Изменить размер шрифта
 
Текущее время: 16 дек 2018, 11:09



Часовой пояс: UTC + 1 час [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 97 ] 
 
Автор Сообщение
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 19 авг 2017, 19:09 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
«Доктор Веб»: около 9% банковских доменов используют неправильные настройки DNS


Аналитики компании «Доктор Веб» выяснили, что неправильная настройка DNS-серверов в совокупности с другими факторами может стать одной из возможных причин компрометации веб-сайта. Проведенное исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций.

Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.

Скрытый текст +
Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней. Например, домен drweb.com использует поддомены vms.drweb.ru, на котором размещается сайт, позволяющий проверить ссылку, файл или найти описание вируса, free.drweb.ru — домен для веб-страницы утилиты Dr.Web CureIt!, updates.drweb.com — страница системы обновлений Dr.Web и т д. С использованием таких доменов обычно реализованы различные технические и вспомогательные службы — системы администрирования и управления сайтом, системы онлайн-банкинга, веб-интерфейсы почтовых серверов и всевозможные внутренние сайты для сотрудников компании. Также поддомены могут быть задействованы, например, для организации систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и прочих нужд.

При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. С использованием такого списка злоумышленники могут попытаться проникнуть в инфраструктуру интернет-ресурса через «черный ход», подобрав учетные данные и успешно авторизовавшись на одном из внутренних непубличных сервисов.

Многие системные администраторы не уделяют должного внимания безопасности таких ресурсов. Между тем такие «внутренние» сайты могут использовать устаревшее программное обеспечение с известными уязвимостями, содержать отладочную информацию или допускать открытую регистрацию. Все это может значительно упростить задачу злоумышленникам.

Если обслуживающие веб-сайт DNS-серверы настроены правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса.

Аналитики «Доктор Веб» провели исследование настройки DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из примерно 1000 проверенных доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций. Компания «Доктор Веб» напоминает администраторам сайтов о том, что корректная настройка DNS является одним из факторов, способных обеспечить безопасность интернет-ресурсов.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 26 авг 2017, 18:32 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
Dr.Web обнаружил загрузчик троянца для «умных» Linux-устройств на базе MIPS и MIPSEL


Собранная специалистами «Доктор Веб» статистика показывает, что на первом месте среди стран, к которым относятся IP-адреса зараженных Linux.Hajime устройств, находится Мексика. Также в тройку входят Турция и Бразилия.

Ассортимент современных вредоносных программ для устройств под управлением Linux чрезвычайно широк. Одним из широко распространенных троянцев для этой ОС является Linux.Hajime, несколько загрузчиков детектировал только Антивирус Dr.Web.

Троянцы семейства Linux.Hajime известны вирусным аналитикам с конца 2016 г. Это сетевые черви для Linux, распространяющиеся с использованием протокола Telnet. После успешной авторизации путем подбора пароля плагин-инфектор сохраняет на устройство хранящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца. В свою очередь вредоносная программа включает инфицированное устройство в децентрализованный P2P-ботнет. Linux.Hajime способен заражать объекты с аппаратной архитектурой ARM, MIPS и MIPSEL.

Помимо вредоносного загрузчика для ARM-устройств в «дикой природе» уже более полугода распространяются аналогичные по своим функциям модули для устройств с архитектурой MIPS и MIPSEL. Первый из них получил наименование Linux.DownLoader.506, второй — Linux.DownLoader.356. На момент подготовки этой статьи они оба детектировались только продуктами Dr.Web. Кроме того, вирусные аналитики «Доктор Веб» установили, что помимо использования троянцев-загрузчиков злоумышленники осуществляют заражение и при помощи стандартных утилит, например, скачивают Linux.Hajime посредством wget. А начиная с 11 июля 2017 года киберпреступники стали загружать троянца на атакуемое устройство с помощью утилиты tftp.

Компания «Доктор Веб» напоминает: одним из наиболее надежных способов предотвращения атак на Linux-устройства является своевременная смена установленных по умолчанию логина и пароля. Кроме того, рекомендуется ограничивать возможность подключения к устройству извне по протоколам Telnet и SSH и своевременно обновлять прошивку. Антивирус Dr.Web для Linux определяет и удаляет все упомянутые версии загрузчиков Linux.Hajime, а также позволяет выполнить дистанционное сканирование устройств.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 09 сен 2017, 12:55 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
Dr.Web Security Space демо на 3 месяца

Скрытый текст. Необходимо зарегистрироваться.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 25 окт 2017, 21:05 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
Пользователи Dr.Web от «плохого кролика» не пострадали

Dr.Web объявила о том, что Trojan.BadRabbit, известный также как BadRabbit, не представляет угрозы для пользователей актуальных версий продуктов Dr.Web с включенной превентивной защитой: шифрование пресекается с детектом DPH:Trojan.Encoder.32.

Также превентивно запрещается запись кода его загрузки в MBR. По функционалу троянец похож на Trojan.Encoder.12544, известный также под именами Petya, Petya.A, ExPetya и WannaCry-2, использует тот же алгоритм, вредоносная программа и подробности её функционирования изучаается специалистами "Доктор Веб".

В сети существуют рекомендации по защите от данной угрозы, например, создать файл C:\Windows\infpub.dat с атрибутом ReadOnly; создать файл C:\Windows\cscc.dat с атрибутом ReadOnly; запретить в групповых политиках (Политика ограниченного использования программ) выполнения infpub.dat и install_flash_player.exe.

Некоторые из этих мер могут дать кратковременный эффект, но специалисты «Доктор Веб» не могут рекомендовать ограничиваться подобными средствами при защите от киберугроз. Малейшее изменение во вредоносной программе может привести к тому, что подобные вышеперечисленным меры не дадут никакого эффекта. Таким образом, единственной надежной рекомендацией может быть использование надежного антивируса. Актуальная версия Dr.Web защищает от этого вируса.

Подробное описание будет опубликовано по результатам ведущегося сейчас вирусной лабораторией расследования.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 27 окт 2017, 15:31 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
Dr.Web поможет обнаружить уязвимости BlueBorne в протоколе Bluetooth для Android-устройств


Dr.Web объявила о том, что недавно была выявлена группа опасных уязвимостей через протокол Bluetooth, с помощью которых злоумышленники могут получить полный контроль над атакуемыми устройствами, выполнять на них произвольный код и красть конфиденциальную информацию. Аудитор безопасности в составе Dr.Web Security Space для Android проверяет, подвержены ли мобильные устройства этим уязвимостям, и своевременно информирует об этом пользователей.

Обнаруженные уязвимости и вектор атаки с их применением получили общее название BlueBorne. Исследователи выявили проблему в ключевых компонентах большинства современных операционных систем, в том числе Windows, iOS, а также Linux и основанных на его ядре платформ, таких как Tizen и Android.

Скрытый текст +
BlueBorne включает следующие уязвимости: CVE-2017-0781, CVE-2017-0782 – уязвимости ОС Android, позволяющие запускать приложения с привилегиями системы; CVE-2017-0785 – уязвимость ОС Android, которая может привести к утечке и краже конфиденциальной информации; CVE-2017-0783 – уязвимость ОС Android, позволяющая проводить атаки типа «Человек посередине» (Man-in-The-Middle); CVE-2017-1000251 – уязвимость компонента ядра Linux, которая позволяет выполнять произвольный код; CVE-2017-1000250 – уязвимость компонента ядра Linux, которая может привести к краже конфиденциальной информации.

BlueBorne позволяет злоумышленникам дистанционно выполнять вредоносный код на целевых Android-устройствах с включенным передатчиком Bluetooth, отправляя специально сформированные пакеты данных. Атака происходит с привилегиями ядра ОС, а для ее проведения не требуется предварительное сопряжение устройств и включение режима видимости. Для успешной эксплуатации уязвимостей достаточно, чтобы на устройстве потенциальной жертвы был включен Bluetooth-адаптер, а атакующий находился в зоне действия радиосигнала передатчика.

Поскольку обеспечивающие работу Bluetooth процессы имеют высокие привилегии во всех ОС, эксплуатация выявленных уязвимостей способна дать практически полный контроль над объектом атаки. Уязвимости BlueBorne могут позволить злоумышленникам управлять устройствами, распространять между ними вредоносное ПО, получать доступ к хранящимся на них данным и подключенным сетям, а также выполнять атаки Man-in-The-Middle. Опасности подвержены все Android-смартфоны, планшеты и прочие устройства, на которых не установлено обновление безопасности от 9 сентября 2017 года, и устройства, не использующие Bluetooth только в режиме низкого потребления энергии (Bluetooth Low Energy).

Помимо проведения атак с применением BlueBorne напрямую злоумышленниками возможно появление использующих эти уязвимости вредоносных программ. Они смогут самостоятельно распространяться по каналам Bluetooth от одного устройства к другому подобно сетевым червям. Наибольшей опасности при этом подвергаются устройства, не получающие обновления безопасности от производителей прошивок или разработчиков ОС.

Входящий в комплект Dr.Web Security Space для Android Аудитор безопасности детектирует множество уязвимостей, которые могут присутствовать на Android-смартфонах и планшетах. Среди них – широко известные Extra Field, MasterKey, Heartbleed и ряд других. С выходом обновленной версии Аудитора к ним добавились уже описанная выше уязвимость BlueBorne, а также SIM Toolkit (CVE-2015-3843).

Ошибка SIM Toolkit в ОС Android позволяет злоумышленникам перехватывать и подделывать команды, отправляемые SIM-картой на мобильное устройство и обратно. Благодаря этому киберпреступники могут выполнять фишинговые атаки с использованием мошеннических окон и красть конфиденциальную информацию, такую как логины и пароли.

Для выявления BlueBorne на мобильных устройствах Аудитор безопасности Dr.Web проверяет наличие в системе обновления от Google и в случае его отсутствия предупреждает об угрозе. При обнаружении этой и других уязвимостей в системе рекомендуется установить все доступные обновления.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 24 ноя 2017, 21:15 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
«Доктор Веб» исследовал нового банковского троянца Trojan.Gozi

Вирусные аналитики компании «Доктор Веб» исследовали новую версию вредоносной программы, относящейся к широко известному семейству Trojan.Gozi.

Новый банковский троянец, получивший наименование Trojan.Gozi.64, основывается на исходном коде предшествующих версий Trojan.Gozi, который уже долгое время находится в свободном доступе. Как и другие представители этого семейства, Trojan.Gozi.64 может заражать компьютеры под управлением 32- и 64-разрядных версий Windows.

Троянец имеет модульную архитектуру, но, в отличие от предыдущих модификаций, он полностью состоит из отдельных загружаемых плагинов. Также Trojan.Gozi.64 не имеет алгоритмов для генерации имен управляющих серверов — их адреса «зашиты» в его конфигурации, в то время как одна из первых версий Gozi использовала в качестве словаря текстовый файл, загружаемый с сервера NASA.

Скрытый текст +
Создатели троянца заложили в него ограничение, благодаря которому он способен работать с операционными системами Microsoft Windows 7 и выше, в более ранних версиях Windows вредоносная программа не запускается. Дополнительные модули скачиваются с управляющего сервера специальной библиотекой-лоадером, при этом протокол обмена данными использует шифрование.

Лоадер Trojan.Gozi.64 может выполнять на зараженной машине следующие вредоносные функции: проверка обновлений троянца; загрузка с удаленного сервера плагинов для браузеров, с помощью которых выполняются веб-инжекты; загрузка с удаленного сервера конфигурации веб-инжектов; получение персональных заданий, в том числе для загрузки дополнительных плагинов; удаленное управление компьютером.

Для осуществления веб-инжектов в каждом браузере Trojan.Gozi.64 использует собственный настраиваемый плагин. В настоящий момент вирусным аналитикам известны плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, троянец получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате Trojan.Gozi.64 может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.

Помимо этого на зараженный компьютер могут быть загружены и установлены дополнительные модули – в частности, плагин, фиксирующий нажатие пользователем клавиш (кейлоггер), модуль для удаленного доступа к инфицированной машине (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных из почтовых клиентов и некоторые другие.

Банковский троянец Trojan.Gozi.64 не представляет опасности для пользователей антивирусных продуктов Dr.Web, поскольку сигнатуры вредоносной программы и ее модулей добавлены в вирусные базы.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 19 июл 2018, 15:25 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 14713
Медали: 2
Cпасибо сказано: 1513
Спасибо получено:
1289 раз в 1129 сообщениях
Баллы репутации: 1630
Dr.Web Security Space на 3 месяца(демо)

Скрытый текст +
N2SM-72EL-VX2C-DRLX
XA58-FYAT-4YFU-3ZM6
4RJ1-5M28-1G13-22ZG
JWGE-GAY5-JJGY-PQ75


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 97 ] 

Часовой пояс: UTC + 1 час [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Template made by DEVPPL -
Рекомендую создать свой форум бесплатно на http://4admins.ru

Русская поддержка phpBB
 
Яндекс.Метрика Материалы, находящиеся на форуме, были взяты из сети Интернет как свободно распространяемые и добавлены на форум посетителями форума исключительно в ознакомительных целях. Администрация ресурса не несет ответственности за использование материалов, размещенных на форуме пользователями. Если Вы являетесь правообладателем и Вас не устраивают условия, на которых Ваш продукт представлен на данном ресурсе, просьба немедленно сообщить с целью устранения правонарушения. Использование материалов сайта возможно только с разрешения администрации. Copyright © Aiwan. Kolobok smiles

Наверх