Zaloguj się, aby obserwować tę zawartość
Obserwujący
0
Joanna Rutkowska podejmuje wyzwanie
dodany przez
KopalniaWiedzy.pl, w Technologia
-
Podobna zawartość
-
przez KopalniaWiedzy.pl
Eksperci ostrzegają, że rootkit TDL4, jeden z najbardziej zaawansowanych złośliwych kodów zagrażających internautom, został jeszcze bardziej udoskonalony.
TDL, znany też jako TDSS, to rodzina wyjątkowo niebezpiecznych, bardzo zaawansowanych technicznie rootkitów. W lipcu bieżącego roku firma Kaspersky stwierdziła, że jest to najbardziej niebezpieczny kod w internecie. Tym, co odróżnia go od innych rootkitów są m.in. zdolność do infekowania 64-bitowej wersji Windows, wykorzystywanie publicznej sieci P2P Kad do łączności z centrum kontroli czy też wykorzystywanie głównego sektora rozruchowego (MBR) do ukrywania się przed oprogramowaniem antywirusowym.
Ocenia się, że botnet stworzony przez tego rootkita liczy sobie 4,5 miliona maszyn.
Teraz badacze z ESET poinformowali, że twórcy rootkita przepisali go na nowo i zmienili sposób, w jaki infekuje on komputery. Zamiast ukrywać się w MBR nowa wersja TDL4 tworzy ukrytą partycję na końcu dysku twardego i ustawia ją jako aktywną. Dzięki temu szkodliwy kod jest uruchamiany przed startem systemu operacyjnego i jest chroniony przed oprogramowaniem zapobiegającym nieautoryzowanym modyfikacjom w MBR. Twórcy TDL4 opracowali też zaawansowany system plików dla partycji utworzonej przez rootkita. Szkodliwy kod może teraz sprawdzać spójność przechowywanych tam danych. Złośliwy kod jest teraz w stanie wykryć zmiany dokonane w plikach przechowywanych na ukrytej partycji sprawdzając sumę kontrolną CRC32 i porównując ją z sumą przechowywaną w nagłówku pliku. Jeśli zostanie wykryte uszkodzenie pliku, jest on usuwany z systemu - informuje ESET. Takie działanie ma zabezpieczyć rootkita przed skierowanymi przeciwko niemu działaniami. W kwietniu bieżącego roku Microsoft opublikował poprawkę, która tak modyfikowała system, by wykorzystywana przez TDL4 ścieżka infekcji została zakłócona. Dwa tygodnie później przestępcy wypuścili poprawkę do rootkita, dzięki której złośliwy kod obchodził poprawkę Microsoftu.
Determinacja cyberprzestępców oraz wysoki stopień zaawansowania szkodliwego kodu wskazują, że jest on dziełem profesjonalistów, którzy mają zamiar na nim zarabiać.
-
przez KopalniaWiedzy.pl
Producent oprogramowania antywirusowego Avast ostrzega, że komputery z systemem Windows XP stały się „rezerwatem" dla szkodliwego oprogramowania. Zdaniem czeskiej firmy liczba maszyn z Windows XP zainfekowanych rootkitami jest nieproporcjonalnie duża w stosunku do udziału systemu w rynku.
Avast Software przeanalizowała dane z 600 000 pecetów z systemem Windows. Obecnie do Windows XP należy około 58% rynku systemów firmy Microsoft. Jednocześnie maszyny z Windows XP stanowią aż 74% komputerów z Windows zainfekowanych rootkitami. Znacznie bezpieczniejszy pod tym względem jest system Windows 7. Jego udziały w rynku komputerów z systemem Microsoftu wynoszą 31%, ale udziały wśród komputerów zarażonych rootkitami to jedynie 12%.
Rootkity stały się w przeciągu ostatnich lat codziennością w świecie IT. Stanowią one bardzo ważną część najbardziej zaawansowanych ataków. Szczególnie popularne są wśród twórców botnetów, gdyż pozwalają ukryć przed użytkownikiem fakt, że ich komputer został zarażony innym szkodliwym kodem.
Zdaniem Avasta przyczynami tak dużej dysproporcji w infekcjach pomiędzy Windows XP a Windows 7 są z jednej strony olbrzymia liczba pirackich kopii tego pierwszego oraz lepsze mechanizmy zabezpieczające ten drugi system.
Z danych Avast Software wynika, że około 33% użytkowników Windows XP korzysta z wersji z SP2 lub wcześniejszych. A to oznacza, że nie instalują oni łat udostępnianych przez Microsoft. Koncern z Redmond zakończył wsparcie dla Windows XP SP2. Obecnie łaty mogą pobierać użytkownicy Windows XP SP3. Jednak co trzeci posiadacz Widnows XP nie zainstalował SP3 gdyż posiada piracką kopię systemu i obawia się instalowania Service Packa 3.
Specjaliści zalecają użytkownikom Windows XP zainstalowanie SP3 lub przejście na system Windows 7, najlepiej jego 64-bitową wersję.
-
przez KopalniaWiedzy.pl
Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system.
Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika.
Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod.
Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani.
Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych.
Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka.
Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.
-
przez KopalniaWiedzy.pl
Miliony użytkowników serwisów społecznościowych i wielu innych witryn, na których wymagane jest logowanie, jest narażonych na atak. Nate Lawson i Taylor Nelson odkryli prosty błąd w dziesiątkach opensource'owych bibliotek, w tym takich, które są wykorzystywane do implementacji standardów OAuth i OpenID. Uwierzytelnianie dokonywane za ich pomocą jest akceptowane m.in. przez Twittera i Digga. Dziury powodują, że możliwe jest przeprowadzenie znanego od 25 lat ataku (timing attack) polegającego na analizie czasu potrzebnego do wykonania algorytmów kryptograficznych. Dotychczas sądzono, że ich przeprowadzenie przez sieć jest niezwykle trudne. Lawson i Nelson wykazali, że nie w tym przypadku.
Timing attack wymaga przeprowadzenia niezwykle precyzyjnych pomiarów. Informacja o błędnym haśle jest bowiem zwracana natychmiast po napotkaniu pierwszego nieprawidłowego znaku. Oznacza to, że informacja, iż używamy hasła, w którym niewłaściwy jest pierwszy znak zostanie przekazana nieco szybciej, niż wówczas, gdy błędny będzie np. 3. znak.
Specjaliści uważali, że przeprowadzenie ataku, w którym ważne są różnice liczone w milisekundach, jest niemal niemożliwe w przypadku, gdy nie mamy fizycznego dostępu do atakowanego systemu.
Lawson i Nelson opracowali jednak algorytm, który pozwala na przeprowadzanie zdalnych ataków, gdyż uwzględniają one wszelkie zakłócenia związane z działaniem sieci komputerowych. Obaj specjaliści mają zamiar ujawnić szczegóły swoich badań na najbliższej konferencji Black Hat.
Eran Hammer-Lahav z Yahoo!, który bierze udział w pracach OAuth i OpenID uważa, że przeciętny użytkownik nie ma czym się martić. "Nie sądzę, by jakikolwiek duży provider używał po stronie swojego serwera opensource'owych bibliotek. A jeśli nawet to robi, to atak nie jest łatwy do przeprowadzenia".
Lawson i Nelson nie ujawnili, w których bibliotekach tkwi błąd. Powiadomili już ich twórców. Poprawienie luk jest niezwykle proste i nie powinno zająć więcej niż napisanie 6 linijek kodu. Wystarczy bowiem poinstruować oprogramowanie, by w identycznych odstępach czasu informowało zarówno o prawidłowych jak i nieprawidłowych hasłach.
Metoda Lawsona i Nelsona została przetestowana w internecie, sieci lokalnej i chmurach obliczeniowych. Co ciekawe, chmury są bardziej narażone niż "zwykła" sieć, gdyż "przybliżają" napastnika do celu ataku, a zatem występują mniejsze zakłócenia spowodowane pracą w sieci.
-
przez KopalniaWiedzy.pl
Nicholas Percoco i Christian Papathanasiou zapowiadają prezentację rootkita na telefon z systemem Android. Będzie ona miała miejsce podczas lipcowej konferencji Defcon. Eksperci pokażą rootkita zdolnego do kradzieży treści SMS-ów, wykonywania połączeń oraz informowaniu o położeniu urządzenia.
W tej chwili nie wiadomo, w jaki sposób udało się obejść zabezpieczenia Androida. Autorzy rootkita zapewniają jednak, że jest to możliwe za pomocą podsuniętego właścicielowi telefonu odnośnika lub wraz z instalowaną przez niego aplikacją.
Obaj specjaliści mówią, że wykorzystali Androida, gdyż korzysta on z jądra Linuksa. Android jest idealną platformą do dalszych badań ze względu na używanie jądra Linuksa oraz na to, że zgromadzono sporą wiedzę na temat linuksowych rootkitów jądra - stwierdzili. Ich rootkit działa jako moduł jądra, dając atakującemu pełny dostęp do urządzenia.
To nie pierwszy tego typu szkodliwy kod. W lutym badacze z Rutgers University pokazali roorkita dla linuksowego smartfonu Neo Freerunner. Zauważyli przy tym, że wykrywanie tego typu szkodliwego kodu będzie dla smartfonów poważnym wyzwaniem ze względu na ograniczoną moc obliczeniową takich urządzeń. Istniejące mechanizmy wykrywania rootkitów opracowane zostały na potrzeby desktopów. Wykorzystują one, wymagające dużych mocy obliczeniowych, periodyczne skanowanie migawek jądra. Takie techniki zużyłyby znaczne ilości energii, gdyby zostały zastosowane w smartfonach - napisali naukowcy z Rutgers.
-
-
Ostatnio przeglądający 0 użytkowników
Brak zarejestrowanych użytkowników przeglądających tę stronę.