четверг, 31 марта 2011 г.

The Evolution of TDL: Conquering x64

Вчера мы выпустили полный отчет по теме TDL4: "The Evolution of TDL: Conquering x64" [pdf]. Он характерно отличается от того, что есть на данный момент систематичностью излагаемого материала и его детализацией.

Подробно рассмотрены не только аспекты внедрения и работы самого руткита, но и пути его распространения и кто за этим стоит.

По данной теме планируется в ближайшее время два выступления, причем на CONFidence придется поехать сразу после доклада на PHD :)

Мастер-класс "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4" на Positive Hack Days

Доклад "Defeating x64: The Evolution of the TDL Rootkit" на CONFidence'2011 Krakow

среда, 30 марта 2011 г.

Positive Hack Days - must see!


Готовится крайне интересное мероприятие и возможно у нас появится наконец хоть одна конфа с большим числом интересных докладов из которых можно извлечь для себя реальную пользу.

вторник, 29 марта 2011 г.

Ralph Langner o PLC Payload из Stuxnet

Ralph Langner довольно неплохо разложил все по полочкам о PLC Payload из Stuxnet:

среда, 23 марта 2011 г.

Безопасность SCADA все больше волнует исследователей


В последнее время все больше внимания привлекается к безопасности в области промышленных SCADA систем. Отчасти катализатором такого пристального внимания стал громкий инцидент с червем Stuxnet и беспрецедентными суммами нанесенного им ущерба.

На недавно прошедшей в Мадриде конференции RootedCon'11 был представлен весьма интересный доклад "SCADA Trojans: Attacking the grid" по этой теме:

- 0-day уязвимости в Advantech/BroadWin WebAccess SCADA
- архитектурные уязвимости в CSE-Semaphore TBOX RTUs
- рассмотрены различные вектора возможных атак

[слайды] SCADA Trojans: Attacking the grid
PoC код эксплойтов

вторник, 22 марта 2011 г.

Phoenix exploit kit 2.5 leaked


Собственно сабж утек на днях на паблик и стал достпен широкой общественности, ох не к добру ...

Сейчас это наверное самый распространенный и наиболее часто утекающий сплойт-пак, но видимо это следствие вытекает из первого утверждения.

Ссылку на opensc.ws уже прибили, но при умении пользоваться гуглом и небольшой смекалке все находится достаточно быстро. Как я уже писал ранее в последнее время Java стала одним из основных векторов client-side атак и здесь только подтверждается пристальное внимание и особая любовь к Java-сплойтам со стороны разработчиков.

вторник, 15 марта 2011 г.

Использование связки эксплойтов

Попалось мне тут под руку достаточно наглядное видео, демонстрирующее атаку с использованием связки эсплойтов (причем достаточно свежих) для успешного пробива конечной цели. В качестве атакующего софта используется Immunity CANVAS последней версии. Еще обратите внимание на демонстрацию обхода IE sandbox, где то в середине ролика.

среда, 9 марта 2011 г.

Владельцы ботнета TDL4 стали продавать инсталы на инфицированных машинах?

Недавно было замечено, что некоторые свежие сэмплы TDL4 тащат за собой всякое (Win32/Glupteba.E, Win32/Glupteba.D). Причем ставится эта малвара без использования возможностей самого руткита по сокрытию сторонних процессов в системе. TDL4 выполняет только команду DownloadAndExecute и на этом его участие заканчивается.

Троянцы Win32/Glupteba.D, Win32/Glupteba.E, нацелены на скликивания контекстной рекламы, особенно активно проявили себя относительно рекламной сети бегуна.