Согласно полученной с использованием Антивируса Dr.Web для Android статистике, число детектирований троянца Android.SmsBot.120.origin на мобильных устройствах пользователей за последний весенний месяц 2014 года составило 235 516. По этому показателю данная вредоносная программа занимала лидирующее положение среди всех обнаруженных в мае троянцев. В течение всего июня мобильный антивирус Dr.Web для Android продолжал фиксировать рост количества попыток проникновения этого вредоносного приложения на устройства пользователей, и к концу месяца суммарное число его детектирований составило уже 670 422, показав рост на 227% по сравнению с прошлым периодом наблюдения. Таким образом, в прошедшем месяце Android.SmsBot.120.origin вновь стал самым «популярным» троянцем и обнаруживался на устройствах пользователей в 11% случаев.
Данный троянец представляет собой весьма распространенный в настоящее время тип вредоносных программ, способных принимать команды от злоумышленников, а также предназначенных для выполнения самой разнообразной вредоносной деятельности. В частности, Android.SmsBot.120.origin может отправлять, перехватывать и удалять СМС-сообщения, открывать в браузере заданные веб-страницы, получать координаты устройства и даже производить удаление определенных приложений.
В большинстве случаев троянец распространяется киберпреступниками под видом видеороликов категории «для взрослых», однако встречаются и варианты, выдающие себя за легитимное ПО, а также различные музыкальные файлы, поэтому владельцам Android-устройств следует соблюдать осторожность и воздержаться от загрузки сомнительного контента. Пользователи Антивируса Dr.Web для Android надежно защищены от этой вредоносной программы.
Специалисты компании «Доктор Веб» продолжают следить за данной угрозой.
Подробнее здесь: LEDHOST
Компания «Доктор Веб» сообщает о запуске акции «Dr.Web с плюсом». В период с 20 по 30 мая все купившие годовые лицензии на Dr.Web Security Space для одного, двух или трех компьютеров получат дополнительные месяцы использования антивируса в подарок!
Комментировать новость
Проявляя заботу о пользователях, доверяющих ПО Dr.Web защиту своих домашних компьютеров, компания «Доктор Веб» предлагает новый формат использования демонстрационной лицензии на популярные антивирусные продукты Dr.Web Security Space, Антивирус Dr.Web для Mac OS X и Антивирус Dr.Web для Linux.
Комментировать новость
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — и крупнейшая сеть магазинов бытовой техники и электроники «Эльдорадо» запускают совместную акцию «Тройная защита Dr.Web». Только до 29 июня 2014 года при покупке электронной лицензии Dr.Web Security Space 2 ПК / 1 год в магазинах «Эльдорадо» вы получаете бесплатно защиту Dr.Web еще для одного ПК или Мас, а также мобильного устройства!
Комментировать новость
Сервис поддержки пользователей компании «Доктор Веб» пополнился новым обучающим роликом, который поможет всем владельцам зараженных компьютеров максимально эффективно использовать лечащую утилиту Dr.Web CureIt! для противодействия сложным угрозам.
Комментировать новость
Компании «Доктор Веб» и НИКС объявляют о старте совместной акции: с 16 мая до 29 июня 2014 года, приобретая в Компьютерном Супермаркете НИКС любой лицензионный продукт Microsoft и любое антивирусное решение Dr.Web в коробке, включая продление лицензии, покупатели получают в подарок не имеющий аналогов лицензионный англо-русский словарь Nixicon.
Комментировать новость
Компания «Доктор Веб» сообщает о старте по-настоящему жаркой акции под названием «Dr.Web: жарче – значит выгоднее!» Приобретая лицензии Dr.Web Enterprise Security Suite в период с 15 мая по 15 августа 2014 года, корпоративные клиенты получают дополнительные месяцы бесплатного пользования продуктом. Количество бонусных месяцев зависит от температуры в городе клиента в день оплаты (при покупке через партнера «Доктор Веб»). При покупке через интернет-магазин учитывается температура в Москве. Наибольший подарочный срок составляет 4 месяца, а это означает, что участники акции могут сэкономить до 33% от стоимости лицензии!
