Личные блоги Александр Матросов
REFLECTIONS ABOUT REVERSE ENGINEERING, THREAT RESEARCH AND SOME MORE ...
-
Лучшие сообщения
-
Поиск
18.05.2012
King of Spam: Festi botnet analysis
Мы подготовили очередное исследование интересного на наш взгляд семейства руткитов Win32/Rootkit.Festi с довольно уникальными функциональными характеристиками. Основная направленность этого бота рассылка спама, но так же присутствует специальный плагин для DDoS атак. Интересен этот бот еще тем, что именно с этого ботнета была осуществлена DDoS атака на платежную систему Ассист, в результате расследования которой был арестован Павел Врублевский.Ну не будем углубляться в конспирологические теории,...
06.04.2012
Умные редиректы на Nuclear Pack
Нам удалось зафиксироватьинтересную волну распространения Carberp при помощи последней версии Blackhole и в последствии Nuclear Pack. Причем похожая историяуже произошла месяцем ранее в Нидерландах, но в ней участвовал только Nuclear Pack версии 2, а распространялся другой банковский ветеран Sinowal/Mebroot.Nuclear Pack сейчас вновь набирает популярность среди наборов эксплойтов. Собственно миграция с Blackhole обусловлена его хорошим детектом со стороны защитного софта и пристального внимания б...
31.03.2012
Blackhole + CVE-2012-0507 = Carberp
На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java кода за пределами песочницы JRE (Java Runtime Environment).
Первые упоминания о боевом эксплойте для этой уязвимости появились от комп...
28.03.2012
Мастер-класс по анализу Win32/Georbot на PHD
На прошлой неделе мы обнародовалиинформацию о распространении Win32/Georbot нацеленного на хищение конфиденциальной информации, установки дополнительных модулей, предоставления злоумышленникам несанкционированного удаленного доступа и много чего еще. Подробный отчет по Win32/Georbot можно найти здесьВся работа по анализу этой угрозы была проделана нашей канадской лабораторией. В рамках конференции PHDпройдет эксклюзивный мастер-класс, подготовленный Пьер-Марком Бюро, п...
21.03.2012
Обнаружен новый драйвер для Duqu
Обнаружен новыйдрайвер (mcd9x86.sys) для Duqu, у которого дата компиляции соответствует концу февраля текущего года. До этого момента наборы компонентов Duqu, которые были у нас в распоряжении, датировались: 2010-11-03/2010-11-03/2011-10-17.Собственно о чем это может говорить, фактов пока его использования у нас нет, да и подделать дату компиляции не так сложно. Но помимо этого есть еще небольшие интересные находки.Дальше »
19.03.2012
Drive-by FTP: новый вектор атаки CVE-2011-3544
Не так давно нам стало известно, об интересном инциденте с использованием Java/Exploit.CVE-2011-3544. Собственно основной интерес скрывался в том, что помимо стандартной активности по HTTP протоколу, была замечена загрузка полезной нагрузки через FTP. Причем эксплойт CVE-2011-3544 использовавшийся для этой атаки не подходил не под один шаблон, который был известен в составе распространенных эксплойт паков.Сразу после посещения вредоносной веб-страницы начиналась атака с использованием Java/Expl...
14.03.2012
MS12-020 или червивый RDP
Вчера Microsoft выпустила очередную порцию патчей и среди них мое внимание особенно привлек MS12-020, который имеет критический статус. Уязвимость позволяет выполнить произвольный код на удаленной системе при мощи специально сформированного RDP пакета. Данной уязвимости подвержены все версии MS Windows в том числе и 64-битные версии. На самом деле в рамках патча MS12-020 было закрыто две уязвимости CVE-2012-0002 (RCE в RDP) и CVE-2012-0152 (DoS в Terminal Server). Меня больше интересует первая у...
11.03.2012
Обзор книги: Practical Malware Analysis
В феврале вышла любопытная книга Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, авторы которой Michael Sikorskiи Andrew Honig, являются известными практиками в области анализа вредоносных программ. И уже традиционно обозреваемые мной книги выходят в издательстве No Starch Press, именно это издательство выпускает сейчас больше всего книг для исследователей в области информационной безопасности и любезно предоставило специальный скидочный код «MATROSOVBLOGS», кото...
