Microsoft создает утилиту обнаружения drive-by атак
Главная » Новости

Microsoft создает утилиту обнаружения drive-by атак

Ксения Ренселаева 23 Мая 2012 - 18:00
...

Исследователи в области безопасности компании Microsoft и Венского технического университета создали инструмент, с помощью которого вероятность заражения посредством проведения так называемых "drive-by" атак будет сведена к минимуму.

Как известно, при drive-by атаке вредоносная программа автоматически загружается на компьютер без ведома и согласия пользователя. Причем она осуществляется в два этапа. Сначала жертва попадает на содержащий вредоносный код сайт, который перенаправляет запрос на сторонний сервер, где хранится эксплойт для неисправленных уязвимостей в JavaScript. Подобные уязвимости обычно имеются в дополнительных плагинах для обозревателей. По словам исследователей, такие атаки практически не возможно обнаружить с помощью традиционных средств защиты.

Утилита Rozzle [PDF], по их мнению, повысит вероятность обнаружения подобных угроз. Она представляет собой виртуальную машину JavaScript, которая может одновременно имитировать различные установки, представляя вредоносной программе различные пути для атаки. Иными словами, программа действует таким образом, что эксплойт, помощью которого происходит загрузка программы-загрузчика, реагирует на расставленные ловушки.

Авторы отмечают, что во время тестирования наряду со средствами поведенческого анализа программа показала неплохие результаты. В тестах участвовало более 65000 образцов вредоносных программ. В результате традиционные средства смогли определить только 2,5% угроз такого типа, в то время как Rozzle обнаружила 17,5%.

Помимо drive - by атак, при детектировании вредоносных URL, результаты Rozzle были в три раза лучше, чем у противников.

Совместная разработка специалистов компании Microsoft и Венского технического университета была представлена вчера на очередном ежегодном симпозиуме "Symposium on Security and Privacy" в Сан-Франциско, США. Организатором мероприятия выступает международная ассоциация специалистов в области техники, мировой лидер в области разработки стандартов по радиоэлектронике и электротехнике, известная как IEEE.

" />

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Баг в ESXi-версии Nitrogen не позволяет расшифровать файлы даже с выкупом
Татьяна Никитина 05 Февраля 2026 - 14:11
Программы-вымогателиПрограммы-шифровальщикиОшибки конфигурации программ Малый и средний бизнесКорпорации
Баг в ESXi-версии Nitrogen не позволяет расшифровать файлы даже с выкупом

Мудрый совет никогда не платить вымогателям особенно значим для жертв Nitrogen: в коде версии шифровальщика для VMware ESXi обнаружена ошибка, из-за которой вернуть файлам первозданный вид не смогут даже сами авторы атаки.

Уплата требуемого выкупа в данном случае бесполезна, жертву могут спасти только предусмотрительно сделанные резервные копии.

Приступая к шифрованию данных на сервере, Nitrogen создает для каждого файла пару ключей Curve25519, сначала приватный, а затем публичный — по идее, на основе приватного, чтобы в результате обмена получить общий секрет и использовать его как ключ ChaCha8 для шифрования данных с последующим сохранением.

Как оказалось, из-за допущенной программной ошибки при загрузке публичного ключа происходит перезапись четырех начальных байтов, и узнать, каков парный ему приватный ключ, больше невозможно.

 

Шифровальщик Nitrogen, по словам исследователей, создан на основе слитых в Сеть исходников печально известного Conti. Первые случаи вымогательства с его помощью были зафиксированы в сентябре 2024 года.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
Подготовка зарубежных кадров поможет продвижению российских ИБ продуктов
Новость
Подготовка зарубежных кадров поможет продвижению российских...
Почему в России не заблокировали iMessage? Могут сломаться уведомления
Новость
Почему в России не заблокировали iMessage? Могут сломаться у...
У каждой третьей компании ИБ-штаты заполнены лишь на 50–80%
Новость
У каждой третьей компании ИБ-штаты заполнены лишь на 50–80%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.