Комментировать новость
Сетевые жулики, распространяющие в Интернете мошеннические электронные письма, внимательно следят за происходящими в мире событиями и активно используют их с целью обмана пользователей. Так, в последнее время участились случаи массовой рассылки писем от имени «ополченцев одного из городов Юго-Востока Украины». Мошенники просят у получателей перечислить им любую сумму в электронной валюте Bitcoin якобы с целью приобретения бронежилетов, медикаментов и оружия.
Комментировать новость
«Лаборатория Касперского» запустила новый сервис FriendOrFoe для пользователей социальной сети Facebook, позволяющий оценить характер поведения друзей, их активность, а также то, как пользователь выглядит со стороны.
Угрозы всегда развиваются в ногу с новыми технологиями и сервисами. Многие пользователи знакомы с разнообразием компьютерных угроз, но далеко не все из них осведомлены о том, что так называемые методы социальной инженерии тоже приносят злоумышленникам немалую выгоду — именно поэтому специалисты «Лаборатории Касперского» рекомендуют быть осмотрительными в социальных сетях и уделять внимание своему окружению в Интернете. Новый сервис FriendOrFoe позволяет проанализировать, чем именно занимаются ваши друзья в Facebook: кто самый активный участник, кто рассылает спам, у кого общие интересы, кто чаще всего комментирует, кому нравится просто наблюдать и прочее.
Для того чтобы предоставлять удобные функции и более разнообразный контент, механизмы Facebook собирают множество информации о поведении пользователя: типы публикуемых постов, поисковые запросы, используемые приложения, временные интервалы активности и прочее. При должном навыке эта информация может пригодиться многим людям как с благими, так и не с самыми чистыми намерениями: отделам кадров на собеседованиях, хакерам, владельцам баз данных для рассылки спама, мошенникам и прочим. С помощью FriendOrFoe пользователь получает возможность посмотреть на себя их глазами.
Интерфейс приложения FriendOrFoe
Помимо этого сервис также предлагает узнать немного нового о себе, в частности определить «социальный возраст». Например, если пользователь общается с людьми старше себя, то, как правило, это отражается на менталитете и жизненных ценностях. «Социальный возраст» каждого пользователя составляется на основании возрастов его друзей в Facebook и интенсивности общения с ними. Помимо сведений о «социальном возрасте» FriendOrFoe предлагает полезные советы о том, как обезопасить свой аккаунт. Пользователю предоставляется информация о тех, кто начал и перестал читать его страницу, кто из его друзей кого знает, кто чаще всего делает «репост» и оставляет комментарии. Приложение дополнительно выявляет географическое распределение друзей и показывает статистику ленты: количество выложенных видео и фото, лайков и многое другое.
«С появлением социальных сетей жизнь злоумышленников стала значительно проще — большинство людей с огромной радостью выкладывают в общий доступ детали своей личной жизни: гео-таргетинговые метки (чек-ины), места и даты будущего отпуска или командировки, фотографии родственников, снимки важных документов вроде обновленных водительских прав или полученной визы. При этом делают это в удовольствие, не думая о возможных негативных последствиях. Мы уважаем свободу информации, каждый житель Сети имеет право говорить о себе все, что считает нужным. Но наша цель — защищать кибермир всеми средствами, в том числе образовательными. #FriendOrFoe — наш способ показать пользователям, сколько их личных данных доступно всем желающим и как они выглядят со стороны, в частности, с точки зрения лиц с не самыми чистыми намерениями», — отметил Евгений Черешнев, руководитель управления по социальным медиа «Лаборатории Касперского».
Сервис доступен по ссылке http://fof.kaspersky.com. Вход осуществляется с помощью аккаунта Facebook. Первый сеанс, во время которого производится основной сбор данных, может занять некоторое время в зависимости от степени социальной активности пользователя.
Как подписаться на новостные блоки и отписаться от них
Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.
Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$YpPeSoCMsfLwIVw1qIB6fQKiF9fDuLpIkeOT0_CI2ny$
Правила безопасности
Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании ([email protected]) на экспертизу.
В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу [email protected].
Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.
****
Служба новостей «Лаборатории Касперского»
]]>
Kaspersky Lab News Agent <[email protected]> <[email protected]>
Решение «Лаборатории Касперского» для защиты домашних пользователей Windows, входящее в состав комплексного продукта Kaspersky Internet Security для всех устройств, признано лучшим по итогам продолжительного тестирования, проведенного независимой лабораторией AV?TEST в период с сентября 2013 года по февраль 2014-го. Набрав наибольшее количество баллов по сравнению с другими участниками теста, продукт «Лаборатории Касперского» отличился не только высокими показателями качества защиты, но и минимальным влиянием на быстродействие системы.
Длительные тестирования, проводимые экспертами AV-TEST в течение полугода, призваны определить лучшее решение, способное обеспечивать безопасность устройства на высоком уровне в течение долгого времени и в условиях изменяющейся среды. По традиции подобные испытания подразделяются на 3 блока: в течение каждых двух месяцев тестируемые продукты проверяются на разных операционных системах. В частности в последнем тестировании это были Windows XP, Windows 7 и Windows 8.1.
В общей сложности эксперты AV?TEST испытывали 24 различных решения для защиты домашних пользователей. Оценка эффективности продуктов осуществлялась в рамках трех тестовых категорий. Первая из них — Protection — позволяла понять способность выбранного решения детектировать вредоносное ПО, в том числе новые, неизвестные ранее образцы. В рамках второй категории — System Load — эксперты изучали, как работа тестируемых защитных решений влияет на производительность компьютера. Наконец, третья категория — Usability — помогала оценить вероятность и частоту ложных срабатываний каждого отдельного решения.
По итогам всех испытаний Kaspersky Internet Security показал лучший результат, набрав 17,8 балла из 18 возможных. Решение «Лаборатории Касперского» заработало максимальные 6 баллов в категориях Usability и Protection — оно обнаружило 100% всех предложенных организаторами теста угроз и детектировало около 400 новых образцов вредоносного ПО в рамках испытания, именуемого real-world test, т.е. тестирования, максимально имитирующего работу среднестатистического пользователя за компьютером. В категории System Load продукт Kaspersky Internet Security набрал 5,8 балла, обойдя своего ближайшего соперника на 0,3 балла.
«Пользователи не хотят, чтобы что-то мешало их работе, будь то вирусы или антивирусы. Поэтому способность защитного решения работать максимально незаметно, не оказывая негативного влияния на производительность компьютера и «не увлекаясь» ложными срабатываниями, сегодня столь же важна, как и эффективность в борьбе с различными киберугрозами. Впечатляющие результаты Kaspersky Internet Security по итогам тестирования подтверждают, что это решение оптимальным образом сочетает в себе надежность защиты и удобство использования», — отметил Олег Ишанов, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».
Подробнее с результатами продолжительного тестирования AV-TEST можно ознакомиться на официальном сайте лаборатории: www.av-test.org/en/news/news-single-view/win-xp-7-81-internet-security-suites-complete-an-endurance-test-lasting-6-months/.
Как подписаться на новостные блоки и отписаться от них
Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.
Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$kjKelaPC-3kE8yrB8uj0S4WlxHU5ytoD_yr_8rqaY0p$
Правила безопасности
Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании ([email protected]) на экспертизу.
В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу [email protected].
Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.
****
Служба новостей «Лаборатории Касперского»
]]>Продукты «Лаборатории Касперского» с помощью проактивных технологий заблокировали ряд атак с применением эксплойта, использовавшего неизвестную ранее уязвимость в программном обеспечении Adobe. Уязвимость содержалась в Adobe Flash Player, точнее, в его устаревшем и уже не поддерживаемом компоненте Pixel Bender, предназначенном для обработки видео и изображений. Как показал анализ, все атаки с применением данного эксплойта проводились против пользователей из Сирии, а сайт, с которого осуществлялась загрузка вредоносного кода, принадлежит Министерству юстиции Сирии.
Неизвестная угроза была заблокирована системой эвристического детектирования, присутствующей в пользовательских и корпоративных продуктах «Лаборатории Касперского». Эта технология опирается на более общие сигнатуры, описывающие целые классы вредоносных программ. Эвристическое правило, с помощью которого были обнаружены описанные эксплойты, было добавлено в январе этого года.
Сразу после обнаружения уязвимости эксперты «Лаборатории Касперского» связались с представителями Adobe. Компания выпустила обновление, которое закрывает данную брешь в безопасности и доступно для загрузки с сайта Adobe.
Всего эксперты «Лаборатории Касперского» обнаружили два вида эксплойтов. «Если в первом из них используется обычное скачивание и запуск вредоносного ПО, то во втором происходит взаимодействие с плагином Cisco MeetingPlace Express, который используется в веб-конференциях для совместного просмотра документов и изображений на мониторе докладчика. Примечательно, для того чтобы второй эксплойт сработал, на компьютере жертвы должны быть установлены определенные версии плагинов Flash Player и Cisco MPE, что значительно сужает круг потенциальных жертв. По-видимому, злоумышленники нацеливались на каких-то определенных пользователей. И хотя пока мы видели попытки заражения лишь в Сирии, не исключено, что злоумышленники в других странах, узнав об этой уязвимости нулевого дня, попытаются использовать ее в новых эксплойтах для распространения вредоносного ПО. Мы рекомендуем пользователям как можно скорее применить выпущенное Adobe обновление и использовать надежные защитные решения со средствами противодействия неизвестным угрозам», — пояснил Вячеслав Закоржевский, руководитель группы исследования уязвимостей в «Лаборатории Касперского».
С начала года это уже вторая угроза нулевого дня, выявленная экспертами «Лаборатории Касперского». В феврале специалисты компании обнаружили уязвимость Flash, позволявшую злоумышленникам загружать вредоносные программы на компьютеры пользователей.
Защитные технологии «Лаборатории Касперского» регулярно доказывают свою способность бороться с неизвестными ранее киберугрозами не только в лабораторных тестах, но и в реальных условиях. Так, например, в ноябре 2013 года система «Автоматической защиты от эксплойтов» заблокировала угрозы, использовавшие уязвимость в целой линейке Microsoft Office. А в конце 2012 года с помощью этой же технологии были обнаружены несколько вредоносных компонентов, используемых в глобальной кибершпионской кампании Red October. Дополнительная проверка, проведенная специалистами «Лаборатории Касперского», показала также, что технология «Автоматической защиты от эксплойтов» безошибочно распознает и блокирует описанные угрозы для Adobe Flash Player.
В середине апреля мы обнаружили два новых SWF эксплойта, при детальном анализе которых выяснилось, что они не используют ни одну из известных нам уязвимостей. Мы послали эти эксплойты в Adobe и через несколько дней получили подтверждение – эксплойты эксплуатируют 0-day уязвимость, которой был присвоен номер CVE-2014-0515. Уязвимость находится в компоненте Pixel Bender, предназначенном для обработки видео и изображений.
Сампл первого эксплойта мы получили 14 апреля, а второго 16 апреля. Срабатывание на первый эксплойт мы зафиксировали в KSN 9 апреля, когда он задетектировался общей эвристической сигнатурой. Затем множество срабатываний было отмечено 14 и 16 апреля. Таким образом, с помощью эвристик нам удалось задетектировать неизвестную ранее угрозу.
По данным KSN, на зараженном сайте эксплойты лежали под именами movie.swf и include.swf. Оба эксплойта различаются только шелл-кодами. Стоит отметить, что второй обнаруженный эксплойт (include.swf) уже не детектировался первоначальной эвристической сигнатурой, поскольку содержал уникальный шелл-код.
Каждый эксплойт представляет собой незапакованное Flash видео. Action Script код внутри не обфусцирован и не зашифрован.
Как это обычно бывает в подобных эксплойтах, вначале выполняется HeapSpray подготовка динамической памяти для эксплуатации уязвимости. Причём в эксплойтах есть проверка версии операционной системы если обнаружена Windows 8, то применяется слегка модифицированный байт-код компонента Pixel Bender.
Затем происходит непосредственно эксплуатация уязвимости. А именно изменяется один из указателей таблицы методов/виртуальных функций.
Любопытно, что в обоих эксплойтах присутствуют по два шелл-кода. Первый шелл-код одинаковый в обоих эксплойтах. Он достаточно короткий и подготавливает память для успешной работы второго шелл-кода.
Вначале текущая память помечается доступной на чтение, исполнение и запись с помощью API-функции VirtualProtect, а затем с помощью VirtualAlloc выделяется дополнительная память. В эту память копируется второй шелл-код и на него передаётся управление. Вызовы API-функций и передача управления на второй шелл-код отмечены на скриншоте красными прямоугольниками.
Вторые шелл-коды у эксплойтов значительно отличаются.
У обнаруженного первым эксплойта (movie.swf) шелл-код типичный он выполняет поиск системных библиотек в памяти, а затем скачивает и запускает полезную нагрузку. К сожалению, на время нашего исследования ссылка оказалась неактивной.
В другом эксплойте include.swf второй шелл-код оказался необычным. Он получает базовый адрес библиотеки flash10p.ocx, проводит в ней поиск определённых фрагментов и взаимодействует с плагином ‘ciscompeaddin5x0’- Cisco MeetingPlace Express Add-In версии 5x0. Этот плагин используется для совместного просмотра участниками веб-конференции документов/изображений на мониторе докладчика. Стоит отметить, что если на компьютере отсутствует хотя бы одна из этих программ (Adobe Flash Player ActiveX и Cisco MPE) нужной версии, экплойт не отработает.
Судя по всему, часть информации для эксплойта include.swf передаётся извне. По данным KSN referrer перехода на include.swf указывал на другой SWF файл stream.swf. В то же время referrer первого эксплойта movie.swf указывал на index.php, лежащий в той же папке, что и эксплойты (см. ниже). Нам не удалось точно установить полезную нагрузку эксплойта include.swf, так как не хватало данных, передаваемых с лендинга и/или другим эксплойтом.
Мы уверены, что все эти ухищрения были сделаны для того, чтобы выполнять вредоносную активность только у весьма определённой группы пользователей максимально незаметно для защитных средств. Мы предполагаем, что вышеупомянутый плагин Cisco может использоваться как для скачивания/исполнения полезной нагрузки, так и для прямого шпионажа за компьютером жертвы.
Оба найденных нами эксплойта распространялись с сайта, расположенного на http://jpic.gov.sy. Этот сайт был запущен в 2011 году Министерством юстиции Сирии и представляет собой онлайн-форму для отправки жалоб граждан на нарушение правопорядка. Мы полагаем, что целью атаки были сирийские диссиденты, выступающие против правительства.
Сайт уже был взломан в сентябре 2013 года, о чем сообщил предположительно сам хакер в своем твиттере.
Ссылка на эксплойты выглядит следующим образом: jpic.gov.sy/css/images/_css/***********. Когда мы заходили на сайт, обращений к папке “_css” не было. Мы предполагаем, что злоумышленники создали папку, имя которой, скорее всего, не выглядит подозрительно для администратора ресурса, и загрузили туда эксплойты. Вероятно, жертв перенаправляли на эксплойты с помощью фрейма или скрипта, расположенного на сайте. На 24 апреля число срабатываний наших продуктов на эти эксплойты превысило 30. Срабатывания зафиксированы у 7 уникальных пользователей, и все они из Сирии, что неудивительно, учитывая специфику сайта. Любопытно, что все атакованные пользователи ходили на заражённый сайт с помощью Mozilla Firefox разных версий.
Вероятно, атака была тщательно спланированной, и за ней стоят профессионалы достаточно высокого уровня. Об этом свидетельствует использование профессионально написанных 0-day эксплойтов, которыми был заражен единственный ресурс.
Кроме того, если первый эксплойт вполне стандартный и может заразить практически любой незащищенный компьютер, то второй эксплойт (include.swf) корректно отработает только у тех пользователей, у которых установлены Adobe Flash Player 10 ActiveX и Cisco MeetingPlace Express Add-In. В качестве вектора атаки был выбран компонент Flash Player Pixel Bender, который уже не поддерживается Adobe. Вирусописатели рассчитывали на то, что уязвимость в таком компоненте не будет найдена разработчиками, и это позволит эксплойтам дольше оставаться «рабочими». Все это говорит о том, что злоумышленники ориентировались не на массового пользователя.
]]>Продукты «Лаборатории Касперского» с помощью проактивных технологий заблокировали ряд атак с применением эксплойта, использовавшего неизвестную ранее уязвимость в программном обеспечении Adobe. Уязвимость содержалась в Adobe Flash Player, точнее, в его устаревшем и уже не поддерживаемом компоненте Pixel Bender, предназначенном для обработки видео и изображений. Как показал анализ, все атаки с применением данного эксплойта проводились против пользователей из Сирии, а сайт, с которого осуществлялась загрузка вредоносного кода, принадлежит Министерству юстиции Сирии.
Неизвестная угроза была заблокирована системой эвристического детектирования, присутствующей в пользовательских и корпоративных продуктах «Лаборатории Касперского». Эта технология опирается на более общие сигнатуры, описывающие целые классы вредоносных программ. Эвристическое правило, с помощью которого были обнаружены описанные эксплойты, было добавлено в январе этого года.
Сразу после обнаружения уязвимости эксперты «Лаборатории Касперского» связались с представителями Adobe. Компания выпустила обновление, которое закрывает данную брешь в безопасности и доступно для загрузки с сайта Adobe.
Всего эксперты «Лаборатории Касперского» обнаружили два вида эксплойтов. «Если в первом из них используется обычное скачивание и запуск вредоносного ПО, то во втором происходит взаимодействие с плагином Cisco MeetingPlace Express, который используется в веб-конференциях для совместного просмотра документов и изображений на мониторе докладчика. Примечательно, для того чтобы второй эксплойт сработал, на компьютере жертвы должны быть установлены определенные версии плагинов Flash Player и Cisco MPE, что значительно сужает круг потенциальных жертв. По-видимому, злоумышленники нацеливались на каких-то определенных пользователей. И хотя пока мы видели попытки заражения лишь в Сирии, не исключено, что злоумышленники в других странах, узнав об этой уязвимости нулевого дня, попытаются использовать ее в новых эксплойтах для распространения вредоносного ПО. Мы рекомендуем пользователям как можно скорее применить выпущенное Adobe обновление и использовать надежные защитные решения со средствами противодействия неизвестным угрозам», — пояснил Вячеслав Закоржевский, руководитель группы исследования уязвимостей в «Лаборатории Касперского».
С начала года это уже вторая угроза нулевого дня, выявленная экспертами «Лаборатории Касперского». В феврале специалисты компании обнаружили уязвимость Flash, позволявшую злоумышленникам загружать вредоносные программы на компьютеры пользователей.
Защитные технологии «Лаборатории Касперского» регулярно доказывают свою способность бороться с неизвестными ранее киберугрозами не только в лабораторных тестах, но и в реальных условиях. Так, например, в ноябре 2013 года система «Автоматической защиты от эксплойтов» заблокировала угрозы, использовавшие уязвимость в целой линейке Microsoft Office. А в конце 2012 года с помощью этой же технологии были обнаружены несколько вредоносных компонентов, используемых в глобальной кибершпионской кампании Red October. Дополнительная проверка, проведенная специалистами «Лаборатории Касперского», показала также, что технология «Автоматической защиты от эксплойтов» безошибочно распознает и блокирует описанные угрозы для Adobe Flash Player.
В середине апреля мы обнаружили два новых SWF эксплойта, при детальном анализе которых выяснилось, что они не используют ни одну из известных нам уязвимостей. Мы послали эти эксплойты в Adobe и через несколько дней получили подтверждение – эксплойты эксплуатируют 0-day уязвимость, которой был присвоен номер CVE-2014-0515. Уязвимость находится в компоненте Pixel Bender, предназначенном для обработки видео и изображений.
Сампл первого эксплойта мы получили 14 апреля, а второго 16 апреля. Срабатывание на первый эксплойт мы зафиксировали в KSN 9 апреля, когда он задетектировался общей эвристической сигнатурой. Затем множество срабатываний было отмечено 14 и 16 апреля. Таким образом, с помощью эвристик нам удалось задетектировать неизвестную ранее угрозу.
По данным KSN, на зараженном сайте эксплойты лежали под именами movie.swf и include.swf. Оба эксплойта различаются только шелл-кодами. Стоит отметить, что второй обнаруженный эксплойт (include.swf) уже не детектировался первоначальной эвристической сигнатурой, поскольку содержал уникальный шелл-код.
Каждый эксплойт представляет собой незапакованное Flash видео. Action Script код внутри не обфусцирован и не зашифрован.
Как это обычно бывает в подобных эксплойтах, вначале выполняется HeapSpray подготовка динамической памяти для эксплуатации уязвимости. Причём в эксплойтах есть проверка версии операционной системы если обнаружена Windows 8, то применяется слегка модифицированный байт-код компонента Pixel Bender.
Затем происходит непосредственно эксплуатация уязвимости. А именно изменяется один из указателей таблицы методов/виртуальных функций.
Любопытно, что в обоих эксплойтах присутствуют по два шелл-кода. Первый шелл-код одинаковый в обоих эксплойтах. Он достаточно короткий и подготавливает память для успешной работы второго шелл-кода.
Вначале текущая память помечается доступной на чтение, исполнение и запись с помощью API-функции VirtualProtect, а затем с помощью VirtualAlloc выделяется дополнительная память. В эту память копируется второй шелл-код и на него передаётся управление. Вызовы API-функций и передача управления на второй шелл-код отмечены на скриншоте красными прямоугольниками.
Вторые шелл-коды у эксплойтов значительно отличаются.
У обнаруженного первым эксплойта (movie.swf) шелл-код типичный он выполняет поиск системных библиотек в памяти, а затем скачивает и запускает полезную нагрузку. К сожалению, на время нашего исследования ссылка оказалась неактивной.
В другом эксплойте include.swf второй шелл-код оказался необычным. Он получает базовый адрес библиотеки flash10p.ocx, проводит в ней поиск определённых фрагментов и взаимодействует с плагином ‘ciscompeaddin5x0’- Cisco MeetingPlace Express Add-In версии 5x0. Этот плагин используется для совместного просмотра участниками веб-конференции документов/изображений на мониторе докладчика. Стоит отметить, что если на компьютере отсутствует хотя бы одна из этих программ (Adobe Flash Player ActiveX и Cisco MPE) нужной версии, экплойт не отработает.
Судя по всему, часть информации для эксплойта include.swf передаётся извне. По данным KSN referrer перехода на include.swf указывал на другой SWF файл stream.swf. В то же время referrer первого эксплойта movie.swf указывал на index.php, лежащий в той же папке, что и эксплойты (см. ниже). Нам не удалось точно установить полезную нагрузку эксплойта include.swf, так как не хватало данных, передаваемых с лендинга и/или другим эксплойтом.
Мы уверены, что все эти ухищрения были сделаны для того, чтобы выполнять вредоносную активность только у весьма определённой группы пользователей максимально незаметно для защитных средств. Мы предполагаем, что вышеупомянутый плагин Cisco может использоваться как для скачивания/исполнения полезной нагрузки, так и для прямого шпионажа за компьютером жертвы.
Оба найденных нами эксплойта распространялись с сайта, расположенного на http://jpic.gov.sy. Этот сайт был запущен в 2011 году Министерством юстиции Сирии и представляет собой онлайн-форму для отправки жалоб граждан на нарушение правопорядка. Мы полагаем, что целью атаки были сирийские диссиденты, выступающие против правительства.
Сайт уже был взломан в сентябре 2013 года, о чем сообщил предположительно сам хакер в своем твиттере.
Ссылка на эксплойты выглядит следующим образом: jpic.gov.sy/css/images/_css/***********. Когда мы заходили на сайт, обращений к папке “_css” не было. Мы предполагаем, что злоумышленники создали папку, имя которой, скорее всего, не выглядит подозрительно для администратора ресурса, и загрузили туда эксплойты. Вероятно, жертв перенаправляли на эксплойты с помощью фрейма или скрипта, расположенного на сайте. На 24 апреля число срабатываний наших продуктов на эти эксплойты превысило 30. Срабатывания зафиксированы у 7 уникальных пользователей, и все они из Сирии, что неудивительно, учитывая специфику сайта. Любопытно, что все атакованные пользователи ходили на заражённый сайт с помощью Mozilla Firefox разных версий.
Вероятно, атака была тщательно спланированной, и за ней стоят профессионалы достаточно высокого уровня. Об этом свидетельствует использование профессионально написанных 0-day эксплойтов, которыми был заражен единственный ресурс.
Кроме того, если первый эксплойт вполне стандартный и может заразить практически любой незащищенный компьютер, то второй эксплойт (include.swf) корректно отработает только у тех пользователей, у которых установлены Adobe Flash Player 10 ActiveX и Cisco MeetingPlace Express Add-In. В качестве вектора атаки был выбран компонент Flash Player Pixel Bender, который уже не поддерживается Adobe. Вирусописатели рассчитывали на то, что уязвимость в таком компоненте не будет найдена разработчиками, и это позволит эксплойтам дольше оставаться «рабочими». Все это говорит о том, что злоумышленники ориентировались не на массового пользователя.
]]>Флагманское защитное решение «Лаборатории Касперского» для домашних пользователей Kaspersky Internet Security, входящее в состав комплексного продукта Kaspersky Internet Security для всех устройств, отразило все угрозы в тестировании Bi-Monthly Certification January-February 2014, проведенном независимой немецкой лабораторией AV-TEST в начале 2014 года. Решение набрало 17,5 баллов из 18 возможных, заняв первое место.
Согласно методике AV-TEST, защитные решения проходят тестирование с настройками, выставленными разработчиком по умолчанию. Антивирусные базы продуктов обновляются непосредственно перед проведением теста. Кроме того, решения могут обращаться к облачным сервисам своего вендора для получения оперативной информации о новых угрозах. Такая настройка тестового стенда позволяет максимально точно имитировать условия работы продукта на домашнем компьютере обычного пользователя.
Всего в январе и феврале 2014 года испытанию были подвергнуты 25 продуктов от разных вендоров. Основная выборка вредоносных программ насчитывала примерно 17,8 тысячи повсеместно встречающихся онлайн-угроз. Еще 151 образец не получил широкого распространения на момент проведения теста, что позволило лучше оценить эффективность защитных механизмов.
Kaspersky Internet Security показал 100% эффективность в отражении угроз из обеих коллекций. При работе с легитимным ПО решение допустило единственное ложное срабатывание, однако даже при этом превзошло средний показатель остальных участников. По результатам теста решение «Лаборатории Касперского» набрало 17,5 баллов — наилучший результат, который смогли повторить лишь два конкурирующих продукта.
«Преимущество методологии AV-TEST состоит в том, что результаты тестирования позволяют определить, какое защитное решение максимально эффективно в условиях, с которыми сталкиваются пользователи во время повседневной работы в Интернете. Kaspersky Internet Security неизменно оказывается в числе лидеров, отражая угрозы и не мешая ложными срабатываниями», — прокомментировал Олег Ишанов, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».
Тестирование производилось на 64-битной версии операционной системы Windows 7 с пакетом обновлений Service Pack 1.
Продукты «Лаборатории Касперского» регулярно участвуют и побеждают в тестированиях, проводимых независимыми лабораториями. В 2013 году продукты компании занимали призовые места в таких тестах чаще, чем защитное ПО любого другого вендора.
Подробнее с результатами тестирования Bi-Monthly Certification January-February 2014 можно ознакомиться на официальном сайте лаборатории AV-TEST: www.av-test.org/en/tests/home-user/windows-7/janfeb-2014
]]>