06.03.2012
CVE-2011-3544: самый пробивной в Рунете
Про Java эксплойты вроде бы уже давно всем все понятно, но как показывает практика положение дел от этого не меняется. Казалось бы прошлогодняя уязвимость CVE-2011-3544 (Java/Exploit.CVE-2011-3544) и патчуже давно есть, но по количеству пробивов по-прежнему на первом месте. Сподвигло меня вернуться к этому вопросу, лишь тот факт, что по-прежнему есть огромное количество успешных атак использующих эти уязвимости. Несмотря на большой шум вокруг безопасности платформы Java в последнее время, она не...
27.02.2012
Новый виток развития VBR-буткита Rovnix
В начале февраля мы столкнулисьс новой модификацией уже хорошо знакомого нам семейства Win32/Rovnix, которое продолжило развитие VBR-буткитов. По сути Rovnix, это единственное семейство инфицирующие VBR и получившее широкое распространение (ну разве, что Olmascoеще использует VBR, но совсем по другому). Буткит фреймворк Rovnix был так же использован в качестве платформы для буткит части известного банковского троянца Carberp. Больше информации о семействе Win32/Carberp можно будет узнать из наше...
21.02.2012
IDA и Appcall: зачем это все?
Начиная с версии IDA Pro 5.6 появился достаточно интересный, но не однозначный функционал, который позволяет вызывать нативные функции из отлаживаемого приложения прямо в процессе его отладки. Называется он appcall, но я встречал мало людей, которые действительно нашли ему применение в реальной жизни. Для себя же я счел его полезным для некоторых вещей в процессе исследования вредоносных программ, о чем и хочу рассказать вам ниже.Одно самое важное ограничение appcall, это работа только в режиме ...
03.02.2012
Обзор книги: "The Tangled Web"
Люди занимающиеся практической информационной безопасностью безусловны знакомы с исследованиями Michal Zalewski, который практически является законодателем моды, всего того, что касается безопасности современных веб-браузеров. Так вот совершенно недавно вышла за его авторством замечательная книга"The Tangled Web: A Guide to Securing Modern Web Applications".“Thorough and comprehensive coverage from one of the foremost experts in browser security.” - Tavis Ormandy, Google Inc.В информа...
02.02.2012
Обновление TDL4: Purple Haze all in my brain
Purple haze all in my brainLately things just don't seem the sameActin' funny, but I don't know why Jimi HendrixДавно я не писал про TDL4 (Win32/Olmarik.AYD) и обновления этого семейства, собственно ничего интересного там и не происходило уже несколько месяцев. Но не так давно нам попался на глаза интересный образец (отдельное спасибо за это Mila [contagiodump blog]). Немного углубившись в анализ стало понятно, что это модифицированный Olmarik, у ...
30.01.2012
MS12-004 в дикой природе
В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно инте...
26.01.2012
Carberp, Facebook и ddos.plug
Про Carberp я уже писал ни раз, но тут опять граждане отличились интересной активностью. Во первых на прошлой неделе была замеченааналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных Facebook пользователей за вход.И причем очень настойчиво их требовал уплатить в размере 20 Euro через Ukash:Были мысли, что быть может новая модификация какая, но нет только специальный конфигурационный файл содержащий инжекты для Facebook. Выглядит этот...
12.01.2012
Тенденции развития буткитов за прошлый год
Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появи...
12.12.2011
Arts of Bootkit
Несколько недель назад на конференции MalCon '2011была представлена любопытная работа "Windows 8 Bootkit and Art of Bootkit Development " (Peter Kleissner). В ней описывается практически все известные наработки в области создания современных буткитов и что наиболее интересно автор нашел возможность создания рабочего концепта для Win8, несмотря на все утверждения MS о новых технологиях защиты SecureBoot (UEFI-based). Видео с демонстрацией работы концепта:The Art of Bootkit Development&...
07.12.2011
Обзор книги «A Bug Hunter’s Diary»
Не так давно появилась в продаже англоязычная версия достаточно любопытной книги«A Bug Hunter’s Diary», изданной издательством No Starch Press. "Give a man an exploit and you make him a hacker for a day; teach a man to exploit bugs and you make him a hacker for a lifetime." - Felix 'FX' Lindner, Head of Recurity Labs / PhenoelitВ последнее время получается так, что книги именно этого издательства чаще всего попадают на мою книжную полку (The Tangled Web, Metasploit, IDA Pro Bo...
06.12.2011
Возвращение SpyEye
На прошлой неделе попался на глаза интересный сэмпл SpyEye. Собственно интересен он тем, что имеет целевые плагины для российских ДБО систем.Дальше »
05.12.2011
Carberp + BlackHole = рост ДБО инцидентов
В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:glavbukh.ru - скрытая переадресация на jya56yhsvcsss.com/BVRQ (BlackHole)ria.ru - скрытая переадресация на aysh5tg2h3nk.com/BVRQ (BlackHole)У этих сайтов большой объем це...
30.11.2011
Java эксплойты впереди всех по пробиву
За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.Дальше »
28.11.2011
ZeroNights: глазами докладчика
Наконец-то нашлось время для того, чтобы как то упорядочить свои впечатления от прошедшей на днях конференции ZeroNights. Организаторам совершенно однозначно удалось достичь высокого уровня докладов и актуальности рассмотренных тем. Так как в этом году мне довелось посетить большое количество зарубежных конференций со всей ответственностью, могу заявить, что ZeroNights был на уровне. Но с точки зрения организации были конечно моменты, которые я озвучу лично оргам и которые хотелось бы избежать в...
23.11.2011
ESET на ZeroNights
Осталось всего несколько дней до основного мероприятия этой осени для исследователей в области ИБ. Мы, как компания с большим штатом ресечеров просто не могли пройти мимо и решили поддержать ZeroNightsстав основным спонсором мероприятия. Для нашей компании это уже сложившаяся практика поддержки практических конференций. На нашем счету уже такие мероприятия, как PHD, Confidence, Ekoparty, REcon.В рамках программы мероприятия от нас будет два доклада:Современные тенденции развития вредоносных...
22.11.2011
Новая модификация Carberp использует буткит-функционал
Недавно нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.Подробное исследование можно найти тут:...
14.11.2011
HACKERPRAKTIKUM в Бохуме
На прошлой неделе удалось побывать на интересном мероприятии HACKERPRAKTIKUM, которое проводится уже на протяжении нескольких лет в университете RUHR города Бохум. Нас, вместе с Евгением Родионовым, пригласили выступить с докладом, который мы уже демонстрировали на Ekoparty в этом году. Мероприятие HACKERPRAKTIKUM, в рамках которого нам предложили выступить, проводится уже не первый год и призвано дать студентам практические знания от специалистов из различных областей в ИБ.Дальше »
01.11.2011
Win32/Duqu REsearch: что скрывает RPC
Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить, что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании "Stuxnet under the Microscope" (стр. 56-57).Проанализировав реализацию RPC-сервера в одном...
26.10.2011
Как определить точную дату заражения Win32/Duqu
После того, как появилась первая информация о Win32/Duqu мы не могли пройти мимо, так как нам было очень интересно составить собственные впечатления об этой угрозе (да и challenge со Stuxnet напомнило). Начали копать, оказалось, что код Duqu имеет очень много общего со своим старшим братом Stuxnet. В процессе анализа складывается впечатление, что некоторые части просто полностью повторяют код из Win32/Stuxnet. Код драйверов практически идентичен, еще из наблюдений скорее всего для обоих разработ...
26.10.2011
Win32/Olmasco: новый виток развития TDL4
На днях в нашем англоязычном блоге мы уже писалиоб изменениях, произошедших за последнее время с TDL4. Для того, чтобы не было кривотолков нашего исследования, а оно уже стало сумбурно цитироваться русскоязычными СМИ, немного проясню ситуацию. Итак, во второй половине сентября нам попался интересный сэмпл TDL4 (точнее сначала мы так думали), который не смог быть обработан нашим автоматическим трекером для этого буткита. Собственно именно этот факт и привлек наше пристальное внимание к нему, при ...
19.10.2011
Win32/Duqu: новый виток развития истории со Stuxnet
Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичнос...
12.10.2011
Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
Слайды нашего докладас VB '2011:Это немного урезанный вариант доклада с Ekoparty, плюс добавилось несколько новых слайдов в конце, о причинах работы этого вектора атак.
