Появился первый динамический брандмауэр для Android

Появился первый динамический брандмауэр для Android

Электронные СМИ пишут о новом средстве обеспечения безопасности для популярной ОС от Google: к обширному арсеналу антивирусов, противофишинговых инструментов и блокираторо-уничтожителей данных добавилась программа, позволяющая управлять сетевыми соединениями в режиме реального времени.


Продукт под названием WhisperMonitor, разработанный программистом Мокси Мэрлинспайком, можно считать первым сетевым экраном для Android, который сообщает о попытках установить то или иное соединение непосредственно в момент его инициирования. К этой ОС уже имеется несколько приложений, которые призваны выполнять функции брандмауэра, но, насколько можно судить по их описанию, они имеют статический характер (т.е. пользователь должен самостоятельно прописывать все интересующие его правила заранее); новая же программа постоянно отслеживает сетевую активность и в случае обнаружения таковой отображает запрос действия.


(изображение из первоисточника whispersys.com)

Сетевой экран WhisperMonitor способен перехватывать и контролировать все исходящие соединения - в том числе и те из них, которые устанавливаются системными приложениями. Пользователь продукта располагает возможностью разрешать или запрещать отправку данных на определенные адреса и порты единожды, до перезагрузки устройства или навсегда. Созданными правилами можно управлять, изменяя параметры доступа различных приложений к Интернету.

Также у программы есть функция протоколирования. Если она включена, то брандмауэр записывает в журнал сведения обо всех сетевых соединениях - в том числе IP-адрес и порт назначения, а также отметку о дате и времени события. Данный функционал позволяет наблюдать за активностью программного обеспечения, показывая, какие приложения связываются с Сетью и насколько часто они этим занимаются.

WhisperMonitor может пригодиться владельцам Android-устройств не только в потенциальной борьбе со вредоносным программным обеспечением, но и в противодействии шпионским наклонностям самой операционной системы - пользователь нового брандмауэра вправе заблокировать отправку данных о своем местоположении на серверы Google.

Загрузить и установить сетевой экран можно в составе программного пакета WhisperCore 0.3. Необходимо, однако, заметить, что это решение пока что находится на стадии бета-тестирования и уверенно функционирует лишь на собственных смартфонах поискового гиганта - Nexus One и Nexus S. Впрочем, разработчик обещает вскоре обеспечить совместимость и с другими устройствами.

Whisper Systems

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru