Artykuły dotyczące tematu: Bit9

dodany: 01.03.2013 | tagi: , ,

Powiązanie zero-day Javy z wpadką Bit9

0

Pamiętacie ostatnią wpadkę firmy Bit9? Zgadnijcie co  wykorzystano w najnowszym błędzie zero-day Javy. Wszystko to powiązano z luką opisaną pod CVE-2013-1493. W rezultacie tego błędu możliwe jest wykonanie dowolnego kodu – w tym celu podrzucany jest trojan.Naid (nazwa zdefiniowana przez Symanteca). Jest on zawarty w złośliwej bibliotece DLL. W następstwie jego działania zainfekowana maszyna nawiązywała komunikację z serwerem Command-and-control (C&C), który był zlokalizowany pod adresem IP 110.173.55.187.

Jak się okazało owy trojan został podpisany wykradzionym certyfikatem od Bit9. Na poniższej grafice przedstawiono schemat działania:

 

symantec Bit 9

Atak rozpoczyna się odwiedzeniem strony z złośliwym plikiem JAR, który został ochrzczony przez Symanteca jako Trojan.Maljava.B. Złośliwiec ten wykorzystuje lukę opisaną w/w CVE-2013-1493. Jeśli inicjalizacja trojana się powiedzie, to następnie jest pobierany plik svchost.jpg, który w rzeczywistości jest dropperem. W rezultacie jego działania na komputerze umieszczana jest złośliwa biblioteka appmgmt.dll, która zawiera właśnie owego trojana Naid.

Ten sam rodzaj ataku stwierdziła firma FireEye – badacze zauważyli, że problem ten występuje w przypadku Javy v1.6 z aktualizacją nr 41 i Javą v1.7 z aktualizacją nr 15.

dodany: 11.02.2013 | tagi: ,

Malware podpisany certyfikatem poważnej firmy zabezpieczającej

6

Bit9 to firma produkująca programy zabezpieczające dla tych,  dal których bezpieczeństwo jest najważniejsze. Przepuszczenie jakiegokolwiek „syfu” pod kontrolą ich produktu jest teoretycznie niemożliwe, gdyż programy zabezpieczające tej firmy pozwalają na działanie jedynie tym aplikacjom/usługom, które są na zaufanej liście. Wszystkie inne są blokowane, dlatego nawet nieznany wirus nie ma możliwości przedarcia się. Z tych właśnie powodów produkty te są używane przez 30 najbogatszych firm oraz rząd USA.

To tylko teoria i na każde drzwi jest sposób… Jak zatem przechytrzyć tak rygorystyczny program AV? Po prostu zdobyć klucz do podpisywania zaufanych aplikacji. Prezes firmy Bit9 – Patric Morley na swoim blogu poinformował, że w piątek odkryli atak hakera, który zdobył w ten sposób ów klucz do podpisywania aplikacji. Dzięki temu możliwe było stworzenie „bezpiecznego” malware’u, który mógł zostać uruchomiony u ofiar bez żadnych sprzeciwów oprogramowania zabezpieczającego Bit9.

Jak podaje Morley spreparowanym „zaufanym” oprogramowaniem zostało zarażonych przynajmniej 3 klientów firmy. Niestety nie pochwalili się, jakie szkody zostały poczynione. Przemilczenie faktu, kto został zaatakowany jest oczywiste. Firmie na pewno będzie ciężko odzyskać dobre imię, po takiej wpadce. Co prawda Bit9 szybko zareagowała, ale czy nie lepiej po prostu nie wpadać w rutynę, twierdząc, że nasz system jest nie do sforsowania?