Разное

Вирустотал на русском: VirusTotal API v3 Overview

21.10.1999

Содержание

VirusTotal установить бесплатно последнюю версию

О программе

Что вы узнаете из обзора:

VirusTotal – онлайн-антивирус для компьютеров под управлением Windows. Принцип работы программы состоит в том, что сервис при загрузке файла или ссылки пропускает их по семидесяти антивирусным движкам в Сети, среди которых DrWeb, Kaspersky, McAfee, Nod32 и т.д.

Если проверяемые данные подозрительны, он тут же оповещает об этом пользователя. Утилита русифицирована, а необходимости скачать VirusTotal на ПК и установить утилиту нет, т.к. это веб-сервис, использовать который можно абсолютно бесплатно.

Функционал

VirusTotal может быть использован в самых разных ситуациях. Так, он подойдет для старых ПК, где антивирусные программы отсутствуют, устарели или показывают недостоверные результаты. Также сервис может быть использован в качестве дополнительной проверки помимо основного антивируса, установленного на ПК.

Обнаружив угрозу, утилита оповестит об этом пользователя, но сама исправить проблему не сможет. Если проверялась ссылка, можно просто не переходить на проверенный ресурс, в то время как зараженный файл придется удалять своими силами или устанавливать для этого антивирус.

Нужно помнить, что максимальный допустимый объем анализируемого файла не должен превышать 256 Мб.

После окончания проверки файла VirusTotal выводит подробные отчеты от каждого из задействованных антивирусных сервисов. Кроме того, на экране появляется уведомление о том, какой рейтинг безопасности был присвоен веб-ссылке или файлу другими пользователями (эти данные не являются надежными, поэтому учитывать их следует только в редких случаях).

Еще одна возможность, которую предоставляет сервис – это отправка на проверку файлов по электронной почте. При этом их объем не должен превышать 20 Мб, в противном случае сервис не выполнит запрос. Нужно отправить на почтовый адрес VirusTotal письмо, прикрепив к нему подозрительный файл. В поле «Тема» следует прописать «SCAN». Через какое-то время придет ответ с результатами проверки. Срок зависит от загруженности сервиса.

Сервис является абсолютно бесплатным и не нуждается в инсталляции. Если пользователь решит скачать VirusTotal на компьютер, ему не потребуется этого делать. Чтобы воспользоваться его возможностями, достаточно открыть любой браузер, запустить онлайн утилиту и ввести ссылку или загрузить файл.

Также проверяет url сайтов. Вы вносите сайт и проверяете его на вирусы.

 

Плюсы и минусы

Онлайн-антивирус VirusTotal имеет ряд достоинств. Во-первых, утилита не требует инсталляции, это означает, что его можно использовать где угодно, даже там, где инсталляция программного обеспечения запрещена или невозможна. Другое преимущество программы – использование сразу нескольких десятков мощных антивирусных сервисов, базы которых постоянно обновляются. Это гарантирует, что будут обнаружено даже новейшее вредоносное ПО, вирусы, черви или другие опасные файлы.

Также следует отметить, что сервис работает очень быстро, а его интерфейс прост и интуитивно понятен – необходимо перейти на сайт, а затем на открывшейся странице выбрать вкладку для загрузки ссылки или файла. Такое решение позволяет использовать сервис на слабых компьютерах или в иных местах, где инсталляция антивирусной программы невозможна по каким-либо причинам.

Помимо преимуществ, у сервиса имеются и недостатки. Так, веб-сайт сделан на английском языке, что может вызвать затруднение у некоторых пользователей. Кроме того, размеры файлов для загрузки ограничены (до 256 Мб). И третий, но самый важный минус – сервис не способен вылечить файл, содержащий вирус, пользователь всего лишь получит уведомление о проблеме.

Видео обзор

Системные требования

  • ОС: Windows 7, Windows 8, Windows 10.
  • ОЗУ: от 512 Мб.

Похожие программы

Перейти на сервис VirusTotal

VirusTotal – удобный в использовании сервис для проверки файлов и ссылок и обеспечения безопасности устройства. Он работает с несколькими десятками антивирусных баз, поэтому вероятность того, что вирус не будет пропущен, гораздо выше, чем при работе с одним установленными на ПК антивирусами, которые пользователь может приобрести или скачать бесплатно.

 

Оцените:

Загрузка…
Скачали: 3 481

Как проверить компьютер на вирусы онлайн — 10 способов

Вопрос о том, как проверить компьютер на вирусы онлайн очень популярен среди начинающих пользователей. Прежде чем предложить методы проверки, рекомендую ознакомиться со следующей информацией об онлайн проверке на вирусы: главное, что следует знать — выполнить полную проверку всех файлов на компьютере где-то на сайте в Интернете не получится, ведь тогда вам потребовалось бы загрузить всё содержимое ПК или ноутбука на этот сайт. Но вы можете:

  • Проверить на вирусы отдельные программы и другие файлы полностью онлайн, загрузив их на специальные сервисы.
  • Загрузить специальные антивирусные утилиты, которые хотя и называются «онлайн-сканерами», но работают именно на вашем компьютере, а из Интернета используют антивирусную базу для проверки (которая также может загружаться на компьютер). Как правило, они не конфликтуют с уже установленными антивирусами.

В этой инструкции подробно о различных методах онлайн проверки на вирусы компьютера с Windows 10, 8.1 и Windows 7 или отдельных программ и других файлов. Отмечу, что часто причиной тех или иных проблем с работой компьютера или Интернета бывают не вирусы, а вредоносные программы, которые обычные антивирусы «не видят». В этом случае рекомендую попробовать специальные средства удаления вредоносных программ.

Онлайн проверка на вирусы отдельных программ и файлов

Существует несколько популярных онлайн-сервисов, позволяющих загрузить подозрительный файл и получить отчет о том, содержит ли он вирусы или другие угрозы.

VirusTotal

VirusTotal — один из самых известных и популярных сервисов для онлайн проверки файлов на вирусы. Всё что требуется для проверки файла программы (или другого файла, но не архива rar — такие файлы предварительно распакуйте) — это выполнить следующие шаги:

  1. Зайдите на сайт https://www.virustotal.com/
  2. Перетащите файл для проверки мышью на окно с открытым сайтом, либо нажмите кнопку «Choose File» и укажите файл на вашем компьютере.
  3. Дождитесь завершения проверки файла на вирусы.
  4. Также вы можете проверить на вирусы адрес в интернете, вставив его на вкладке URL.

Примечание: недавно произошло обновление интерфейса VirusTotal и русский язык интерфейса с главной страницы исчез. Но, предполагаю, перевод появится.

VirusTotal примечателен тем, что выполняет проверку с использованием сразу многих антивирусных «движков», то есть в отчете вы получаете общую картину, составленную различными известными и не очень антивирусами. При этом учитывайте следующие моменты:

  • Единичные обнаружения обычно говорят о ложном срабатывании.
  • Программы для удаленного доступа к компьютеру, утилиты для настройки и оптимизации ПК (твикеры) часто показывают значительное количество обнаружений: в этом случае нужно изучать тексты результатов. Обычно они сообщают о том, что это RiskWare — программное обеспечение с потенциально опасными возможностями (а любые программы для удаленного управления компьютером или глубокого изменения функционирования Windows можно отнести к таковым).
  • Помимо результатов теста для хорошо известных файлов вы также увидите мнение сообщества в правом верхнем углу (Community Score) и на вкладке «Community». С ним также можно ознакомиться, если у вас есть сомнения.

Дополнительная возможность — официальное расширение VirusTotal для браузера, позволяющее проверить файлы на вирусы без их загрузки на компьютер.

Kaspersky Threat Intelligence Portal

Ранее сервис Касперского для онлайн проверки файлов на вирусы назывался Virusdesk, теперь — Kaspersky Threat Intelligence Portal, главная страница которого: https://opentip.kaspersky.com/ а варианта на русском языке пока не появилось.

Суть использования та же самая, что и в случае с VirusTotal:

  1. Либо переносим файл мышью, либо загружаем с компьютера, нажав кнопку «Browse», нажимаем кнопку «Analyze».
  2. В результате сервис покажет, является ли файл чистым с точки зрения Касперского (о том, что файл чистый будет сообщать надпись «Clean» под контрольной суммой SHA-25 для загруженного файла.
  3. Также на главной странице сервиса вы можете ввести хэш (контрольную сумму файла) или адрес сайта и нажать кнопку «Look up» для быстрой проверки.

Онлайн проверка программы или файла на вирусы в Dr.Web

У Dr.Web также есть собственный сервис онлайн-проверки файлов на вирусы и другие угрозы, доступный на сайте https://online.drweb.com/result2/

Использование, пожалуй, проще чем любых других аналогичных сервисов: загружаем файл в единственное поле в центре окна браузера, сканируем, получаем краткий результат на русском языке.

Hybrid Analysis

Недостаток двух перечисленных методов проверки — их ограниченность единственным антивирусом, выполняющим проверку. VirusTotal лишен этого недостатка, но если вас интересуют еще более мощные средства онлайн проверки на вирусы, рекомендую познакомиться с

Hybrid Analysis.

На первый взгляд, сервис мало чем отличается, но в ходе проверки вы сможете выбрать виртуальную машину, на которой будет запущен ваш подозрительный файл и получить очень подробные и удобные для изучения отчеты о проведенном анализе. Отдельная инструкция по использованию сервиса: Онлайн проверка на вирусы в Hybrid Analysis.

Metadefender Cloud

Metadefender Cloud, также как и предыдущий рассмотренный сервис позволяет либо выполнить мультисканирование с помощью популярных антивирусов либо запустить файл в песочнице с заданными вами параметрами и проанализировать его поведение, включая создание процессов, обращение к реестру и другие.

Более подробно об использовании этого инструмента онлайн проверки на вирусы и наличие вредоносных программ в статье Продвинутая онлайн-проверка на вирусы в Metadefender Cloud.

Онлайн-сканер Nano Antivirus

На официальном сайте Nano Antivirus https://www.nanoav.ru/ в разделе «Сервисы» присутствует онлайн-сканер для проверки программ и других файлов на вирусы.

О качестве проверки выводов сделать не могу, результата не дождался. И еще один нюанс —ограничение размера загружаемого для проверки файла всего 20 Мб.

Онлайн сканеры для проверки компьютера на вирусы, не конфликтуют с установленными антивирусами

Вторая часть — о специальных сканерах, которые используют актуальную антивирусную базу из Интернета и как правило загружают её на компьютер, после чего проводят сканирование запущенных процессов и файлов на вашем ПК или ноутбуке, не вступая при этом в конфликт с уже имеющимися антивирусами.

