Рубрика «антивирусная защита»

В правительство РФ внесён национальный проект «Цифровая экономика», в паспорте которого указано интересное предложение от Министерство цифрового развития, связи и массовых коммуникаций России: законодательно обеспечить предустановку отечественных антивирусных программ на все персональные компьютеры, ввозимые и создаваемые на территории РФ, начиная с 1 августа 2020 года, сообщает «Коммерсантъ».

Коллеги из других ведомств положительно оценивают инициативу Минкомсвязи. Например, специалисты Минэкономики добавило отзыв с рекомендацией, как обосновать возможное нарушение норм ВТО: импортозамещение предлагают провести «c целью обеспечения национальной безопасности».
Читать полностью »

Если вы используете Kodi, то могли заметить, что популярный голландский репозиторий аддонов XvBMC был закрыт из-за нарушения авторских прав. После этого мы обнаружили, что репозиторий скрытно использовался в кампании криптомайнинга, начавшейся в декабре 2017 года. Это второй известный инцидент, связанный с распространением вредоносного ПО через аддоны Kodi, и первый случай криптомайнинга с помощью данной платформы. Интересно, что пользователям Kodi направляются бинарники, соответствующие используемой ОС (Windows или Linux).

Аддоны Kodi используются для распространения криптомайнеров - 1

Для тех, кто не знаком с платформой Kodi: медиаплеер не поставляет контент; пользователи самостоятельно расширяют функциональность продукта, устанавливая аддоны из официального репозитория и сторонних площадок. Некоторые неофициальные дополнения позволяют получить доступ к пиратскому контенту, в связи с чем Kodi неоднозначно воспринимается общественностью.

Дополнения Kodi, нарушающие авторские права, уже связывали с распространением вредоносного ПО, но, за исключением инцидента с DDoS-модулем в составе популярного аддона, доказательств предъявлено не было.

Читать полностью »

27 августа 2018 года в твиттере ИБ-специалиста с ником SandboxEscaper была опубликована информация об уязвимости нулевого дня. Уязвимость затрагивает версии Microsoft Windows с 7 по 10, точнее, интерфейс Advanced Local Procedure Call (ALPC) в Планировщике заданий Windows. Она обеспечивает локальное повышение привилегий (Local Privilege Escalation), что позволяет атакующему повысить права вредоносного кода от уровня User до SYSTEM. О скоординированном раскрытии уязвимости речь не идет – аккаунт SandboxEscaper вскоре удалили, закрывающие патчи отсутствовали.

Ссылка из твита вела в репозиторий GitHub с Proof-of-Concept кодом эксплойта – не только скомпилированной версией, но и исходным кодом. Следовательно, любой желающий мог модифицировать и перекомпилировать эксплойт, чтобы улучшить его, избежать обнаружения или включить в собственный код.

В общем, неудивительно, что всего через два дня эксплойт появился in the wild в кампании кибергруппы PowerPool. По данным телеметрии ESET, в числе целевых стран атакующих – Россия, Украина, Польша, Германия, Великобритания, США, Индия, Филиппины, Чили. Жертв сравнительно немного, что может указывать на высокую таргетированность кампании.

Кибергруппа PowerPool освоила уязвимость нулевого дня в Advanced Local Procedure Call - 1

Читать полностью »

Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.

7 лучших файрволов c открытым исходным кодом для защиты вашей сети - 1

Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!
Читать полностью »

Разница между красными, синими и фиолетовыми командами - 1 Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью и хотели бы поинтересоваться вашим мнением о книге Юрия Диогенеса и Эрдала Озкая о взаимодействии Red Team и Blue Team при проверке информационной безопасности на предприятии.

Под катом предлагаем статью, описывающие отличия в работе Красных и Синих команд и позволяющую понять, в чем заключаются обязанности Фиолетовых команд.

Кстати, рекомендуем программерскик и непрограммерские статьи в блоге сегодняшнего автора — там интересно!
Читать полностью »

Исследование Linux/Ebury, основного компонента операции Windigo, заставило нас присмотреться к остальным составляющим данной экосистемы, чтобы узнать, используются ли они в операции. Внимание привлек открытый прокси-сервер Win32/Glupteba, который ранее распространялся с помощью набора эксплойтов в рамках операции Windigo. По итогам последнего анализа мы предполагаем, что программа больше не связана с Windigo.

В посте мы представим информацию о текущих механизмах распространения Glupteba, краткий анализ сетевого трафика, проходящего через прокси, технический анализ состояния бинарного файла Glupteba, а также взаимосвязь Glupteba и Windigo.

Win32-Glupteba больше не связана с операцией Windigo - 1

Читать полностью »

Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.

Новый Android RAT использует протокол Telegram - 1

Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.

Читать полностью »

Редкий представитель вида brute-force: история одной атаки - 1

Работая над защитой интернет-магазина одного из клиентов, мы несколько раз столкнулись с любопытной brute-force атакой, противостоять которой оказалось не так просто. В основе её лежало простое до изящества решение, выделявшее атаку из рядов ей подобных. Что она собой представляла и как мы от неё все-таки защитились, читайте под катом.
Читать полностью »

Следить за высокопоставленными жертвами, оставаясь в тени. Это принцип работы двух вредоносных компонентов InvisiMole. Они превращают зараженный компьютер в видеокамеру атакующих, которая позволяет видеть и слышать все, что происходит в офисе или в любом другом месте, где находится устройство. Операторы InvisiMole легко подключаются к системе, следят за действиями жертвы и крадут ее секреты.

ESET препарировала шпионское ПО InvisiMole, использующееся с 2013 года - 1

По данным телеметрии ESET, злоумышленники, стоящие за данной спайварью, активны как минимум с 2013 года. Тем не менее, этот инструмент кибершпионажа не только не был изучен, но и не детектировался до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине.

Кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров.
Читать полностью »

image

Введение

Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.Читать полностью »