Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Blog autor: Igor Sołmenkow

Igor Sołmenkow

2021

Sty

Luty

Mar

Kwie

Maj

Cze

Lip

Sie

Wrze

Paź

List

Gru

Ostatnie posty
Najpopularniejsze

Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich

Igor Sołmenkow
Dodany 24 kwietnia 2013, 15:03 CEST
Tagi:

Dnia 12 lutego 2013 r. firma FireEye ogłosiła wykrycie exploita 0-day dla aplikacji Adobe Reader, który był wykorzystywany do wdrażania nieznanego dotychczas, zaawansowanego szkodliwego oprogramowania. Nadaliśmy temu nowemu oprogramowaniu nazwę „ItaDuke”, ponieważ przypominało nam ono Duqu, oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Wcześniej pisaliśmy o innej kampanii, uderzającej w rządy i różne instytucje, zwanej „MiniDuke”, która również wykorzystywała exploity PDF z wersetami z „Boskiej komedii”. W międzyczasie wpadliśmy na trop innych ataków, które używały tego samego kodu exploitów wysokiego poziomu, z tą różnicą, że tym razem celem byli aktywiści ujgurscy.

Wraz z naszym partnerem, laboratorium AlienVault, podjęliśmy się analizy tych nowych exploitów. Artykuł specjalistów z AlienVault, zawierający...


Czytaj dalej

Analizy

Ugrupowanie APT BlackOasis oraz nowe ataki ukierunkowane wykorzystujące exploita dnia zerowego

Exploity: jak poważnym są zagrożeniem?

Kaspersky Security Bulletin 2015. Ewolucja cyberzagrożeń w sektorze korporacyjnym

Ataki grupy Darkhotel w 2015 r.

Kaspersky Security Bulletin 2013. Podsumowanie 2013 r.

Blog

Exploit dnia zerowego dla systemu Windows wykorzystany w atakach ukierunkowanych przez ugrupowanie APT FruityArmor

Exploity zero day: teraz dostępne dla samochodów

The Spring Dragon APT

Zagrożenie APT Careto/The Mask: często zadawane pytania

Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich

MiniDuke: wektor infekcji poprzez WWW

Igor Sołmenkow
Dodany 24 kwietnia 2013, 14:27 CEST
Tagi:

Wraz z naszym partnerem, laboratorium CrySyS Lab, wykryliśmy dwa nowe, dotychczas nieznane, mechanizmy infekcji wykorzystywane przez MiniDuke'a. Te nowe wektory infekcji bazują na podatnościach w Javie i Internet Explorerze.

Podczas inspekcji jednego z serwerów centrum kontroli (C&C) MiniDuke'a natrafiliśmy na pliki, które nie są powiązane bezpośrednio z kodem C&C, lecz wydają się być przygotowane pod kątem infekcji podatnych użytkowników za pośrednictwem internetu.

Strona hxxp://[nazwa_hosta_centrum_kontroli]/groups/business-principles.html jest wykorzystywana jako punkt początkowy ataku. Składa się ona z dwóch ramek: jednej do ładowania wabiącej strony z legalnej witryny internetowej (skopiowanej zhttp://www.albannagroup.com/business-principles.html) i drugiej – wykonującej złośliwe działania (hxxp://[nazwa_hosta_centrum_kontroli]/groups/sidebar.html).


Kod źródłowy strony „business-principles.html”

...


Czytaj dalej

Analizy

Ugrupowanie APT BlackOasis oraz nowe ataki ukierunkowane wykorzystujące exploita dnia zerowego

Exploity: jak poważnym są zagrożeniem?

Kaspersky Security Bulletin 2015. Ewolucja cyberzagrożeń w sektorze korporacyjnym

Ataki grupy Darkhotel w 2015 r.

Kaspersky Security Bulletin 2013. Podsumowanie 2013 r.

