Новостной радар Anti-Malware.ru. Выпуск 3, ноябрь 2012

Сегодня Новостной радар Anti-Malware.ru расскажет вам о вредоносных программах, весьма вредоносных программах и очень вредоносных программах. Помимо этого, в нашем списке популярных новостей на сегодня есть один эпический провал в безопасности и одно судебное разбирательство. Выбирайте себе информационный повод по вкусу...



Карта Новостного радара


Просмотреть Новостной радар - Выпуск 15 на карте большего размера 

 

Человек в браузере!

Обычно, когда троянский конь встраивается где-то между пользователем и онлайн-сервисом (например, Интернет-банком), такую схему называют «внедренный посредник» - «man in the middle». Специалистам компании Trusteer, однако, этого термина оказалось недостаточно: в конце прошлой недели они заявили об обнаружении новой разновидности атаки подобного рода, которую они поименовали просто и изящно: universal man in the browser.

Ключевым здесь, впрочем, является слово «universal». В прежние времена инфекции, встраивающиеся в обозреватель Интернета, были относительно узко специализированы: анализировали трафик, извлекали из него важные сведения строго определенного характера (например, аутентификационные сведения для конкретного банка) и отсылали хозяину; теперь же новые троянские кони, выявленные экспертами Trusteer, не ограничивают себя определенными ресурсами и просто воруют все, что попадается им под копыто. В результате хозяин вредоносной программы получает в режиме реального времени довольно объемный поток данных, в котором может найти все, что угодно – от тех же логинов и паролей к Интернет-банкингу до учетных сведений сетевых магазинов или онлайн-игр.

Впрочем, не совсем ясно, новая это схема или скорее просто забытая старая. Специально настраивать вора на конкретные сайты – процедура заведомо более сложная и ресурсозатратная, нежели простой сбор всего, что пользователь вводит на любом сайте. Возможно, вирусописательская мысль разработала новые технологии, которые позволили преодолеть прежние недостатки кейлоггеров и прочих глобальных похитителей информации – в частности, оперативно обрабатывать извлекаемые сведения и отсеивать все неинтересное без участия человека. Вряд ли злоумышленники в восторге от перспектив разгребать тексты сообщений на форумах и в социальных сетях в поиске пары строк нужных им данных. В остальном же новые инфекции сохраняют все сомнительные достоинства, которыми обладает схема man in the middle: скрытность, относительная сложность обнаружения, беспроблемное преодоление брандмауэров и так далее.

"Атаки с использованием интеллекта человека - MitM или вот такой новый вид атаки - очень опасны и от них трудно защищаться", - отмечает эксперт Anti-Malware.ru Алексей Гребенюк. - "Защита затруднена именно тем, что в центре атаки есть человек, который меняет вектор атаки в соответствии с откликами системы. Более того, в случае, когда он замечает, что система начинает реагировать неадекватно (идет попытка защита от атаки) - он просто прекращает атаку и старательно "убирает за собой".  И хотя в данном конкретном случае используется некий троян, который в дальнейшем может достаточно легко опознаваться  антивирусными программами, мы имеем дело с новым, ранее не используемым вектором атак. Технология интересная и достаточно много обещающая, осталось более тщательно в ней разобраться. По моему мнению, специалистам из OWASP уже сей час стоит присмотреться к этому сообщению и контролировать изменения обстановки, чтобы своевременно разработать адекватные меры защиты".

 

С доставкой на дом

Отечественный разработчик антивирусов Dr. Web рассказал о новом бутките, попавшем в его вирусную лабораторию и подвергнутом там вивисекции. Вредоносная программа получила наименование Gapz; работает она главным образом в качестве скрытного загрузчика других инфекций.

Сообщается, что Gapz функционирует как на 32-битных, так и на 64-битных модификациях Windows, способен использовать системные уязвимости для исполнения произвольного кода, обходит контроль учетных записей операционной системы при помощи изъяна в ее графическом компоненте. Специалисты компании отмечают, что по этому признаку буткит схож с кибероружием Duqu, которое применяло для этих целей специфический шрифт.

После проникновения и запуска вирус исследует жесткий диск, находит место для хранения своего образа и записывает его туда. Как и все буткиты, он модифицирует загрузочную запись носителя, заставляя системный загрузчик запускать его перед стартом операционной системы; в процессе запуска в память подгружается образ, в котором содержатся блоки специфического кода для взаимодействия с собственным программным интерфейсом Gapz. Аналитики пока не готовы представить полную информацию о функциях и назначении этих модулей, однако, по имеющимся данным, в их числе есть компонент для связи с контрольно-командным центром и загрузки оттуда нового вредоносного содержимого различного назначения.

"Первая версия данного руткита (Rootkit.Boot.CPD.a) была обнаружена в апреле 2012. На тот момент он являлся классическим MBR-инфектором", - рассказывает ведущий вирусный аналитик "Лаборатории Касперского" Юрий Паршин. - "Руткит обладал несколькими отличительными особенностями:

  • Метод сокрытия заражения MBR. Руткит перехватывал методом сплайсинга код обработчиков IRP_MJ_SCSI и IRP_MJ_DEVICE_CONTROL порт-драйвера дискового контроллера. Причем, как на х86 системах, так и на х64 (подобные модификации кода сторонних драйверов не контролируются Patch Guard-ом в актуальных x64 версиях ОС Windows).
  • Несколько эксплойтов локального повышения привилегий, используемых для инсталляции:  CVE-2010-4398,  CVE-2011-2005, sysprep UAC bypass. В частности, это позволило руткиту  активироваться на х64 системах, не дожидаясь перезагрузки (все известные на тот момент ядерные руткиты, способные работать на x64 системах, требовали перезагрузки для своей активации).

В мае была обнаружена новая модификация руткита (Rootkit.Boot.CPD.b), речь о которой и идет в данной новости. Механизм сокрытия заражения не претерпел изменений, в отличие от процедуры инсталляции:

  • Для заражения выбирается VBR загрузочного раздела, в блоке данных BPB (BIOS Parameter Block) модифицируется поле HiddenSectors, которое используется кодом VBR для определения номера сектора жесткого диска, с которого будет зачитан код, на который будет передано управление. Структура BPB различна для каждой файловой системы, руткит умеет работать со следующими: FAT12/16/32 (версии DOS 5.0 и выше), NTFS, ExFAT.
  • Был добавлен еще один эксплойт - CVE-2011-3402.

Пример заражения NTFS раздела:

Чистый VBR

Зараженный

 

Я тебе не рад

Некто Бенджамин Белл оформил групповой иск против компании Blizzard. В исковом заявлении говорится, что производитель игровых программ вводит своих клиентов в заблуждение и заставляет их приобретать чипы-аутентификаторы для дополнительной защиты учетных записей в онлайн-системе Battle.net, не принимая при этом достаточных мер по обеспечению безопасности на своей стороне.

Battle.net – это игровой центр Blizzard, где сосредоточено большинство информационных активов, имеющих отношение к ее продуктам. Наличие и использование учетной записи на этом сервисе является обязательным условием для приобретения игровых программ этого производителя и для пользования ими; поскольку к аккаунтам игроков привязываются электронные лицензии и прочий контент, неудивительно, что злоумышленники проявляют к ним интерес. Чтобы предотвратить хищения учетных данных, Blizzard предлагает желающим приобрести специальный чип – генератор случайных числовых последовательностей, который фактически является средством двухфакторной аутентификации. Истец утверждает, что компания заработала на продаже таких чипов астрономические суммы, и требует выплатить ему компенсацию, а также обязать производителя распространять аутентификаторы бесплатно.

Кроме того, инициативный гражданин указывает на тот факт, что использование чипов вовсе не гарантирует пользователю безопасность его учетной записи. В материалах, которыми сопровождается иск, расписаны случаи, когда данные похищались непосредственно из самого сервиса Battle.net. Из этого сторона обвинения делает вывод, что Blizzard применяет нечестные бизнес-практики и обманывает своих клиентов. Игровой гигант с обвинениями не согласен и будет отстаивать в суде свою невиновность. Компания, в частности, отметила, что приобретение аутентификаторов является делом сугубо добровольным, и никто никого не обязывает их использовать для успешной работы с сервисом Battle.net.

«Как говорил лучший друг детей и владелец прачечных Аль Капоне, «добрым словом и пистолетом можно добиться большего, чем одним добрым словом», - вспоминает эксперт Anti-Malware.ru Михаил Орешин. – «Можно вечно доносить прописные истины про то как важно использовать сложные пароли, но из-под палки все получается гораздо эффективнее. Я опросил своих играющих знакомых, все к введению новой системы двухфакторной аутентификации отнеслись благосклонно, потому что в последнее время проблема увода аккаунтов стала угрожающе велика. Да и за примерами далеко ходить не надо, несколько лет назад одна моя знакомая, распродав по частям своего персонажа в WoW, смогла купить себе автомобиль.

Сам иск вызывает легкое недоумение, поскольку как минимум Blizzard не заставляет покупать ключ всех пользователей, а предлагает в качестве бесплатной альтернативы аутентификацию через SMS. Покупка ключа опциональна и может рассматриваться как полезный сувенир; при том цена выглядит как скорее «отдать почти по себестоимости», чем попытка на этом заработать. Посмотрите цены на другие  продукты: мышки по 69 евро, постеры по 7 евро, а тут ключик, на 7 лет за 10 евро. Вообще не те деньги. Тем более цена выглядит несколько заниженной, поскольку просто ключ Digipass go 6 от Vasco (а Blizzard использует данное решение) стоит  15-20$ в розницу.

Видимо нужно быть большим поклонником игр Blizzard, дабы понять суть конфликта, и чем перемещение с отдельных сайтов на единый Battle.Net стало таким «ножом по сердцу» части игроков. Основная идея иска – что Blizzard пытается насильно продать то, что уже было куплено; но Blizzard сразу ответил, что это не обязательная опция, которую игрок может использовать, а может и не покупать. В целом, действия Blizzard выглядят как ответственные шаги перед своими клиентами-игроками, и обвинения, что это попытка переложить с больной головы на здоровую, выглядят смешно. По сути основная проблема увода аккаунтов лежит на самих владельцах аккаунтов».

