BlackHole exploit kit и псевдослучайная генерация доменных имён

Максим Пушкарь 06 Июля 2012 - 23:13

...

Специалистам компании Sophos удалось "разгадать" схему работы одного из скриптов, используемых в наборе эксплойтов BlackHole для перенаправления траффика на сайты, контролируемые злоумышленниками. По словам представителей Sophos, уникальность данного скрипта в том, что он способен атаковать большое количество сайтов одновременно, а после внедрения в JavaScript сайта, генерирует случайную строку, содержимое которой затем добавляется к доменному имени сайта.

Исследования показали, что встроенный скрипт обфусцируется, внедряясь в легитимные библиотеки JavaScript, установленные на инфицируемых сайтах. Также в ходе исследований обнаружилось, что одной из причин заражения может стать уязвимость в программном обеспечении для администрирования серверов. В частности, сообщается, что уязвимость, ставшая причиной заражения, найдена в программном пакете Plesk.

Проведя деобфускацию заражённого JavaScript(а) (простейший процесс, выполняемый стандартными методами), специалисты Sophos обнаружили, что для перенаправления используется iframe-редирект. Однако их особенно заинтересовал тот факт, что для генерации случайной строки используется простейший алгоритм с привязкой к дате.

Вредоносный скрипт генерирует случайную строку с привязкой к текущей дате, изменяя её каждые 12 часов.

Тэг <iframe>, добавляемый вредоносным скриптом на страницу заражённого сайта, перенаправляет браузер пользователя, попавшего на такой сайт, на TDS сервер, контролируемый злоумышленниками. Ранее скрипт часто генерировал случайную строку, содержащую запись вида: 'Runforestrun'.

Новейшие модификации скрипта генерируют псевдослучайные строки разного цвета и с различным текстовым наполнением. К тому же замечено, что они научились использовать динамические системы доменных имен (приём который Blackhole применяет весьма активно).

Попадая на заражённый сайт, пользователь перенаправляется на сайт контролируемый злоумышленниками, где с помощью обычных эксплойтов, использующих уязвимости Java, Flash PDF и т.д., и происходит заражение компьютера.

Эксперты Sophos отметили ещё одну особенность описываемого вредоносного скрипта: Как показали исследования, компьютеры пользователей, попадающих на заражённый сайт, поражают абсолютно разные вредоносные програмы, начиная с бэкдоров и троянцев семейства Trojan-Spy.Win32.Zbot и заканчивая программами требующими выкуп (программа блокирует инфицированный комьютер и выдаёт сообщения с требованием заплатить злоумышленникам за его разблокировку).

По словам представителей Sophos, впервые вышеописанный вредоносный скрипт был обнаружен в начале июня текущего года, в ходе анализа интернет сайтов инфицированных вредоносной программой Mal/Iframe-AF.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 20 Февраля 2026 - 16:25

Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC) Лаборатория Касперского

Компании готовы тратить в среднем $2 млн на создание собственного SOC

Компании, которые только собираются строить собственный центр мониторинга кибербезопасности (SOC), в среднем готовы заложить на проект около 2 млн долларов. Такие данные приводит исследовательский центр «Лаборатории Касперского» по итогам глобального опроса организаций со штатом более 500 человек, где SOC пока нет, но его планируют создать в ближайшие два года.

Интересно, что больше половины респондентов (55%) рассчитывают уложиться в бюджет до 1 млн долларов.

При этом почти четверть (24%), наоборот, готовы потратить свыше 2,5 млн долларов. Всё сильно зависит от масштаба бизнеса. Малые компании в среднем ориентируются на сумму до 1,2 млн долларов, средние — примерно на 1,7 млн, а крупные корпорации — уже на 5 млн долларов. И это логично: чем больше инфраструктура и выше требования к защите, тем дороже проект.

Есть и региональные особенности. Например, в Китае и Вьетнаме компании готовы инвестировать в SOC больше, чем в среднем по миру. Это может быть связано с курсом на цифровой суверенитет и развитием собственных решений в сфере кибербезопасности.

По срокам большинство настроено довольно амбициозно. Две трети компаний (66%) рассчитывают развернуть SOC за 6–12 месяцев, ещё 26% закладывают от года до двух. Крупные организации, несмотря на более сложную инфраструктуру, чаще планируют уложиться в более сжатые сроки. На практике это обычно выглядит так: сначала SOC запускают для защиты критически важных систем, а затем постепенно расширяют его охват.

Главный барьер — деньги. Треть компаний (33%) называют основной проблемой высокие капитальные затраты. Почти столько же (28%) признаются, что им сложно оценить эффективность будущего SOC: метрик слишком много — от финансовых и операционных до стратегических, включая соответствие отраслевым стандартам.

Кроме того, бизнес сталкивается со сложностью самих решений: 27% говорят о трудностях управления комплексными системами кибербезопасности, 26% — об интеграции множества технологий. И, конечно, кадровый вопрос никуда не делся: четверть компаний отмечают нехватку квалифицированных специалистов, как внутри организации, так и на рынке в целом.

Как поясняет руководитель Kaspersky SOC Consulting Роман Назаров, бюджет на SOC может заметно отличаться в зависимости от масштаба инфраструктуры и выбранных решений. Первичные инвестиции покрывают лицензии и оборудование, но на этом расходы не заканчиваются — серьёзную долю в общей стоимости владения составляют операционные затраты, прежде всего зарплаты специалистов. По его словам, без чёткого стратегического плана с прописанными этапами и целями построить устойчивую систему кибербезопасности не получится.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!