SecurityLab http://www.securitylab.ru/blog/personal/tecklord/ Блог посвящен безопасности и жизни секлаба ru http://backend.userland.com/rss2 Sun, 12 Feb 2012 06:32:45 +0300 Атака на ASP.NET сайты - заражено более 1 млн. страниц ====code==== 
<script src=http://<DOMAIN>/urchin.js></script>
=============
Вот список адресов, которые были замечены в атаке
  • 94.102.52.27 (недоступен)
  • nbnjkl.com (146.185.248.3 - активен)
  • jjghui.com (недоступен)
  • nbnjki.com (146.185.248.3 - активен)
Загружаемый с внешнего сервера обфуцированный JavaSscript сценарий выглядит следующим образом:

Новый пейлоад генерируется каждые несколько минут.
Декодированный JavaScript выглядит так:

В результате пользователь перенаправляется на сайт www3.strong-scanervqh.rr.nu(178.32.238.105), где ему отображается предложение просмотреть видео. При нажатии на кнопку просмотра видео, пользователю предлагают установить Flash Player.

После нажатия на кнопку установки на систему скачивается файл scandsk.exe (MD5: 351a3810958285c37b72a30d4769dfdd) с сайта www1.firsttdchecker.rr.nu (217.23.11.219), который, согласно данным VirusTotal, читается опасным только 7 из 42 антивирусных приложений.

Согласно поисковой статистике Google, скомпрометировано более 1 млн. страниц. Все скомпрометированные сайты работают на ASP.NET.

Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/18123.php http://www.securitylab.ru/blog/personal/tecklord/18123.php Tue, 18 Oct 2011 03:43:27 +0400 Просмотр порнофильмов с помощью Яндекс
Поиск по слову «секс» дал весьма неожиданные результаты - несколько порнороликов на первой странице Яндекса:



Родителям рекомендую запретить детям пользоваться этим поисковиком.
Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/16376.php http://www.securitylab.ru/blog/personal/tecklord/16376.php Fri, 03 Jun 2011 03:16:17 +0400 Подробности RTF эксплоита Laden's Death.doc Поскольку на этой неделе весьма популярной темой для СМИ оказалось убийство Усами бин Ладена, вирусописатели не оставили без внимания такое событие. Для достижения своей цели была избрана уязвимость при обработке RTF файлов в Microsoft Office, исправленная в ноябре 2010 года в бюллетене безопасности MS01-087 (CVE-2010-3333). Атака проводилась целенаправленно в виде именной email рассылки. Полученное письмо содержало вредоносный файл Laden's Death.doc.

Характеристика файла Laden's Death.doc

Имя: Laden's Death.doc
Размер: 163065 bytes
MD5: dad4f2a0f79db83f8976809a88d260c5
SHA1: d563029a2dfe3cfcddc7326b1b486213095e58e5
SHA256: 4cec9ef7f39d43c7a137d0422c8e6568a2d9e18320d1b376086bcc7327ea­1342
Расширение:.doc
Метод доставки на систему: email
Рейтинг обнаружения согласно VirusTotal: 16 из 41

Согласно VirusTotal этот файл считается вредоносным 16 из 41 антивирусных систем (http://www.virustotal.com/file-scan/report.html?id=4cec9ef7f39d43c7a137d0422c8e6568a2d9e18320d1b376086bcc732­7ea1342-1304649567).

Вредоносное email сообщение рассылалось с IP адреса 220.228.120.6. Это судя по всему скомпрометированный почтовый сервер под управлением Lotus Notes.

Тело письма

Tue, 03 May 2011 11:34:06 -0400 (EDT)
Source-IP: 220.228.120.62 
Message-ID: <000c01cc0998$15c8ec70$0201a8c0@protech.com.tw>
From: XXXXXXXXXXXXXXXXXXX
To: XXXXXXXXXXXXXXXXXXX
Subject: FW: Courier who led U.S. to Osama bin Laden's hideout identified
Date: Tue, 3 May 2011 21:43:28 +0800
X-ASG-Orig-Subj: FW: Courier who led U.S. to Osama bin Laden's hideout identified
MIME-Version: 1.0
Content-Type: multipart/mixed;
       boundary="----=_NextPart_000_0009_01CC09DB.23A97E20"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.2929
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.3168


This is a multi-part message in MIME format.

------=_NextPart_000_0009_01CC09DB.23A97E20
Content-Type: text/plain;
       format=flowed;
       charset="big5";
       reply-type=original
Content-Transfer-Encoding: 7bit

To whom it may concern.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX Signature spoofed XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


------=_NextPart_000_0009_01CC09DB.23A97E20
Content-Type: application/octet-stream;
       name="Laden's Death.doc"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
       filename="Laden's Death.doc"

Общее описание работы эксплоита

После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

  • Создает файл vmm2.tmp  во временной системной пакет
  • Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:\windows\system32\
  • Вносит изменения в системный реестр относительно поддельной DHCP службы.

