Рубрика «Блог компании «Лаборатория Касперского»»

Security Week 25: В *NIX реанимировали древнюю уязвимость, WannaCry оказался не доделан, ЦРУ прослушивает наши роутеры - 1Земля, 2005 год. По всей планете происходят загадочные события: Nokia выводит на рынок планшет на Linux, в глубокой тайне идет разработка игры с участниками группы Metallica в главных ролях, Джобс объявил о переходе Маков на платформу Intel.

Тем временем на конференции CancSecWest Гаэль Делалло из Beijaflore представил фундаментальный доклад об уязвимостях системы управления памятью в разнообразных NIX-ах, и проиллюстрировал свои находки эксплойтами для Apache. Все запатчились. Прошло несколько лет.

2010 год. Рафаль Войтчук продемонстрировал эксплуатацию уязвимости того же класса в сервере Xorg. В том же году Йон Оберайде опубликовал пару забавных сообщений о своих невинных играх с никсовым стеком ядра. Все снова запатчились.

2016 год. Гуглевский Project Zero разродился исследованием эксплуатации уязвимостей стека ядра под Ubuntu. Оберайде передает в комментах привет. Убунта запатчилась.

2017 год. Никогда такого не было, и вот опять. Qualys научилась мухлевать со стеком юзермода в любых никсах, согласно идеям Делалло.
Читать полностью »

Security Week 24: 95 фиксов от Microsoft, роутер сливает данные светодиодами, для MacOS появился рансомвар-сервис - 1Этот вторник патчей – просто праздник какой-то! Microsoft решила порадовать админов и выпустила 95 фиксов для Windows всех поддерживаемых версий, Office, Skype, Internet Explorer и Edge. 18 из них – для критических уязвимостей, включая три RCE. Кто не знает, это дыры, позволяющие удаленно запускать код без аутентификации, то есть самые опасные из всех. Первые две, согласно Microsoft, уже под атакой.

CVE-2017-8543 содержится в поисковом движке Windows Search Service (WSS). Сервис удобный, но, как оказалось, с дырой. Хакер, подключившись по SMB, может тотально поработить системы, например, изменять, удалять файлы, создавать новые учетные записи. Проблема имеется как в актуальных версиях Windows, так и в Windows XP и Server 2003. Для ее решения Microsoft снова выпустила отдельные патчи к неподдерживаемым системам. Похоже, это входит у компании в привычку. Вот все бы вендоры так делали!
Читать полностью »

Security Week 23: EternalBlue портировали на Win10, ЦРУ атакует с файлсерверов, маркетологи незаметно заразили весь мир - 1Приключения EternalBlue продолжаются: теперь исследователи из RiskSense портировали его на Windows 10. На первый взгляд это деструктивное достижение, однако же, именно в этом состоит немалая часть работы исследователя-безопасника. Чтобы защититься от будущей угрозы, сначала надо эту угрозу создать и испытать, причем крайне желательно сделать это раньше «черных шляп».

Ранее RiskSense разработали EternalBlue-модуль для Metasploit, который отличается от оригинала тем, что его гораздо хуже детектят IDS. Из него выкинули имплант DoublePulsar который слишком хорошо изучен и не особо умеет скрываться на машине, демаскируя атаку. Вместо него исследователи разработали собственный шеллкод, который способен загрузить нужную нагрузку напрямую.

Исходный EternalBlue, как и его модуль для Metasploit, работает лишь на Windows 7 и Windows XP, а также на Windows Server 2003/2008 R2. В своем отчете компания подробно анализирует все цепочку багов, используемых эксплойтом, и из документа видно, что к подобной атаке уязвимы все системы на базе ядра NT – однако выручают защитные технологии, часть из которых EternalBlue обходить умеет, часть – не очень.
Читать полностью »

Машинное обучение и анализ данных: решаем практические задачи с победителями индустриального хакатона ЛК - 1

Как вычислить замыслы киберпреступников, атакующих промышленный объект и распознать слабые сигналы SOS, которые периодически подает индустриальная АСУ ТП на фоне “нормального” поведения, – об этом и многом другом поговорим уже в ближайшую среду, 7 июня, на встрече CoLaboratory: Deep Learning в центральном офисе “Лаборатории Касперского”. Всех неравнодушных к теме промышленной безопасности ждет захватывающее погружение в мир машинного обучения и анализа данных под руководством победителей весеннего индустриального хакатона ЛК и экспертов нашей компании.
Читать полностью »

Security Week 22: В Samba нашлась уязвимость, ShadowBrokers открыли подписку на эксплойты, фишеры массово освоили HTTPS - 1Говорят, что если долго смотреть в 445-й порт, оттуда выглянет сетевой червь. В последние недели он привлек столько внимания, что на свет вышли уязвимости даже в НЕУЯЗВИМОМ (как всем известно) Linux. Точнее, в популярной сетевой файловой системе Samba, без которой Linux с Windows в сети не подружиться.

