Не верь глазам своим
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Не верь глазам своим

Александр Речицкий 12 Августа 2011 - 16:15
...

Несколько дней назад один из клиентов антивирусной лаборатории Microsoft Malware Protection Center предоставил интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян TrojanDropper:Win32/Vundo.L), специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющий посетителей на ip-адрес 92.38.209.252, но весьма необычным способом.

Наиболее распространенным способом обмана пользователей и кражи паролей является проникновение в систему и внедрение файла "hosts", содержащего команды приорететного управления преобразования доменных имен в ip-адреса (DNS) и расположенного по адресу %SystemRoot%\system32\drivers\etc. Однако, когда на зараженном компьютере вы открываете этот файл, в нем нет никаких ссылок на сайты “vk.com” и “vkontakte.ru”.

Но когда мы включаем режим отображения скрытых файлов, мы сможем увидеть другой файл "hosts". Он скрытый, как в следующем примере:

Есть два файла с точно тем же самым именем, "hosts", в папке etc! Как это могло произойти?
Как мы знаем, каталог не может содержать два файла с тем же самым именем. Когда мы копируем имена файлов в блокнот, сохраняем их как текстовый файл в формате  Unicode и открываем их с HEX-редактором, мы видим следующее (верхнее для первого файла "hosts", ниже для второго файла "hosts"):

Для кодовой таблицы Unicode (UTF-16), символ 0x006F выглядит точно так же как 0x6F в таблице ASCII, и представляет собой латинский символ “o”.  Но где находится 0x043E в Unicode? Вот перед вами соответствующий диапазон таблицы 0400-04FF.

Как мы можем заметить, Unicode 0x043E представляет собой кириллический символ , и чем-то напоминает английское "о".

Итак, скрытый файл "host" является настоящим host фалом,  при открытии которого можно увидеть две строчки расположенные в самом конце файла.


Найден ключ к разрешению тайны!


Это не первый раз когда злоумышленники использовали скрытый потенциал символов в формате Unicode для обмана людей. В августе китайский хакер раскрыл еще один способ введения пользователей в заблуждение и принуждения их к запуску исполняемого вредоносного файла.
Например, перед вами файл “picgpj.exe”.

“gpj.exe” - часть названия файла специальным образом модифицирована при помощи вставленного перед ней RLO-символа (он переопределяет направление чтения текста на "справа-налево"), мы получаем удивительную картину:

Хакеры также для создания полной иллюзии специальным образом подменяют иконку исполняемого файла. Не знающие люди принимают их за файлы с изображением и, не задумываясь о последствиях, открывают их. Для большинства программ такие трюки с Unicode-символами проходят безболезненно, в отличие от глаз обычных пользователей, когда свою роль играет социальная инженерия и человеческий фактор.

Итак, можем ли верить всему, что видим? Ответ очевиден - не всегда.

Microsoft Malware Protection Center предоставил интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян TrojanDropper:Win32/Vundo.L), специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющий посетителей на ip-адрес 92.38.209.252, но весьма необычным способом." />
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В SafeTech CA появилась поддержка Linux Autoenrollment и протокола ACME
Екатерина Быстрова 12 Ноября 2025 - 16:56
SafeTech CA Корпорации Соответствие требованиям регуляторов SafeTech
В SafeTech CA появилась поддержка Linux Autoenrollment и протокола ACME

Компания SafeTech Lab выпустила крупнейшее за всё время обновление своего корпоративного центра сертификации SafeTech CA. Новый релиз расширяет сценарии использования системы и делает управление PKI-инфраструктурой более гибким и автоматизированным.

Главным новшеством стало появление полноценного Autoenrollment’а для Linux-систем — функции автоматического выпуска, продления и контроля сертификатов.

Технология разработана совместно с экспертами «Группы Астра» и интегрирована с доменом ALD Pro. Теперь организации могут централизованно управлять сертификатами пользователей и сервисов в гетерогенных инфраструктурах, соблюдая требования безопасности и импортозамещения.

Также обновление затронуло интеграцию с другими службами каталогов. Для Microsoft Active Directory добавлены новые возможности настройки политик выпуска сертификатов, что делает систему более гибкой альтернативой стандартному Certificate Services. Для «Ред АДМ» (Samba DC) появились специализированные сценарии и инструменты для соединения PKI-компонентов с SafeTech CA.

Теперь администраторы могут назначать шаблоны сертификатов на подразделения (Organization Unit), что позволяет точнее разграничивать права доступа и управлять использованием сервисов внутри домена.

Существенные изменения коснулись и аутентификации пользователей. В сотрудничестве с компанией «Актив» реализована возможность выпуска сертификатов на токены Рутокен прямо из интерфейса SafeTech CA, без ручной записи. Кроме того, добавлены сценарии Smart Card Logon для доменов ALD Pro, Microsoft AD, «Ред АДМ», FreeIPA и Samba DC, что обеспечивает поддержку смарт-карт в смешанных ИТ-средах.

Ещё одно важное нововведение — поддержка протокола ACME, который позволяет автоматически выпускать и обновлять SSL/TLS-сертификаты для веб-серверов. Это упрощает защиту онлайн-ресурсов и снижает риск простоя из-за истечения срока действия сертификатов.

В будущем SafeTech Lab планирует развивать централизованное управление компонентами PKI, улучшить производительность решения для высоконагруженных систем и расширить возможности интеграции с другими корпоративными инструментами.

По словам генерального директора Александра Санина, новая версия делает SafeTech CA «универсальной платформой для управления цифровыми сертификатами» и впервые реализует для отечественных Linux-систем функциональность автоматического выпуска сертификатов, сопоставимую с возможностями Windows-сред.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новая платформа BI.ZONE DRP поможет бороться с фишингом и утечками данных
Новость
Новая платформа BI.ZONE DRP поможет бороться с фишингом и ут...
DDoS-атаки на фармкомпании в России выросли на 82% за август
Новость
DDoS-атаки на фармкомпании в России выросли на 82% за август
ГК Солар и Т2 представили облачную защиту сайтов для малого бизнеса
Новость
ГК Солар и Т2 представили облачную защиту сайтов для малого...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.