среда, 30 ноября 2011 г.

Java эксплойты впереди всех по пробиву

За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.

понедельник, 28 ноября 2011 г.

ZeroNights: глазами докладчика

Наконец-то нашлось время для того, чтобы как то упорядочить свои впечатления от прошедшей на днях конференции ZeroNights. Организаторам совершенно однозначно удалось достичь высокого уровня докладов и актуальности рассмотренных тем. Так как в этом году мне довелось посетить большое количество зарубежных конференций со всей ответственностью, могу заявить, что ZeroNights был на уровне. Но с точки зрения организации были конечно моменты, которые я озвучу лично оргам и которые хотелось бы избежать в будущих мероприятиях. Мне большего всего не хватало атмосферы "хакерской конференции", как это было на Ekoparty или Confidence.

Мое участие началось с доклада "Современные тенденции развития вредоносных программ для систем ДБО", в котором было рассказано о последних тенденциях и эволюции в разработке банковских троянов, заточенных под Россию. Если охарактеризовать текущую ситуацию одним слайдом, то это будет выглядеть примерно так:


среда, 23 ноября 2011 г.

ESET на ZeroNights


Осталось всего несколько дней до основного мероприятия этой осени для исследователей в области ИБ. Мы, как компания с большим штатом ресечеров просто не могли пройти мимо и решили поддержать ZeroNights став основным спонсором мероприятия. Для нашей компании это уже сложившаяся практика поддержки практических конференций. На нашем счету уже такие мероприятия, как PHD, Confidence, Ekoparty, REcon.

В рамках программы мероприятия от нас будет два доклада:
  • Современные тенденции развития вредоносных программ для систем ДБО
  • Win32/Duqu: инволюция червя Stuxnet (FastTrack)
А еще всех участников конференции ждет новый увлекательный квест по реверсингу, с главным призом Amazon Kindle DX. Подходите к нашему стенду, регистрируйтесь и участвуйте! Правила конкурса простые, кто первый сломал того и Kindle =)

вторник, 22 ноября 2011 г.

Новая модификация Carberp использует буткит-функционал

Недавно  нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.


Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.

Подробное исследование можно найти тут:


А, так же более расширенную версию нашего расследования можно будет услышать на  конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".

понедельник, 14 ноября 2011 г.

HA­CKER­PRAK­TI­KUM в Бохуме


На прошлой неделе удалось побывать на интересном мероприятии HA­CKER­PRAK­TI­KUM, которое проводится уже на протяжении нескольких лет в университете RUHR города Бохум. Нас, вместе с Евгением Родионовым, пригласили выступить с докладом, который мы уже демонстрировали на Ekoparty в этом году. Мероприятие HA­CKER­PRAK­TI­KUM, в рамках которого нам предложили выступить, проводится уже не первый год и призвано дать студентам практические знания от специалистов из различных областей в ИБ.

вторник, 1 ноября 2011 г.

Win32/Duqu REsearch: что скрывает RPC

Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить,  что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании "Stuxnet under the Microscope" (стр. 56-57).

Проанализировав реализацию RPC-сервера в одном из компонентов Duqu, который реализует лишь локальную часть протокола и сравнив в BinDiff две основные процедуры, мы получили интересные результаты: