Корпорация Microsoft, как и планировалось, в минувший вторник выпустила набор патчей для своих программных продуктов.
В общей сложности устранена 31 уязвимость в ОС Windows различных версий, офисных приложениях и браузере Internet Explorer. Многие «уязвимости» названы «критически опасными», то есть они могут быть использованы с целью захвата полного контроля над удаленным компьютером и выполнения на нем произвольного вредоносного кода.
Патчи выпущены для Windows ХР и Windows Vista, веб-обозревателя IE восьмой версии, пакета Office 2008 для ПК на базе Mac OS X, набора серверов Internet Information Services (IIS) и другого ПО. Загрузить их можно через службы Windows Update, Microsoft Update и встроенные в Windows средства автоматического обновления.
[ Administrator, 10 июня 2009, 12:04 | Просмотров: 4276 | Комментариев: 0 ]
1. Введение
2. Сеть-мишень
3. Диапазоны сетевых адресов и имена хостов
4. Доступные хосты и приложения
5. Информация о версиях ПО и пакетах исправлений
6. Начальная атака
7. Расширение привилегий
8. Взлом других компьютеров
9. Получение контроля над доменом
10. Заключение
1. Введение:Одна из главных тайн, связанных с управлением безопасностью, - методы, используемые криминальными хакерами. Разве можно защититься от атак, если вы не знаете, как они осуществляются? Готовьтесь к просветлению.
В этой статье я не собираюсь учить, как взломать защиту, а хочу показать, как злоумышленники могут воспользоваться вашими оплошностями. Благодаря этому вы избежите многих распространенных ошибок, облегчающих задачу криминальным хакерам.
Для начала пара слов о тестировании на возможность проникновения в систему (penetration testing). Прежде всего, неграмотное проведение этого тестирования может негативно сказаться на стабильности сети. Некоторые инструменты, применяемые хакерами (с любой целью, не только со злым умыслом), разработаны для проверки сети на предмет уязвимости.
Инструменты хакеров и программы, использующие дыры в защите систем, не всегда работают корректно, могут дестабилизировать систему или всю сеть и привести к другим непредвиденным последствиям. Специалист знает, что можно сделать с сетью, не нарушив ее работу, и когда следует остановиться. Любитель обычно этого не чувствует.
При защите сети полезно быть слегка параноиком. Одной из грубейших ошибок, которые может допустить системный администратор, является предположение, что все в порядке. Не доверяйте заявлениям о том, будто сеть надежно защищена.
Очень часто вы будете получать от консультантов по безопасности отчеты, содержащие именно такой вывод, и то лишь потому, что им не удалось обнаружить уязвимости. Разумеется, из этого не следует, что сеть на самом деле защищена! Это лишь означает, что конкретным людям не удалось взломать сеть, но кто-то другой может оказаться более удачливым.
[ Administrator, 9 июня 2009, 09:45 | Просмотров: 15286 | Комментариев: 0 ]
9 июня корпорация Microsoft выпустит очередную порцию патчей в рамках ежемесячного обновления программного обеспечения для своих продуктов.
Как отмечается в предварительном уведомлении, в общей сложности Microsoft опубликует десять бюллетеней безопасности с описанием - уязвимости в операционных системах Windows различных версий, браузере Internet Explorer и офисных приложениях.
Шесть из подготовленных бюллетеней будут содержать информацию об уязвимостях, названных - критически опасными. Такие уязвимости выявлены в Windows 2000, текстовом редакторе Word, процессоре электронных таблиц Excel, IE и пакете Office 2000.
Уязвимости могут использоваться с целью получения несанкционированного доступа к удаленному компьютеру и выполнения на нем произвольных деструктивных операций.
[ Administrator, 5 июня 2009, 18:20 | Просмотров: 3792 | Комментариев: 0 ]
Описание:
Trojan.Boxer - троян предназначен для того, чтобы регистрировать все нажатия клавиш и автоматически посылать файл логов на электронный адрес почты, определенный в опциях.
Для осложнения, определения и сокращения размера троян был упакован с FSG packer.
Очень часто, троян отправляется по электронный почты, используя уязвимости, упомянутые в электронном бюллетене MS02-015 и MS03-014, которые позволяют вредоносной программе запускаться автоматически. HTML файл инфицированный с Trojan.Boxer, определяется как Trojan.Sefex.
Тип вредоносной программы:
троян
ОС подверженные заражению:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT
Уровень опасности:
высокий
[ Administrator, 4 июня 2009, 19:02 | Просмотров: 6855 | Комментариев: 0 ]
Специалисты Sophos обнаружили любопытную троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.
Троянец маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида .mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.
Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра.
Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (.mp3.exe).
[ dblackshell, 4 июня 2009, 13:03 | Просмотров: 4010 | Комментариев: 0 ]
В мае продолжилось распространение программ-вымогателей, отмечается в опубликованном компанией "Доктор Веб" обзоре вирусной активности за май 2009 года. При этом оттачиваются методы социальной инженерии, создаются инструменты, которые облегчают деятельность мошенников.
В последние годы создание вредоносных программ с деструктивным функционалом полностью перешло на коммерческую основу. Таким образом, выделился новый класс вирусных угроз - "программы-вымогатели".
Распространение подобного вредоносного ПО началось в 2005 году. С этого времени пошло распространение троянцев, которые с помощью различных алгоритмов шифровали документы пользователей, а для расшифровки предлагали связаться с авторами вредоносной программы.
Позже в сообщениях, встраиваемых в данные программы, явным образом сообщалось о размере выкупа и о способах его отправки.
Несмотря на то, что троянцы, блокирующие доступ к Windows, получили существенное распространение в текущем году, первые образцы подобных программ (Trojan.Winlock) появились одновременно с программами-шифровальщиками в том же 2005-м.
Так, один из первых экземпляров Trojan.Winlock запрашивал отправку выкупа через платежную систему "Яндекс.Деньги".
Следующим шагом в упрощении злоумышленниками методов незаконного получения денег стал выбор в пользу платных смс-сообщений, которые могли бы отправлять жертвы из разных стран мира, используя различных операторов связи.
[ Administrator, 2 июня 2009, 15:31 | Просмотров: 4432 | Комментариев: 0 ]
ОПИСАНИЕ:
Проблема связана с модулем DirectShow, используемым для ввода/вывода аудио и/или видеоданных.
Вынудив жертву открыть сформированный специальным образом медиафайл в формате QuickTime, злоумышленник может получить несанкционированный доступ к удаленному компьютеру с привилегиями текущего пользователя.
Таким образом, если владелец ПК вошел в систему в качестве администратора, нападающий сможет выполнить на машине произвольный программный код.
[ Administrator, 31 мая 2009, 18:26 | Просмотров: 8387 | Комментариев: 0 ]
Описание:
Вирус для платформы Windows, заражает файлы .exe и открывает в системе "черный ход".
Тип вредоносной программы:
Вирус
ОС подверженные заражению:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Уровень опасности:
низкий
Размер:
переменный
Технические детали:
При запуске, вирус создаёт следующие файлы:
- %ТекущаяПапка%\[имя_Файла].url
- %ТекущаяПапка%\[имя_Файла].msi
Затем он заражает исполняемые файлы на компьютере и создаёт файлы с раширением .url в каждую папку, где были заражёны .exe файлы.
При запуске зараженого файла, в ту же папку создаётся копия инфицированного файла с именем:
[имя_Файла].exe.lnk
После этого, вирус пытается скачать с удалёного сервера (easycf.51.net):
- дополнительный конфигурационный файл
- другие вредоносные программы
- обновленная версия вируса
[ Administrator, 29 мая 2009, 23:37 | Просмотров: 5472 | Комментариев: 0 ]
Лаборатория Matousec Transparent Security проводила тесты (Firewall Challenge) персональных фаерволов, самозащиты и комплексов безопасности на утечку данных.
Firewall Challenge – это проект тестовой лаборатории Matousec Transparent Security, запущенный взамен предыдущих анализов персональных файерволлов, в т.ч. исследований по антиликовой защите от утечек данных.
Предыдущие исследования предусматривали изучение и тестирование каждой программы по всем возможным показателям, что было слишком трудоёмко и не давало возможности своевременно оценить достаточное количество программных продуктов. Самым лёгким выходом, по признанию Matousec, было бы ограничиться лик проверками, но тестеры сочли это неприемлемым.
Поэтому было решено дополнить leak тесты другими важными испытаниями и сделать сами проверки ступенчатыми – что-то вроде многоуровневой игры, когда провалившие текущий уровень не допускаются на следующий.
Брандмауэры были протестированы только на максимальных настройках безопасности и на компьютерах, на которых были установлены Windows XP Service Pack 3, а в качестве браузера, было использовано Internet Explorer 6.0, так как в Windows, IE(!) является браузер по умолчанию.
К тестированию, кроме собственно файерволлов, принимались и комплексы безопасности, программы-hips, также обеспечивающие защиту сетевых соединений.
Прохождение каждого теста безопасности в проекте Firewall Challenge оценивается в %. Если результатом теста может быть всего 2 исхода – прошёл или непрошёл – программа получает 100 или 0%. Если есть промежуточный результат – соответственно 50%, по возможности и при наличии соответствущих критериев – более точно. Каждый уровень обычно включает в себя несколько тестов, и для допуска к следующему необходимо пройти тесты с определённым показателем (минимум 50%). В итоге вычислялся также общий уровень защиты каждого продукта.
Тестируемые продукты прошли через многоуровневую систему оценки, составляющая из 84 тестов, включающих в себя основные испытания:
#1. General bypassing test (тест на обход защиты)
«« »» - который определяет способность защитного решения противостоять самым сложным способам внедрения и сокрытия вредоносного кода#2. Leak test (тест на утечку данных)
«« »» - определяющий способность продукта успешно осуществлять "последнюю линию обороны" :: не допустить кражи персональных данных клиента в том случае, если все прочие способы защиты (проактивные, эвристические, сигнатурные, поведенческие) оказались бессильны#3. Performance test (тест на производительность)
«« »» - оценка влияния работы продукта на систему пользователя#4. Spying test (тест на перехват данных)
«« »» - который является одним из важнейших показателей надежности антивирусного решения#5. Termination test (тест на самозащиту / тесты-терминаторы)
«« »» - показывающий, насколько успешно антивирусные решения могут противодействовать попыткам прекращения своей работы и повреждениям в своих процессах и файлах#6. Other (другие тесты)
«« »» - которые не подходят к категориям, перечисленные выше. Эти тесты, могут проверить стабильность и надежность продуктаДля получения точных и достоверных результатов, тест Firewall Challenge был проведен в несколько этапов:
LeveL.1.:
7 тесты на утечку данных + 2 тесты-терминатор
LeveL.2.:
5 тесты на утечку данных + 3 тесты-терминатор
LeveL.3.:
4 тесты на утечку данных + 3 тесты на обход защиты + 3 тесты-терминатор
LeveL.4.:
3 тесты на утечку данных + 2 тесты на обход защиты + 1 тест на перехват данных + 4 тесты-терминатор
LeveL.5.:
3 тесты на утечку данных + 6 тесты-терминатор + 2 тесты на обход защиты + 1 тест на перехват данных
LeveL.6.:
6 тесты на утечку данных + 4 тесты-терминатор + 1 тест на обход защиты + 2 тесты на перехват данных
LeveL.7.:
5 тесты на утечку данных + 2 тесты на перехват данных + 1 тест-терминатор + 1 тест на обход защиты
LeveL.8.:
3 тесты на обход защиты + 2 тесты на перехват данных + 1 тест-терминатор + 2 тесты на утечку данных
LeveL.9.:
1 тест-терминатор + 1 тест
LeveL.10.:
2 тесты
[ Administrator, 19 мая 2009, 04:39 | Просмотров: 24134 | Комментариев: 5 ]
LeveL.5.:: чтобы пройти этот уровень, при испытаниях, продукт должен набрать не менее 50% ::»
Breakout1 (тест на утечку данных)
«« »» - проверяет если брандмауэр защищает Internet Explorer от манипуляций со стороны вредоносных программ, используя Windows сообщений»
CPILSuite2 (тест на утечку данных)
«« »» - узнает если можно инжектировать вредоносные DLL в Windows Explorer (проводник windows'а)»
Crash1 (тест-терминатор)
«« »» - проверяет если вредоносные программы (вирусы, черви, трояны и т.д.) смогут аннулировать потоки в процессах брандмауэра»
Crash2 (тест-терминатор)
«« »» - узнает, может ли система сетевой защиты быть разрушена, лишая её внутренней памяти»
Crash3 (тест-терминатор)
«« »» - проверяет, если система сетевой защиты позволяет злонамеренному процессу перезаписывать память процессах брандмауэра»
Crash4 (тест-терминатор)
«« »» - проверяет, если злонамеренное программное обеспечение сможет привести к сбою firewall, резервируя всю его свободную память»
Kernel2 (тест на обход защиты)
«« »» - проверяет если вредоносное ПО может загрузить драйвер с помощью Диспетчера Служб (Service Control Manager)»
Kernel3 (тест на обход защиты)
«« »» - проверяет если вредоносное программное обеспечение может загрузить драйвер с помощью специальной незарегистрированный функции API»
Keylog2 (тест на перехват данных)
«« »» - постоянно пытается перехватывать все введенные пользователем данные, не зависимо от раскладки клавиатуры »
Kill3 (тест-терминатор)
«« »» - проверяет если ненадежный процесс может отключить фаервол»
Kill3d (тест-терминатор)
«« »» - использует другой метод для остановки процессов брандмауэра»
VBStest (тест на утечку данных)
«« »» - проверяет, можно ли обойти защита брандмаузера через системный скрипт Visual Basic
[ Administrator, 19 мая 2009, 04:36 | Просмотров: 6678 | Комментариев: 0 ]