Artykuły dotyczące tematu: exploit

dodany: 12.04.2013 | tagi: , ,

Czym jest FUD?

0

Artykuł ten ma na celu zbadanie poprawności nazewnictwa wirusów FUD – całkowicie niewykrywalny / nieusuwalny, z jęz. ang. Fully Undetecdable lub Fully Unremovable; UD – wykrywalny; oraz tak powszechnie stosowana nomenklatura malware zero day.

Do napisania tego artykułu zainspirowała mnie informacja, jakoby Zero Day odnosił się tylko do exploitów, a w przypadku nowego malware – FUD. Tak więc, czy „malware 0-day” jest poprawną nomenklaturą niewykrywalnych wirusów?

Czym jest FUD?

Całkowicie niewykrywalny nie odnosi się tylko do nowych i nienznaych wirusów. Przykład: jeśli złośliwy kod napisany w PHP zostanie wykryty przez program antywirusowy będzie on wykrywalny, ale jeśli ten sam kod zaszyfrujemy w Base64, który najpierw powinien odszyfrować się z Base64, a później wykonać zawarty tam kod, w ten sposób plik będzie znowu niewykrywalny. Jednak czasami pozyskanie kodu źródłowego malware staje się niemożliwe dla ponownej kompilacji w FUD. W takim wypadku stosuje się cryptory lub cryptery. Crypter posiada dwa pliki: builder oraz stub. Stub jest „mini” programem, który w zależności od autora będzie przechowywał drugi plik. Builder szyfruje wybrany plik zazwyczaj algorytmami XOR, RC4, TEA, 3DES. Np. builder szyfruje wykrywalny plik przy pomocy algorytmu z kluczem i zapisuje go w postaci RESOURCES w stub’ie. Stub jest niewykrywalny, zbudowany z dekodera oraz loadera. Stub pobiera z sekcji RESOURCES zaszyfrowany malware, by następnie przy pomocy klucza odszyfrować malware w pamięci. W następnym kroku, loader uruchamia malware z dropem lub bez drop’u. Z drop’em – oznacza to, że dekoder odkodowuje plik, zapisuje go na dysku i dopiero teraz loader uruchamia malware. Jeśli malware uruchamiane jest bez drop’u – oznacza to, że uruchamiany jest bezpośrednio w pamięci.

 

Tak więc, czym różni się FUD od UD?

UD jest wykrywalny przez co najmniej jeden program antywirusowy. UD – undectable odnosi się do znanych malware (know malware), ale tylko o ograniczonym zakresie zdolnych do wykrycia / usunięcia go skanerów antywirusowych. UD odnosi się także do unremovable (nie do usunięcia) – nieznany w sygnaturach, ale malware UD może być wykryte przez analizę heurystyczną.

Jeśli znany jest przynajmniej jeden sposób usunięcia – skanerem antywirusowym lub ręcznie np. po analizie logów z aplikacji firm trzecich takich jak OTL czy GMER (w przypadku rootkitów) to malware nie jest już FUD – mówi Arkadiusz Zakrzewski – Specjalista pomocy technicznej AVG.

Z chwilą pierwszego ataku, który powoduje ujawnienie się malware`u, następuje wykorzystanie 0-day`a i rusza proces zdobycia sampla, analiza i zniesienie statusu FUD, dystrybucja aktualizacji, która obejmuje nowy malware.

FUD – dotyczy tylko wyłącznie procesu „wykrywania”. Przedmiotem wspomnianej detekcji może być exploit, shellcode czy payload. Najcześciej w parze z 0day idzie FUD exploit, FUD shellcode (często) oraz FUD payload (czyli malware, który został pobrany za pomocą shellcode).

 

Czym jest Zero Day?

– Wypowiedź nie jest oficjalnym stanowiskiem AVG, lecz opinią Arkadiusza Zakrzewskiego, specjalisty pomocy technicznej.

Moim zdaniem 0day jest określeniem powagi zagrożenia, a nie jego typu. Zero day to zawsze priority very high/critical czyli incydent o bardzo dużym zagrożeniu, bo albo jest możliwy atak na bardzo dużej liczbie użytkowników np. luka w bardzo popularnym oprogramowaniu – przykład idealny to od zatrzęsienia 0day na IE czy Flasha albo atak 0-day jest bardzo dużym zagrożeniem np. kompletne rozkładanie na łopatki Windowsów przez exploit..

0-day to też atak z wykorzystaniem luki, która nie jest nikomu znana, szczególnie developerom danej aplikacji. Nowy exploit na starą dziurę w Windows już nie będzie 0-day`em bo do ataku wykorzystuje już znaną lukę, dla której albo istnieje już patch/workaround i infekcja ma szanse powodzenia tylko na nieaktualnym oprogramowaniu albo taki patch jest w trakcie opracowywania, a więc żywot infekcji na taką lukę będzie bardzo krótki.”

0-day odnosi się tylko do luk w oprogramowaniu czyli exploitów. Zero-day mówi nam, ile dni miał producent danego oprogramowania na załatanie dziury. Jak nazwa wskazuje, producent miał 0 dni, czyli mamy do czynienia ze scenariuszem:

  • wykrycie dziury
  • stworzenie exploita
  • dystrybucja wild

 

Pierwsze informacje o luce pochodzą z dystrybucji „wild” czyli od userów, którzy padli ofiarą exploita. Specjaliści analizują exploita i dowiadują się o lokalizacji dziury w programie. Sumarycznie, producent miał 0 dni na załatanie dziury, bo nawet o niej nie wiedział (lub wiedział ale nic nie zrobił).

„Malware zaś to ogólne określenie złośliwego oprogramowania. Zarówno exploit jak i backdoor czy trojan mieszczą się w definicji malware`u i każdy z nich może być poziomu 0day threat, czyli po pierwsze wykorzystywać nieznaną i niezabezpieczoną wcześniej lukę, a po drugie atakować popularne oprogramowanie (to najczęściej spotykane 0-day`e) – mówi Arkadiusz Zakrzewski.

 Nomenklatura wg F-Secure

_Jakaś_Nazwa_.0Day.Malware jest to nazwa dla nowego, niezdefiniowanego malware wykrytego przez sygnatury generyczne. Jeśli o takiej nazwie zostanie zablokowane zagrożenie oznacza to, że malware jest niezdefiniowane i nie posiada podpisu w postaci definicji. Jednakże zagrożenie może zostać wykryte za pomocą analizy heurystycznej, czyli w przypadku F-Secure – za pomocą technologii zwanej Zero-Hour Protection zaimplementowanej w niektóre produkty F-Secure z rodziny Antivirus. W przypadku przeanalizowania wirusa, nomenklatura np. Email.0Day.Malware zostaje zastąpiona generyczną, rodzajową nazwą malware.

 

Podsumowując

– nomenklatura zero day to nie tylko luka w oprogramowaniu, ale także powaga zagrożenia

– malware 0 day to poprawne nazewnictwo nowych wirusów, które wykorzystują nowe, nieznane luki lub atakują oprogramowanie (backdoor, exploit, trojan)

– malware FUD to nazewnictwo niewykrywalnych wirusów przez skanery antywirusowe (z definicji oraz poprzez heurystykę)

Malware 0 day = malware FUD

 

Źródło: AVLab.pl

dodany: 16.01.2013 | tagi: ,

Nowa Java i nowy exploit na rynku

0

Niedawno informowaliśmy Was o wydaniu nowej wersji Java 7  (aktualizacja nr 11), która naprawiała poważny błąd (zobacz newsa: Oracle wydało poprawkę na bug zero-day w Javie). Niestety na reakcje z „czarnej strony mocy” nie trzeba było długo czekać – na dedykowanym forum cyberprzestępczości pojawiła się oferta sprzedaży gotowych exploit-kitów dotyczących najświeższej wersji wirtualnej maszyny Java. Ceny zaczynają się od 5 tysięcy dolarów amerykańskich wzwyż.

Póki co tylko jeden sprzedawca oferuje nowy exploit, który klasyfikuje się jako błąd 0-day. Do tej pory sprzedano go dwóm osobom. Niestety nie wiadomo, na ile niebezpieczny jest nowy exploit, ale patrząc wstecz na zabezpieczenia Java, należy spodziewać się najgorszego. Sprzedający reklamuje się tym, że jego narzędzie nie jest dostępne w popularnym zestawie Cool Exploit, którego cena zaczyna się od 10 tysięcy USD za miesięczny okres korzystania.

Zapewne w niedługim czasie poznamy oficjalnie istotę najnowszego problemu – wszyscy Ci, którzy muszą używać produktu Oracle, niech robią to z dużą dozą ostrożności – wszystkim innym zalecamy odinstalowanie.

Jak tylko dowiemy się czegoś o nowym exploicie, od razu poinformujemy o nim.

dodany: 16.01.2013 | tagi: , , ,

Poważny problem w ruterach Linksysa

2

DefenseCode opracowało eksploita, który pozwala na nieautoryzowany dostęp do routerów firmy Linksys. Z uwagi na to, że produkty tego giganta sieciowego są używane w przypadku 70 milionów sieci domowych na całym świecie, nie opisano dokładnie sposobu wykorzystania luki, a na dowód problemu przedstawiono jedynie film:

Jak widać na demonstracyjnym wideo badacze z DefenseCode uzyskują dostęp do powłoki rutera WRT54GL bez uwierzytelniania. Pracownicy DC chwalą się, iż eksploita stworzyli w 12 dni, po czym poinformowali o tym fakcie Cisco, do którego należy marka Linksys.

Problem dotyczy wszystkich firmware’ów do aktualnej wersji 4.30.14. Autorzy eksploita poinformowali, że  jego szczegóły przedstawią w ciągu dwóch tygodni.

Cisco dało odpowiedź portalowi The Register, z której wynika, że firma podchodzi do problemu bezpieczeństwa bardzo poważne, także w przypadku użytkowników domowych. Firma potwierdziła kontakt z DefenseCode, aczkolwiek nie mają oni do przekazania klientom żadnej informacji o możliwości nieautoryzowanego zalogowania się do rutera WRT54GL i każdego innego modelu tej firmy… Czy wobec powyższego Linksys wypuści spodziewany firmware? Miejmy nadzieję, że tak.

dodany: 10.01.2013 | tagi: ,

Nowa Java, nowy exploit

0

Już chyba każdy przyzwyczaił się do błędów w Javie, aczkolwiek pewne problemy są wysoce krytyczne. Dlatego informujemy o najnowszym exploicie wykorzystującym najnowsze „ulepszenia” Javy w wersji 1.7.0.10. Jest on o tyle groźny, gdyż pozwala na przejęcie kontroli nad atakowaną maszyną.

Sposób wykorzystania najnowszej luki odkrył blogger kryjący się pod ksywą Kafeine – szczegóły opisał na swojej stronie malware.dontneedcoffee.com. Mało tego – nowy exploit jest już dostępny w gotowych paczkach Blackhole i Nuclear Pack – za pakiet działający przez kwartał trzeba zapłacić 700$, natomiast przy zakupie na cały rok mamy zniżkę, gdyż należy wydać tylko półtora tysiąca USD.

U nas możecie go mieć za darmo ;). Kod nowego exploita jest dostępny na pastebin.com.

Atak wykorzystujący podobną taktykę, co powyższy, jest opisany pod CVE-2012-4681 – został on odkryty  już w sierpniu ubiegłego roku.

Obrona przed nowym niebezpieczeństwem jest tylko jedna – odinstalowanie bądź przynajmniej wyłączenie obsługi Javy!

Nowe zagrożenie na chwilę obecną jest wykrywane tylko przez kilkanaście programów zabezpieczających – wg danych z VirusTotalzaledwie 11 z 46 dostępnych na rynku potrafi wykryć exploita.

Istnienie niebezpieczeństwa potwierdziła także firma AlienVault, która zajmuje się bezpieczeństwem IT.

dodany: 08.01.2013 | tagi: , ,

Nvidia po cichu aktualizuje sterowniki

4

Nvidia po cichutku, bez większego szumu, wydała nowy zestaw sterowników, którego zadaniem jest załatanie luki bezpieczeństwa znalezionej w ramach usługi Display Driver. Luka wyszła na jaw w Boże Narodzenie.

Jeśli używasz GeForce GPU to radzimy od razu zabrać się za aktualizację.

W sobotę pojawiła się aktualizacja w trakcie certyfikacji WHQL, 310.90. W uwagach znajdziemy informację o dodaniu zalecanej aktualizacji zabezpieczeń sterownika Nvidia. Ale próżno szukać gdziekolwiek na stronie informacji co było nie tak ze sterownikiem. Słowem nikt nie wspomniał o tym, że luka czyni usługę Display Driver podatną na przepełnienie stosu i ataki wstrzykujące kod. Bo po co robić szum?

Oprócz aktualizacji łatającej dziurę w bezpieczeństwie dodano także wiele poprawek bugów i ulepszeń wydajności dla niektórych tytułów gier. Dodane zostały także nowe profile 3D Vision.

Aktualizacja jest dostępna na stronie producenta.

Cicha aktualizacja nie powinna dziwić. Która firma chciałaby, żeby odkrycie słabości w oprogramowaniu przyćmiło jej występ na Consumer Electronics Show, na którym zadebiutować ma nowa konsola do gier i nowy czterordzeniowy procesor mobilny Tegra 4?

dodany: 27.11.2012 | tagi: , , ,

Okazyjna cena exploita kont pocztowych Yahoo

0

Komu, komu, bo idę do domu! Macie wolne 700$? Można za tę sumę nabyć drogą kupna exploit, który porywa konta pocztowe Yahoo.  exploit pozwala na użycie luki cross-site scripting (XSS) do kradzieży ciasteczek i przejęcia danego konta mailowego.

Sprzedawcą jest haker o wdzięcznej nazwie TheHell. Oczywiście nikt nie wyda 700$ nie wiedząc czy exploit działa. Nikt nie kupuje kota w worku. TheHell zamieścił wideo pokazujące działanie exploita na ekskluzywnym podziemnym rynku cyberprzestępczości – Darknode.

Wideo reprodukował i zamieścił na YouTube bloger Brian Krebs. Widać na nim jak uzyskać dostęp do konta ofiary.

Po pierwsze atakujący musi zwabić ofiary do kliknięcia w spreparowany, złośliwy adres URL. W momencie otworzenia linku logger rejestruje ciasteczka. Ofiara jest przekierowana z powrotem na stronę poczty Yahoo. Atakujący może od tej chwili przekierowywać sesje przeglądania ofiary do woli. Logger zastępuje ciasteczka, które ukradł i pozwala atakującemu na zalogowanie do przejętego konta e-mail.

Haker obiecuje, że exploit działa na wszystkich przeglądarkach i nie wymaga omijania filtrów XSS na IE czy Chrome. Dodatkowo zachwala swój produkt niską ceną, w porównaniu do innych, podobnych exploitów, które można kupić za ponad 1000$.

BlogerKrebs ostrzegł Yahoo. Luka jest podobno łatwa do załatania, ale najpierw trzeba ją znaleźć. Dyrektor Bezpieczeństwa w Yahoo Ramses Martinez powiedział, że większość błędów XSS jest korygowana przez proste zmiany w kodzie. Całość ma zająć kilka godzin.

Dla end-userów to kolejne ostrzeżenie przeciw ślepemu klikaniu w linki, przed wcześniejszym upewnieniem się co do jego źródła.

dodany: 20.11.2012 | tagi: ,

5 aplikacji najbardziej podatnych na ataki online

0

Większość ataków internetowych jest obecnie przeprowadzana przy pomocy exploitów – szkodliwego kodu wykorzystującego luki w popularnych aplikacjach w celu przeniknięcia do komputerów. Exploity atakują systemy operacyjne, przeglądarki, pakiety aplikacji biurowych oraz odtwarzacze muzyki w celu dostarczenia swoich szkodliwych funkcji. Eksperci z Kaspersky Lab zidentyfikowali pięć podatnych na ataki typów aplikacji, wykorzystywanych najczęściej przez exploity.

Według raportu Kaspersky Lab, dotyczącego aktywności szkodliwego oprogramowania w III kwartale 2012 r., luki w Javie są wykorzystywane w ponad połowie wszystkich ataków online na świecie. Aktualizacje tego oprogramowania są instalowane na żądanie, a nie automatycznie, co zwiększa długość życia luk. Exploity Javy są łatwe do wykorzystania niezależnie od wersji systemu Windows, a przy dodatkowej pracy ze strony cyberprzestępców, tak jak w przypadku Flashfake’a atakującego również system OS X firmy Apple, można stworzyć exploity wieloplatformowe. Tłumaczy to szczególne zainteresowanie cyberprzestępców lukami w Javie.

Na drugim miejscu znajdują się ataki przeprowadzane za pośrednictwem programu Adobe Reader, które stanowiły jedną czwartą wszystkich zablokowanych ataków. Popularność exploitów dla Adobe Readera stopniowo zmniejsza się ze względu na stosunkowo prosty mechanizm pozwalający na ich wykrywanie, jak również automatyczne aktualizacje wprowadzone w ostatnich wersjach tego oprogramowania. Exploity atakujące luki w module Pomoc i obsługa techniczna systemu Windows, jak również różne błędy w przeglądarce Internet Explorer, stanowiły 3% wszystkich ataków.

Od kilku lat cyberprzestępcy nieustannie szukają błędów w programie Flash Player. Według danych pochodzących z chmury Kaspersky Security Network, w III kwartale 2012 r., w rankingu dziesięciu najczęściej wykorzystywanych błędów w zabezpieczeniach, znalazły się dwie luki we Flashu. Pierwszą piątkę zamknęły exploity wykorzystujące urządzenia działające pod kontrolą systemu Android. Ich głównym celem jest przeprowadzenie „rootowania” smartfonów i tabletów aby nadać każdemu oprogramowaniu – oryginalnemu lub szkodliwemu – pełny dostęp do pamięci i funkcji urządzenia.

Internet stanowi dzisiaj bardzo agresywne środowisko. Praktycznie każda strona WWW może okazać się zainfekowana, a użytkownicy posiadający na swoich komputerach dziurawe aplikacje mogą łatwo paść ofiarą cyberprzestępców

– komentuje Siergiej Nowikow, szef Globalnego Zespołu ds. Badań i Analiz (GReAT), region EEMEA, Kaspersky Lab.

Cyberprzestępcy celują głównie w konta elektroniczne i poufne dane użytkowników, oczekując, że będą mogli zamienić te informacje na gotówkę. Wykorzystują wszystkie dostępne metody w celu dostarczania szkodliwego oprogramowania na komputery użytkowników, a exploity stanowią jedną z najpopularniejszych metod.

Aplikacje najbardziej podatne na ataki online, III kwartał 2012 r.

Zalecamy użytkownikom dbanie o to, aby oprogramowanie zainstalowane na ich komputerach było zawsze aktualne. Warto także zastosować dobrą ochronę, taką jak technologia automatycznego zapobiegania exploitom zintegrowana w naszych nowych produktach

– dodaje Nowikow.

Nowa technologia automatycznego zapobiegania exploitom, wbudowana w program w Kaspersky Internet Security 2013, zapobiega i blokuje aktywność exploitów. Główna funkcjonalność tej technologii obejmuje:

      

 

    • kontrolę uruchamiania plików wykonywalnych przez aplikacje (łącznie z przeglądarkami internetowymi), w których wykrywane są luki lub przez aplikacje nieprzeznaczone do aktywowania plików wykonywalnych (Microsoft Word, Excel itd.);
    • szukanie oznak szkodliwego zachowania typowego dla exploitów, w przypadku gdy zostaną uruchomione pliki wykonywalne;
    • monitorowanie aktywności (klikanie odsyłaczy, rejestrowanie innych procesów itd.) aplikacji, w których zostały wykryte luki.

 

W celu zapewnienia możliwie jak najefektywniejszej ochrony wszystkie informacje (lista aplikacji, o których wiadomo, że zawierają luki, kontrola uruchamiania plików przez aplikacje) są automatycznie uaktualniane.

Pełny raport poświęcony ewolucji szkodliwych programów w III kwartale 2012 r. jest dostępny w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=726.

dodany: 01.08.2012 | tagi: , ,

Linuksowy sterownik Nvidii z exploitem

0

Anonimowy użytkownik portalu seclist.org zgłosił, iż binarna wersja sterownika Nvidia dla systemu Linux zawiera  exploita stworzonego przez anonimowego hakera, który przekazał tę informację miesiąc temu, bezpośrednio do Nvidii.

Teraz exploit stał się ogólnodostępny. Za jedno z wydań exploita jest odpowiedzialny Davir Arli, znany też jako  „X hacker”.

Bug zawarty w binariach pozwala urządzeniu /dev/nvidia0 na zapis/odczyt dowolnej części pamięci RAM podczas przesuwania/zmieniania okna VGA, bezpośrednio przez odwołanie z poziomu superusera do pamięci kernela.

dodany: 27.07.2012 | tagi: , ,

NFC exploit może przejąć Twoje urządzenie przez zwykły dotyk

1

Luka odkryta w Near Field Communiaction (NFC) może pozwolić na przejęcie smartfona niczego nie świadomego użytkownika przez napastników, którzy po prostu na nich wpadną w dżungli zwanej miastem, powiedział ekspert ds. bezpieczeństwa na tegorocznej konferencji Black Hat w Las Vegas.
Dla przypomnienia NFC to bezprzewodowa technologia, która ustanawia komunikację między telefonami za pomoc kontaktu fizycznego. Jest stosowana głównie w telefonach wyposażonych w Androida.

Znany haker Apple i researcher Accuvanta Charlie Miller zapiał z zachwytu w Pałacu Cezara w Las Vegas widząc demo, które zawierało proces infiltracji telefonu z Androidem wykonany za pomocą otarcia go ze znacznikiem wbudowanym w chip NFC.

Gdy telefon już jest otagowany, przeglądarka otwiera fałszywe strony WWW, które dały Millerowi pełny dostęp do danych w urządzeniu.

Poza tą androidową luką, Miller zwykł przeprowadzać exploita. Po  „zabawie” z Androidem , haker odkrył także, że ten błąd występuje w Nokii N9, która działa na platformie MeeGo.

W czasie wywiadu dla SCMagazine.com Miller wyznał, że chce swoje najnowsze badania skoncentrować na NFC, bo jest to nowa technologia, jej wykorzystanie nie wymaga interakcji z użytkownikiem a przeważa fakt, że nie ma wielu analiz na ten temat.

Chociaż nie było żadnego  „dzikiego” i złośliwego działania NFC, Miller uważa, że gdy NFC stanie się bardziej powszechny, to i złośliwe działania mogą mieć miejsce.

„Jeśli jesteś w stanie wyobrazić sobie płacenie tylko telefonem, to takie ataki znajdziesz wszędzie. Wymiana tagów NFC z podobnymi złośliwymi jest bardzo realistyczna. To będzie odpowiednik oszustw bankomatowych”

powiedział Miller.

Sposobem, na uczynienie technologii bardziej bezpieczną jest monitowanie użytkownika do wyboru każdej wymiany, jakiej dokonują, jednak takie rozwiązanie wpłynie znacząco na zakłócenia w wygodzie korzystania z NFC.

dodany: 22.07.2012 | tagi: , ,

Kod Hacking frameworka od SecureState – Terminetera – został opublikowany

0
Kod Hacking frameworka od SecureState – Terminetera – został opublikowany

Kod Terminetera został opublikowany na Google Code. Jest to framework o strukturze podobnej do Metasploita z podobnym interfejsem i możliwością rozszerzania zewnętrznymi modułami.

Termineter nie umożliwia zdalnego ataku martwiącego właścicieli infrastruktury, którzy niepotrzebnie otworzyli interfejsy kontrolne na zewnętrzną sieć. Program umożliwia zebranie danych z lokalnych interfejsów.

SecureState ogłosiło, że kod zostanie wydany pod koniec lipca. Powiedzieli także, że program będzie umożliwiał użytkownikom testowanie podatności, takich jak oszukana konsumpcja energii czy network hijacking.