Эксплойты становятся все более технически совершенными

На основании данных от Hewlett-Packard's TippingPoint Digital Vaccine Labs, Qualys и The SANS Institute был подготовлен отчет об основных киберугрозах 2010 года. В этом отчете особо отмечено, что при разработке PDF-эксплойтов и вредоносных сценариев на JavaScript все чаще используются сложные обфускационные техники и приемы.



"В настоящее время мы наблюдаем никогда прежде не виданные нами приемы обфускации и комплексные атаки", - признался руководитель расширенных исследований в области безопасности DVLabs Майк Доусон. - "Для примера: PDF-файлы для эксплуатации уязвимостей составляются из своеобразного набора потоков. Обычно эксплойт-код содержится в одном потоке и представляет собой единый массив данных в теле файла; теперь же разбиение этого кода на 10 и более взаимосвязанных потоков - едва ли не повседневная практика. Нечто подобное мы наблюдали и в поле деятельности JavaScript - там обнаруживался набор либо из нескольких IFRAME, либо из некоторого количества javascript-тэгов, которые ссылались на 10 и более сценариев. Каждый из них отвечает за определенные фрагменты эксплойт-кода, которые затем - уже на целевой машине - собираются вместе и запускаются на исполнение".


Согласно отчету, использование такой схемы предоставляет злоумышленнику полноценный и эффективный контроль над теми или иными задействованными техниками и приемами, равно как и упрощает добавление новых эксплойтов либо внесение изменений в код. Каждый фрагмент дополняет все остальные, и если хотя бы один элемент отсутствует, эксплойт не запустится. "Использование подобных приемов существенно усложняет работу систем предотвращения и детектирования вторжений, поскольку в этом случае для формирования четкого представления о направлении действий и целях эксплойта каждый поток необходимо анализировать отдельно", - говорится в отчете.


В 2010 году основной целью злоумышленников были продукты Adobe Reader и Acrobat; недавние атаки на 0-day уязвимости в этом программном обеспечении лишь подтверждают общую тенденцию. В отчете рассчитано время, которое требуется для снижения количества уязвимых машин (т.е. тех, на которых не установлены необходимые обновления безопасности) на 50%, т.н. "half-life"; по этому показателю Adobe Reader далеко отстает от операционных систем Windows. За последний год среднее время "half-life" для Windows составило 14,5 дней, а для Reader - 65 дней. Однако есть и надежда на лучшее: последняя версия Adobe Reader, v9, показывает время "half-life" в 15 дней - почти такое же, как и у Windows.


Помимо проблем с исправлением уязвимостей, авторы отчета особо выделяют и тот факт, что нередко новые уязвимости обнаруживаются одновременно или почти одновременно сразу несколькими исследователями, причем совершенно независимо друг от друга. Это подтверждается и практикой работы проекта TippingPoint's Zero-Day Initiative; согласно отчету, в 2007 году было отмечено 4 таких случая, в 2009 году - 18, а только лишь за первые 6 месяцев 2010 года уже стало известно о 13 случаях.


"Либо такие вещи стало проще обнаруживать, либо возросло количество исследователей, работающих в этой сфере", - рассказал г-н Доусон изданию eWeek. - "Так или иначе, если две команды защитников информации выявляют уязвимости одновременно и независимо друг от друга, и подобное происходит регулярно, то не требуется богатого воображения, дабы предположить, что синхронно с ними тех же результатов достигают и их контрагенты из андеграунда".


В отчете упомянуты и некоторые другие, не столь свежие, но все еще распространенные угрозы - Conficker, SQL Slammer, Code Red. Появившийся в 2004 году Slammer до сих пор в 10 раз чаще, чем какая-либо иная угроза, заставляет срабатывать IPS-фильтры HP TippingPoint.


"Старые добрые пути заражения по-прежнему актуальны", - заметил по этому поводу г-н Доусон. - "Довольно древние эксплойты до сих пор задействуются в кибератаках. Новые тенденции - это, конечно, хорошо, но не стоит забывать, что взлом паролей методом прямого перебора или проникновение на скверно настроенные компьютеры в ЛВС предприятия способны не менее эффективно скомпрометировать вашу систему".

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры взломали базу данных полиции Шанхая и украли ПДн миллиарда китайцев

В даркнете выставлены на продажу 1 млрд записей с ПДн граждан Китая. Неизвестные хакеры уверяют, что они взломали базу данных полиции Шанхая и украли более 23 Тбайт данных.

Со слов продавца, записи содержат такую информацию, как имя, адрес, место рождения, номер удостоверения личности, номер телефона и данные уголовного дела. За весь дамп злоумышленники просят 10 биткоинов (порядка $196 тыс. по текущему курсу).

Объявление о продаже обнаружили на подпольном форуме наблюдатели из Binance. В своем твите они не стали уточнять, где именно произошла утечка, отметив лишь, что это «одна из азиатских стран», и виной тому, вероятно, уязвимость базы данных Elasticsearch, которой пользуется некий госорган.

Подобное предположение выдвинуто не без оснований: слабая защита облачных хранилищ стала притчей во языцех. В данном случае речь может идти об облаке Alibaba, Tencent или Huawei — крупнейших провайдеров в стране.

Китайское ИБ-сообщество в замешательстве: если заявление хакеров верно, это крупнейшая за всю историю утечка в КНР. Каким образом злоумышленникам удалось получить доступ к столь внушительной базе данных, можно только гадать. Власти Шанхая и Администрация киберпространства Китая пока не комментируют случившееся.

По китайским законам, раскрытие персональных данных может обернуться тюремным сроком. Одиозная находка заставила операторов криптобиржи Binance ужесточить верификацию пользователей, потенциально попавших под раздачу.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru