Новости

Исследователи разработали способ обнаружения вредоносов внутри зашифрованного трафика

07.07.2016

Вероятность обнаружить вредоносную активность в зашифрованном трафике превышает 90% для корпоративных сетей.

Группа исследователей из компании Cisco сумела разработать способ определения вредоносного трафика, передаваемого внутри TLS соединения. При этом исследователям не пришлось расшифровывать данные.

Исследователи проанализировали тысячи образцов 18 семейств вредоносного ПО, десятки тысяч вредоносных пакетов и миллионы перехваченных зашифрованных пакетов, передаваемых в корпоративных сетях. Ученые уточняют, придуманный способ обнаружения вредоносной деятельности может применяться исключительно в корпоративных сетях и не подходит для интернет-провайдеров.

Принципы обнаружения вредоносной деятельности основываются на анализе доступных данных при перехвате сетевого трафика: clientHello и serverHello сообщений, идентификаторов, используемой версии протокола TLS, метаданных потока (количество передаваемых байт, пакетов, номера портов, длительность соединения), последовательности длины пакетов и периодичности, распределении байт внутри потока и информации из TLS-заголовка.

По словам исследователей, достаточно проанализировать поток передаваемых данных для обнаружения активности большинства существующих семейств вредоносов. Также возможно определить семейство по структуре передаваемых данных, даже при использовании одинаковых параметров TLS-соединений.

Алгоритмы, описанные исследователями, позволяют достоверно определить активность следующих семейств вредоносов: Bergat, Deshacop, Dridex, Dynamer, Kazy, Parite, Razy, Zedbot и Zusy.

Точность определения вредоносного трафика внутри зашифрованных данных достигает 90.3% для каждой семьи вредоносов при анализе одного сетевого потока, и 93.2% при анализе всех сетевых потоков в течение 5-минутного окна.

Приложение-вымогатель Satana шифрует главную загрузочную запись системы

04.07.2016

В сети появилось очередное приложение-вымогатель, которое не просто шифрует файлы пользователей с определёнными расширениями, но и не даёт возможность загрузить операционную систему. Точно так же поступало приложение Petya, описанное в марте.

Приложение Satana представляет собой сочетание классического вымогателя и программ вроде Petya. Оно шифрует файлы, как и все прочие вымогатели. Перед именем каждого зашифрованного файла ставится адрес электронной почты злоумышленников, так что вся конструкция выглядит как email@domain.com____filename.extension. Далее шифруется главная загрузочная запись (MBR) операционной системы и на её место помещается другая. При первой перезагрузке компьютера появляется записка с требованием выкупа.

Исследователь с ником hasherezade из компании Malwarebytes уверен, что восстановить MBR можно, но зашифрованные файлы останутся зашифрованными. Впрочем, навыки для восстановления MBR через командную строку Windows есть далеко не у всех пользователей и процедура не гарантирует успеха на 100%.

Для шифрования файлов используется надёжный алгоритм, который невозможно взломать методом простого перебора. Однако даже выплата выкупа не гарантирует получения файлов обратно, особенно если командный сервер отключался во время шифрования файлов. Работа над этим приложением продолжается, в коде пока немало багов, так что в будущем можно ждать новой опасной функциональности.

Злоумышленники обманывали жертв при помощи сервиса Google и Data URI

04.07.2016

Сайт My Online Security сообщил об изобретательной фишинговой кампании против пользователей браузера Chrome. Она комбинировала укорачиватель ссылок goo.gl и скрытый в URL скрипт, чтобы получить поддельную страницу входа в учётную запись Google. Результат получался почти неотличимым от оригинала и мог обмануть даже внимательного пользователя.

Фишеры рассылали жертвам спам со ссылкой, пропущенный через принадлежащий Google укорачиватель goo.gl. Если нажать на неё, в браузере открывалась страница, предлагающая войти в учётную запись Google. Она выглядела в точности так же, как настоящая, и даже домен в адресной строке был совершенно верным — accounts.google.com.

В действительности укороченная ссылка вела не на Google, а на принадлежащий злоумышленникам сайт nwfacilities.top. Жертва, впрочем, на нём не задерживалась. Фишинговая страница тут же перенаправляла браузер на адрес в домене accounts.google.com с прибавленной строчкой «data:text/html».

«data:» — это стандартная, хотя и не очень распространённая схема URI, которая позволяет включать данные для отображения прямо в адрес ресурса. Её понимают все популярные браузеры, кроме Internet Explorer, поддерживающего этот стандарт лишь частично.

После редиректа в браузере действительно открывалась страница с домена Google, но тут срабатывал включённый в URL скрипт злоумышленников. Он подменял содержимое гугловского HTML большим iframe, занимающим всё окно браузера. В iframe загружалась другая страница с nwfacilities.top, копирующая внешний вид формы для ввода логина и пароля, но отправляющая их не Google, а злоумышленникам.

Интересно, что в полной мере этот трюк срабатывает только в Google Chrome. Браузер Microsoft спотыкался на незнакомой схеме и уведомлял пользователя, что для просмотра такой страницы нужна другая программа. Это видимо, тот редкий случай, когда отсталость Internet Explorer оказывается полезна.

Когда My Online Security вывел фишеров на чистую воду, Google оперативно заблокировал укороченную ссылку. Правда, ничто не мешает злоумышленникам создать новую и продолжить сбор паролей. Поэтому лучше проявлять бдительность: теперь даже правильный URL не гарантирует, что всё в порядке.

В Chrome для ПК появилась встроенная поддержка Cast

04.07.2016

Одной из полезных функций практически во всех продуктах компании Google является Cast, позволяющая транслировать музыку, видео и фотографии с компьютера или мобильного устройства на телевизор с поддержкой этой технологии или подключенными к нему аксессуарами, вроде Chromecast или Nexus Player. Ранее в настольной версии Chrome для трансляции контента по Cast необходимо было устанавливать специальное расширение, но в новой версии браузера эта функция теперь является встроенной и вызывается через основное меню.

Стоит отметить, что функция Cast начала появляться лишь у некоторых пользователей, обновившихся до Chrome 51. Пройдёт некоторое время, пока она станет доступна полностью всем. Кроме этого, из браузера можно будет транслировать контент в Google Hangouts и другие облачные сервисы. Подробнее об этом на официальном сайте Google.

Хакеры взломали профили главы Google

04.07.2016

Хакеры из OurMine сообщили, что получили доступ к аккаунтам Сундара Пичая, главы Google, на сервисах Twitter и Quora. Доступ был получен через уязвимость в Quora, после чего, при помощи синхронизации между этим сервисом и микроблогом, были опубликованы сообщения в Twitter. При этом они отметили, что получить доступ к профилю Пичаи было очень просто.

Причём, как сообщают злоумышленники, злого-то умысла у них и не было — они просто хотели продемонстрировать уязвимости, которые могут затронуть и таких важных людей в мире IT. Так, ранее эта же группировка взломала профили Дэниела Эка (основатель Spotify и бывший глава µTorrent), а также создателя Facebook Марка Цукеберга. Причём, в случае с главой крупнейшей в мире социальной сети, атака была куда масштабнее, и затронула его профили в Instagram, Twitter, LinkedIn и Pinterest.

Страницы