Напрямую найденный баг к известному набору эксплойтов отношения не имеет, однако сравнения напрашиваются – тот же протокол и похожий сценарий использования. Злоумышленнику достаточно найти Linux с SMB-ресурсом, открытым на запись из Интернета, загрузить туда библиотеку, которую сервер радостно запустит. Сей процесс элементарно автоматизируется, то есть от уязвимости явственно пахнет сетевыми червями.

Ксавье Мертенс из SANS Internet Storm Center указал, что уязвимость можно использовать тривиально, «эксплойтом в одну строчку кода». Rapid7 просканировали Сеть, как это сейчас модно, и нашли там 104 тысячи систем с уязвимой Samba. Потом вспомнили про порт 139, просканировали еще и его, и нашли уже 110 тысяч систем.
Читать полностью »

Security Week 21: BlueDoom защищает от WannaCry, криптолокер угрожает медтехнике, субтитры – новый вектор атаки - 1Благотворительный марафон сливов ShadowBrokers продолжает приносить плоды. Вслед за WannaCry в Сеть ворвался еще один червь, под завязку накачанный эксплойтами. Один семпл забрел к хорватам из местного CERT, и получил имя EternalRocks, второй такой же попался Heimdal Security и был назван не менее пафосно – BlueDoom. На целевую машину они заходили точно так же, как WannaСry, через порт 445.

Новый червяк любопытен большим числом интегрированных в него эксплойтов: он использует EternalBlue, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch, SMBTouch, и DoublePulsar – все это благодаря доброте ShadowBrokers.

Заразив машину, EternalRocks на протяжении суток не делает ничего (видимо, на случай попадания запуска в песочнице – авторы полагают, что исследователи не будут так долго ждать, пока пойманная особь задергается), а потом стучится на сервер управления через сеть Tor. Но ничего особо вредоносного, помимо эксплойт-пака для дальнейшего распространения, сервер ему так ни разу и не прислал, чем изрядно озадачил исследователей.
Читать полностью »

Индустриальный митап #3: в фокусе – безопасная автоматизация техпроцессов - 1

1 июня в московском офисе «Лаборатории Касперского» в рамках платформы CoLaboratory пройдет третья встреча, посвященная индустриальной безопасности, а именно — защите АСУ ТП. Мы обсудим особенности и технологии ИБ-процессов на производстве, начиная от общих советов по поиску дыр в системе и заканчивая методами машинного обучения для обнаружения аномалий. Отдельное внимание будет уделено специальному проекту, выявляющему уязвимости за вас. Наших гостей ждут три доклада.
Читать полностью »

Биокриптография как шанс спастись от криптоапокалипсиса - 1Было время, среди ученых ходила мода ругать природу за неоптимальные решения и массу применяемых «костылей». Один физик XIX века даже вошел историю с высказыванием в том духе, что господь бог – плохой оптик, и за конструкцию человеческого глаза он и гроша бы ему (богу) не дал. Потом его именем даже институт в Москве назвали, но уже не за это.

Так вот, он был неправ (хотя без слепого пятна можно было бы и обойтись). Сейчас наука то и дело подсматривает у живых организмов отдельные принципы и приемы. Да, они не всегда энергетически эффективны, часто область их применения узка, зато проверены миллионами лет выживания. И вот что интересно – даже в такой безжизненной области, как криптография, находится применение тому, что придумала когда-то жизнь. Конечно, животные не шифруют передаваемую информацию, так что напрямую тут ничего не украсть. We need to go deeper, как выразился известный оскароносец.

Поговаривают, что появление полноценных квантовых компьютеров все ближе, ближе и конец шифрования в том виде, в котором мы его знаем и любим. Разведслужбы в предвкушении потирают руки, криптографы мечутся в поисках криптографической «серебряной пули», а журналисты чуть ли не каждую неделю выпускают сенсации о том, что кто-то уже создал квантовый компьютер и все наши маленькие секреты уже не секреты.
Читать полностью »

Security Week 20: Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее - 1WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес бикойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.
Читать полностью »

Место встречи изменить нельзя, или ЛК ждет в гости всех Android-разработчиков - 1

«Лаборатория Касперского» совместно с сообществом MOSDROID приглашают всех Android-разработчиков на новую встречу, которая пройдет 20 мая в нашем московском офисе. Наш митап будет посвящен востребованным инструментам и самым животрепещущим вопросам, стоящим на повестке дня у ваших коллег по цеху.

Сегодня область мобильной разработки под Android (доля ОС на рынке составляет уже 87%, что означает ее присутствие на девяти из десяти мобильных устройств) актуальна как никогда: некоторые приложения для смартфонов уже полностью заменяют аналоги в виде компьютерных программ. И следовательно, самое время обсудить это. По традиции мы подготовили для вас три доклада: в этот раз поговорим о Groovy, Kotlin и Lint.
Читать полностью »