ESET Online Scanner

ESET Online Scanner — один из самых известных сканеров для бесплатной проверки компьютера на вирусы и их удаления, работающий без установки (но скачать файлы и базу потребуется):

  1. Зайдите на официальный сайт ESET Online Scanner https://www.esetnod32.ru/home/products/online-scanner/ и нажмите кнопку «Запустить». Вас попросят ввести E-Mail (он не проверяется) и загрузить файл для запуска.
  2. Запустите загруженный файл, примите условия соглашения и дождитесь загрузки файлов онлайн-сканер.
  3. После загрузки и запуска нажмите «Начало работы» и выберите тип сканирования (полное сканирование, быстрое или выборочное сканирование).
  4. Укажите, следует ли помещать потенциально нежелательные приложения (не являющиеся вирусами) в карантин. Учитывайте, если вы разрешите это сделать, то могут перестать работать нелицензионные и другие сомнительные программы на компьютере. Нажмите кнопку «Запустить сканирование».
  5. Онлайн сканер в течение некоторого времени (зависит от скорости вашего Интернет-соединения) будет загружать антивирусную базу, а затем выполнит проверку компьютера на наличие вирусов и других угроз.

Comodo Cleaning Essentials

Comodo Cleaning Essentials — это не только средство проверки на вирусы с использованием последних антивирусных онлайн-баз, но и дополнительные инструменты, включающие в себя диспетчер задач и автозагрузки с анализом на вредоносные и потенциально нежелательные элементы, а также средство для очистки системы от ненужных компонентов.

Отдельный обзор набора инструментов и об особенностях их загрузки в статье Удаление вредоносных программ и другие возможности Comodo Cleaning Essentials.

F-Secure Online Scanner

Несмотря на то, что сайт F-Secure Online Scanner не имеет русского языка интерфейса, сам бесплатный онлайн сканер именно на русском языке: загружаем файл с официального сайта https://www.f-secure.com/en/home/free-tools/online-scanner, запускаем и нажимаем «Принять и проверить» для запуска онлайн сканирования на вирусы.

Проверка проходит быстро и можно надеяться, что достаточно эффективно: F-Secure, хоть и не слишком известен у нас, но относится к очень качественным антивирусам.

Облачная проверка на вирусы в Panda Cloud Cleaner

Panda Cloud Cleaner — еще один онлайн сканер для проверки компьютера на вирусы с использованием базы известного разработчика антивирусов:

  1. На официальном сайте https://www.pandasecurity.com/en-us/homeusers/solutions/cloud-cleaner/ слева нажмите «Scan now» для загрузки сканера. Запустите его — эта утилита требует установки на компьютер.
  2. После установки запустите Panda Cloud Cleaner и в главном окне нажмите «Accept and Scan» (принять и сканировать).
  3. Дождитесь завершения проверки компьютера на вирусы.
  4. По завершении вы увидите результат, состоящий из трех пунктов: известные угрозы, неизвестные файлы и подозрительные политики, возможности очистки системы от необязательных элементов. Критичным является лишь первый пункт, остальные можно не очищать, если вы сомневаетесь.

Онлайн проверка запущенных процессов на вирусы в CrowdInspect

CrowdInspect работает иначе, чем другие перечисленные в этом обзоре средства для онлайн проверки на вирусы. Программа не требует установки на компьютер, а после запуска открывает своеобразный диспетчер задач, в котором отображаются запущенные на компьютере процессы и результаты их проверки с помощью различных средств, включая упоминавшийся выше Hybrid Analysis.

Утилита отличная и рекомендую иметь её в своем арсенале. Отдельный обзор возможностей инструмента и где его скачать — Как проверить процессы Windows 10, 8.1 и Windows 7 на вирусы в CrowdInspect.

Trend Micro HouseCall — онлайн сканер безопасности компьютера

Trend Micro — популярный разработчик антивирусных продуктов, малоизвестный у русскоязычного пользователя. HouseCall — утилита для онлайн сканирования на вирусы от этого разработчика, доступная для бесплатного скачивания на официальном сайте https://www.trendmicro.com/en_us/forHome/products/housecall.html

После загрузки Trend Micro HouseCall и принятия условий лицензии достаточно будет нажать кнопку «Scan Now» для запуска сканирования (учитывайте, что процесс первоначальной инициализации может занять несколько минут — будет производиться загрузка антивирусной базы, а процесс находиться на 0 процентов).

В ходе проверки будут проанализированы программы в автозагрузке, запущенные процессы, другие типичные расположения вирусов и других угроз и файлы на дисках. По завершении вы получите отчет о найденных вредоносных элементах с возможностью удалить их.

Средство удаления вредоносных программ Windows

На сайте Майкрософт присутствует регулярно обновляемое официальное средство для удаления вредоносных программ и вирусов с компьютера, не требующее установки на компьютер. Не знаю, разумно ли использование утилиты при наличии обновляемого защитника Windows, но решил упомянуть о наличии утилиты.

Официальная страница Средства удаления вредоносных программ Microsoft Windows — https://www.microsoft.com/ru-RU/download/details.aspx?id=9905. Кстати, из такого рода сканеров я бы настоятельно рекомендовал использовать AdwCleaner — по моему опыту он обнаруживает значительно больше угроз, чем аналогичные утилиты. Также может быть полезным материал Лучший бесплатный антивирус.

Видео по онлайн проверке на вирусы

Если вам есть что добавить, ваш комментарий к статье может быть очень полезным.

remontka.pro в Телеграм | Другие способы подписки

А вдруг и это будет интересно:

virustotal — C# вирусная часть кода

Вы не правильно поставили вопрос: надо не «как спрятаться от антивируса?», это может говорить о том, что вы пишете сомнительный код, а надо спрашивать «как понять, на что именно ругается антивирус?». Вы ведь не пишете ничего опасного, правда? Если это не так, можете удалить свой вопрос, на StackOverflow подобный код не приветствуется.

У меня самого каталог с C# репозиториями находится в исключениях антивируса.

Правило

Если ваш код детектится антивирусной программой как зараза, это значит, что существует зараза, в которой имеется кодовая сигнатура, найденная у вас.

Варианты действий

Как ни странно, прятать подобное от антивируса — смысла мало, он все равно найдет, пройдется эвристикой, расшифрует, и т.д. В последний раз я получил срабатывание Symantec антивируса на приложение, которое просто использует WebBrowser, чтобы выполнить некий сценарий в админке моего сайта. У меня вообще ни одного P/Invoke вызова в приложении не было.

А избавился я от сработки просто сделав код более лаконичным и менее запутанным. Как только я прорефакторился и избавился от костылей, антивирус перестал ругаться. Получается, что если не прячешься, а наоборот пишешь открыто и линейно с минимумом запутанности, антивирус реагирует на не опасный код с меньшей вероятностью.

В вашем же случае реально используются опасные операции, которые используются зловредами. Попробуйте обезвредить свой код, например, сделайте его неполноценным, чтобы ругаться перестало, затем смотрите, что убрали. Затем как найдете, что именно делает ваш код «вредоносным», уже ищите, как это исправить.

False Positive у антивирусов — обычное дело. Но здесь не надо ничего прятать, если конечно вы не пишете вредоносный код, здесь наоборот надо быть максимально простым и открытым. В линейном коде антивирусу проще разобраться, и понять, что ваш код не представляет опасности.

Инструментарий расследователя: SpyOnWeb, VirusTotal, SpiderFoot HX

Добро пожаловать на перезапуск одной из самых популярных рубрик «Инструментарий расследователя GIJN», в котором мы изучаем новейшие инструменты для журналистских расследований.

В этом выпуске мы покажем, как на практике использовать SpyOnWeb, DNSlytics, VirusTotal и SpiderFoot HX для поиска и анализа связанных между собой веб-сайтов и составления схемы сети, сохраняя при этом вашу конфиденциальность.

Поиск скрытых связей между сайтами

Изображение: Сетевой график на SpiderFoot HX

Для начала мы продемонстрируем, как журналисты могут использовать теги Google Analytics – встроенные в исходный код веб-сайтов – в качестве маркеров, помогающих идентифицировать сети веб-сайтов. Маркировка сетей таким образом может быть полезна журналистам, потому что мы можем найти ранее невидимые связи между организациями, которые кажутся далекими друг от друга, но на самом деле связаны.

Чтобы показать, как это работает, мы возьмем для примера сайт GIJN. Давайте откроем исходный код веб-страницы, чтобы увидеть, есть ли там тег Google Analytics. Поместим этот адрес в строку URL в Chrome:

view-source:https://www.gijn.org/contact

Это сгенерирует исходный код для этой страницы:

Затем мы можем поискать на странице «UA-». UA – универсальная аналитика, этот тег используется Google Analytics для идентификации нашего сайта и любых доменов, связанных с нашим аккаунтом в Google Analytics. В исходном коде можно искать теги «Pub-», которые подключены к продукту Google AdSense, и теги «G-» – новый формат GA4, который Google выпустил для своего продукта Analytics. Важно понимать и узнавать все теги, которые могут появляться в исходном коде, чтобы можно было их находить, а затем запускать с помощью инструментов, о которых мы поговорим ниже, для проверки связей. А пока поищем на странице «UA-»:

Вот что я нашел:

 UA-25037912-1

Давайте скопируем это и вставим на сайт SpyOnWeb, который ищет «сайты, вероятно, принадлежащие одному и тому же владельцу». Вот результаты:

Обратите внимание, что наш тег UA связан только с доменом, указывающим на наш сайт (т.е. gijn.org). Журналисты могут использовать похожие методы отслеживания одного и того же тега UA (или тега Pub, или G), чтобы определить, какие сайты могут быть связаны друг с другом, если у них один и тот же тег или теги. Обнаружив, что конкретный интересующий нас сайт связан с другими похожими сайтами, мы можем продолжить расследование, чтобы выяснить, стоит ли за ними общий источник финансирования, конкретный человек или организация.

Давайте попробуем другой пример. Используя инструменты обратного поиска DNSlytics, мы можем посмотреть, какие другие IP-адреса или теги Google Analytics подключены к интересующему нас сайту.

Возьмем в качестве примера сайт политически правой медиагруппы Breitbart, которая базируется в США. Сначала давайте посмотрим исходный код, перейдя по ссылке нашего браузера:

view-source:https://www.breitbart.com/

Мы будем искать «UA-» на странице. Естественно, мы найдем метку UA в исходном коде:

Давайте проверим тег UA-715222-1 и посмотрим, что найдет DNSlytics.

Похоже, DNSlytics нашел 19 доменов с этим тегом. Я не могу изучить все 19, поскольку у меня нет премиум-аккаунта, поэтому давайте посмотрим, что нашел SpyOnWeb.

Мы вставим тот же тег UA-715222-1 в SpyOnWeb:

SpyOnWeb нашел семь доменов, это хорошее начало. Давайте попробуем поместить тег Pub в SpyOnWeb и посмотрим, что мы найдем. Вот тег Pub в исходном коде сайта Breitbart:

Когда я поместил тег Pub pub-9229289037503472 в SpyOnWeb, я нашел это:

SpyOnWeb нашел 17 доменов, использующих тот же тег Pub, что и Breitbart.com. (DNSlytics нашел около 30 доменов, используя тот же тег, но я не смог просмотреть их без премиум-аккаунта). Некоторые из них пересекаются с доменами, которые мы нашли с помощью обратного поиска по тегу UA Breitbart. Вот они:

biggovernment.com

bigpeace.com

breitbartchildrenstrust.com

bigjournalism.com

breitbart.tv

breitbart.com

Я хочу исследовать эти домены дальше, но не хочу подвергать себя риску, заходя на эти неизвестные сайты. Во-первых, я пока не знаю, кто стоит за ними, и я не хочу обнаруживать себя. Во-вторых, я не знаю, установлены ли на этих сайтах вредоносные программы или программы слежки. К тому же, если я не использую VPN (виртуальную частную сеть), владелец вебсайта сможет увидеть мое географическое местоположение по IP-адресу, а также другую информацию, которую я, возможно, хочу сохранить в тайне.

Мы советуем вам использовать VPN при проведении онлайн-расследований, в зависимости от вашего конкретного контекста. Подробнее о VPN и мерах безопасности читайте:

Советы по цифровой безопасности для журналистов: как защитить свою работу и источники информации.

Шпаргалка по цифровой безопасности: выбираем инструменты с открытым исходным кодом.

Один из инструментов, с помощью которого я могу проверить репутацию этих сайтов и установить, безопасен ли сайт для посещения – VirusTotal, который ищет встроенные в сайты вредоносные программы. Вы можете ввести любой URL и получить результат за считанные секунды. Дополнительное преимущество VirusTotal – можно видеть, на какой домен в конечном итоге перенаправляется URL. Например, если вы зайдёте на сайт biggovernment.com, вы не останетесь на biggovernment.com, а будете перенаправлены на другой сайт. Я обнаружил это, проверив этот URL через VirusTotal, и вот что я нашел:

Похоже, когда вы заходите на biggovernment.com, вы на самом деле оказываетесь на политической странице breitbart.com. Несмотря на то, что инструмент для проверки веб-конфиденциальности Blacklight показал, что на сайте Breitbart есть множество программ для слежки, в них не скрыто вредоносного ПО, согласно анализу VirusTotal. Дополнительный бонус: VirusTotal также собирает всю информацию, которую мы нашли ранее, например, теги UA и Pub:

Более того, у VirusTotal есть функция построения сетевых графиков, на которых можно увидеть связи между доменами, URL, IP-адресами и многим другим. Вот схема, которую VirusTotal сгенерировал для одного из сайтов, найденных нами ранее, bigpeace.com:

Видите большую оранжевую «B»? Используя эту функцию построения сетевых графиков – опять же, не посещая эти сайты – я вижу, что bigpeace.com на самом деле представлен иконкой breitbart.com. Это полезно для журналистов, которые хотят проверить всю подноготную сайта, даже не заходя на него. Еще одно дополнительное преимущество VirusTotal – то, что вы можете видеть историю IP-адреса и данные Whois, а также все исходящие ссылки, связанные с конкретным URL. Вот исходящие ссылки с сайта http://www.bigpeace.com, которые перенаправляют на страницу национальной безопасности сайта breitbart.com:

Спасибо журналистам BuzzFeed News Джейн Литвиненко и Крейгу Сильверману, что рассказали нам об этих инструментах во время тренинга по цифровым расследованиям на конференции IRE в этом году. Похожие инструменты, которые вы также можете попробовать: DomainBigData, Whoisology, DomainTools и BuiltWith.

Использование SpiderFoot HX для создания сетевых графиков

Хотите находить все эти связи автоматически? Попробуйте 6-ю версию SpiderFoot HX, которая вышла в сентябре. В предыдущем выпуске нашего «Инструментария» мы писали, что для визуализации связи между сайтами репортеры могут использовать SpiderFoot HX, который предлагает доступ к некоторым своим функциям бесплатно. Теперь давайте углубимся в детали на конкретном примере.

Возьмем пример сайта с фейковыми новостями Now8News. О том, что он публикует недостоверную информацию, уже много писали. Но является ли он частью целой дезинформационной сети? Давайте выясним.

Во-первых, немного информации о Now8News. Фактчекинговая группа Snopes упомянула сайт в своем «Полевом руководстве по сайтам с фейковой информацией и распространителям мистификаций».

Screenshot: Snopes.com

А вот скриншот страницы о Now8News на сайте Media Bias/Fact Check:

Screenshot: mediabiasfactcheck.com

Теперь давайте посмотрим, существует ли сеть других сайтов, связанных с ним. Нажмите на «Investigate» в верхней части SpiderFoot HX.

Назовите свое расследование, как хотите, затем введите now8news.com в поле поиска и нажмите кнопку «Начать расследование».

После этого SpiderFoot HX автоматически генерирует скелет сетевого графика, как показано ниже:

В нем три узла: внутренний корневой узел (с изображением паука), доменный узел и узел интернета. Щелкните правой кнопкой мыши на доменном узле. Затем наведите курсор мыши на «Investigate…», затем на «Passive DNS», и нажмите на «Mnemonic PassiveDNS». Это запустит модуль Mnemonic PassiveDNS, один из многих «модулей», или инструментов в SpiderFoot HX. Этот модуль пассивно собирает DNS-запросы и позволяет видеть домены, подключенные к интересующему нас сайту. Работа модуля может занять несколько минут в зависимости от количества найденных связей, поэтому дайте программе время на обработку данных. После этого переходите к следующему шагу.

Далее нажмите на кнопку «Browse by» и выберите «Data Type», затем выберите «Co-Hosted Site».

Это выдаст вам список всех сайтов, которые модуль Mnemonic PassiveDNS нашел на основе IP-адреса, который является предметом вашего исследования (в данном случае, now8news.com). Список будет длинный, так что стоит сузить круг интересующих вас объектов, выделив их. Нажмите на галочку слева от интересующих вас сайтов и отметьте их, выбрав кнопку со звездочкой в правом верхнем углу, как показано здесь:

Затем нажмите на кнопку «Starred», чтобы увидеть все выбранные вами сайты.

