрафте”, а я ответила, что это невозможно, так как мы еще не проводили выплату зарплаты… мы делаем это, обычно, по четвергам, и уж точно не в 2 часа ночи в понедельник, когда это было проведено», сказала Экель. «Я сказала им, что мы не авторизовали эти платежи».

Несколько дней спустя, тем не менее, Первый национальный банк Форт-Смита (First National Bank of Fort Smith)  прислал в JE Systems письмо, в котором говорилось, что банк не несет ответственности за эти потери. На телефонные звонки с просьбой об объяснениях Первый национальный не отвечал.

«Они сказали, что платежи проводились с нашего Internet-адреса, и что были введены наше имя пользователя и наш пароль», сказала Экель. «Мне кажется, банк должен был заметить, что дело неладно».

АНАЛИЗ

Как обнаружила (не самым лучшим способом) Экель, предприятия не пользуются той защитой со стороны закона, которая предоставляется частным лицам. Все, чего нужно было добиться атакующей стороне, это чтобы сотрудник фирмы, отвечающий за доступ к банковскому счету, открыл «заминированное» сообщение по e-mail или вредоносную страницу в Web. С этого момента атакующая сторона могла установить в системе свое вредоносное ПО и украсть любые верительные данные, находящиеся на инфицированной системе или передающиеся через нее.

Потеряет компания деньги в результате такого вторжения, или нет, - зависит от множества факторов (начиная с того, что укравшие верительные данные плохие парни могут решить ими воспользоваться, или же нет). Взяв интервью в более чем 100 компаниях, которые пострадали от атак подобного типа, я могу сказать, что в случаях, когда жертва все же теряет деньги, вина лежит одновременно, на самой компании и на ее банке.

Прежде всего, многие банки до сих пор полагаются на зависящие от пользователя механизмы аутентификации, такие, как пароли, проверочные вопросы и одноразовые токены. Все эти механизмы, даже используемые совместно, не смогли остановить организованных киберпреступников, атаковавших те компании, в которых я брал интервью.

Частично, проблема заключается в том, что банки - даже маленькие - больше не знают своих клиентов, - ни как их зовут, ни как они выглядят. Как следствие, лишь немногие банки могут отличить нормальные  и обычные операции своих клиентов от операций подозрительных.  Это не значило бы так много, если бы банки возмещали недостаток знания клиентов какой-нибудь автоматизированной технологией, строящей профили активности клиентов и способной обнаружить аномальное поведение при его возникновении. Однако сравнительно немногие банки используют в наши дни подобные технологии, в особенности в отношении коммерческих клиентов.

Многие из владельцев предприятий, потерявших деньги в результате таких онлайновых мошенничеств, не имели привычки проверять свою бухгалтерию ежедневно. В самом деле, большинство жертв, у которых я брал интервью, - те,  кто все-таки безвозвратно потерял деньги - обнаруживали пропажу через время, превышающее 24 часа.  Нельзя сказать, что жертвы, обнаружившие кражу в тот же день, обязательно вернули деньги полностью или частично, но все же у них шансов на успешное возвращение было заметно больше, чем у тех, кто не обнаружил пропажу вовремя.

И вернемся еще на секунду к банкам: собираются ли когда-либо финансовые учреждения в этой стране ставить большие красные флаги на недавно открытых счетах, на которые приходят переводы на сумму чуть меньше 10 000 долларов, и с которых владелец счета немедленно снимает все деньги наличными?   И если на то пошло, не следует ли компаниям, в которых используется выплата зарплаты банковскими переводами, придерживаться более высоких стандартов?

НЕЗНАНИЕ ЗАКОНА…

Компания JE Systems была ограблена при помощи, по меньшей мере, дюжины «денежных мулов», вольных или невольных сообщников преступников, - жителей Соединенных Штатов, которые наняты преступниками на «надомную работу» и помогают отмывать украденные деньги. Во всех случаях, которые мне доводилось освещать, мулы снимали деньги наличными и переводили их за границу - в Украину или Молдову, оставляя себе восемь процентов комиссии (за вычетом комиссии за перевод).