07.10.2011
Впечатления от Ekoparty
В этом году конференция Ekopartyпрошла уже в седьмой раз, если кто не знает эта самое главное мероприятие для латинской Америки и традиционно оно проходит в славном городе Буэнос-Айрес. Мероприятие в первую очередь направленно на исследователей в области ИБ и содержит большое количество хардкорных технических докладов.Дальше »
26.09.2011
Defeating x64: Modern Trends of Kernel-Mode Rootkits
Слайды нашей презентации на Ekoparty:Это было незабываемо, одна из самых ярких конференций на которых мне доводилось побывать. Чуть позже подготовлю более детальный отчет с эксклюзивными фотками =)
17.09.2011
Ekoparty и VB2011
Достаточно длительное время мы трудились над исследованием современных буткитов для x64 и прочих техник обхода проверок цифровой подписи для модулей ядра на 64-битных системах. В итоге результаты нашего исследования будут представлены сначала на Ekopartyв Буэнос-Айресе в более хардкорном техническом варианте "Defeating x64: Modern Trends of Kernel-Mode Rootkits ". А после этого на VB2011в Барселоне уже в более концептуальном виде "Modern bootkit trends: bypassing kernel-mode signing ...
11.09.2011
Win32/Wapomi модифицирует прошивку BIOS
Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщенияв блог о найденной вредоносной программе, которая осуществляет модификацию прошивки BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:Mebromi, a bios-flashing trojan (Norman)BIOS threat is showing u...
30.08.2011
CC'11 впечатления
В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых ле...
25.08.2011
Chaos Constructions'2011
Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить: "Lockpicking - зачем это нужно ИТ специалистам? " - Алексей Синцов "Безопасность расширений веб-браузеров на примере Mozilla Firefox "- Тарас Иващенко "Безопасность браузеров. Атаки на польз...
24.08.2011
Техники обхода проверок цифровой подписи на x64
Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства: Win64/Olmarik (MBR bootkit) Win64/Rovnix (VBR bootkit) Win64/TrojanDownloader.Ne...
12.08.2011
Насколько защищены современные браузеры?
Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101 ", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуа...
04.08.2011
Противодействие криминалистической экспертизе со стороны вредоносных программ
Вчера мы выпустили исследовательский отчетоб одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку Процесс заражения системы можно описать следующей схемой:Дальше »
04.07.2011
Kad.dll или P2P протокол для ботнета TDL4
Kad.dll (MD5: d532084641791ff3db1fbf885120e6e6 VT) это название нового пейлоада для зараженных машин руткитом TDL4, который был предназначен для инжекта в пользовательские процессы (что то вроде cmd32.dll/cmd64), в текущей версии поддерживаются только x86 системы. Появился этот компонент еще в начале года и до сих пор распространяется с кучей отладочных проверок, что наводит на мысли о его маленькой распространенности (подтверждено нашей статистикой) и видимо пока тестировании на небольших групп...
04.07.2011
Наиболее распространенные эсплойт паки
Попалась сегодня на глаза интересная инфографика на тему распространенных нынче связок эксплойтов:На оригинальной картинкееще приведены ныне уже почившие, но когда то очень даже популярные наборы эксплойтов. Как показывает наша статистика во всех этих связках используются далеко не 0-day уязвимости, а вполне приличный пробив обеспечивают баяны из группы Flash/PDF/Java.
03.06.2011
Криминалистический анализ TDL4 и TdlFsReader
С сегодняшнего дня обновленный TdlFsReader (hxxp://eset.ru/tools/TdlFsReader.exe) пошел на паблик. Поддерживаются все известные модификации, как для x86, так и для x64.Ну и чтобы закрыть вопрос с демками которые показывались на PHD и CONFidence, записано видео с отладкой кода буткита в TDL4, который, собственно, осуществляет обход проверки цифровой подписи в драйверах для x64 систем.
26.05.2011
CONFidence'2011 (Krakow)
В последнее время мне довелось побывать на большом количестве конференций в качестве докладчика, но больше всего меня поразила CONFidence'2011 в Кракове. Организаторы этой конференции очень трепетно относятся ко всем докладчикам и готовы компенсировать им все расходы за перелет, гостиницу и такси в аэропорт. Помимо этого каждый день нас водили в какой-нибудь местный ресторан для ужина, чтобы докладчики могли познакомиться и пообщаться между собой. Ко всему прочему на самой конференции для до...
19.05.2011
Впечатления от PHD
Сегодня практически с самого начала я присутствовал на этом мероприятии. У входа мне удалось встретить знакомых из оргов и меня любезно провели миную огромную очередь страждущих попасть внутрь, чтобы я мог не торопясь подготовить оборудование для проведения мастер-класса "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4".На самом деле наверное жестоко было мучить публику с утра по раньше хардкорными выкладками об внутреннем устройстве ОС и механизмах о...
Подписка
Вирусы