Найден новый тип кибератак. В опасности Google, Facebook и «Яндекс»
Израильские эксперты по безопасности опубликовали исследование о новом типе кибератак, названном «Сброс пароля человеком посередине» (PRMitM). Такая атака предполагает, что злоумышленники вынуждают пользователя тем или иным образом запустить процесс обновления пароля и перехватывают его.
Человек с паролем посередине
Эксперты по безопасности из Израиля представили исследование, посвященное новому типу кибератак — «Сброс пароля человеком посередине». «Человек посередине» (Man-in-the-Middle, MitM) — распространенная разновидность атак, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. В данном случае в качестве одного из корреспондентов выступает легитимный сервер, на котором авторизуется пользователь — сервер электронной почты или социальной сети.
Злоумышленнику для успешной атаки потребуется заманить пользователя на вредоносный сайт, внешне имитирующий легитимный ресурс. Также понадобится серверное приложение, которое будет перехватывать отправляемые пользователем данные, менять их и перенаправлять на регистрационные формы системы управления паролем на другом сайте.
Например, если потенциальная жертва вводит имя пользователя или почтовый адрес в регистрационной форме на вредоносном сайте, эта информация перенаправляется на легитимный ресурс — Google, Yandex, Yahoo и т. д. — для запуска процесса смены пароля.
Если сервер присылает секретный вопрос безопасности, активирует тест Captcha или пересылает SMS с кодом верификации, то злоумышленник эти данные перенаправляет пользователю (то есть, на вредоносном сайте могут появляться дополнительные поля с запросами на заполнение Captcha и т. п.). Что касается SMS, то здесь злоумышленнику достаточно выяснить телефонный номер жертвы, а затем перехватить код верификации.
Найден простой способ борьбы против нового вируса Petya.C
В минувший вторник, 27 июня, в России и Украине огромное количество компаний подверглись хакерской атаке. Компьютеры «Башнефти», «Роснефти», киевского метро, аэропорта «Борисполь», украинских энергокомпаний, банков, крупных магазинов, мобильных операторов и многих других были заражены новой модификацией вируса-вымогателя Petya. Специалисты компании Symantec, специализирующейся на разработке программного обеспечения в области информационной безопасности, нашли простой способ защиты от этого вируса.
Мы уже писали, как могут защитить себя от вируса пользователи Windows 7 и Windows 10. Сотрудники Symantec выяснили, что при заражении компьютера вирус ищет файл, расположенный по адресу «C:\Windows\perfc». Если такого файла нет, то вирус начинает шифрование данных, а если есть — просто прекращает свою работу.
Таким образом, чтобы защититься от вируса Petya пользователю достаточно просто создать соответствующий файл на своём компьютере. Для этого зайдите в папку «Windows» на системном диске «(C:)», нажмите в любом пустом месте правой кнопкой мыши, а затем в появившемся контекстном окне выберите пункт «Создать» и создайте файл с именем «perfc» без расширения. Для этой операции вам потребуются права администратора. Файл также можно создать в любой другой папке, а затем скопировать его в «Windows».
Ко всему прочему, представители Microsoft заявили, что встроенный в Windows «Защитник Windows» способен оградить пользователей от нового вируса, так как он использует некоторые уязвимости, которые ранее использовал вирус WannaCry. Причём компьютеры с Windows 10 и всеми последними обновлениями заражению не подвержены.
Компании и государственные учреждения Украины, России, США, Европы, Азии и Австралии, которые пострадали на этой неделе от приложения Petya (который называют также NotPetya, PetyaWrap и ExPetr), могут никогда не получить свои файлы обратно. Некоторые исследователи, в том числе из лаборатории Касперского, уверены в том, что программа лишь выдаёт себя за вымогатель, во что пресса охотно поверила после атаки программы WannaCry в мае. На самом деле она относится к категории стирателей. Программа не шифрует пользовательские файлы, а удаляет их без возможности восстановления.
Авторы приложения целенаправленно усложнили процесс выплат со стороны жертв. Они предоставили только один биткоин-кошелек, хотя если бы рассчитывали на получение большой прибыли, могли дать несколько. Также от жертв программы требуется написать электронное письмо с ручным вводом длинной строки символов, но данный электронный адрес уже не работает.
Впрочем, это не имеет значения, поскольку файлы вернуть не удастся даже после оплаты. В компании MalwareTech не согласны с тем, что это приложение является стирателем, поскольку оно уничтожает только первые 25 секторов на жёстком диске. Несмотря на важность этих секторов, обычно они пустые.
Возникает вопрос, кто и зачем выпустил это приложение. Достоверного ответа на него на данный момент нет. Microsoft считает, что первое заражение случилось посредством обновления приложения MEDoc украинской компании. После попадания в сеть вредоносное приложение использует различные техники распространения, а не только уязвимость протокола SMB. Предположительно, число пострадавших компьютеров составляет около 300 тысяч. Число выплат составило не менее 29 на сумму $7497.
Американский сенат испугался «Лаборатории Касперского»
Сенат США рассмотрит вопрос о запрете использования вооруженными силами страны защитного ПО от «Лаборатории Касперского». Соответствующая поправка внесена в проект бюджета Министерства обороны США, предложенного на обсуждение сенаторам. Беспокойство авторов поправки вызывает то, что компания «может быть подвержена влиянию российского правительства».
Накануне агенты ФБР явились в дома нескольких сотрудников американских подразделений «Лаборатории Касперского». Никаких обысков и арестов произведено не было, однако агенты «провели беседы» с работниками компании. Их интересовало взаимодействие американских подразделений с головным московским офисом. Официальные представители «Лаборатории Касперского» подтвердили факт встреч своих американских сотрудников с агентами ФБР и подчеркнули, что компания является частной, никогда не обслуживала и не намерена обслуживать интересы какого-либо правительства, а также не имеет отношения к кибершпионским операциям.
Атаки вредоносного ПО NotPetya (также известного как ExPetr, NyetYa, PetrWrap и GoldenEye), инфицировавшего за два дня тысячи компьютеров во многих странах мира, не только серьезно повлияли на работу почти 140 различных компаний и организаций, но и поставили в тупик специалистов по кибербезопасности. Они не могут понять целей организаторов этих атак. Формально NotPetya действует как зловред-вымогатель: шифруя файлы на инфицированных устройствах, он требует выкуп в сумме 300 долларов в криптовалюте биткоин.
Однако киберпреступники использовали один-единственный биткоин-кошелек и один-единственный адрес электронной почты, по которому жертвы могли связаться с ними. После его блокировки связь с вымогателями оказалась невозможной, а потому дальнейшее распространение зловреда не имеет для них никакого финансового смысла. «Организаторы атаки – превосходные программисты, но никудышные вымогатели», – заметил по этому поводу исследователь компании Gigamon Кевин Мэджи. Его слова подтверждаются и тем, что за два дня атаки биткоин-кошелек хакеров пополнился менее чем на 10 тысяч долларов.
Однако другие эксперты отмечают, что, возможно, вымогательство и не было целью атакующих. В частности, специалисты «Лаборатории Касперского» обращают внимание на то, что восстановление зашифрованных NotPetya файлов невозможно в принципе. Для расшифровки заблокированных компьютеров требуется генерируемый при запуске зловреда уникальный идентификатор каждой из жертв, ассоциированный с ключом шифрования. В случае с NotPetya его нет, а потому рассчитывать на восстановление данных даже после уплаты выкупа не приходится. И очевидно, что организаторам атаки это известно лучше других. Следовательно, их целью было вовсе не обогащение. Но что же?
Ряд исследователей предположили, что атаки NotPetya – скорее попытка посеять панику и дестабилизировать работу предприятий и организаций-жертв. В этом случае зловред можно считать кибероружием. Сильнее всего от его атак пострадала Украина, что, разумеется, послужило поводом для спекуляций по поводу всемогущих «российских хакеров». Но следует иметь в виду, что и Россия попала в «первую пятерку» наиболее пострадавших стран, а среди компаний, попавших под удар NotPetya, есть, например, и «Роснефть».
Дата: Воскресенье, 09.07.2017, 16:52 | Сообщение # 51
Генералиссимус
Группа: Проверенные
Сообщений: 15106
Статус: Оффлайн
Программа CopyCat заразила 14 млн. Android-устройств
Вредоносное приложение CopyCat на платформе Android в прошлом году инфицировало более 14 млн. устройств и выполнило рут 8 млн. из них. Оно распространяется через встроенный в пакеты популярных приложений код в сторонних магазинах и посредством фишинга. Заражённые устройства должны приносить его создателям доход от рекламы.
Исследователи из компании Check Point утверждают, что за два месяца хакеры заработали около $1,5 млн., они называют этот показатель «беспрецедентным уровнем успеха». Когда устройство инфицируется, CopyCat во избежание подозрений ждёт перезагрузки устройства и потом пытается выполнить рут. CopyCat удалось рутировать 54% устройств, что является очень высоким значением.
Для этого применяются шесть разных уязвимостей Android от версии 5 и более ранних через пакет «обновления» из облачного хранилища Amazon. Некоторые уязвимости очень старые, самой современной около двух лет. Потом вредоносный код внедряется в процесс запуска приложения Zygote, что позволяет генерировать доход благодаря установке приложений с заменой идентификатора пользователя собственным. Подобный метод уже использовал троян Triada.
Реклама показывается на 26% заражённых устройств, ещё 30% устанавливают приложения с Google Play. На сервер отправляется модель устройства, версия системы и страна.
Вирус Neutrino ворует данные банковских карт россиян
Специалисты по безопасности нашли новую модификацию вируса Neutrino. Вредоносное ПО атакует POS-терминалы и ворует данные банковских карт при оплате товаров в магазинах или других организациях. Четверть атак произошла в России, но под угрозу также попали Украина, Казахстан, Египет и Алжир. Интересно, что Neutrino не сразу приступает к работе: сначала троянец пытается обойти защитные системы терминала и «песочницы», которые изолируют подозрительный код.
«Neutrino в очередной раз служит подтверждением тому, что кибеугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, их функциональность расширяется, а "аппетиты" растут. И по мере того, как число различных цифровых устройств увеличивается, области распространения вредоносного ПО также становятся шире. В таких условиях проактивная надежная защита от всего многообразия киберугроз нужна как никогда прежде», — заявил Сергей Юнаковский, антивирусный аналитик «Лаборатории Касперского».
Специалисты отметили, что на малый бизнес пришлось 10% попыток взлома. Антивирус Касперского уже распознаёт обновлённый Neutrino как Trojan-Banker.Win32.NeutrinoPOS и предотвращает атаки. В целях безопасности рекомендуем включить SMS-уведомления о транзакциях, а при подозрительных списаниях со счёта необходимо срочно позвонить в банк и заблокировать карту.
Дата: Воскресенье, 16.07.2017, 18:07 | Сообщение # 53
Генералиссимус
Группа: Проверенные
Сообщений: 5810
Статус: Оффлайн
Троянец Magala «клюет по зернышку»
Специалисты «Лаборатории Касперского» сообщили об обнаружении новой троянской программы для ОС Windows. Троянец, получивший название Magala, занимает, по мнению экспертов, промежуточное место между собственно вредоносным ПО и нежелательными программами для распространения рекламы (adware). Инфицируя устройства, Magala создает в фоновом режиме виртуальный рабочий стол и устанавливает панель инструментов MapsGalaxy.
Далее зловред подключается к командному серверу и загружает списки наиболее популярных поисковых запросов, имеющих рекламный потенциал. После чего программа накручивает клики на топ-10 результатов каждого поиска. В среднем один клик в подобного рода кампаниях приносит мошенникам, стоящим за распространением зловредов, порядка 7 центов – сумма, несопоставимая с прибылью, которую дают ботнеты из тысяч инфицированных устройств. Кроме того, Magala не приносит вреда зараженным компьютерам – за исключением того, что не по назначению расходует часть системных ресурсов.
Тем не менее, программа, очевидно, дает пусть и небольшой, но стабильный доход своим хозяевам. Кроме того, она подрывает саму экономическую модель рекламы в сети, не принося рекламодателям никакой реальной пользы от размещенных объявлений. Magala инфицирует компьютеры с версией браузера Internet Explorer не ниже 9. Наибольшее число заражений приходится на Германию и США.
Ведущий разработчик Технического центра Интернет Дмитрий Белявский обращает внимание на то, что такая стратегия не нова и применяется не только при распространении зловредов, но и в научно-исследовательских проектах. «Авторы компьютерных вирусов, можно сказать, заимствуют стратегии поведения у болезнетворных микроорганизмов. Если зловред наносит большой ущерб, на борьбу с ним будут направлены большие ресурсы. Паразитирование на ресурсах компьютера же остаётся практически незаметным для владельцев и приносит доход авторам. Можно вспомнить некоторые исследовательские проекты, которые тоже задействовали простаивающие домашние компьютеры - правда, с согласия их владельцев», - рассказал Дмитрий Белявский.
Дата: Воскресенье, 16.07.2017, 18:09 | Сообщение # 54
Генералиссимус
Группа: Проверенные
Сообщений: 5810
Статус: Оффлайн
«Доктор Веб»: портал госуслуг заражен и опасен
Специалисты «Доктора Веб» обнаружили на портале госуслуг сторонний потенциально опасный код, но не смогли добиться от техподдержки ресурса подтверждения принятых мер по устранению проблемы.
Портал госуслуг заражен
Российская антивирусная компания «Доктор Веб» опубликовала сообщение о том, что портал государственных услуг России (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть их информацию
В компании утверждают, что ее специалисты обнаружили на ресурсе внедренный в него неизвестными потенциально вредоносный код, сообщили об этом в техническую поддержку сайта, но какой-либо адекватной реакции не дождались.
На момент публикации данного материала портал госуслуг, по заверению представителей антивирусной компании, остается скомпрометированным, в чем предлагается убедиться всем желающим, использовав поисковый сервис и задав в нем запрос содержания «site:gosuslugi.ru "A1996667054"», — поисковики, действительно, «видят» этот код на страницах сайта.
В компании «Ростелеком», отвечающей за техподдержку портала госуслуг, сообщили CNews что в контексте заявлений «Доктора Веб» оперативно был проведен комплекс мероприятий по устранению уязвимости. «Интересы пользователей портала не нарушены, то есть потенциальная уязвимость не была реализована, — утверждает руководитель направления b2b/b2g департамента внешних коммуникаций «Ростелекома» Инна Губарева. По данным RNS, в пресс-службе Минкомсвязи назвали угрозу от уязвимости на портале госуслуг незначительной, заверив, что она сейчас ликвидируется и в ближайшее время будет закрыта. «Никаких отрицательных последствий для пользователей не предвидится», — сказали в министерстве.
Технические подробности
Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным, сообщают в «Докторе Веб». Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.
В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами «Доктора Веб» обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Голландии.
«За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код», — заверяют в компании.
Дата: Воскресенье, 16.07.2017, 22:43 | Сообщение # 55
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
«Дыра» в «Касперском» позволяет дочиста ограбить банкомат
В защите для встроенных систем Kaspersky Embedded Systems Security найдена уязвимость, которая позволяет запустить постороннее приложение в системе банкомата. Спровоцировав перегрузку системы, хакер может заставить банкомат отдать все имеющиеся деньги. «Лаборатория» сообщила, что уже пропатчила баг.
Уязвимость встроенных систем
Сотрудник компании Positive Technologies обнаружил уязвимость в программном продукте «Лаборатории Касперского» Kaspersky Embedded Systems Security, который предназначен для защиты встроенных систем. Баг присутствует в версиях продукта 1.1 и 1.2, он содержится в компоненте Application Control. Уязвимость была найдена исследователем кибербезопасности Георгием Зайцевым.
Kaspersky Embedded Systems Security была установлена на банкомате, который тестировал сотрудник Positive Technologies. С помощью обнаруженной уязвимости в систему банкомата оказалось возможным инсталлировать постороннее ПО, а в дальнейшем заставить машину выдать все деньги.
Технические особенности
Через найденную уязвимость потенциальный преступник может вызвать перегрузку сервиса Kaspersky Embedded Systems Security. Перегруженный сервис перестает своевременно обрабатывать запросы на проверку запуска файлов. Благодаря этому у хакера появляется возможность запускать в системе банкомата посторонние приложения, в том числе исполняемые файлы, со съемного носителя или через сеть. Таким образом преступник может повысить уровень своих привилегий, заразить систему или снять с банкомата все деньги.
