Теги → эксплоит

Хакеры научились прятать вредоносное ПО в памяти видеокарт и запускать его оттуда

Хакеры исследуют новые способы внедрения вредоносного ПО на компьютеры жертв и недавно для этой цели научились использовать видеокарты. На одном из хакерских форумов, судя по всему, российском, был продан демонстратор технологии, позволяющей занести вредоносный код в видеопамять графического ускорителя, а затем оттуда его исполнять, пишет портал BleepingComputer. Антивирусы не смогут обнаружить эксплоит, поскольку они обычно сканируют лишь оперативную память.

Источник изображения: Shutterstock

Источник изображения: Shutterstock

Ранее видеокарты предназначались для выполнения только одной задачи — обработки 3D-графики. Несмотря на то, что их основная задача осталось неизменной, сами видеокарты эволюционировали в своеобразные закрытые вычислительные экосистемы. Сегодня в них содержатся тысячи блоков для ускорения графики, несколько основных ядер, управляющих этим процессом, а также, собственная буферная память (VRAM), в которой хранятся графические текстуры.

Как пишет BleepingComputer, хакеры разработали способ помещения и хранения в памяти видеокарты вредоносного кода, в результате чего его невозможно обнаружить антивирусом. О том, как именно работает эксплоит, ничего неизвестно. Хакер, его написавший, лишь сообщил, что он позволяет поместить малвар в видеопамять, а затем исполнить его непосредственно оттуда. Он также добавил, что эксплоит работает только с операционными системами Windows, поддерживающими фреймворк OpenCL 2.0 и новее. По его словам, он протестировал работоспособность вредоносного ПО с интегрированной графикой Intel UHD 620 и UHD 630, а также дискретными видеокартами Radeon RX 5700, GeForce GTX 1650 и мобильной GeForce GTX 740M. Это ставит под удар огромное число систем.

Исследовательская команда Vx-underground через свою страницу Twitter сообщила, что в ближайшее время продемонстрирует работу указанной технологии взлома.

Следует отметить, что та же команда несколько лет назад публиковала открытый исходный код эксплоита Jellyfish, также использующего OpenCL для подключения к системным функциям ПК и принудительного исполнения вредоносного кода из GPU. Автор нового эксплоита в свою очередь опроверг связь с Jellyfish и заявил, что его метод взлома отличается. О том, кто приобрёл демонстратор нового эксплоита, а также сумму сделки, хакер не сообщил.

У АНБ украли эксплойты, с помощью которых якобы можно взломать любую версию Windows

В прошлом году в Агентстве национальной безопасности США были украдены важные данные, в частности, эксплойты уязвимостей. Предполагалось, что украденные тогда инструменты для взлома предназначались для более ранних версий Windows. Недавно на сайте BetaNews появилась информация о том, что теперь они могут потенциально повлиять на все операционные системы Microsoft, начиная с Windows 2000.

Некоторые из украденных у АНБ эксплойтов были опубликованы в апреле 2017 года хакерской группировкой The Shadow Brokers. Наибольшую известность получил эксплойт EternalBlue, с помощью которого было произведено несколько массовых кибератак, таких как NotPetya, Bad Rabbit и WannaCry. Помимо EternalBlue, было опубликовано ещё несколько украденных эксплойтов, но они не были особенно популярными, потому что поражали только ограниченное количество версий Windows.

Недавно исследователь безопасности, известный как Zerosum0x0, изменил исходный код для некоторых из этих менее известных эксплойтов, в результате чего они могут работать и запускать произвольный код на большинстве актуальных систем.

Исследователь модифицировал три эксплойта: EternalChampion, EternalRomance и EternalSynergy. Они уже входят в состав Metasploit Framework и могут использоваться для взлома даже Windows 10, которая раньше считалась защищенной от украденных у АНБ эксплоитов.

Microsoft устранила уязвимости, о которых идет речь, в последнем обновлении безопасности.