Характеристика файла c:\windows\system32\dhcpsrv.dll

Имя: dhcpsrv.dll
Размер: 44504 bytes
MD5: 06ddf39bc4b5c7a8950f1e8d11c44446
SHA1: b8c11c68f3e92b60cc4b208bd5905c0365f28978
SHA256: bb854e8e5a3799d0c1dac65a4cc963265034a04007862aabf281e0f31dbc­386a
Расширение:.dll
Метод доставки на систему: загружается с помощью вредоносного ПО Exploit:W32/Cve-2010-3333.G
Рейтинг обнаружения согласно VirusTotal: 13 of 42
После успешного запуска на системе троянское приложение обращается к следующим доменным именам:

Домен

Порт/ Протикол

checkerror.ucparlnet.com

80/TCP

ssi.ucparlnet.com

80/TCP

www.dnswatch.info

 

picture.ucparlnet.com

443/TCP

Я рекомендую всем пользователям установить исправление безопасности MS10-087. Подробное описание уязвимости и ссылки на исправления безопасности можно найти по адресу: http://www.securitylab.ru/vulnerability/399363.php


Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/16120.php http://www.securitylab.ru/blog/personal/tecklord/16120.php Fri, 06 May 2011 17:26:32 +0400 Забавная уязвимость в libpam-pgsql или насколько важно иметь правильный IP ====code==== 
      /* Make IP string */
      raddr = malloc(16);
      sprintf(raddr, "%d.%d.%d.%d",
         hentry->h_addr_list[0][0],
         hentry->h_addr_list[0][1],
         hentry->h_addr_list[0][2],
         hentry->h_addr_list[0][3]);
      raddr[15] = 0;
=============

Эта функция использует спецификатор форматной строки %d для преобразования IP адреса, который не совсем корректно работает с числами более 127. В результате, если будет осуществлено подключение с IP адреса x.199.x.x, этот адрес будет преобразован в x.-57.x.x.

Таким образом, чтобы вызвать повреждение динамической памяти и аварийно завершить работу приложения или выполнить произвольный код на системе, нужно иметь ПРАВИЛЬНЫЙ IP адрес smile:)

Подробное описание уязвимости:
http://www.securitylab.ru/vulnerability/404943.php
Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/15560.php http://www.securitylab.ru/blog/personal/tecklord/15560.php Tue, 01 Mar 2011 10:51:47 +0300 Как найти XSS уязвимости на сайте nasa.gov Загрузка плеера
Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/12739.php http://www.securitylab.ru/blog/personal/tecklord/12739.php Tue, 20 Jul 2010 19:00:43 +0400 Еще один 0-day в Microsoft Windows или Stuxnet атакует (Update 2)
Хронология событий:
10.07.2010
Белорусская антивирусная компания VirusBlokAda (VBA) сообщает о появлении новой вредоносной программы.
US-CERT получает уведомление об атаке с использованием 0-day уязвимости в Microsoft Windows.
15.07.2010
Данные об уязвимости попадают в публичный доступ
16.07.2010
Microsoft выпускает уведомление безопасности, в котором подтверждает наличие уязвимости
19.07.2010
В публичном доступе появляется эксплоит

Уязвимые системы:
Microsoft Windows XP SP2/SP3
Microsoft Windows 2003 SP2
Microsoft Windows Vista SP1/SP2
Microsoft Windows 2008 SP0/SP2
Microsoft Windows 7
Windows Server 2008 R2 for x64-based Systems

В настоящий момент антивирусы распознают червя следующим образом:
Symantec: W32.Temphid
Kaspersky: Rootkit.Win32.Stuxnet.a
TrendMicro: RTKT_STUXNET.A
F-Secure: Rootkit.Stuxnet.A
Sophos: W32/Stuxnet-B
Bitdefender: Rootkit.Stuxnet.A
Avast: Win32:Stuxnet-B
Microsoft: Trojan:WinNT/Stuxnet.A
AVG: Rootkit-Pakes.AG
PCTools: Rootkit.Stuxnet
Eset: Win32/Stuxnet.A
GData: Rootkit.Stuxnet.A
AhnLab: Backdoor/Win32.Stuxnet
DrWeb: Trojan.Stuxnet.1
Fortinet: W32/Stuxnet.A!tr.rkit
Ikarus: Rootkit.Win32.Stuxnet
Norman: W32/Stuxnet.D

Скорость распространения червя: 1000 хостов/день
Основной метод распространения – USB носители.
Масштабы заражения хорошо иллюстрирует график с сайта MMPC


Как происходит заражение

Уязвимость заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Червь распространяется через инфицированные USB устройства. Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии диска непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.

Текущий вариант червя осуществляет следующие действия на системе:

1. Червь копирует себя в файлы:
  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys

Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.

2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.

3. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\­"ImagePath" = "%System%\drivers\mrxcls.sys"

4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET

5. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\­"ImagePath" = "%System%\drivers\mrxnet.sys"

6. Скрывает файлы под. именами:
%DriveLetter%\~WTR[FOUR NUMBERS].tmp

Путем перезаписи следующих API:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile

После успешного запуска червь завершает работу служб, содержащих следующие имена:
vp.exe
Mcshield.exe
avguard.exe
bdagent.exe
UmxCfg.exe
fsdfwd.exe,
rtvscan.exe
ccSvcHst.exe
ekrn.exe
tmpproxy.exe

Червь собирает информацию о сетевых настройках и серверах в локальной сети. Может подключаться к следующим адресам:

ww.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com

Червь распространяется путем создания файлов:
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

С вчерашнего дня в публичном доступе находится PoC код. Как видно на рисунках 1 и 2, в качестве отладочной информации выводится строка, которая позволяет удостовериться в выполнении кода.


Рис. 1


Рис. 2

Ниже опубликовано небольшое видео, которое демонстрирует эксплуатацию уязвимости:

Загрузка плеера


Защита от уязвимости

Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения.

1. Запрет отображения иконок для ярлыков
Описанные ниже действия приведут к тому, что иконки не будут больше отображаться для арлыков. Отключение возможности отображать ярлыки предотвращает возможность эксплуатации уязвимости на системе.

Запустить редактор реестра (Пуск->выполнить->regedit)
Перейти к ключу
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Удалить данные для значения (Default)

Перезапустить Windows Explorer.

2. Отключение службы WebClient
Отключение этой службы позволит устранить вектор атаки путем блокирования наиболее вероятного источника атаки через службу Web Distributed Authoring and Versioning (WebDAV).
Пуск->выполнить->cmd
sc stop WebClient
sc config WebClient start= disabled

Отключение этой службы приведет к недоступности WebDav ресурсов.

3. Заблокируйте загрузку .lnk и .pif файлов на Интернет шлюзах.

4. Fix it
В качестве временного решения можно воспользоваться также утилитой Fix it от компании Microsoft.

Дополнение от 21.07.2010:

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:
  • Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
  • Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.



Источники:

http://www.securitylab.ru/vulnerability/395902.php
http://www.securitylab.ru/poc/395903.php
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2
http://anti-virus.by/press/viruses/3948.html
ftp://anti-virus.by/pub/docs/russian/Rootkit.TmpHider.pdf
Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/12729.php http://www.securitylab.ru/blog/personal/tecklord/12729.php Tue, 20 Jul 2010 05:09:27 +0400 Вышло исправление к уязвимости в Microsoft Producer 2003 (MS10-016)
Патч доступен по адресу:
http://www.microsoft.com/downloads/details.aspx?familyid=1b3c76d5-fc75-4f99-94bc-784919468e73

Подробное описание уязвимости:
http://www.securitylab.ru/vulnerability/391519.php

Окно уязвимости – 56 дней

Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/11970.php http://www.securitylab.ru/blog/personal/tecklord/11970.php Tue, 04 May 2010 01:14:16 +0400 Вышел новый Snort 2.8.6!
Что нового?

HTTP Inspect теперь разделяет запросы на 5 компонентов:

  • Method
  • URI
  • Header (non-cookie)
  • Cookies
  • Body


Теперь контекстные и PCRE опции правила могут применяться к каждому из этих буферов.

Добавлены HTTP конфигурации для нормализации HTTP заголовка и файлов куки.

Добавлена поддержка gzip для различных пакетов

Добавлен препроцессор Sensitive Data

Препроцессор осуществляет обнаружение личных данных (Personally Identifiable Information (PII)). Добавлена новая опция для определения PII.

Добавлены новые шаблоны, оптимизирован обработчик шаблонов.

Удачного всем тест драйва!

www.snort.org
Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/11916.php http://www.securitylab.ru/blog/personal/tecklord/11916.php Tue, 27 Apr 2010 01:31:46 +0400 Зависание Spamassasin или с Новым 2010
Как сообщается в SA Bug 6269, правило, существующее по умолчанию, FH_DATE_PAST_20XX соответствует каждому входящему письму.

Ошибка уже устранена и должна быть доступна через sa-update.

Также многие могут наблюдать на Unix системах до конца этой недели неожиданный вывод команды date '+%G', которая до понедельника будет сообщать нам, что сейчас 2009 год.

Всех с Новым Годом smile:)

Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/10885.php http://www.securitylab.ru/blog/personal/tecklord/10885.php Sat, 02 Jan 2010 15:05:03 +0300 Новые комментарии на SecurityLab.ru
Также усиливаются методы автоматического блокирования комментариев для анонимных пользователей. Все эти методы не распространяются на зарегистрированных посетителей сайта.

Мы надеемся, что новый интерфейс будет более удобным для посетителей сайта. Если у вас есть комментарии, пожелания или замечания, вы можете их изложить в этом блоге.

Подробнее...]]> http://www.securitylab.ru/blog/personal/tecklord/10225.php http://www.securitylab.ru/blog/personal/tecklord/10225.php Wed, 21 Oct 2009 17:01:34 +0400