Руткит TDL нашел новый способ инфицировать 64-битные версии Windows

Вредоносное программное обеспечение, которое в течение нескольких лет было одной из наиболее существенных угроз для пользователей 32-битных версий ОС Windows, теперь в состоянии поражать 64-битные выпуски - в том числе и Windows 7 64-bit, которую можно назвать самой защищенной системой в каталоге Microsoft, - как минимум двумя способами.



Microsoft ввела в свои операционные системы несколько дополнительных контуров защиты, которые нацелены именно на противодействие руткит-технологиям. Тем не менее, согласно результатам исследований, проведенных компанией GFI Software, последняя версия установщика TDL4 умеет обходить политику проверки подписей драйверов, защищающую нулевое кольцо от недоверенного кода. Напомним, что эта политика разрешает установку драйверов только в том случае, если у них имеется цифровая подпись, выданная надежным источником.


Сообщается, что обход системы защиты достигается за счет модифицирования загрузочного сектора жесткого диска, так что перед запуском операционной системы исполняется вредоносный код. Руткит изменяет значение параметра конфигурации LoadIntegrityCheckPolicy, отвечающего за уровень строгости проверки подписей; в результате этих действий устанавливается самый низкий уровень верификации, что позволяет успешно загрузить неподписанный файл руткита.


Ранее компания Prevx отмечала, что TDL способен обходить и другой контур защиты - систему PatchGuard, которая призвана не допускать вредоносных модификаций ядра операционной системы. Для этого он использует тот же самый прием - изменение MBR и получение доступа к процедурам автозапуска операционной системы.


Специалисты Prevx уверены, что в актуальной вирусной среде нет более технически совершенного руткита, нежели TDL. У него есть функционал удаленного управления, позволяющий загружать, устанавливать и обновлять другое вредоносное ПО (например, кейлоггеры); после внедрения в систему он успешно скрывается от большинства антивирусных программ и пакетов; используя низкоуровневые инструкции, он выводит из строя различные отладчики, усложняя тем самым исследовательскую работу антивирусных специалистов.


The Register

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На АТОЛ напали и вынесли сотни гигабайт данных

Производителя облачных касс и банковских терминалов — компанию АТОЛ атаковали киберпреступники. Сначала хакеры взломали сервера, потом разослали спам клиентам и партнерам, а в финале выложили базы данных в Сеть. В “АТОЛе” утверждают, что слитые сведения устарели.

Сайт ООО АТОЛ (“Автоматизация Торговли и Логистики”) перестал работать еще накануне, обратили внимание в “Ъ”. Также не отвечал портал облачных касс для онлайн-торговли. Почти сразу в профильных каналах стали писать о слитой базе данных организации.

По сведениям Telegram-канала “In2security”, файл содержит почти 160 тыс. строк информации о клиентах и партнерах компании, включая персональные данные (электронные адреса, ФИО и телефоны).

“Кроме базы клиентов, злоумышленники выложили довольно значительный объем информации, включая исходники веб-ресурсов, логи, скрипты, внутреннюю документацию, в том числе сканы актов о поставке оборудования, прочие базы данных, например, список участников форума, а также иные сведения, — пишут исследователи безопасности. — Общий объем запакованных архивов составляет порядка 9 гигабайт. А в распакованном виде все это переваливает уже за сотню гигабайт”.

АТОЛ признал взлом ИТ-сервисов, “вследствие которого менее 5% клиентов и партнеров получили спам-сообщения, а ряд сайтов был недоступен”.

При этом в компании заверили, что злоумышленники не получили доступ к клиентским и партнерским данным.

“Мы оперативно устранили уязвимость и принимаем дополнительные меры к тому, чтобы в дальнейшем эта ситуация не повторилась”, — заявил официальный представитель организации.

Позже слив баз АТОЛу пришлось всё-таки признать. В ответе на запрос РБК пресс-служба, помимо классического “программное обеспечение и клиентское оборудование компании продолжают работать в нормальном режиме”, добавляет:

“Часть базы данных, которая используется компанией в маркетинговых целях, попала в руки хакеров и была слита в Сеть. При этом до 70% этих сведений не являются актуальными и относятся к деятельности компании между 2007 и 2016 годами”.

При этом основатель сервиса мониторинга утечек DLBI Ашот Оганесян утверждает, что большая часть опубликованных данных датирована 31 января, что говорит о вероятном доступе к серверу баз данных.

Хакеры также сделали рассылку сообщений клиентам и партнерам от лица компании. АТОЛ отправил им предупреждение о спаме.

“Мы оперативно отреагировали на атаку и дополнительно усилили контур безопасности. Компания АТОЛ исполняет все требования законодательства с точки зрения информирования соответствующих государственных органов об инцидентах”, — отметили в АТОЛ.

Злоумышленники атаковали АТОЛ через основной сайт, а затем заблокировали доступ к базам, изменив учетные данные для подключения, считает аналитик центра мониторинга и противодействия кибератакам IZ:SOC компании “Информзащита” Шамиль Чич.

По его мнению, хакеры также могли зашифровать данные сайта, а выгруженная в Сеть информация необходима для подтверждения инцидента и запроса выкупа.

Компания АТОЛ специализируется на разработке и поставке оборудования и программного обеспечения для автоматизации работы ретейла, а также сферы услуг и онлайн-касс. Ее клиенты — сеть аптек “Ригла”, Burger King и ЦУМ.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru