Эксплойты становятся все более технически совершенными

Эксплойты становятся все более технически совершенными

На основании данных от Hewlett-Packard's TippingPoint Digital Vaccine Labs, Qualys и The SANS Institute был подготовлен отчет об основных киберугрозах 2010 года. В этом отчете особо отмечено, что при разработке PDF-эксплойтов и вредоносных сценариев на JavaScript все чаще используются сложные обфускационные техники и приемы.



"В настоящее время мы наблюдаем никогда прежде не виданные нами приемы обфускации и комплексные атаки", - признался руководитель расширенных исследований в области безопасности DVLabs Майк Доусон. - "Для примера: PDF-файлы для эксплуатации уязвимостей составляются из своеобразного набора потоков. Обычно эксплойт-код содержится в одном потоке и представляет собой единый массив данных в теле файла; теперь же разбиение этого кода на 10 и более взаимосвязанных потоков - едва ли не повседневная практика. Нечто подобное мы наблюдали и в поле деятельности JavaScript - там обнаруживался набор либо из нескольких IFRAME, либо из некоторого количества javascript-тэгов, которые ссылались на 10 и более сценариев. Каждый из них отвечает за определенные фрагменты эксплойт-кода, которые затем - уже на целевой машине - собираются вместе и запускаются на исполнение".


Согласно отчету, использование такой схемы предоставляет злоумышленнику полноценный и эффективный контроль над теми или иными задействованными техниками и приемами, равно как и упрощает добавление новых эксплойтов либо внесение изменений в код. Каждый фрагмент дополняет все остальные, и если хотя бы один элемент отсутствует, эксплойт не запустится. "Использование подобных приемов существенно усложняет работу систем предотвращения и детектирования вторжений, поскольку в этом случае для формирования четкого представления о направлении действий и целях эксплойта каждый поток необходимо анализировать отдельно", - говорится в отчете.


В 2010 году основной целью злоумышленников были продукты Adobe Reader и Acrobat; недавние атаки на 0-day уязвимости в этом программном обеспечении лишь подтверждают общую тенденцию. В отчете рассчитано время, которое требуется для снижения количества уязвимых машин (т.е. тех, на которых не установлены необходимые обновления безопасности) на 50%, т.н. "half-life"; по этому показателю Adobe Reader далеко отстает от операционных систем Windows. За последний год среднее время "half-life" для Windows составило 14,5 дней, а для Reader - 65 дней. Однако есть и надежда на лучшее: последняя версия Adobe Reader, v9, показывает время "half-life" в 15 дней - почти такое же, как и у Windows.


Помимо проблем с исправлением уязвимостей, авторы отчета особо выделяют и тот факт, что нередко новые уязвимости обнаруживаются одновременно или почти одновременно сразу несколькими исследователями, причем совершенно независимо друг от друга. Это подтверждается и практикой работы проекта TippingPoint's Zero-Day Initiative; согласно отчету, в 2007 году было отмечено 4 таких случая, в 2009 году - 18, а только лишь за первые 6 месяцев 2010 года уже стало известно о 13 случаях.


"Либо такие вещи стало проще обнаруживать, либо возросло количество исследователей, работающих в этой сфере", - рассказал г-н Доусон изданию eWeek. - "Так или иначе, если две команды защитников информации выявляют уязвимости одновременно и независимо друг от друга, и подобное происходит регулярно, то не требуется богатого воображения, дабы предположить, что синхронно с ними тех же результатов достигают и их контрагенты из андеграунда".


В отчете упомянуты и некоторые другие, не столь свежие, но все еще распространенные угрозы - Conficker, SQL Slammer, Code Red. Появившийся в 2004 году Slammer до сих пор в 10 раз чаще, чем какая-либо иная угроза, заставляет срабатывать IPS-фильтры HP TippingPoint.


"Старые добрые пути заражения по-прежнему актуальны", - заметил по этому поводу г-н Доусон. - "Довольно древние эксплойты до сих пор задействуются в кибератаках. Новые тенденции - это, конечно, хорошо, но не стоит забывать, что взлом паролей методом прямого перебора или проникновение на скверно настроенные компьютеры в ЛВС предприятия способны не менее эффективно скомпрометировать вашу систему".

Мошенники заманивают россиян улучшенным Telegram и блокируют iPhone

Мошенники нашли еще один способ заработать на любителях улучшенных версий Telegram. На этот раз жертвам предлагают установить неофициальный клиент мессенджера, после чего блокируют iPhone и требуют деньги за его разблокировку.

Об этом «Газете.Ru» рассказал старший преподаватель кафедры КБ-14 «Цифровые технологии обработки данных» Института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец.

По словам эксперта, пользователи Telegram начали замечать в своих аккаунтах предупреждение о том, что они используют неофициальный клиент. Такой баннер появился на фоне распространения сторонних сборок мессенджера, которые могут содержать вредоносный код, шпионские модули или инструменты для сбора пользовательских данных.

Особую опасность представляют приложения с названиями вроде DarkGram, HoloGram, ToxicGram и другими. Пользователю обещают дополнительные функции и стабильную работу, а отсутствие программы в App Store объясняют просто: нужно лишь войти под служебным или временным Apple ID.

Именно здесь и кроется ловушка. Жертве передают логин и пароль от чужой учётной записи Apple. После аутентификации устройство практически сразу блокируется, а на экране появляется сообщение с контактами злоумышленников и требованием заплатить за разблокировку.

Фактически пользователь сам передаёт мошенникам контроль над своим iPhone. Эксперт напоминает, что устанавливать приложения стоит только из официальных магазинов: App Store, Google Play или RuStore. Если программу предлагают скачать по ссылке из мессенджера, чата или стороннего сайта, риск столкнуться с мошенничеством резко возрастает.

Кроме того, стоит обратить внимание на предупреждения самого Telegram. Если в профиле появился баннер о том, что используется неофициальный клиент, это серьёзный повод проверить, какую именно версию приложения вы установили.

RSS: Новости на портале Anti-Malware.ru