Со своей стороны, Экель сказала, что ее компания, безусловно, должна была внимательнее следить за своим счетом. Но, добавила она, ей бы хотелось увидеть, как денежных мулов приговорят за пособничество в мошенничестве.

«Меня просто душат эмоции, когда я об этом говорю», - сказала Экель в телефонном интервью сайту Krebs on Security, и было действительно слышно, что у нее перехватывает горло. «Этим мулам или как они там называются, нужно найти настоящую законную работу - и зарабатывать себе на жизнь, как все мы, и перестать обкрадывать ни в чем не повинные малые фирмы. Если честно, я не понимаю, как эти люди спокойно спят по ночам».

Источник: Fire Alarm Company Burned by e-Banking Fraud

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
21Апр/100

Ошибка в антивирусе McAfee приводит к блокированию Windows XP

По многочисленным сообщениям, антивирусное ПО McAfee  ошибочно опознает нормальный системный файл Windows, как вредоносную программу, что приводит к циклической перезагрузке системы и к серьезным проблемам со стабильностью работы Windows XP.

Центр по изучению онлайновых угроз (SANS Internet Storm Center)  получил   дюжины сообщений  от пользователей ПО McAfee, которые жаловались, что последнее обновление антивируса (DAT 5958)  привело к блокированию их Windows XP Service Pack 3.  По словам куратора данного инцидента в SANS, Йоханнеса Ульриха (Johannes Ulllrich),  антивирус McAfee  определяет файл «svchost.exe», как вредоносный. Svchost - это общий системный процесс, широко используемый многими программами, выполняющимися в среде Windows (хотя вредоносное ПО нередко внедряется в этот процесс), поэтому, когда антивирусная программа распознает этот процесс, как угрозу, это приводит к серьезным проблемам в функционировании операционной системы, - сказал Ульрих.

«Сообщения продолжают поступать», сказал Ульрих. «Системы, либо срываются в бесконечный цикл перезагрузок, либо в них пропадает доступ к сети».

Один из симптомов заключается в том, что антивирус McAfee сообщает, что система инфицирована вредоносной программой W32.Wecorl.a. Затем антивирус пытается уничтожить «вредоносный» процесс или заключить его в карантин, что и приводит к бесконечным перезагрузкам системы.

На  собственном форуме  компании  McAfee  в настоящее время множатся сообщения пользователей, описывающих, как ошибка повлияла на их компьютеры. Эта ветка форума, начатая в 9:54 сегодня, набрала уже 27 000 просмотров и 83 поста.

Оставайтесь на связи, последуют обновления.

Обновлено 13:56: Компания  McAfee  опубликовала следующее заявление в отношении данного события. «Компании McAfee  известно, что ряд клиентов столкнулся с ложным положительным срабатыванием защиты, выражающимся в ошибочном распознавании вредоносного ПО в среду, 21 апреля. Проблема связана с файлом обновления базы определений вирусов номер 5958, который был выпущен 21 апреля в 14.00 (GMT+1 или 6 утра по Тихоокеанскому времени).

Наше первоначальное расследование инцидента показало, что ошибка может приводить к проблемам функционирования операционной системы Windows XP Service Pack 3.

Ошибочное обновление удалено с серверов загрузки обновлений McAfee для корпоративных клиентов, что предотвращает дальнейшее его распространение для данной категории клиентов.   Нам пока не известно о существенном влиянии ошибки на индивидуальных клиентов, и мы уверены, что эффективно ограничили подобное влияние.

Команда  McAfee  интенсивно работает, оказывая поддержку пострадавшим клиентам и планирует в скором времени выпустить исправленное обновление. McAfee приносит извинения за любые доставленные нашим клиентам неудобства».

Обновлено, 15:51: Основной форум поддержки McAfee стал недоступен из-за «необычно большого трафика». Компания запустила отдельную ветку, доступную здесь  на которой  описана пара процедур по временному решению проблемы.

Источник: McAfee False Detection Locks Up Windows XP

Версия для печати Версия для печати
Связано с категорией: Krebsonsecurity Нет комментариев
Страница 1 из 3123