1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Новости информационной безопасности

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 1 сен 2012.

  1. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
  2. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 20 янв 2019
    Злоумышленники продолжают эксплуатировать уязвимость в ThinkPHP

    Организаторы кибератак используют относительно простые методы для запуска криптомайнеров и скиммеров.

    В декабре минувшего года SecurityLab сообщал об уязвимости в китайском PHP-фреймворке ThinkPHP, позволявшей удаленно выполнить код. Хотя уязвимость (CVE-2018-20062) уже исправлена разработчиком, злоумышленники продолжают активно эксплуатировать проблему.

    Сотрудник компании Akamai Лэрри Кэшдоллар (Larry Cashdollar) выявил ряд экспоитов для данной уязвимости, когда проводил анализ недавней атаки Magecart на расширения для системы управления интернет-магазинами Magento. По его словам, атакующие используют уязвимость для внедрения различного вредоносного ПО - от троянов для ПК на базе Windows и IoT-устройств до криптомайнеров.

    Киберпреступники используют относительно простые методы для эксплуатации проблем. Как отметил исследователь, всего одна строка кода может провести проверку на наличие уязвимости, которая затем может использоваться в атаках, предполагающих применение доступного в Сети вредоносного кода. В одном из случаев атакующие пытались распространить вариант вредоносного ПО Mirai. Это говорит о том, что операторы Mirai-ботнетов уже начали добавлять эксплоиты для ThinkPHP в свой арсенал.

    Выполнение кода через вызовы PHP-фреймворка позволяет пропустить ряд этапов. «В 1990-х годах люди всегда пытались получить права суперпользователя. Теперь это не имеет значения. Они просто хотят выполнять код на системе с любыми правами для внедрения вредоносных программ или майнинга криптовалюты», - отметил Кэшдоллар.

    В основном злоумышленники атакуют системы в Азии, где фреймворк ThinkPHP весьма популярен, но также уделяют внимание Европе и США. Атакующих интересуют компании в различных сферах - от разработчиков программного обеспечения до фирм, занимающихся прокатом автомобилей.

    Подробнее: https://www.securitylab.ru/news/497508.php
     
  3. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 22 янв 2019
    Краткий обзор новых продуктов в области информационной безопасности.

    XebiaLabs представила платформу XebiaLabs DevOps для автоматизации и отслеживания выпуска релизов по сквозной CI/CD-цепочке, от кода до релиза. Обладая информацией о проблемах безопасности и соответствия, команды могут принять меры для устранения рисков сбоев, уязвимостей и нарушений управления IT на ранних этапах цикла поставки программного обеспечения.

    В решении ExtraHop Reveal(x) появились новые возможности, которые позволят командам SOC (Security Operations Center) и NOC (Network Operations Center) выделить и обезопасить критически важные ресурсы, выявить аномалии и инсайдерские угрозы. Утилита объединяет автоматическое обнаружение и классификацию активов с использованием машинного обучения на основе облачных вычислений, обнаружения аномалий и автоматической группировки с акцентом на критические активы.

    Служба резервного копирования AWS Backup упрощает защиту хранилищ, баз данных и файловых систем. С помощью сервиса пользователи могут конфигурировать и проводить аудит AWS ресурсов, для которых осуществляется резервное копирование, автоматизировать резервное копирование данных в сервисах AWS в облаке, настраивать политики резервного копирования и осуществлять мониторинг резервного копирования и восстановления.

    Компания Quali представила облачную SaaS-платформу CloudShell Colony для автоматизации сред DevOps на всех этапах от разработки до производства. Решение предоставляет возможность управления облачными ресурсами с единой панели. CloudShell Colony разработано для более эффективного предоставления IT-сред, устранения несоответствий конфигурации и расширения возможностей всех заинтересованных сторон в цепочке создания стоимости DevOps за счет повышения стабильности конвейера с меньшим количеством кода и лучшей обработкой ошибок.

    Подробнее: https://www.securitylab.ru/news/497543.php
     
  4. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 27 янв 2019
    В Chrome появится встроенная защита от атак drive-by

    Инженеры Google работают над реализацией в Chrome нового механизма безопасности.

    В Chrome появится встроенная автоматическая защита от атак drive-by. В настоящее время компания Google работает над реализацией в своем браузере соответствующего механизма безопасности.

    Атаки drive-by часто используются киберпреступниками для заражения уязвимых компьютеров вредоносным ПО. В ходе атаки из браузера на систему жертвы загружается файл, который она не запрашивала (в некоторых случаях жертва даже не подозревает о происходящем). Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в web-сайт вредоносный скрипт.

    Первым заблокировать функцию загрузки в плавающих фреймах предложил специалист компании Google Майк Уэст (Mike West) еще в 2013 году. В 2017 году Уэст снова напомнил о своем предложении через GitHub. Предложение поддержал один из разработчиков проекта Chromium Яо Сяо. Разработчик опубликовал открытый документ Google Docs под названием «Предотвращение загрузок drive-by в плавающих фреймах, защищенных песочницей» (Preventing Drive-By-Downloads in Sandboxed Iframes), где описал принцип работы соответствующего механизма безопасности.

    «У контент-провайдеров должна быть возможность самим решать, могут ли инициироваться загрузки drive-by для контента в плавающих фреймах. Поэтому мы намерены заблокировать загрузки в защищенных песочницей плавающих фреймах, происходящие без участия пользователя. Ограничение можно будет снять с помощью ключевого слова «allow-downloads-without-user-activation» («разрешить-загрузку-без-активации-пользователя» - ред.), если оно указано в списке атрибутов песочницы», - сообщается в документе.

    Как пояснил Яо Сяо, механизм безопасности будет блокировать загрузки, инициированные «навигацией или поддельными кликами на ссылки» без участия пользователя. После реализации новой функции все заблокированные загрузки будут прекращаться незаметно, а единственным свидетельством того, что они вообще происходили, станут ошибки, отображаемые на консоли разработчика.

    Подробнее: https://www.securitylab.ru/news/497617.php
     
  5. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 3 фев 2019
    TheMoon переквалифицировался с DDoS-ботнета на прокси

    IoT-ботнет TheMoon использовался для проксирования трафика в мошеннической схеме с рекламой на YouTube.

    Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), используемый для проксирования трафика в мошеннической схеме с рекламой на YouTube.

    Специалисты выявили мошенническую схему во время анализа ботнета TheMoon, в который попали некоторые устройства CenturyLink. Устройства осуществляли брутфорс-атаки на популярные сайты – как оказалось, они были заражены вредоносным ПО TheMoon, вооружившимся совершенно новым модулем.

    Ботнет TheMoon известен исследователям еще с 2014 года. Как правило, вредонос заражал маршрутизаторы и IoT-устройства с помощью эксплоитов для известных уязвимостей. В начале своей истории ботнет использовался для осуществления DDoS-атак, однако в последние годы стал исчезать с DDoS-сцены. По мнению экспертов, это связано с тем, что теперь TheMoon используется злоумышленниками в качестве прокси для осуществления мошеннических схем.

    Догадки исследователей подтвердились в начале прошлого года, когда специалисты из Qihoo 360 Netlab обнаружили в TheMoon первый модуль для проксирования трафика. Теперь же эксперты CenturyLink выявили совершенно новый, ранее неизвестный модуль, подтверждающий эволюцию TheMoon от DDoS-ботнета до прокси.

    Злоумышленники действуют следующим образом. TheMoon заражает уязвимое устройство и загружает на него дополнительный модуль, открывающий на зараженном устройстве прокси SOCKS5, доступ к которому операторы вредоноса продают другим киберпреступникам.

    Подробнее: https://www.securitylab.ru/news/497725.php
     
  6. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 5 фев 2019
    Киберпреступники заражают Linux-серверы новым бэкдором

    Бэкдор служит для внедрения майнеров криптовалюты Monero.

    Специалисты компании Check Point зафиксировали новую вредоносную кампанию, в рамках которой злоумышленники эксплуатируют уязвимость в фреймворке ThinkPHP для заражения Linux-серверов новым бэкдором SpeakUp и внедрения майнеров для добычи криптовалюты Monero.

    Скомпрометировав систему, атакующие используют троян для модификации локальной утилиты Сron с целью сохранения присутствия, выполнения команд и файлов, загруженных с управляющего сервера. Бэкдор SpeakUp также содержит написанный на Python скрипт, который используется для распространения вредоноса по локальной сети. Скрипт сканирует сети на предмет открытых портов, взламывает системы с помощью списка определенных логинов и паролей, а также может использовать один из семи имеющихся в наличии эксплоитов для перехвата управления непропатченными системами.

    Арсенал трояна включает эксплоиты для уязвимостей в различных платформах и компонентах, в частности, JBoss EAP (CVE-2012-0874), JBoss Seam (CVE-2010-1871), JBoss AS 3/4/5/6, Oracle WebLogic (CVE-2017-10271), Oracle WebLogic Server (CVE-2018-2894), Apache Hadoop YARN ResourceManager, Apache ActiveMQ (CVE-2016-3088).

    SpeakUp может работать на системах под управлением шести различных дистрибутивов Linux, а также macOS. Целью злоумышленников является майнинг криптовалюты Monero. По данным специалистов, за три недели, которые длится кампания, ее организаторам удалось добыть примерно 107 монет (около $4,5 тыс.). Несмотря на имеющиеся возможности, киберпреступники пока атакуют только фреймворк ThinkPHP, основное количество пострадавших приходится на страны Азии и Южной Америки.

    Массовая эксплуатация уязвимости в ThinkPHP началась еще в конце минувшего года после публикации PoC-эксплоита. За прошедшие месяцы исследователи заметили несколько кампаний, так или иначе задействующих данную уязвимость, например, для расширения ботнетов Hakai и Yowai.

    Подробнее: https://www.securitylab.ru/news/497771.php
     
  7. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 10 фев 2019
    Банковский троян IcedID переключился на интернет-магазины

    Методы распространения IcedID не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

    Разработчики банковского трояна IcedID начали использовать вредоносное ПО для кражи данных платежных карт клиентов интернет-магазинов. Коме того, с целью расширения сферы деятельности группировка стала предлагать IcedID в рамках модели "вредоносное ПО-как-услуга" ("malware-as-a-service").

    Атаки начались в ноябре 2018 года, однако вместо краж банковской информации пользователей, преступники использовали IcedID для сбора данных платежных карт клиентов online-магазинов, отметила специалист подразделения IBM Security Лимор Кессем (Limor Kessem). Собранную информацию злоумышленники использовали для покупок в различных интернет-магазинах.

    Эксперты отслеживали деятельность трояна с сентября 2017 года. Методы распространения IcedID с тех пор не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

    Злоумышленники осуществляют атаки на интернет-магазины в качестве способа побочного заработка, а также предлагают в аренду или продают части ботнета IcedID по аналогии с бизнес-моделью авторов трояна Gozi, заметила Кессем.

    В то время как многие киберпреступные группировки расширяют географическую зону своих атак, что требует значительных средств и ресурсов, операторы IcedID не выходят за пределы Северной Америки, ориентируясь на банки и предприятия электронной коммерции в данном регионе.

    Подробнее: https://www.securitylab.ru/news/497853.php
     
  8. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 12 фев 2019
    Обновления Windows не гарантируют безопасность ПК

    Большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов.

    С момента выпуска Windows 10 в июле 2015 года корпорация Microsoft неоднократно подвергалась критике из-за практики принудительного обновления Windows. Помимо обновления до Windows 10 без согласия, Microsoft изначально не предоставила пользователям Windows 10 Home возможность отсрочки установки обновлений.

    Позже компания изменила решение и уже в апреле 2019 года пользователи новой версии Windows 10 Home смогут получить возможность приостановить установку обновления Windows на срок до семи дней или запланировать его на определенную дату.

    Тем не менее оперативная установка обновлений не снижает риск заражения компьютера.

    В ходе мероприятия Blue Hat IL, проходившем в феврале в Тель-Авиве (Израиль), специалисты команды безопасности Microsoft рассказали, что большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов.

    Согласно данным Microsoft, только 2-3% исправленных уязвимостей используются в атаках, проводимых через 30 дней после выпуска обновлений.

    «Если уязвимость используется, она, скорее всего, будет эксплуатироваться как уязвимость нулевого дня. В настоящее время редко можно увидеть эксплоиты для уже исправленных уязвимостей, выпущенные в течение 30 дней с момента появления патча. Когда уязвимость используется как 0-Day, она, скорее всего, будет впервые использована в целевой атаке. В атаках на старые версиии ПО обычно используются эксплоиты для уже исправленных уязвимостей», - отметили специалисты корпорации.

    Подробнее: https://www.securitylab.ru/news/497866.php
     
  9. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 17 фев 2019 в 14:00
    ЗЛОУМЫШЛЕННИКИ МАССОВО ЗАРАЖАЮТ СИСТЕМЫ КЛИЕНТОВ MSP ВЫМОГАТЕЛЕМ GANDCRAB

    По меньшей мере 126 внешних сервис-провайдеров, не обновивших плагин Kaseya, уязвимы к атакам GandCrab.