 

Epic fail

В среду сетевая общественность узнала, что специалисты по безопасности Skype никогда не слышали о злонамеренном извлечении пароля по электронной почте. Соответственно, будучи незнакомыми с этой киберпреступной реалией, они не предусмотрели базовых мер защиты против нее, оставив тем самым в механизме аутентификации отверстие приличного диаметра.

Горя желанием сделать жизнь пользователя удобнее, разработчики коммуникационного сервиса разрешили увязывать с одним адресом электронной почты несколько учетных записей. Чтобы клиенту было еще проще, они не стали делать механизм подтверждения новых аккаунтов, регистрируемых на этот же адрес. Дабы не утомлять людей походами в почтовый ящик, разработчики любезно обеспечили отправку маркеров паролей (необходимых для их смены) прямо в клиент Skype. Ну, а апофеозом человеколюбия стала возможность тут же сменить пароль для любой учетки, привязанной к этому адресу. Воистину, уважающему себя злоумышленнику грех было бы не сыграть на этой sancta simplicitas.

Итак, взломщику достаточно было узнать электронный адрес, на который зарегистрирована интересующая его учетная запись. Далее он мог зарегистрировать на этот адрес новый аккаунт, войти в систему, запросить смену пароля, получить маркер в виде сообщения в Skype и изменить кодовое слово для целевой учетки. PROFIT, как говорят в этих ваших интернетах.

До публикации в Сети сведений об уязвимости сотрудников Skype неоднократно предупреждали об изъяне, но те отнеслись к проблеме вполне благодушно и доброжелательно. Только после того, как грянул гром, были приняты оперативные меры. Хотелось бы надеяться, что после обширной огласки инцидента и неизбежных репутационных потерь компания станет более внимательной к жалобам своих клиентов. Ну и, конечно, найдет более опытного специалиста по безопасности, который когда-нибудь в своей жизни слышал слова «ретрив пароля».

"Я думаю что в данном случае мы вновь стокнулись немного с "мутной" историей. С одной стороны, данная уязвимость представляет для пользователей крайне высокую степень риска, с другой же - судя по ее простоте и широкому распротранению, массовых случаев взлома аккаунтов зафиксировано не было", - полагает эксперт Anti-Malware.ru Кирилл Керценбаум. - "Поэтому с оценкой ее опасности нужно быть более аккуратным, однако сам факт того, что программисты сервиса, которым пользуются десятки миллионов пользователей по всему миру, а теперь еще и принадлежащему компании Microsoft, допустили такую банальную и откровенную ошибку в архитектуре, наводит на грустные размышления. Уверен, что из этого будут сделаны выводы и Skype проведет полную ревизию своего кода на проблемы с безопасностью, а пользователям лишь стоит еще раз напомнить - будьте осторожны, в любом случае в большинстве случаев именно конечный пользователь позволяет уязвимости стать легко эксплуатируемой и успешной"

 

Trojan.Win32.Daideneg

Антивирусные эксперты компании BitDefender столкнулись с троянскими вымогателями, которые блокируют операционную систему и требуют заплатить «штраф» за «использование пиратского программного обеспечения». Грозное уведомление от лица «правоохранительных органов» успешно пугает пользователей: по данным румынского производителя защитных решений, злоумышленники извлекают из своего бизнеса миллионы долларов в год.

Наряду с описанными выше существуют и другие мотивировки «штрафов»: к примеру, «за распространение порнографических материалов». Сообщается, что для европейских стран вымогаемая сумма обычно составляет 200 долларов США. В России, где, собственно, и зародились вредоносные программы этого типа, свои вариации – в частности, по данным Антивирусного портала VirusInfo, в последнее время участились случаи перенаправления пользователей на мошеннический сайт «Антиштраф» с аналогичным содержимым и функционалом.

Что же касается так называемого Police Trojan, то BitDefender подготовил для своих пользователей бесплатную утилиту для его удаления. Программу предлагается запускать из безопасного режима с поддержкой командной строки; как быть, если безопасный режим отключен, специалисты деликатно умалчивают.

«В общем, ничего нового», - говорит эксперт Anti-Malware.ru Илья Рабинович. – «Про трояны-вымогатели, выбивающих выплаты от российских пользователей ПК за, якобы, "пиратское" программное обеспечение, я читал ещё пару-тройку лет назад. Видимо, волна только добралась до Запада. Тут интересно другое. Из самого факта новости очевидно, что масштабы заражения таковы, что вполне оправдывают написание отдельной утилиты и пиара на ней. Постоянно лечить проще и денежней, чем вылечить раз и навсегда. Снова антивирусная компания заштопывает кафтан на Трифоне. Доколе?!».

***

Наш обзор завершается. Спасибо за внимание; ждем вас снова ровно через одну неделю. В связи с обострением эпидемиологической обстановки Минздрав напоминает: будьте осторожны в Интернете, и при первых признаках инфекции обращайтесь в онлайн-сервисы лечения.

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru