воскресенье, 28 ноября 2010 г.

Два 0-day, о которых пока молчит MS

На прошлой неделе был опубликован PoC на интересный 0-day, суть которого заключается в недостаточном контроле входных параметров функции RtlQueryRegistryValues() в итоге получаем классическое переполнение стека в ядре и права SYSTEM у нас в руках. Эксплуатировать уязвимость достаточно просто,т.к. в ядре нет различных препятствий мешающих эксплуатации, как в пользовательском режиме. Не буду тут подробно описывать эту уязвимость, так как все уже есть.

Второй интересной новостью стало появление публичного PoC для уязвимости в Task Scheduler, которая была обнаружена в коде червя Stuxnet и известна уже как минимум с конца лета (с этого же времени MS тоже в курсе).

Обе эти уязвимости прекрасно работают на большинстве распространенных версий винды и позволяют повысить локальные привилегии до SYSTEM в обход UAC. Но кроме бюллетеней CERT, пока нет официальных бюллетеней со стороны MS, в прочем и дат по их закрытию тоже. А злоумышленники тем временем имеют вполне себе неплохие инструменты для "тихой" инсталляции всякого зверья.

Альтернативный GUI для Metasploit в стиле Canvas

Наткнулся сегодня на интересный проект Armitage, целью которого является замена оригинального GUI для Metasploit. На первый взляд мне все понравилось, правда заметно, что при реализации Armitage позаимствован ряд идей из Immunity Canvas. Посмотрим, как дальше будет развиваться проект, но для старта вполне плохо.

среда, 24 ноября 2010 г.

Впечатления от поездки на AVAR'2010

Началось мое путешествие вечером 14 ноября, мне предстояло совершить перелет с двумя пересадками и в общей сложности это должно было занять около 26 часов. Летел я арабскими авиалиниями Qatar, которые произвели на меня очень приятное впечатление. Выглядел мой путь следующим образом: Домодедово->Доха->Сингапур->Денпасар.

суббота, 13 ноября 2010 г.

SCADA и Stuxnet

Не так давно я уже выкладывал ролик с демонстрацией того, что делает Stuxnet при модификациях вносимых им в параметры SCADA системы. Правда он был в плохом качестве и был заснят одним из посетителей VB'2010 на мобильный телефон. Разобрать, что там происходит на самом деле было достаточно проблематично и вот наконец авторы того доклада решили обновить свою видео демонстрацию и на этот раз уже с преферансом и блудницами :)

пятница, 12 ноября 2010 г.

AVAR'2010

На следующей недели состоится довольно любопытное мероприятие AVAR'2010 (Association of anti Virus Asia Researchers). В этот раз конференция состоится в интересном месте, а точнее на Бали и слетать туда само по себе приятно, а тут еще и можно дополнительную пользу извлечь от поездки в виде интересных докладов.


Программа довольно насыщена, в общем я в предвкушении мероприятия. Ждите отчет а ближайшее время ;)

среда, 10 ноября 2010 г.

SpyEye все больше привлекает внимания

Где-то около недели назад была опубликована интересная статистика по активности троянца SpyEye, эти материалы были опубликованы в блоге компании Damballa. Интересно, что пока лидерами по количеству активных админок являются, Украина и Чехия.


Сейчас SpyEye набирает все большую популярность, как crimeware в и определенных кругах у него есть все шансы окончательно добить Зевса, который пока еще не хочет сдаваться. С точки зрения технологий SpyEye опережает Зевса, хотя во многом функционал у двух этих семейств повторяется. Кстати не так давно начал сою работу SpyEye Tracker (пока не очень много отслеживаемых C&C), который во многом повторяет ZeuS Tracker, но авторы обещаю интересные нововведения. 

среда, 3 ноября 2010 г.

Смарт-карты не панацея для ДБО

Совместно с Group-IB делали один ресеч и в процессе были получены интересные результаты. Модификация Zbot полученная в процессе криминалистической экспертизы оказалась достаточно интересной, так как позволяла злоумышленнику делать удаленно запросы к смарт-карте.


Подробности в нашем корпоративном блоге ;)

Stuxnet under the microscope (revision 1.2)

Сегодня обновили наше исследование "Stuxnet under the microscope" до версии 1.2, внесли немного косметических правок. Но самое главное добавили описание последней 0-day уязвимости, которая пока не была озвучена подробно, речь идет о повышении привилегий через Task Scheduler. В нашем отчете мы подробно рассмотрели то, как червь Stuxnet эксплуатирует эту уязвимость для повышения привилегий под Vista/Win7. Все использованные вектора для атаки червем Stuxnet выглядят следующем образом:

вторник, 2 ноября 2010 г.

Опыт заказа книг с amazon

На прошлой неделе я решил попробовать заказать твердую копию одной книжицы с amazon, ибо по тем ценам, по которым предлагают англоязычную литературу интернет-магазины рунета, ну просто не в какие ворота. Недолго думая я посмотрел на цену вместе с доставкой и обещанные сроки в 5 дней, решил таки рискнуть. В среднем книжка с доставкой в  msk обходится менее двух тысяч рублей, что вполне приемлемо для такой покупки с учетом меньшего количество опечаток и идиотизмов переводчиков. К моему удивлению все было доставлено в срок, причем можно отслеживать перемещение своей посылки на сайте amazon:


С учетом полученного опыта теперь буду заказывать книжки исключительно таким образом, дабы не напрягать мои забугорных коллег.