 fox
II/IDEC networks :: habra.16 :: / Security Week 41: неделя патчей, 12-летняя уязвимость в sshd возвращается, StrongPity APT
|
Login |
[#]
Security Week 41: неделя патчей, 12-летняя уязвимость в sshd возвращается, StrongPity APT
habrabot(difrex,1) — All
2016-10-15 04:30:03
![][1]На прошлой неделе в Денвере прошла 26-я по счету конференция [VB][2], организованная авторитетнейшим порталом-долгожителем Virus Bulletin. Конференция по тематике схожа с [BlackHat][3], но в ней куда меньше шоу и куда больше технических деталей. Эксперты «Лаборатории» выступали на конференции с двумя докладами. С одним, про [ложные доказательства][4] принадлежности вредоносного кода и таргетированных атак, предлагаю ознакомиться самостоятельно, а про другой расскажу подробнее.
Атака StrongPity ([новость][5], [исследование][6]) интересна не столько своими возможностями по краже данных (тут вообще трудно чем-либо удивить), сколько правильным таргетированием жертв. Организаторы атаки создали несколько веб-страниц, мимикрирующих под официальные сайты популярного софта, конкретно WinRAR и TrueCrypt. Ссылки на эти веб-сайты также удалось протащить на пару софтовых агрегаторов.
На поддельных сайтах распространялись подготовленные дистрибутивы вышеуказанного софта: они работали, но имели дополнительную функциональность, направленную на сбор и кражу данных. Кроме того, вредоносные компоненты позволяли более детально профилировать жертв. Был предусмотрен поиск специализированного админского софта, ПО для шифрования или для удаленного доступа: putty, winscp, пара клиентов Remote Desktop и так далее. Трактовать такое поведение можно по-разному. Во-первых, очевидно, велись прицельные попытки атаковать системных администраторов, априори имеющих расширенные права в сети жертвы. Во-вторых, таргетирование жертв, использующих софт для шифрования данных позволяет предположить прицельный поиск тех, кому есть что скрывать.
[Читать дальше →][7]
[1]: https://habrastorage.org/files/d78/2ff/2a6/d782ff2a657647099bb84580f98ec405.png
[2]: https://www.virusbulletin.com/conference/vb2016/
[3]: https://habrahabr.ru/company/kaspersky/blog/307202/
[4]: https://securelist.com/analysis/publications/76273/wave-your-false-flags/
[5]: https://threatpost.ru/strongpity-apt-covets-secrets-of-crypto-users/18626/
[6]: https://securelist.com/blog/research/76147/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/
[7]: https://habrahabr.ru/post/312700/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-10-15 04:30:03
![][1]На прошлой неделе в Денвере прошла 26-я по счету конференция [VB][2], организованная авторитетнейшим порталом-долгожителем Virus Bulletin. Конференция по тематике схожа с [BlackHat][3], но в ней куда меньше шоу и куда больше технических деталей. Эксперты «Лаборатории» выступали на конференции с двумя докладами. С одним, про [ложные доказательства][4] принадлежности вредоносного кода и таргетированных атак, предлагаю ознакомиться самостоятельно, а про другой расскажу подробнее.
Атака StrongPity ([новость][5], [исследование][6]) интересна не столько своими возможностями по краже данных (тут вообще трудно чем-либо удивить), сколько правильным таргетированием жертв. Организаторы атаки создали несколько веб-страниц, мимикрирующих под официальные сайты популярного софта, конкретно WinRAR и TrueCrypt. Ссылки на эти веб-сайты также удалось протащить на пару софтовых агрегаторов.
На поддельных сайтах распространялись подготовленные дистрибутивы вышеуказанного софта: они работали, но имели дополнительную функциональность, направленную на сбор и кражу данных. Кроме того, вредоносные компоненты позволяли более детально профилировать жертв. Был предусмотрен поиск специализированного админского софта, ПО для шифрования или для удаленного доступа: putty, winscp, пара клиентов Remote Desktop и так далее. Трактовать такое поведение можно по-разному. Во-первых, очевидно, велись прицельные попытки атаковать системных администраторов, априори имеющих расширенные права в сети жертвы. Во-вторых, таргетирование жертв, использующих софт для шифрования данных позволяет предположить прицельный поиск тех, кому есть что скрывать.
[Читать дальше →][7]
[1]: https://habrastorage.org/files/d78/2ff/2a6/d782ff2a657647099bb84580f98ec405.png
[2]: https://www.virusbulletin.com/conference/vb2016/
[3]: https://habrahabr.ru/company/kaspersky/blog/307202/
[4]: https://securelist.com/analysis/publications/76273/wave-your-false-flags/
[5]: https://threatpost.ru/strongpity-apt-covets-secrets-of-crypto-users/18626/
[6]: https://securelist.com/blog/research/76147/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/
[7]: https://habrahabr.ru/post/312700/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut