В минувшие дни Microsoft объявили о выпуске новых бюллетеней безопасности в числе которых содержится MS16-023. Задачей данного обновления безопасности является устранение критических уязвимостей в Internet Explorer позволяющих осуществлять исполнение произвольного кода.
Однако, в Microsoft решили, что вместе с критическими обновлениями безопасности своим пользователям так же можно установить и что-нибудь еще…
Читать полностью »
В нашем предыдущем посте корпоративного блога мы представили информацию о вымогателе для OS X под названием KeRanger. Данные о KeRanger были взяты из отчета компании Palo Alto Networks, специалисты которой представили информацию об этой угроз первыми. Наш аналитик Антон Черепанов также занимался анализом KeRanger, однако, он не успел опубликовать эти данные до вышеупомянутых специалистов.
В этом посте мы представим информацию из собственного исследования первого вымогателя для OS X, а также расскажем об особенностях обнаружения KeRanger с использованием наших антивирусных продуктов. Так как авторы Transmission выпустили новую версию своего приложения с идентификатором 2.91, мы рекомендуем всем пользователям данного ПО обновиться до этой версии.
Специалисты компании Palo Alto Networks обнаружили первый настоящий вымогатель (ransomware) для Apple OS X. Вредоносная программа получила название KeRanger и обнаруживается нашими антивирусными продуктами как OSX/Filecoder.KeRanger.A. KeRanger относится к типу crypto-ransomware или filecoder и специализируется на шифровании файлов пользователя с дальнейшим требованием выкупа за расшифровку.
Для распространения вредоносной программы злоумышленники выбрали эффективный способ компрометации дистрибутивов ПО под названием Transmission для OS X. Эта программа представляет из себя простой свободно распространяемый клиент BitTorrent. Несколько дней назад два дистрибутива Transmission v2.90 были скомпрометированы KeRanger и распространялись на официальном веб-сайте клиента. Так как Transmission является свободным ПО, злоумышленники могли просто скомпилировать специальную backdoored-версию и заменить ее на сервере разработчиков. Кроме этого, скомпрометированный дистрибутив был подписан легитимным цифровым сертификатом разработчика для Mac.
Компания AMD завтра выпустит обновление для микрокода своих микропроцессоров архитектуры Piledriver (AMD Piledriver Family 15h). Обновление специализируется на устранении уязвимости в коде виртуализации, которая может быть использована атакующими для побега из виртуальной среды на реальную ОС. Уязвимости подвержены микропроцессоры с микрокодом последних версий 0x6000832 и 0x6000836, который используется в серверных вариантах типа Opteron 6300 или клиентских серии FX, а также Athlon.
При срабатывании уязвимости, микропроцессор может интерпретировать часть данных как исполняемый код и выполнить его, что приведет к аварийному завершению процесса на виртуальной машине. В свою очередь, это позволит обойти ограничения гипервизора и исполнить код на реальной ОС. В случае с сервером, злоумышленник, под видом обычного пользователя, на гостевой виртуальной машине может заполучить доступ ко всему серверу, причем с максимальными привилегиями.
- cfpuppetserver — модуль автоматической настройки Puppet Server + PuppetDB + PostgreSQL + r10k + librarian-puppet
- Краткое введение в Puppet
- Описывается изначальное развёртывание с нуля
Apple наняла на работу автора мессенджера Signal, который считается одним самых безопасных бесплатных приложений для обмена информацией между пользователями. Автор Signal Фредерик Джейкобс ранее работал в компании Open Whisper Systems и занимался разработкой мессенджера, который получил самые высокие оценки по обеспечению безопасности пересылаемых данных от таких гуру как Брюс Шнайер, Мэтью Грин и Эдвард Сноуден. В отличие от других мессенджеров, Signal предлагает пользователям безопасное end-to-end шифрование, без необходимости расшифровывать пересылаемые данные на промежуточном этапе.
Для самой Apple проблема обеспечения безопасности пользовательских данных на мобильных устройствах, которые работают под управлением iOS, встала как никогда остро. Компания и спецслужбы США вышли на новый уровень дебатов о возможности раскрытия данных пользователей, что может стать прецедентом для масштабного наступления спецслужб на политику конфиденциальности пользовательских данных всех высокотехнологичных компаний.
Специалисты компании FireEye обнаружили серьезную недоработку безопасности в инструменте EMET [1,2,3,4,5,6,7], которая позволяет достаточно просто отключить его механизмы защиты процессов с использованием его же встроенных функций. Уязвимость присутствует в предыдущих версиях EMET, т. е. в версиях до актуальной 5.5. Пользователям этих версий рекомендуется обновить EMET до последней версии.
Сам EMET поддерживает внутренний механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Эта функция применяется в том случае, когда нужно оперативно отключить защиту процесса, за реализацию которой отвечает динамическая библиотека emet.dll. Полное отключение защиты реализуется обработчиком DllMain с кодом выгрузки DLL_PROCESS_DETACH. В силу того, что emet.dll не перехватывает функцию kernel32!GetModuleHandleW и не контролирует ее поведение, шелл-коду достаточно вызвать GetModuleHandleW для получения адреса загрузки DLL в памяти и вызвать DllMain, передав функции это значение и константу выгрузки.
Разработчики одного из известных дистрибутивов Linux под названием Mint сообщили в блоге, что их сервер был скомпрометирован, а ISO-дистрибутивы ОС подверглись модификации (backdoored). Указывается, что стоит обратить внимание на скачанные с сервера загрузки дистрибутивы 20 февраля. По данным разработчиков, скомпрометированным оказался дистрибутив версии Linux Mint 17.3 Cinnamon.
Вредоносные дистрибутивы были размещены по IP-адресу 5.104.175.212, а сам бэкдор обращается по URL-адресу absentvodka.com. Ниже указаны инструкции проверки скачанного дистрибутива.
- cfauth — настраивает сервис SSH, админскую учётную запись,
sudo, пароль суперпользователя- cfsystem — настройка: APT, временной зоны, отправки системных писем, синхронизация времени, расширенный список стандартных пакетов
- Все модули интегрированы с модулем сетевого фильтра cfnetwork и не требуют дополнительных настроек