Создан работоспособный джейлбрейк для PS4

Хакер с ником CTurt утверждает в своём твиттере, что смог создать джейлбрейк игровой консоли Sony PlayStation 4. Для достижения цели он применил разработанный им ранее программный код, использующий уязвимости программного ядра приставки.

Принцип взлома заключается в использовании дампа памяти других процессов для установки кастомной прошивки, благодаря которой пользователь получает возможность устанавливать пиратские копии игр и приложения, не получившие одобрения Sony.

На данный момент эксплойт работает только с микропрограммой версии 1.76, но впоследствии наверняка появятся и другие модификации, совместимые с более поздними редакциями ПО консоли.

Отметим, что это уже не первая попытка взломать PlayStation 4. К примеру, весной этого года СМИ сообщали о том, что в бразильском городе Сан-Паулу некоторые небольшие магазины электроники предлагали за $100–150 установить на консоль пользователя 10 пиратских игр путём копирования содержимого NAND-памяти «легальной» консоли при помощи одноплатного компьютера Raspberry Pi.

Интерес к PS4 со стороны хакеров вполне понятен, ведь на сегодняшний день она является самой популярной игровой приставкой в мире (продажи превышают 30 млн экземпляров). Появление работоспособного джейлбрейка может в какой-то степени подстегнуть продажи, однако Sony вряд ли обрадуется этой новости. Скорее всего, японский электронный гигант предпримет попытки остановить его распространение.

IE 11 содержит опасную уязвимость

В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.

Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.

Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.

Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).

Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.

Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.

Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.

Эксперт предложил софтверным компаниям выплачивать 150 тыс. за обнаруженные уязвимости

Эксперты по безопасности предложили компаниям, занимающимся разработкой программного обеспечения, установить единую для всех сумму вознаграждения за обнаруженные уязвимости. По словам специалистов, в настоящее время ситуация с продажей брешей на черном рынке складывается печальным образом. Так, уязвимости зачастую оказываются в руках у злоумышленников или правительств, которые распоряжаются ими по своему усмотрению.

Эксперт из компании NSS Labs Стефан Фрей предложил выплачивать за обнаруженные уязвимости $150 тыс., независимо от уровня их опасности. Фрей считает, что плата за бреши должна быть существенной, чтобы мотивировать исследователей, обнаруживших их, сообщать о них производителям, а не продавать на черном рынке.

Фрей опубликовал документ, в котором описал действие международной программы выплат вознаграждения International Vulnerability Purchase Program (IVPP). «Пора проверить экономический способ противостояния эксплуатированию злоумышленниками уязвимостей путем выплат исследователям вознаграждения за обнаруженные бреши в том размере, который предлагает черный рынок, либо в еще более высоком», – заявил эксперт.

«Безопасность во многом зависит от исследователей, сообщающих об уязвимостях по этическим соображениям. Между тем, черный рынок предлагает большое вознаграждение за эту же информацию», – отметил Фрей.    

Количество атак с использованием Java-эксплойтов растёт

Исследование, проведённое «Лаборатории Касперского», показало, что за последний год платформа Java стала основной целью киберзлоумышленников.

С сентября 2012-го по август 2013-го было зафиксировано 14,1 млн атак с использованием Java-эксплойтов, что на треть больше, чем за предыдущий аналогичный период. Причём основная часть кибернападений пришлась на вторую половину рассматриваемого периода: с марта по август было зарегистрировано более 8,5 млн атак.

Примечательно, что около 50% всех нападений было осуществлено с помощью всего шести семейств Java-эксплойтов. Это притом, что специалистам удалось детектировать более 2000 семейств подобных зловредов.

Большинство атакованных (около 80%) проживает всего в десяти странах. Половину всех атак приняли на себя США и Россия — 26,2% и 24,5% соответственно. Тройку лидеров наиболее пострадавших стран замыкает Германия, в которой за год было зафиксировано 11,7% атак с использованием Java-эксплойтов. В то же время быстрее всего число атак росло в Канаде (на 118% за год), США (108%), Бразилии (72%) и Германии (81%). В России количество подобных атак за этот период увеличилось не столь значительно — на 16%.

Росту интенсивности атак в числе прочего способствует большое количество новых «дыр» в платформе Java: за 12 месяцев, которые охватывает исследование «Лаборатории Касперского», была обнаружена 161 уязвимость. Для сравнения, в период с сентября 2011 года по август 2012 года найдена 51 брешь.

В ходе исследования также выяснилось, что домашние пользователи в большинстве своём не следят за выходом обновлений, способствуя таким образом успеху злоумышленников.

С полным отчётом можно ознакомиться здесь.

Внедренный в главную страницу MySQL.com эксплоит заражал ПК посетителей вирусами

Многострадальный интернет-ресурс открытой СУБД MySQL в очередной раз стал жертвой злоумышленников. Получив привилегированный доступ к сайту, хакеры внедрили ряд вредоносных сценариев, выполнение которых приводило к заражению компьютера вирусом. Для заражения пользователям, чьи ПК работают под управлением операционных систем Windows, достаточно было посетить главную страницу MySQL.com.

Далее заражение происходило следующим образом: вместе с загрузкой главной страницы сайта выполняется вредоносный скрипт, который генерирует объект iframe с последующим перенаправлением на сайты злоумышленников. Затем имеющаяся на сайте связка BlackHole за счет использования «дыр» в безопасности браузеров без ведома пользователя устанавливает вредоносную программу.

Данные ресурса по безопасности VirusTotal свидетельствуют, что на момент написания статьи лишь 14 из 44 антивирусов научились распознавать и блокировать выполнение вредоносного кода.

Уязвимость на сайте MySQL уже закрыта, однако ни о количестве инфицированных машин, ни о том, что из себя представляет устанавливавшийся вирус, информации нет.

Материалы по теме:

Мобильные вирусы и "хактивизм" — основные киберугрозы II квартала

«Лаборатория Касперского» проанализировала ситуацию с киберугрозами во втором квартале 2011 года. Среди наиболее заметных событий: увеличение числа вредоносных программ под мобильные платформы и их распространение через онлайн-магазины приложений, целевые атаки на компании и популярные интернет-сервисы, всплеск «хактивизма».

Весной и в начале лета экспертами «Лаборатории Касперского» был отмечен бурный рост количества вредоносных программ для мобильных платформ. По сравнению с первым кварталом количество модификаций зловредов под J2ME (ПО для телефонов и смартфонов начального уровня), увеличилось в два раза, а под Android OS – в три. Опасной тенденцией становится распространение троянцев через интернет-магазины приложений. В конце мая в официальном магазине Andoird Market были вновь обнаружены вредоносные программы. Это оказались большей частью перепакованные версии легитимных программ с добавленными троянскими модулями. Всего было выявлено 34 вредоносных пакета.

 

 

Второй квартал 2011 года оказался еще более насыщенным инцидентами, связанными со взломом крупных компаний, чем первый. В список пострадавших вошли такие компании, как Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев были украдены данные клиентов компаний. Эксперты «Лаборатории Касперского» отмечают, что основной целью хакеров в подобных атаках была не финансовая выгода, а стремление навредить репутации корпораций.

В этот же период продолжила набирать силу волна «хактивизма» — взлома или вывода из строя каких-либо систем в знак протеста против действия государственных органов или крупных корпораций. Появилась новая группировка LulzSec, за 50 дней своего существования успевшая взломать множество систем и опубликовать личную информацию десятков тысяч пользователей. Под удар LulzSec попали как крупные корпорации, такие как Sony, EA, AOL, так и государственные органы: сенат США, ЦРУ, SOCA UK и т.д. Информация, которая попадала в руки LulzSec в результате атак, публиковалась на их сайте, а затем выкладывалась в torrent-сети. Кроме того, новая группировка активно использовала социальные медиа, в том числе Twitter, для оповещения мира о своих действиях.

С полной версией отчета о развитии киберугроз можно ознакомиться тут.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