Blog

Exploit dnia zerowego dla systemu Windows wykorzystany w atakach ukierunkowanych przez ugrupowanie APT FruityArmor

Exploity zero day: teraz dostępne dla samochodów

The Spring Dragon APT

Zagrożenie APT Careto/The Mask: często zadawane pytania

Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich

Potwierdzono istnienie botnetu Flashfake Mac OS X

Igor Sołmenkow
Dodany 6 kwietnia 2012, 08:14 CEST
Tagi:

4 kwietnia Dr.Web poinformował o wykryciu botnetu Flashback (Flashfake) dla systemu Mac OS X. Według informacji tej firmy, szacowany rozmiar botnetu wynosi ponad 500 000 zainfekowanych Maków.

Przeprowadziliśmy analizę najnowszego warianta tego bota, którym jest Trojan-Downloader.OSX.Flashfake.ab.

Trojan ten jest rozprzestrzeniany za pośrednictwem zainfekowanych stron internetowych jako applet Java, który podszywa się pod aktualizację dla Adobe Flash Playera. Następnie Aplet Java wykonuje downloadera pierwszego etapu, który następnie pobiera i instaluje główny komponent trojana. Głównym komponentem jest trojan downloader, który nieustannie łączy się z jednym z swoich serwerów command-and-control (C&C) i czeka na pobranie i wykonanie nowych komponentów.

Bot lokalizuje swoje serwery C&C według nazw domen generowanych przy użyciu dwóch algorytmów. Pierwszy algorytm opiera się na bieżącej dacie, drugi...


Czytaj dalej

Analizy

Ataki DDoS w IV kwartale 2018 r.

Ataki DDoS w III kwartale 2018

Ataki DDoS w I kwartale 2018 r.

Ataki DDoS w IV kwartale 2017 r.

Ataki DDOS w I kwartale 2017 r.

Blog

Czy Mirai jest naprawdę taki straszny, jak go malują?

BoteAR: "botnet społecznościowy"? O czym my rozmawiamy?

Potwierdzono istnienie botnetu Flashfake Mac OS X

Prezent od ZeuSa dla pasażerów US Airways

Kolejne zamknięcie botnetu zakończone sukcesem: rozbicie nowego botnetu Hlux/Kelihos

Tajemnica Szkieletu Duqu

Igor Sołmenkow
Dodany 12 marca 2012, 12:47 CET
Tagi:

Podczas analizy komponentów Duqu odkryliśmy interesującą anomalię w głównym komponencie odpowiedzialnym za jego logikę biznesową – szkodliwą funkcję (Payload DLL). Chcielibyśmy podzielić się naszymi odkryciami i poprosić o pomoc w zidentyfikowaniu kodu.

Struktura kodu

Na pierwszy rzut oka Payload DLL wygląda jak zwykły plik Windows PE DLL skompilowany przy użyciu Microsoft Visual Studio 2008 (wersja linkera 9.0). Kod punktu wejścia jest całkowicie standardowy, jest też jedna funkcja eksportowana przez liczebnik porządkowy 1, która również wygląda jak MSVC++. Funkcja ta jest wywoływana z PNF DLL i w rzeczywistości stanowi „główną” funkcję, która implementuje całą logikę kontaktowania się z serwerami C&C, otrzymując dodatkowe moduły funkcji szkodliwej oraz wykonując je. Najciekawsze jest to, w jaki sposób logika ta została zaprogramowana i jakie wykorzystano narzędzia.

Sekcja kodu Payload...


Czytaj dalej

Analizy

Dzieci w sieci

Kaspersky Security Bulletin. Spam i phishing w 2015 roku

Winnti - więcej niż tylko gra

Kaspersky Security Bulletin 2006: Spam

Blog

Locky: program szyfrujący, który szturmem zdobywa świat

Potęga V&V

Tajemnica Szkieletu Duqu

Pomoc techniczna - nie zawsze warto z niej korzystać

Więcej spamu w języku duńskim

Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik