Добро пожаловать, Гость
Логин: Пароль: Запомнить меня
Новостной блог ведет учитель информатики МКОУ "Сузунская средняя школа №2" Заикин Сергей Васильевич.

Автор ответственен за достоверность публикуемых материалов.
Мнение автора может не совпадать с позицией редакции сайта.

ТЕМА: безопасность и без опасность

безопасность и без опасность 1 год 6 мес. назад #1213

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Из Google Play удалили мессенджеры, зараженные шпионом SonicSpy news.softodrom.ru/ap/b28956.shtml

трех мессенджерах, размещенных в Google Play, был обнаружен зловред SonicSpy, пишет Threatpost.
Специалисты Lookout приписывают авторство зловреда иракским разработчикам IraqWebService. Информации о том, как долго вредоносные приложения были доступны в Google Play, нет, но статистика по одному из зараженных мессенджеров Soniac Messenger показала, что последний раз приложение было обновлено в апреле 2017 года и за прошедшие 5 месяцев было загружено от одной до пяти тысяч раз.
Всего в Google Play были обнаружены три вредоносных мессенджера: Soniac Messenger, Hulk Messenger и Troy Chat.
Приложение Soniac Messenger являлось кастомизированной версией мессенджера Telegram. Седьмого июля Google получил уведомление о наличии шпионского модуля в Soniac Messenger, и в тот же день приложение было удалено из Google Play. Hulk Messenger и Troy Chat также были накануне удалены из магазина либо самими разработчиками, либо силами Google.
Шпионская программа SonicSpy крайне агрессивна. Анализ показал, что она способна удаленно выполнять на зараженном устройстве 73 различных команды, например, предоставлять доступ к камере, SMS-сообщениям, истории звонков, контактам, информации о доступных Wi-Fi точках и т.д.
SonicSpy использует функции Android, предназначенные для людей с ограниченными возможностями, чтобы вмешиваться в работу сторонних приложений и таким образом следить за действиями пользователя. Например, программа может перехватывать уведомления о входящих сообщениях и получать доступ к их содержимому.
Эксперты заметили сходство SonicSpy с троянской программой SpyNote, найденной в середине 2016 года. Целью SpyNote было внушить пользователям Android, что это легитимное приложение, а после установки передать управление устройством в руки злоумышленникам, которые помимо прочего получали возможность копировать файлы, просматривать контакты и подслушивать разговоры жертвы.
О разработчиках SonicSpy под названием IraqWebService известно немного. Они базируются в Ираке, и возможно, их целью было заражение небольшого числа конкретных пользователей на Ближнем Востоке. Злоумышленникам пришлось потратить немало сил, чтобы попасть в Google Play, и таким образом войти в доверие своей целевой аудитории.
Администратор запретил публиковать записи.

безопасность и без опасность 1 год 6 мес. назад #1230

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Хакеры могут взломать 465 000 кардиостимуляторов news.softodrom.ru/ap/b29102.shtml

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) отзывает 465 000 кардиостимуляторов, сообщает Threatpost.
Проблема этих кардиостимуляторов состоит в том, что злоумышленники могут получить несанкционированный доступ и отдавать команды, изменять настройки и злонамеренно нарушать работу. В списке на отзыв четыре модели, разработанные Abbott Laboratories.
По данным FDA, отзыв кардиостимуляторов связан с исследованием MedSec Holdings, которое около года назад выявило уязвимости в оборудовании, производимом компанией St. Jude Medical. Abbott Laboratories приобрела St. Jude Medical в январе этого года.
«Abbott выпустила обновление прошивки, которое помогает бороться с уязвимостями, выявленными в кардиостимуляторах с подключением по радиоканалу. Независимый эксперт по безопасности подтвердил, что новая версия прошивки действительно борется с выявленными уязвимостями,» — говорится в сообщении FDA.
Самая опасная из трех уязвимостей (CVE-2017-12712) связана с алгоритмом аутентификации в кардиостимуляторе: ключ аутентификации и метка времени могут быть скомпрометированы или обойдены. Это позволяет злоумышленнику отдавать кардиостимулятору несанкционированные команды через радиоканал.
Еще одна ошибка (CVE-2017-12714) может значительно сократить время работы аккумулятора кардиостимулятора. «Кардиостимуляторы не ограничивают количество правильно отформатированных команд «RF-wake up», которые могут быть получены, что позволяет злоумышленнику повторно отправлять команды и тем самым добиться сокращения времени автономной работы кардиостимулятора,» — говорится в рекомендациях ICS-CERT.
Третий изъян (CVE-2017-12716), обнаруженный в кардиостимуляторах Accent и Anthem, состоит в том, что при общении с программаторами и домашними системами мониторинга эти модели передают через радиоканал незашифрованную информацию о пациенте. Кроме того, оба кардиостимулятора хранят данные пациента в незашифрованном виде в собственной памяти, что тоже нехорошо.
Это уже второй раз, когда компания Abbott Laboratories вынуждена обновить сердечные импланты. Предыдущее обновление произошло в октябре прошлого года. Тогда правительство США исследовало потенциально опасные для жизни уязвимости, которые могли преждевременно опустошать батареи кардиостимуляторов, в результате St. Jude отозвала нескольких имплантированных сердечных устройств. По данным Reuters, преждевременная разрядка батарей привела к двум смертям в Европе.
Для исправления уязвимости необходимо, чтобы пациенты посетили своего врача и получили обновление через беспроводное подключение с небольшим радиусом действия. Abbott предупреждает, что к обновлению прошивки следует подходить с осторожностью. «Как и любое обновление программного обеспечения, обновление прошивки может привести к сбоям в работе устройств», — говорится в заявлении. Испорченное обновление может привести к потере настроек или даже полному выходу устройства из строя.
Администратор запретил публиковать записи.

безопасность и без опасность 1 год 6 мес. назад #1246

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Гиперпопулярный «чистильщик» для Windows заражает компьютеры вредоносным ПО safe.cnews.ru/news/top/2017-09-19_giperp...ya_windows_zarazhaet
19.09.2017, ВТ, 11:06, Мск , Текст: Роман Георгиев CCleaner, средство очистки систем под Windows, оказалось скомпрометировано, и как минимум одна его версия распространялась вместе с вредоносным ПО.
Почти месяц с официальных серверов распространялась скомпрометированная версия гиперпопулярной утилиты CCleaner, дополненная вредоносными компонентами.
CCleaner используется для очистки системного реестра Windows, удаления временных и прочих неиспользуемых файлов. Количество пользователей бесплатной версии CCleaner достигает двух миллиардов человек.
13 сентября 2017 г. эксперты компании Talos обнаружили исполняемый файл, на который среагировали их системы противодействия вредоносному ПО. Оказалось, что речь идет об инсталляторе CCleaner v5.33, скачанном с официального сервера. Разработкой программы занимается компания Piriform, недавно купленная антивирусной компанией Avast.
При более внимательном изучении инсталлятора выяснилось, что помимо самой утилиты CCleaner в нем было спрятан вредоносный модуль, оснащенный алгоритмом генерации доменных имен (Domain Generation Algorithm) и функциями взаимодействия с командными серверами.
Версия 5.33, согласно данным с сайта разработчиков, была выпущена 15 августа 2017 г. и распространялась до 12 сентября, то есть до момента выпуска версии 5.34.
Зараженная версия была подписана легитимным сертификатом от Symantec со сроком действия до 10.10.2018. Позднее был найден ещё один вредоносный сэмпл, подписанный аналогичным сертификатом на 15 минут позже.

По мнению экспертов Talos, ряд признаков (в том числе, артефакты исходного кода) указывают на то, что злоумышленники смогли скомпрометировать часть среды разработки или компиляции и «дополнили» CCleaner вредоносным содержимым. Рассматриваются также варианты с инсайдерской атакой или взломом аккаунта кого-то из разработчиков с последующим внедрением вредоносных модулей.
Интересно, что версия 5.33 с официальных серверов уже удалена. Авторы публикации в блоге Talos не уточняют, когда именно эта версия исчезла: до или после того, как Avast был проинформирован о взломе.
Публикация Talos в подробностях объясняет, какие операции осуществляет перехваченное вредоносное ПО в процессе установки в систему: в частности, программа предпринимает ряд шагов, нацеленных на предотвращение своего запуска в средах отладки и запускается только в том случае, если текущий пользователь - системный администратор.
Затем она собирает данные о системе и пытается найти командные серверы. Если запрос на первичный сервер остается без ответа, запускается DGA-алгоритм, с помощью которого генерируется список возможных вредоносных доменов. К ним направляются DNS-запросы; ожидается, что ответы будут содержать сразу два IP-адреса, комбинация из которых станет IP-адресом нового управляющего сервера.
На этот сервер направляются собранные данные о системе, после чего вредоносная программа ждет новых инструкций или данных.
В публикации Talos не указывается, какие именно вредоносные действия, помимо установки в систему и установления связи с командными серверами, способна совершать программа.
«По всей видимости, компоненты, способные нанести реальный вред, досылаются с командных серверов, в соответствии с теми данными, которые собираются локально», - полагает Роман Гинятуллин, эксперт по безопасности компании SEC Consult Services. - «Затея выглядит беспроигрышной, учитывая популярность CCleaner и, соответственно, уровень доверия к разработчикам этой программы. Доверия, которого они в этот раз не смогли оправдать».
Talos отмечает, что сразу после появления версии 5.33 началась активная отправка запросов к DGA-доменам, генерируемым вредоносной программой. Эксперты Talos обнаружили, что в действительности такие домены так и не были зарегистрированы злоумышленниками, зарегистрировали их сами и превратили их в sinkhole-ловушки.
Жертвам вредоносной программы – тем, кто устанавливал CCleaner 5.33, настоятельно рекомендуется «откатить» систему до состояния перед 12 августа 2017 г.
Последнее редактирование: 1 год 6 мес. назад от zaikin.
Администратор запретил публиковать записи.

безопасность и без опасность 1 год 5 мес. назад #1262

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Сверхпопулярная клавиатура для Android шпионит за пользователями www.cnews.ru/news/top/2017-09-22_v_googl...li_klaviaturushpiona
22.09.2017, ПТ, 15:24, Мск , Текст: Валерия Шмырова Приложение GO Keyboard — популярная клавиатура для Android — делится персональными данными пользователей с удаленным сервером и закачивает на телефон опасные исполняемые коды. У приложения, разработанного китайской компанией, более 200 млн пользователей и высокий рейтинг.
Компания Adguard, разработчик одноименного блокировщика рекламы, предупреждает, что популярное приложение-клавиатура GO Keyboard для Android шпионит за своими пользователями. GO Keyboard была создана китайским разработчиком GOMO Dev Team. Как выяснили сотрудники Adguard, приложение передает персональную информацию о пользователях на удаленный сервер, а также «использует запрещенную технику для загрузки опасного исполняемого кода».
Специалисты Adguard пришли к таким выводам когда проводили исследование потребления трафика и нежелательного поведения различных Android-клавиатур. Инструмент Adguard для Android позволяет точно понять, какой трафик генерирует то или иное приложение. Именно этот инструмент обнаружил, что GO Keyboard осуществляет подозрительные подключения, использует следящие механизмы и делится с кем-то персональной информацией.
Adguard сообщает, что в настоящее время в Google Play доступны две версии GO Keyboard с общей аудиторией в 200 млн пользователей. Приложение под названием «GO Keyboard — Emoji keyboard, Swipe input, GIFs» имеет пользовательский рейтинг 4,5 звезды. Очень похожее по названию «GO Keyboard — Emoticon keyboard, Free Theme, GIF» имеет рейтинг 4,4 звезды. Обе версии получают обновления.
В описании GO Keyboard разработчики утверждают, что оно не ведет сбор персональных данных, в частности, информации о кредитных картах. «Мы заботимся о приватности того, что вы печатаете, и кто вы такой», — обещают они пользователям. Тем не менее, как выяснили в Adguard, приложение начинает передавать на сервер персональные данные пользователя сразу после установки, общается с десятками следящих серверов и пользуется доступом к конфиденциальной информации на телефоне.

Не запрашивая согласие пользователя, GO Keyboard передает на сервер адрес электронной почты пользователя в сервисе Google, а также выбранный язык, международный идентификатор мобильного абонента, местоположение, тип сети, размер экрана, версию и сборку Android, модель телефона и т. д. Такое поведение не только противоречит описанию приложения, но и является нарушением правил Google Play.
Точно также правила Google Play запрещают закачивать на телефон из какого-либо источника, кроме самого магазина, исполняемые коды, в том числе файлы отложенного исполнения dex и аппаратно зависимые коды. Однако некоторые из загружаемых GO Keyboard на телефон плагинов открыто маркированы рядом антивирусных решений как рекламное ПО (Adware) или потенциально нежелательная программа (PUP).
В Adguard особенно обеспокоены тем, что приложение запрашивает и получает множество разрешений для работы с телефоном. «В любой момент владелец сервера может решить изменить поведение приложения, и не просто украсть адрес вашего электронного ящика, а буквально сделать все, что он или она захочет». Компания уже предупредила Google о возможной опасности.
Администратор запретил публиковать записи.

безопасность и без опасность 1 год 5 мес. назад #1278

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Мобильный троян BankBot вернулся в Google Play news.softodrom.ru/ap/b29410.shtml

Эксперты ESET вновь обнаружили в Google Play мобильный банковский троян BankBot, скрывающийся под видом легитимного приложения. Об этом во вторник, 3 октября, говорится в сообщении антивирусного разработчика. Вредоносная программа приобрела новые функции и теперь маскирует активность под служебные сообщения Google.
BankBot предназначен для сбора логинов и паролей от мобильных приложений банков. Эксперты ESET впервые рассказали об этой угрозе в начале 2017 года. В течение полугода злоумышленники дорабатывали троян, добавив улучшенную обфускацию кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service.
Новая версия BankBot проникла в Google Play в сентябре под видом игры Jewels Star Classic. Специалисты ESET сообщили об инциденте в Google, но приложение успели установить примерно 5000 пользователей прежде, чем оно было удалено.
Когда пользователь скачивает Jewels Star Classic, на его устройстве оказывается не только игра, но и вредоносные компоненты. Через 20 минут после первого запуска приложения на экране устройства появляется сообщение с предложением активировать службу Google Service в меню специальных возможностей Android.
Активировав службу, пользователь предоставит вредоносной программе полную свободу действий на устройстве. Получив доступ к специальным возможностям Android, малварь выполняет следующие задачи:
- разрешает установку приложений из неизвестных источников;
- устанавливает компонент мобильного банкера BankBot и запускает его;
- активирует права администратора для BankBot;
- устанавливает BankBot в качестве приложения для обмена SMS по умолчанию;
- получает разрешение для показа своего экрана поверх других приложений.
Далее малварь начинает работать над кражей данных банковских карт жертвы. В отличие от прежних версий BankBot, которые имитируют формы ввода логина и пароля приложений мобильного банкинга, новая специализируется на Google Play – приложении, предустановленном на каждом Android-устройстве.
Когда пользователь запускает Google Play, BankBot перекрывает экран легитимного приложения фейковой формой ввода банковских данных и требует подтвердить правильность сохраненной информации. После этого троян отправляет данные злоумышленникам.

Найден метод обхода Защитника Windows news.softodrom.ru/ap/b29411.shtml

Эксперты безопасности CyberArk научились обманывать Защитник Windows, заставляя его сканировать благонадежные файлы, а запускать вредоносные. Однако в Microsoft заявили, что компания не видит проблемы в архитектуре безопасности и не будет исправлять уязвимость во встроенной антивирусной защите, пишет Threatpost.
«Едва ли эта методика найдет широкое применение. Злоумышленнику сначала нужно убедить пользователя согласиться на выполнение неизвестной программы из непроверенного источника. Чтобы дать злоумышленнику права администратора, пользователю надо будет отклонить ряд дополнительных предупреждений. И даже если преступнику все-таки удастся заставить пользователя выполнить все эти шаги, антивирусная программа Защитник Windows и Advanced Threat Protection в Защитнике Windows смогут обнаружить и предотвратить дальнейшие действия хакера», — заявили в Microsoft.
Руководитель группы киберисследований в CyberArk Дорон Наим (Doron Naim) и Коби Бен-Наим (Kobi Ben Naim), старший директор того же направления, рассказали Threatpost, что разработанная ими атака, которую они назвали Illusion Gap, может обойти и другие коммерческие антивирусы. Умелый хакер с ее помощью может проникнуть через систему в локальную сеть или использовать другие уязвимости.
Главный компонент разработанной схемы — вредоносный сервер SMB, на котором размещается эксплойт. Сначала злоумышленнику нужно убедить жертву выполнить этот эксплойт, после чего сервер SMB отправляет загрузчику программ (который готовит процессы к запуску в операционной системе) и Защитнику Windows разные файлы. Как только загрузчик создаст процесс для выполнения файла и запросит его у сервера SMB, злоумышленник передает ему зловред. Но когда исполняемый файл запрашивает Защитник Windows для сканирования, то получает с сервера безопасный код. Таким образом, у Защитника нет причин блокировать исполнение процесса — и загрузчик с чувством выполненного долга запускает вредоносный файл.
По мнению Наима, в основе проблемы лежит ошибка разработки, связанная с запросами Защитника Windows. «Со стороны сервера SMB понятно, откуда исходит запрос — из операционной системы или из Защитника Windows. Когда злоумышленник на стороне SMB видит, что Защитник Windows собирается просканировать вредоносный файл, он отправляет ему безопасный, а в системе затем запускается именно зловред».
Также Наим сообщил, что им удалось создать скрипт с запросом к Защитнику Windows, вызывающим у того фатальную ошибку.
Однако Microsoft не согласилась с CyberArk насчёт того, что речь идёт о проблеме в архитектуре системы безопасности. По их мнению, поскольку злоумышленник должен для начала завоевать доверие пользователя, проблема просто в отсутствии настроек, которые не дадут выполнить вредоносный код с ненадёжного сервера SMB. Как сообщила Microsoft, поручение о разработке нужной функции уже было передано группе разработчиков.
«Это довольно странный ответ. Первая и единственная цель любого средства безопасности — обеспечить максимальную защиту, — комментирует Бен-Наим. — Если каждый исполняемый файл должен сканироваться антивирусом, но сканирование оказывается невозможным, такой процесс априори нельзя запускать. Это должен понимать любой вендор систем безопасности».
По словам Наима, Защитник Windows делает с точностью до наоборот: если он не может просканировать файл, то по умолчанию разрешает его выполнение. А тем временем представители CyberArk заявили, что в частном порядке сообщили о похожих проблемах и другим поставщикам средств кибербезопасности.
Администратор запретил публиковать записи.

безопасность и без опасность 1 год 4 мес. назад #1296

  • zaikin
  • zaikin аватар
  • Вне сайта
  • Модератор
  • Сообщений: 1757
  • Спасибо получено: 3
  • Репутация: 0
Вирус Bad Rabbit маскируется под инсталлятор Adobe Flash Player news.softodrom.ru/ap/b29617.shtml

«Лаборатория Касперского» рассказала подробности о новом вирусе-вымогателе Bad Rabbit («Плохой кролик»), который был обнаружен ранее на этой неделе и уже успел нарушить работу некоторых российских компаний.
Согласно наблюдениям экспертов, зловред распространяется через drive-by загрузки с зараженных сайтов, и эксплуатации каких-либо уязвимостей в данном случае не происходит. Жертва должна сама вручную запустить вредоносный дроппер, замаскированный под инсталлятор Adobe Flash Player.
Данные телеметрии показали, что дроппер Bad Rabbit загружается с домена 1dnscontrol в зоне .com. Потенциальная жертва попадает на этот ресурс через редиректы, установленные на взломанных сайтах.
Как показало исследование, в схеме распространения нового шифровальщика задействован ряд скомпрометированных сайтов, принадлежащих новостным изданиям и СМИ. Большинство жертв Bad Rabbit находятся в России, зафиксированы также случаи заражения на Украине, в Турции и Германии.
Для корректной работы дропперу нужны права администратора, которые он пытается получить с помощью стандартной подсказки службы UAC.
При активации дроппер сохраняет вредоносную DLL как C:\Windows\infpub.dat и запускает ее на исполнение, используя rundll32. Модуль infpub.dat, по всей видимости, способен проводить брутфорс-атаки на другие Windows-компьютеры в локальной сети, используя идентификаторы, украденные с зараженной машины, и вшитый список логинов и паролей. Основное назначение компонента infpub.dat — шифрование файлов жертвы, которое он осуществляет, руководствуясь списком расширений. При этом, по данным «Лаборатории Касперского», используется открытый 2048-битный ключ RSA.
Анализ показал, что infpub.dat также устанавливает вредоносный файл dispci.exe в папку Windows и создает задачу для его запуска. Этот исполняемый файл, как обнаружили исследователи, является производным легитимной утилиты DiskCryptor. Он шифрует диск и устанавливает модифицированный загрузчик ОС, чем препятствует нормальному старту системы.
Как отмечают эксперты «Лаборатории Касперского», сообщение Bad Rabbit с требованием выкупа явно позаимствовано у вируса ExPetr (также известен как Petya и NotPetya), эпидемия которого была зафиксирована ранее в этом году. Размер выкупа составляет 0,05 биткойна, через 40 с небольшим часов эта сумма увеличивается. Сайт злоумышленников, фиксирующий платежи, размещен в сети Tor.
Примечательно, что некоторые строки кода Bad Rabbit содержат имена персонажей популярного телесериала «Игра престолов».
Во избежание заражения эксперты рекомендуют незамедлительно обновить антивирусные базы и удостовериться, что все компоненты специализированной защиты включены. При отсутствии таковой можно запретить исполнение файлов по путям C:\Windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.
Администратор запретил публиковать записи.
Модераторы: amv, zaikin, $admin

Вебинары и он-лайн трансляции

Доступ к информационным системам и электронным образовательным ресурсам

Главный корпус Учебный корпус
Гостиница © ДубльГИС - справочник организаций с картой города