Как поясняет Зайцев, банкомат работает по принципу «белого списка», то есть разрешает запуск только тех программ, которым доверяет. Уязвимость в Application Control открывает хакеру сразу два пути обхода этого принципа. Во-первых, можно дописать большой объем произвольных данных в конец исполняемого файла, после чего дважды запустит его исполнение. В ПО «Лаборатории Касперского» найдена дыра, позволяющая ограбить банкомат
«При первом запуске происходит вычисление хеш-суммы файла, то есть его идентификатора: на его основе должно приниматься решение о разрешении или запрете запуска. При достаточном размере файла этот процесс займет больше времени, чем отведено на проверку. И в результате по истечении выделенного срока файл будет исполнен», - поясняет Зайцев.
Однако после этого Kaspersky Embedded Systems Security сохраняет рассчитанную хеш-сумму, чтобы в дальнейшем пользоваться уже готовым результатом. Поэтому при следующих запусках файла этот способ обхода не сработает. Тогда хакер может одновременно запустить множество копий одного и того же приложения, что приведет к его «зависанию», благодаря чему появится возможность исполнить файл, не входящий в «белый список».
Реакция «Лаборатории»
В ответ на просьбу CNews прокомментировать ситуацию, в «Лаборатории» ответили, что 23 июня 2017 г. было выпущено обновление, которое ликвидировало уязвимости, найденные сотрудниками Positive Technologies. К ним относится находка Зайцева и другая уязвимость, позволяющая отправлять специальный запрос к драйверу klif.sys и отключать таким образом функциональность Application Control.
«Лаборатория» выразила благодарность Positive Technologies за сделанные открытия и отметила, что приветствует такую инициативу со стороны сторонних исследователей, поскольку «в конце концов все это помогает совершенствовать наши продукты». У компании есть программа bug bounty, в рамках которой сторонним экспертам выплачиваются вознаграждения за такие находки.
Лучшие антивирусные приложения для Windows 10 Creators Update за июль 2017
Немецкая организация AV-продолжает трудиться на благо цифровой безопасности и выявлять, какие антивирусы способны защитить пользователей лучше других на Windows 10. В данном случае была рассмотрена работа на последней версии системы Creators Update (1703).
Максимальную оценку смогли получить четыре антивируса, набравшие по 6 баллов за защиту, скорость и удобство работы. Ими стали Avira, Kaspersky, Symantec и Trend Micro, а Bitdefender и McAfee расположились немного позади. BitDefender получил 5,5 за удобство работы, McAfee потерял половину балла за надёжность защиты.
Антивирус Защитник Windows в Creators Update превратился в Центр безопасности Защитника Windows, получив родительский контроль и информацию о состоянии системы. Антивирус от Microsoft набрал 15 баллов, из них 5,5 за защиту, 5 за скорость и 4,5 за юзабилити. Именно в самом важном для антивирусов показателе Защитник Windows проявил себя лучше всего.
Хуже всех оказался антивирус Comodo, что не помешало ему заблокировать все вредоносные образцы. За производительность он получил 2 балла, за удобство работы 4,5.
Запрещённый в США антивирус Касперского стал самым надёжным в корпоративном сегменте
Помимо тестирования антивирусов в домашних редакциях систем Windows AV-TEST рассматривает их работу в корпоративном сегменте. В очередной раз на Windows 10 лучше всех проявил себя антивирус Касперского, а также Symantec и Trend Micro.
Недавно антивирус Касперского был запрещён в США из-за подозрений в связях с российским правительством, хотя руководство компании опровергает это. Продукты компании Endpoint Security и Small Office Security получили максимальные 18 баллов за надёжность, скорость и удобство. Столько же набрали Symantec Endpoint Protection и Endpoint Protection Cloud, Trend Micro Office Scan.
Bitdefender также входит в число лучших, его Endpoint Security недобрал 0,5 балла за удобство работы. Microsoft System Center Endpoint Protection получил только 14,5 баллов и это один из худших результатов: 5 за надёжность и скорость, 4,5 за удобство. Приложение замедляет систему и пропускает некоторые угрозы. Также 14,5 получил F-Secure Client Security: 6 за защиту, 4 и 4,5 баллов за скорость и удобство.
Тестирование проводилось в системе Windows 10 Creators Update.
Специалисты ESET проанализировали кибератаки, нацеленные на пользователей торрентов.
С начала 2016 года система телеметрии ESET зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами.
Хакеры используют файлообменные сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах».
В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код.
В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных.
В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила опасное приложение с сайта в течение нескольких минут после обращения специалистов ESET.
Не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты ESET обнаружили троян Sathurbot, который распространялся таким способом – он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек.
Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 000 устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов.
В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher – приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа – в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки.
«На всякий случай напоминаю об ответственности за нарушение авторского права и использование пиратского контента, – комментирует Алексей Оськин, руководитель отдела технического маркетинга ESET Russia. – Тем не менее, экосистема Р2Р – не только и не столько пиратство, у нее есть ряд легитимных путей применения. И, как любая массовая технология, файлообменные сервисы интересны киберпреступникам. Базовые рекомендации: используйте только лицензионное ПО, игнорируйте подозрительные сайты и торренты, защитите компьютер комплексным антивирусным продуктом».
«Доктор Веб»: около 9% банковских доменов используют неправильные настройки DNS
Аналитики компании «Доктор Веб» выяснили, что неправильная настройка DNS-серверов в совокупности с другими факторами может стать одной из возможных причин компрометации веб-сайта. Проведенное исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций.
Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.
Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней. Например, домен drweb.com использует поддомены vms.drweb.ru, на котором размещается сайт, позволяющий проверить ссылку, файл или найти описание вируса, free.drweb.ru — домен для веб-страницы утилиты Dr.Web CureIt!, updates.drweb.com — страница системы обновлений Dr.Web и т д. С использованием таких доменов обычно реализованы различные технические и вспомогательные службы — системы администрирования и управления сайтом, системы онлайн-банкинга, веб-интерфейсы почтовых серверов и всевозможные внутренние сайты для сотрудников компании. Также поддомены могут быть задействованы, например, для организации систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и прочих нужд.
При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. С использованием такого списка злоумышленники могут попытаться проникнуть в инфраструктуру интернет-ресурса через «черный ход», подобрав учетные данные и успешно авторизовавшись на одном из внутренних непубличных сервисов.
Многие системные администраторы не уделяют должного внимания безопасности таких ресурсов. Между тем такие «внутренние» сайты могут использовать устаревшее программное обеспечение с известными уязвимостями, содержать отладочную информацию или допускать открытую регистрацию. Все это может значительно упростить задачу злоумышленникам.
Если обслуживающие веб-сайт DNS-серверы настроены правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса.
Аналитики «Доктор Веб» провели исследование настройки DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из примерно 1000 проверенных доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций. Компания «Доктор Веб» напоминает администраторам сайтов о том, что корректная настройка DNS является одним из факторов, способных обеспечить безопасность интернет-ресурсов.
Россия оказалась на шестом месте в мире по количеству DDoS-атак
«Лаборатория Касперского» поделилась статистикой по DDoS-атакам. Как оказалось, во втором квартале 2017 года в глобальный арсенал киберпреступников вернулись длительные DDoS-атаки. Рекордная продолжительность составила 277 часов, что на 131% больше, чем в первом квартале (120 часов), и почти достигает рекорда второго квартала 2016 года (291 час).
Однако возросшая длительность стала не единственной отличительной чертой DDoS за отчетный период. Во втором квартале 2017 года были зафиксированы атаки по целям из 86 стран мира, что на 14 больше, чем в предыдущем квартале, и на 16 — чем во втором квартале прошлого года. Россия вошла в десятку стран с наибольшим количеством зафиксированных DDoS-атак, заняв шестое место. Кроме России, в мировой топ-10 вошли Китай, Южная Корея, США, Гонконг, Великобритания, Италия, Нидерланды, Канада и Франция.
Среди наиболее заметных жертв DDoS-атак во втором квартале оказались сайты влиятельных французских газет Le Monde и Figaro, катарское новостное агентство Al Jazeera, а также серверы Skype.
Есть еще одна тенденция, которую отмечают аналитики «Лаборатории Касперского»: DDoS-атаки все чаще используются для вымогательства. Такой подход получил название Ransom DDoS, или RDoS. Злоумышленники посылают компании-жертве сообщение с требованием выкупа, который может составлять от 5 до 200 биткоинов. В случае неуплаты они обещают организовать DDoS-атаку на критически важный онлайн-ресурс жертвы. Сообщения зачастую сопровождаются кратковременными атаками в качестве демонстрации силы. Так, в конце июня группа, называющая себя Armada Collective, потребовала около 315 тысяч долларов у семи южнокорейских банков за обещание, что она не нарушит работу их онлайн-сервисов.
