Поиск
Показаны результаты для тегов 'атаками'.
Найдено: 2 результата
-
Исследователи безопасности из компании Group-IB опубликовали технический отчет о недавних атаках шифровальщика Bad Rabbit. В ходе анализа исследователям удалось выявить, что за атаками Bad Rabbit и эпидемией вымогательского ПО NotPetya, атаковавшего в июне 2017 года украинские энергетические, телекоммуникационные и финансовые компании, может стоять одна и та же группа хакеров. По заявлениям исследователей, код Bad Rabbit был скомпилирован из исходников NotPetya. В коде была обнаружена уникальная функция вычисления хэша, способ распространения по сети и удаление журналов. Логика извлечения модулей и сами модули также подтверждают эту связь. Как отмечается в отчете, некоторые модули были скомпилированы летом 2014 года, что говорит об использовании старых инструментов для работы с дисками из предыдущих атак данной группировки. Именно в 2014 году хакерская группировка Black Energy резко начала проявлять активность. Как отметили исследователи, Bad Rabbit распространялся посредством метода drive-by download (а не watering hole, как считалось ранее), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Помимо этого, исследователи выявили, что доступ к сайтам был получен в результате целенаправленной атаки. В ходе атаки группировка попыталась замаскироваться под обычных вымогателей. По словам экспертов, цель атак NotPetya, скорее всего, заключалась в саботаже, поскольку вредонос содержал всего один кошелек для перевода выкупа. В случае Bad Rabbit для каждого компьютера автоматически генерируется уникальный ключ, а для каждого ключа свой кошелек. Также в атаке Bad Rabbit было использовано доменное имя, ранее замеченное в атаках злоумышленников с целью фишинга и сбора трафика. Анализ файлов на домене в сети Tor показал, что сайт был подготовлен еще 19 октября. Исследователи также отметили, что атака была тщательно спланирована и, скорее всего, ее проведение было намечено на 25 октября текущего года. Об этом свидетельствует дата электронной подписи вредоносного ПО - 25.10.2017, хотя сама атака началась 24 октября. С более подробным техническим анализом атаки можно ознакомиться в блоге исследователей. Ранее стало известно, что хакеры свернули операцию по распространению шифровальщика Bad Rabbit.
-
Браузеры, такие как Chrome, Firefox и Opera, уязвимы перед новой вариацией известной атаки, позволяющей фишерам зарегистрировать поддельные домены, имитирующие настоящие ресурсы Apple, Google, eBay и прочих компаний, предупреждает исследователь из Китая Сюйдун Чжэн. Техника, описанная специалистом, основана на так называемой омографической атаке, известной с 2001 года. Несколько лет назад ICANN разрешила использование не входящих в набор ASCII символов (Unicode) в доменных именах. Поскольку некоторые символы Unicode выглядят одинаково, например «а» в кириллице (U+0430) и «а» в латинице (U+0041), ICANN пришла к выводу, что использование символов Unicode может привести к путанице и усложнит отличие легитимных доменов от фишинговых сайтов. В этой связи вместо реального Unicode было решено использовать при регистрации доменов Punycode, представляющий текст Unicode в виде символов ASCII. По умолчанию производители браузеров должны были трансформировать Punycode URL в символы Unicode внутри браузера. Однако вскоре стало ясно, что Punycode может использоваться для маскировки фишинговых сайтов. Например, если атакующий зарегистрирует домен xn-pple-43d.com, это будет аналогом apple.com, однако в начале слова была бы использована кириллическая «а». Именно поэтому производители браузеров реализовали фильтры, отображающие URL в Unicode, только в том случае, если адрес содержит символы только из одного языка (например, только китайские или только японские). По словам Чжэна, злоумышленники могут обойти эти фильтры. Существует множество языков, использующих латинский алфавит, а следовательно, и символы Unicode. Исследователь зарегистрировал домен на одном из таких языков. Поскольку был использован набор символов только из одной группы языков в Unicode, антифишинговый фильтр не распознал присутствие символов из других языков. К примеру, зарегистрированных специалистом домен xn-80ak6aa92e.com отразился как арре.com (но с символами из кириллицы). В таком случае, единственным способом распознать фишинговый сайт будет проверка лицензии страницы, где домен отображается в Punycode. Перед подобными атаками уязвимы браузеры Chrome, Firefox, а также Opera (в том числе новая версия Opera Neon). Браузеры Edge, Internet Explorer, Safari, Vivaldi и Brave проблеме не подвержены. Чжэн связался с Google и Mozilla в январе нынешнего года. Google уже исправила проблему в Chrome Canary 59, полноценный патч будет выпущен в составе Chrome Stable 58. Инженеры Mozilla еще не подготовили исправление, а пока рекомендуют пользователям отключить поддержку Punycode.