    Злоумышленники эксплуатируют уязвимость двухлетней давности в программном пакете, используемом значительным количеством компаний, предоставляющих услуги удаленной IT-поддержки, для проникновения в уязвимые сети и заражения рабочих станций клиентов вымогательским ПО GandCrab.

    Согласно сообщению на форуме Reddit и данным компании Huntress Labs, от атак уже пострадал по меньшей мере один провайдер. Речь идет об уязвимости в плагине Kaseya для профессионального решения по автоматизации сервисов ConnectWise Manage, используемого поставщиками удаленных услуг (managed service provider, MSP). Многие небольшие компании применяют продукты для централизации данных, поступающих от клиентов, и удаленного управления их рабочими станциями.

    В ноябре 2017 года в плагине была обнаружена уязвимость, позволяющая внедрить SQL-код (CVE-2017-18362), которая предоставляла возможность создать новые учетные записи администратора в основном приложении Kaseya. Тогда же PoC-код для автоматизации атак был опубликован на GitHub.

    Хотя производитель выпустил соответствующее обновление еще два года назад, судя по всему, многие компании проигнорировали его, тем самым оставив уязвимыми свои панели ConnectWise.

    По имеющимся данным, атаки начались две недели назад. В конце января появились сообщения об инциденте, связанном с одним из MSP, когда киберпреступники взломали сеть провайдера и заразили вымогателем GandCrab системы 80 его клиентов.

    В ответ на растущее число сообщений о вымогательских атаках компания ConnectWise выпустила предупреждение, в котором призвала пользователей обновить плагин Kaseya. Согласно информации вице-президента по маркетингу и связям с общественностью Kaseya Тонии Кипп (Taunia Kipp), 126 компаний все еще не установили обновление и находятся в зоне риска.

    Подробнее: https://www.securitylab.ru/news/497963.php
     
  10. unbreakable

    unbreakable Модератор

    Репутация:
    140.703.224
    unbreakable, 19 фев 2019 в 19:48
    Алгоритм машинного обучения распознает Android-приложения внутри трафика Tor

    Итальянские специалисты создали алгоритм машинного обучения, способный распознавать Android-приложения с точностью до 97%.

    Специалисты Римского университета Сапиенца разработали алгоритм, способный, по их словам, выявлять используемые Android-приложения путем анализа трафика Tor с точностью до 97%. Алгоритм не является скриптом для деанонимизации пользователей, поскольку не способен раскрывать реальные IP-адреса или другую идентифицируемую информацию. Тем не менее, с его помощью можно определить, работает ли пользователь Tor с каким-либо Android-приложением.

    Исследование специалистов Римского университета Сапиенца основывается на предыдущих исследованиях, посвященных анализу TCP-пакетов внутри трафика Tor и выявлению отличий между трафиком браузеров, электронной почты, переписки, стриминга аудио/видео, передачи файлов, сервисов VoIP и пиринговых сетей. Итальянские ученые использовали эту концепцию анализа TCP-пакетов внутри трафика Tor с целью выявления особенностей трафика определенных Android-приложений.

    Специалисты создали алгоритм машинного обучения и натренировали его распознавать в трафике Tor характерные особенности десяти Android-приложений: браузера Tor для Android, Instagram, Facebook, Skype, uTorrent, Spotify, Twitch, YouTube, DailyMotion и Replaio Radio. После обучения алгоритм смог определять использование вышеперечисленных приложений с точностью до 97,3%.

    Однако не все так радужно, как может показаться на первый взгляд. Для начала, алгоритм может распознавать трафик приложений только при отсутствии фонового трафика в канале связи. То есть, определить приложение по его трафику возможно только в случае, если на устройстве пользователя запущено только одно это приложение. Если на устройстве работает много программ, TCP-трафик запутывается, и алгоритму гораздо сложнее различить шаблоны, характерные для каждого отдельного приложения. В таком случае точность распознавания существенно снижается.

    Помимо прочего, алгоритм испытывает трудности с определением трафика некоторых приложений. К примеру, он путает трафик стриминговых видеосервисов, таких как Spotify и YouTube. Кроме того, есть проблемы с выявлением приложений, «затихающих», когда пользователь работает с ними (к таковым в частности относятся браузер Tor, Instagram и Facebook).

    Подробнее: https://www.securitylab.ru/news/498006.php
     
Загрузка...