Вебинар Positive Technologies: «Плагин rootkitmon для DRAKVUF. Выявление руткитов с помощью PT Sandbox»
19 октября 2021 г., | 14:00 (МСК)

Это второй вебинар Positive Technologies, посвященный руткитам. В прошлый раз эксперты познакомили слушателей с примерами и особенностями работы зловредов, коснулись их актуальности.
На предстоящем вебинаре спикеры структурируют знания о руткитах и ответят, пожалуй, на самый главный вопрос: как же с этими угрозами бороться?
•  Рассмотрят наиболее актуальные вредоносные техники;
•  Расскажут о способах обнаружения действующего руткита в зараженной системе;
•  Представят плагин для системы DRAKVUF, благодаря которому можно эффективно обнаруживать угрозы такой сложности.

Вебинар будет интересен сотрудникам SOC, исследователям вредоносного ПО, пользователям PT Sandbox, а также всем, кто интересуется информационной безопасностью.

Регистрация

Подросток Минх Зыонг из Иллинойса (США) обнаружил критические уязвимости в системах IPTV Exterity во время шалости, которую он устроил в своем школьном округе перед выпуском.

Зыонг и группа близких друзей перехватили контроль над всеми подключенными к Сети телевизорами и другими дисплеями в шести школах округа 214 с целью транслировать известную песню Рика Эстли (Rick Astley) Never Gonna Give You Up, замаскировав ее под важное объявление.

Взлом компьютерных систем включал сканирование школьной сети на предмет подключенных устройств, анализ их прошивки на наличие уязвимости и установку полезной нагрузки для тщательно спланированной атаки.

Решающим моментом в успешном выполнении розыгрыша была серия уязвимостей повышения привилегий в продуктах Exterity IPTV.

https://www.securitylab.ru/news/525614.php

🤰Эксперты рассказали о стоимости услуг хакеров в даркнете

Специалисты в области кибербезопасноcти из компании Comparitech провели анализ хакерских услуг, предлагаемых в даркнете. Как выяснили эксперты, незаконных хакеров можно нанять для взлома учетных записей в социальных сетях, списания долгов и даже изменения оценок учащихся.

Хотя цены дают клиентам представление о том, сколько будет стоить услуга, на самом деле большинство предложений оговаривается напрямую с клиентами. Сложность, продолжительность, риск и объем работы определяют окончательную цену.

Взлом компьютеров и телефонов стоит в среднем $343 и включает взлом служебных или личных устройств с целью кражи информации, установки вредоносного ПО или совершения других злонамеренных действий. Стоимость взлома электронной почты составляет в среднем $241 и обычно заключается в краже пароля владельца учетной записи. Злоумышленники также могут настроить пересылку электронной почты, чтобы клиент получал копии всех электронных писем жертвы.

https://www.securitylab.ru/news/525637.php
Подробнее: https://www.securitylab.ru/news/525637.php

🇦🇺Австралия может разрешить спецслужбам проникать в сети техногигантов

Мировые техногиганты усилили сопротивление предложенному австралийским правительством законопроекту о кибербезопасности. Компании уверены - в случае принятия закон позволит властям принудительно получать доступ к их сетям без надлежащей правовой процедуры.

Как считают Google, Microsoft, Intel, Twitter, eBay, Amazon и Adobe, закон создаст "невыполнимый набор обязательств и тревожный мировой прецедент", пишет The Sydney Morning Herald.

Хотя, по словам правительства, право принудительного проникновения в компьютерные сети будет использоваться только в крайнем случае, техногиганты уверены, что закон дает властям «беспрецедентные и далеко идущие полномочия, способные влиять на сети, системы и клиентов отечественных и международных организаций».
https://www.securitylab.ru/news/525638.php

💔Мошенники заработали 18 млн на фейковых свиданиях

Cегодня для многих россиян поиск новых знакомств для романтических отношений в Сети может закончиться потерей денег.

За последние три года в 30 раз увеличилось число доменов фейковых сайтов, используемых для кражи денег во время назначения фейковых свиданий.

Только одна из 24 обнаруженных группировок заработала за год более 18 млн рублей при более чем 7 тысячах транзакций.

https://www.securitylab.ru/news/525652.php

🤦‍♂️Журналиста обвинили в хакерстве за сообщение об уязвимости на госсайте

Губернатор штата Миссури (США) Майк Парсон (Mike Parson) назвал журналиста газеты St. Louis Post-Dispatch "хакером" за то, что он рассказал о проблемах безопасности.  Парсон не видит разницы между сообщением об уязвимости и ее эксплуатацией. Губернатор уже обратился в прокуратуру и полицию.

Дело в том, что журналист раскрыл уязвимость в web-приложении Министерства начального и среднего образования, позволявшую любому желающему видеть номера социального страхования более 100 тыс. учителей в исходном коде сайта.

Скорее всего, прокуратура не будет возбуждать дело против журналиста. Назвать хакером человека, просмотревшего исходный код страницы в браузере, даже с большой натяжкой, невозможно.

https://www.securitylab.ru/news/525663.php

🇺🇸 На конференции Национальной оборонной промышленной ассоциации США был представлен концепт нового боевого робота.

Основой новой боевой системы выступает робособака Vision 60 компании Ghost Robotics.

Робот оснащен нестандартным оружием, изготовленным специалистами по стрелковому оружию Sword International. SPUR или «беспилотная винтовка специального назначения» имеет 30-кратный оптический зум, тепловизионную камеру для наведения на цель в темноте и эффективную дальность действия 1,2 км.

Робот способен пройти на одном заряде 12,5 км со скоростью 7,2 км/ч, может вести стрельбу с дистанции 1,2 км в любое время суток. Робопес выдерживает температуры от -40 до +55 градусов, может работать в условиях дождя и тумана.

Машину планируется использовать в подразделениях сил специальных операций США.

https://www.securitylab.ru/news/525661.php

​​Пожалуй, закончим неделю на прекрасной ноте: эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов - программ, позволяющих скрыть в системе присутствие ВПО или следы пребывания злоумышленников.

Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.

Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.

Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.

В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.

В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.

В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.

Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.

По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.

Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.

Urgent Pizza: Нерассказанная история крупнейшего взлома в истории Twitch

Как сообщает Motherboard, в 2014 году, всего через несколько месяцев после покупки Twitch компанией Amazon почти за $1 млрд, сервис подвергся крупнейшей кибератаке. Однако до недавнего времени информация о ней не разглашалась широкой общественности.

Атаку выявил инженер Twitch (пожелавший сохранить анонимность) в процессе оказания техподдержки сотруднику, работающему дистанционно. Он обнаружил журналы, показывающие, что хакеры получили доступ к учетной записи этого сотрудника. По словам инженера, злоумышленники не были профессионалами и оставили явные следы своего вторжения.

Открытие инженера повлекло за собой масштабное расследование, в котором приняли участие практически все сотрудники Twitch. По словам одного из семи источников Motherboard (все источники являются анонимными, поскольку не имеют права разглашать информацию о своей работе в компании в то время), в течение двух месяцев они работали по 20 часов в сутки. Еще один экс-сотрудник сообщил, что они работали три недели подряд без выходных, а те, кто жил далеко от работы, были вынуждены ночевать в отеле.

https://www.securitylab.ru/news/525654.php

Ботнет FreakOut превращает видеомагнитофоны в криптомайнеры Monero

В конце прошлого месяца исследователи Juniper Threat Labs отметили новую активность Python-ботнета FreakOut также известного как Necro и N3Cr0m0rPh, который нацелился на устройства для цифровой видеозаписи (видеомагнитофоны) Visual Tools DVR, используемые в профессиональных системах видеонаблюдения.

Ботнет FreakOut/Necro появился на радарах экспертов по безопасности в ноябре 2020 г. Изначально он создавался для DDoS-атак и криминального майнинга криптовалют. Впоследствии его функциональность заметно расширилась. Он может устанавливать руткит в Windows, маскировать свою инфраструктуру с помощью алгоритма генерации доменных имен, распространяться с помощью эксплойтов или брутфорса, а также заражать файлы HTML, JS, PHP. Из недавних версий пропал SMB-сканер, использовавшийся еще весной 2021 г., а статический адрес контрольного сервера сменился на динамический.

https://www.securitylab.ru/news/525673.php

🛸АНБ призывает Пентагон защитить истребитель F-35 от кибератак

Зависимость американского вооружения от компьютеров позволяет «противникам США» использовать уязвимости в них и без единого выстрела «приземлять» даже новейшие истребители пятого поколения F-35.

В подразделении Минобороны США опасаются, что становящийся все более многополярным мир приводит к появлению иностранных киберпреступников, действия которых могут поставить под угрозу системы вооружений США.

США слишком долго воевали в Афганистане, где сталкиваться с противником, имеющим в своем распоряжении высокие технологии, не приходилось. Поэтому они привыкли во всем полагаться на компьютеры, которые установлены не только в самолетах, но даже на стрелковом оружии.

https://www.securitylab.ru/news/525674.php

Хотите узнать, что происходит нового в сфере кибербезопасности, - обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.

Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа - это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.

Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).

https://www.securitylab.ru/analytics/525423.php

На всех станциях московского метро с 15 октября запускается система оплаты проезда через распознавание лиц Face Pay.

Алгоритм работы Face Pay прост: вы привязываете свою банковскую карту, на которой есть средства, и "Тройку" к приложению "Метро Москвы", смотрите в камеру перед турникетом, отмеченным стикером, деньги за проезд автоматически списываются. Даже руки из карманов не нужно доставать, или тяжелые пакеты перекладывать и искать в карманах карточку или смартфон.

Примечательно, что прозрачные очки и маски не станут помехой для распознавания лица пассажира, если хотя бы 40% его лица остаются открытыми. Если же закрыта большая часть лица, то потребуется чуть больше времени для распознавания пассажира.

Как отметили в мэрии, Москва стала первым городом в мире, где подобная система заработала в таких масштабах.
https://www.securitylab.ru/news/525651.php

🇷🇺Госдума обяжет соцсети давать пользователям возможность отключать алгоритмы рекомендаций

В Госдуме почти готов законопроект об обязательной опции отключения рекомендательных сервисов. Он прямо повлияет на бизнес большинства технологических компаний в России, и не только отечественных.

🤦🏻‍♀️По мнению депутатов, эти алгоритмы «повышают риски социальных конфликтов», а также «могут вызывать аномальный интерес к товарам и влиять на общественное мнение». Бизнес же считает, что эта «сырая» инициатива скажется на финансовых показателях.

Под действие документа подпадут все соцсети, новостные агрегаторы и аудиовизуальные сервисы, которые используют алгоритмы для формирования ленты. Это например Facebook, Instagram, YouTube, Spotify, «ВКонтакте», «Яндекс.Музыка» и другие.

https://www.securitylab.ru/news/525679.php

Ростех выпустит браслеты для «поиска людей»

Холдинг «Росэлектроника» госкорпорации «Ростех» выпустит браслеты-трекеры для дистанционного присмотра за людьми.

Устройство основано на технологии интернета вещей LoRaWAN (Long Range Wide Area Network).

Авторы устройства собираются снабдить его пульсоксиметром, кнопкой SOS и датчиком, передающим сведения о состоянии здоровья и местонахождении владельца в картографическое приложение сервиса «Не теряйся!». Трекер сможет работать без подзарядки до 160 часов, то есть чуть больше 6,5 суток..

https://www.securitylab.ru/news/525680.php

Windows 10, iOS 15 и Chrome были взломаны на китайских соревнованиях хакеров

Китайские исследователи безопасности завоевали в общей сложности $1,88 млн на главных в стране хакерских соревнованиях "Кубок Тяньфу" (Tianfu Cup), взломав самое популярное в мире ПО, в том числе Windows 10, iOS 15, Ubuntu, Chrome и пр.

Гран-при соревнований, проходивших 16-17 октября в городе Чэнду, завоевали специалисты китайской ИБ-компании Kunlun Lab, повезшие домой $654,5 тыс., что составляет треть от всего призового фонда.

Большинство обнаруженных участниками уязвимостей представляют собой повышение привилегий или удаленное выполнение кода, но два эксплоита заслуживают особого внимания.

Первый эксплоит позволяет осуществить цепочку атак на последний iPhone 13 под управлением iOS 15 со всеми существующими на сегодняшний день обновлениями. С помощью второго можно в два этапа удаленно выполнить код на Google Chrome, чего уже много лет не удавалось достигнуть участникам хакерских соревнований.

https://www.securitylab.ru/news/525682.php
https://www.securitylab.ru/news/525682.php

Бывший генерал армии США рассказал об опасности ИИ-оружия

Бывший генерал армии США Стэнли Маккристал (Stanley McChrystal) сообщил, что искусственный интеллект неизбежно придет к принятию смертоносных решений на поле боя. Маккристал также признал «пугающие» риски возможной неисправности или ошибки в работе систем на базе ИИ.

«Люди говорят, что никогда не отдадим контроль над смертельным ударом искусственному интеллекту. Это неправда. Мы обязательно это сделаем. Потому что в определенный момент никто не сможет отреагировать достаточно быстро. Сверхскоростная, гиперзвуковая ракета приближается к авианосцу США, и не будет времени на принятие решений высшим руководством», — пояснил Маккристал.

«В современной организации сейчас сложно полностью понять, какие решения на самом деле принимаются алгоритмически, а какие — людьми. Если человек не понимает, я бы сказал, у него есть риск потерять реальное понимание контроля над своими организациями», — отметил Маккристал.

https://www.securitylab.ru/news/525689.php

🇷🇺В Москве была запущена первая в стране экосистемная квантовую сеть между вузами с открытым доступом.

Экосистемная межвузовская квантовая сеть включает пять узлов, которые расположены в корпусах НИТУ "МИСиС" и МТУСИ.

Доступ к сети может быть предоставлен университетам, научным организациям, индустриальным партнерам, а также государственным учреждениям.

"Сегодня у нас важное, историческое событие. Впервые запускается межуниверситетская квантовая сеть с открытым доступом. Для нас как для ведущего отраслевого университета очень важно, что российские ученые получают возможность проводить свои исследования в области квантовых коммуникаций на реальной оптической сети. Для операторов связи и производителей телекоммуникационного оборудования с элементами квантовых технологий появляется уникальная возможность тестировать свое оборудование на реальной сети, а не только в лабораторных условиях", - сказал на презентации сети ректор МТУСИ Сергей Ерохин, сравнив это событие с появлением беспилотных автомобилей на улицах городов.

https://www.securitylab.ru/news/525687.php

Facebook обвинили в подрыве демократии и дискриминации, хакеры атаковали крупнейший банк Эквадора, ИБ-экспертам по-прежнему угрожают судом за выявление 0-day, а через взломанные маршрутизаторы TP-Link рассылали SMS. А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала! Смотрите 36-й выпуск наших новостей:

https://www.youtube.com/watch?v=9c6o3f5ghLs

Темы нового ролика:

- Internet Archive сделал весьма мрачный прогноз по поводу будущего интернета
- АНБ: США будут сталкиваться с вымогателями каждый день в ближайшие годы      
- Вымогатели Conti украли у JVCKenwood Group 1,7 ТБ данных
- Произошла утечка исходного кода Twitch и заработков топовых блогеров      
- В Украине разоблачили вымогателя, атаковавшего более 100 иностранных компаний  
- Атака вымогателей на больницу привела к гибели ребенка    
- Касперская советует россиянам не сдавать биометрические данные        
- Сноуден прокомментировал сбой в работе Facebook  
- Обслуживающая крупных мобильных операторов компания Syniverse сообщила о взломе
- Криптоплатформа Compound раздала $90 млн своим пользователям из-за сбоя  
- Хакеры украли криптовалюту со счетов 6000 пользователей Coinbase  
- Akamai Technologies купила израильский ИБ-стартап Guardicore за $600 млн

REvil ушла в offline после взлома ее сайтов в даркнете

Первым неладное заподозрил специалист Recorded Future Дмитрий Смилянец, обнаруживший сообщение на хакерском форуме XSS от одного из связанных с REvil киберпреступников. Согласно сообщению, неизвестные захватили контроль над платежным порталом группировки в Tor и ее сайтом утечек.


"Они взломали сервер и искали меня. Говоря точнее, они удалили путь к моему скрытому сервису в файле torrc, создали собственный и ждали, когда я приду. Я проверил остальных - этого не было. Всем удачи, я все", - говорится в сообщении, опубликованном пользователем под псевдонимом user 0_neday.

Кто стоит за взломом серверов REvil, неизвестно, но вполне вероятно, что здесь не обошлось без спецслужб.
https://www.securitylab.ru/news/525693.php