После того, как получите список отмеченных объектов, нажмите на кнопку «Toggle View»:

И выберите «Node graph». Это автоматически сгенерирует сетевой график на основе выбранных сайтов, которые вы отметили звездочкой. Вот график, который я получил:

Обратите внимание, что все эти узлы, такие, как www.news4ktla.com и www.abc4la.com, сосредоточены вокруг IP-адреса now8news.com, что соответствует 67.227.229.104. Это значит, что все они расположены по одному IP-адресу. Мы можем подтвердить это, запустив now8news.com через инструмент обратного поиска IP DNSlytics:

Есть еще много модулей в SpiderFoot HX, которые можно попробовать.

Хотите, чтобы мы протестировали какой-то конкретный модуль в одном из будущих выпусков «Инструментария расследователя»? Дайте нам знать.

А пока взгляните на инструкцию по использованию SpiderFoot HX для расследования крипто-валютной аферы, в которой компания, зарегистрированная в Великобритании, заставила людей отдавать им деньги. Исследователь открытых источников, известный под ником NixIntel использовал SpiderFoot HX описанными выше способами – изучая домены, IP-адреса и теги Google Analytics – для построения сетевой карты сайта крипто-валютной аферы.

Посетите сайт SpiderFoot и их канал на YouTube, чтобы узнать больше.

Советуем также изучить

Инструментарий расследователя GIJN.

Руководство по верификации для журналистких расследований.

Какие методы экспертизы применяют журналисты для разоблачения действий силовиков.

6 инструментов и 6 приёмов, которые помогут найти, кто стоит за дезинформацией о COVID-19.


Брайан Перлман – помощник редактора GIJN. Он специализируется на исследованиях нарушений прав человека с использованием передовых технологий цифровой криминалистики, анализа данных и методов OSINT. Он выпускник Высшей школы журналистики Калифорнийского университета в Беркли и бывший менеджер Центра прав человека в Berkeley Law.

Как удалить троян с Андроида (инструкция)

Сегодня мы рассмотрим, как удалить вирус «троян» с Андроида, обезопасив телефон или планшет. В первую очередь, желательно проверить установленные мобильные приложения на трояны, малвари, вирусные угрозы, черви – в общем, любой вредоносный код.

Устанавливаем приложение VirusTotal Mobile на телефон

Сервис VirusTotal работает через браузер, но также существует удобное мобильное приложение для Андроид, которое значительно упрощает задачи и лучше всего подходит для комплексной проверки.

Скачать приложение VirusTotal Mobile бесплатно

Приложение определяет все существующие виды угроз на мобильной платформе. Кроме того, через окно приложения можно загрузить любой файл на сервис VirusTotal для проверки на трояны.

По результатам проверки VirusTotal предоставляет подробную статистику – а точнее список мобильных приложений: подозрительных, зараженных и безопасных. Исходя из этого, инфицированные троянами приложения можно удалить вручную, а на сомнительные обратить внимание и принять решение самостоятельно.

Аналогично сервису, приложение поддерживает полсотни вирусных сканеров, поэтому может считаться частичной альтернативой обычным мобильным антивирусам, при этом не нагружая ресурсы телефона.

В то же время, VirusTotal Mobile не защитит ваш телефон от троянов в реальном времени. Это веб сканер, который будет полезен для плановых (разовых или срочных) проверок мобильного.

Помимо проверки приложений на вирусы, VirusTotal Mobile также удобно использовать для сканирования подозрительных URL и доменов на вирусные угрозы.

Видеоинструкция:

Как пользоваться сервисом VirusTotal через браузер

Если устанавливать мобильное приложение нет желания либо вы хотите проверить файлы на компьютере, используйте универсальную браузерную версию веб-антивируса.

Перейти на сайт VirusTotal

На главной странице сайта VirusTotal размещены вкладки – соответственно три функции:

  • проверка файла – сканирование единичного файла размером до 128 Мб;
  • URL-адреса – если на вирусы проверяется отдельная ссылка или сайт целиком;
  • Поиск – полезно, если необходимо “пробить по базе” домен на подозрительные записи или файлы.

Рассмотрим для примера, как производится проверка на вирусы через файловый сканер.

Для начала загрузим файл (максимальный размер – до 128 Мб). Нажимаем «Проверить».

Ищем троян на Андроид

По результатам проверки, во вкладке «Анализ» отобразится статистика вида “Антивирус — Результат — Дата обновления [вирусной базы]”.

Сканер VirusTotal впечатляет: проверка производится по базам нескольких десятков антивирусов.

Список поддерживаемых антивирусных баз на сервисе VirusTotal

Также как и в мобильной версии VirusTotal, в дополнительных сведениях выводится расширенная статистика. В зависимости от файлового типа доступна соответствующая информация.

Единственное нарекание в браузерной версии VirusTotal вызывает неудобная система загрузки файлов: добавить для проверки папку или несколько файлов сразу не представляется возможным.

Заключение. Возможности VirusTotal будут полезны как пользователям мобильных устройств, которые не хотят устанавливать антивирус для разовой проверки. 

Пользователям десктопа сканер VirusTotal также будет полезен, например, если требуется проверить сайт на вирусы или фишинг.

Как проверить телефон на вирусы: лучшие онлайн-антивирусы

Page not found (404)

Toggle navigation
  • Packs
    • Значок пакеты недавно Загрузил
    • Самых популярных значок пакеты
    • Эксклюзивные наборы значков
  • категории
    • Сельское хозяйство Иконки
    • Животные Иконки
    • Аватар и смайлики Иконки
    • Красота и мода Иконки
    • Бизнес и финансы Иконки
    • Мультфильм Иконки
    • Кино, телевидение и фильмы Иконки
    • Одежда и аксессуары Иконки
    • Преступление и безопасность Иконки
    • Культура, религия и фестивали Иконки
    • Дизайн и разработка Иконки
    • Экология, окружающая среда и природа Иконки
    • Электронная торговля и покупки Иконки
    • Электронные устройства и оборудование Иконки
    • Файлы и папки Иконки
    • Флаги и карты Иконки
    • Дизайн и разработка Иконки
    • Экология, окружающая среда и природа Иконки
    • Gym и Fitness Иконки
    • Здравоохранение и медицина Иконки
    • Промышленность и инфраструктура Иконки
    • Инфографика Иконки
    • Дети Иконки
    • люблю Иконки
    • Разное Иконки
    • Музыка и мультимедиа Иконки
    • Сеть и связь Иконки
    • Недвижимость и строительство Иконки
    • Школа и образование Иконки
    • Наука и технологии Иконки
    • SEO и Web Иконки
    • Sign и Symbol Иконки
    • Социальные медиа и логотипы Иконки
    • Спорт и игры Иконки
    • Инструменты, строительство и оборудование Иконки
    • Транспорт и транспортные средства Иконки
    • Путешествия, отели и каникулы Иконки
    • Пользовательский интерфейс и жесты Иконки
    • Погода и сезоны Иконки
  • стили значков
    • 3D Иконки
    • Badge Иконки
    • Filled outline Иконки
    • Flat Иконки
    • Glyph Иконки
    • Handdrawn Иконки
    • Long shadow Иконки
    • Outline Иконки
    • Photorealistic Иконки
  • Log in
  • Register
404 Icon by Laura Reen

Интеграция сервиса VirusTotal в Chrome и Firefox

Необходимость установки на компьютер под управлением Windows антивирусной программы сегодня, я думаю, ни у кого не вызывает сомнения. Однако, даже самые совершенные антивирусы с самыми последними обновлениями иногда дают осечку, допуская ложные срабатывания или наоборот, пропуская заразу в систему. В этом случае лучше воспользоваться пословицей «одна голова хорошо, а много — лучше» и проверить подозрительный файл с помощью одного из онлайновых сервисов, сканирующих файлы множеством антивирусов одновременно. Одним из лучших из подобных сервисов является VirusTotal. Мы уже рассказывали как удобно отправлять файлы для проверки в одной из статей. Ну а сегодня мы поговорим о том, как подружить VirusTotal и ваш браузер.

VTzilla

VTzilla — это плагин для браузера Mozilla Firefox, который упрощает процесс работы с сервисом VirusTotal непосредственно из браузера. После его установки в контекстном меню страницы и в меню сохранения файла появляется дополнительный пункт Scan With VirusTotal. Таким образом, вы можете отправить любой файл на проверку без необходимости скачивания его на свой жесткий диск. Более того, если вам внушает подозрение какой-либо сайт, то вы можете отправить ссылку на предмет проверки наличия на его страницах вредоносного кода.

Скачать VTzilla Firefox Plugin

VTchromizer

VTchromizer является расширением для браузера Google Chrome, которое выполняет похожие функции. С его помощью можно проверять ссылки (в том числе ссылки на файлы), непосредственно с веб-страниц браузера с помощью VirusTotal. В отличие от VTzilla, это расширение не вставляет себя в диалог загрузки браузера, а только в контекстное меню. Еще вы можете щелкнуть по иконке расширения в правом верхнем углу и вручную ввести адрес для проверки.

Установить VTchromizer Google Chrome Extension Безопасного вам серфинга!

Внутренние документы показывают, почему военные США публикуют северокорейское и российское вредоносное ПО

Изображение: Чип Сомодевилла/Getty Images постоянный поток вредоносных программ враждебных стран, включая хакерские инструменты из Северной Кореи и России. Cyber ​​​​Command, или CYBERCOM, публикует образцы вредоносного ПО в VirusTotal, полуобщественном репозитории, который исследователи и защитники могут затем изучить, чтобы сделать системы более безопасными.

Документ дает более полное представление о том, как американские военные участвуют в необычайно публичной кампании, и, в частности, подчеркивает одну из причин, по которой CYBERCOM хочет выпустить хакерские инструменты других стран: сделать так, чтобы вражеским хакерам было труднее оставаться незамеченными.

Ранее секретный раздел одного из документов CYBERCOM гласит: «Публикация вредоносных программ на VT [VirusTotal] и твиты для привлечения внимания и осведомленности поддерживает эту стратегию, оказывая давление на злоумышленников в киберпространстве, срывая их усилия.«Материнская плата» получила отредактированные документы по запросу CYBERCOM в соответствии с Законом о свободе информации (FOIA).

Вы занимаетесь правительственными хакерскими операциями? Были ли вы в прошлом? Мы хотели бы услышать от вас. Используя нерабочий телефон или компьютер, вы можете безопасно связаться с Джозефом Коксом через Signal по телефону +44 20 8133 5190, Wickr по телефону josephcox, в чате OTR по адресу [email protected] или по электронной почте [email protected]

CYBERCOM начал публиковать вредоносное ПО в 2018 году, один образец поступил от связанной с Россией хакерской группы APT28.С тех пор он выпустил вредоносное ПО от северокорейских хакеров.

CYBERCOM также имеет специальную учетную запись Twitter для распространения новостей об образцах. Некоторые твиты даже содержат мемы, такие как «ВРЕДОНОСНОЕ ПО КНДР», написанное на сердечках для разговоров, чтобы совпасть с выпуском в День святого Валентина.

Когда компания CYBERCOM первоначально объявила о кампании, она заявила, что «инициировала попытку поделиться обнаруженными неклассифицированными образцами вредоносных программ, которые, по их мнению, окажут наибольшее влияние на улучшение глобальной кибербезопасности.» Но документы показывают, что усилия имеют и более наступательный характер.

Ранее секретный раздел документа КИБЕРКОМ, полученный Motherboard. Изображение: Motherboard

Томас Рид, профессор стратегических исследований в Школе перспективных международных исследований Джона Хопкинса. , сказал, что «замечательный» релиз подтверждает несколько вещей, о которых давно подозревали многие наблюдатели. повысить нашу общую глобальную кибербезопасность», — сказал Рид.

В другом отредактированном документе излагается пошаговый процесс КИБЕРКОМа по размещению вредоносных программ злоумышленников на VirusTotal. Аналитики Cyber ​​National Mission Force (CNMF) CYBERCOM изучают образцы вредоносных программ, определяют их «уникальность и пригодность для выпуска»; В документе говорится, что номинирующая рабочая группа должна физически иметь вредоносное ПО в своем распоряжении до выдвижения кандидатуры. Если необходимо рассекречивание образца, то это делается в обычном порядке, добавляется в документе.

Информация об образце передана в Объединенный оперативный центр КИБЕРКОМ. Затем образцы предоставляются ряду других отредактированных организаций, и об этом уведомляется сотрудник КИБЕРКОМ по связям с общественностью. После того, как снова и снова идет «общественное уведомление для повышения осведомленности общественности».

Как только CYBERCOM выпускает вредоносное ПО, члены сообщества по информационной безопасности могут затем получить к нему доступ, проанализировать его и самостоятельно связать его с подозреваемыми правительственными хакерскими кампаниями. Компании, занимающиеся кибербезопасностью, потенциально могут использовать эту информацию, чтобы найти больше информации о предыдущих хакерских кампаниях или обновить свои продукты для обнаружения вредоносного ПО, что может сделать операции хакеров менее эффективными или трудными для выполнения.

Под заголовком «Желаемые эффекты» в другом документе говорится: «Взимать плату [удалено] путем выделения вредоносного ПО сообществу кибербезопасности для быстрой интеграции в антивирусное программное обеспечение, увеличивая отсев до продолжения [удалено]».

«Общественные исследователи будут атрибутировать вредоносное ПО [отредактировано]», — добавляется в документе.

«Киберкомандование, очевидно, рассчитывает на «быструю атрибуцию» обнаруженных вредоносных инструментов, а это означает, что последующая атрибуция коммерческими компаниями по кибербезопасности и независимыми исследователями является частью «наложения расходов» на противоборствующие государства», — сказал Рид.

«Таким образом, министерство обороны использует компанию, принадлежащую Google, и сторонних исследователей в наступательных целях — и фактически просит своих противников ответить тем же», — сказал Рид. (VirusTotal принадлежит Chronicle, компании по кибербезопасности, которая был создан в рамках программы исследований и разработок Google «X»). наибольшее влияние на повышение глобальной безопасности.»

Хотя разделы документов, описывающие результаты кампании, были отредактированы, был включен один раздел раздела «Результаты на сегодняшний день»: информация о том, что учетная запись Twitter с уведомлением CYBERCOM набрала 11,5 тыс. подписчиков в Twitter.

Вы можете прочитать документы здесь и ниже.

KrebsOnSecurity недавно удалось связаться с Федеральной службой безопасности России (ФСБ), российским аналогом Федеральной службы безопасности США.С. Федеральное бюро расследований (ФБР). При этом я столкнулся с небольшой загвоздкой: на веб-сайте ФСБ сказано, что для безопасного контакта с ними мне необходимо загрузить и установить устройство шифрования и виртуальной частной сети (VPN), которое помечено как минимум 20 антивирусными продуктами как вредоносное ПО.

Причина, по которой я связался с ФСБ — одним из агентств-преемников российского КГБ — по иронии судьбы, была связана с опасениями по поводу безопасности, высказанными по поводу предпочтительного метода связи ФСБ.

13 августа 2020 г. кто-то загрузил подозреваемый вредоносный файл в VirusTotal, службу, которая сканирует отправленные файлы на наличие более пяти десятков антивирусных продуктов и продуктов безопасности. В прошлом месяце Microsoft и FireEye идентифицировали этот файл как недавно обнаруженный четвертый бэкдор вредоносного ПО, который использовался при взломе обширной цепочки поставок SolarWinds. Анализ вредоносного файла и других материалов, отправленных тем же пользователем VirusTotal, позволяет предположить, что учетная запись, которая первоначально пометила бэкдор как подозрительный, принадлежит ИТ-персоналу Национального управления по телекоммуникациям и информации (NTIA), подразделения Министерства здравоохранения США.Департамент торговли Южной Кореи, отвечающий за политику в области телекоммуникаций и Интернета.

Alphabet Inc., материнская компания Google, заявила сегодня, что находится в процессе развертывания нового сервиса, призванного помочь компаниям быстрее разобраться в огромном количестве данных об угрозах, ежедневно создаваемых инструментами кибербезопасности, и реагировать на них.

Бесчисленное множество организаций полагаются на мешанину программного обеспечения, оборудования и услуг для обеспечения безопасности, чтобы находить и обнаруживать вторжения в кибербезопасность до того, как вторжение вредоносного программного обеспечения или хакеров сможет перерасти в полномасштабную утечку данных.

На прошлой неделе охранная компания DirectDefense подверглась резкой критике за раздутые заявления о том, что Cb Response, продукт кибербезопасности, продаваемый конкурентом Carbon Black, утечек информации о собственности клиентов, которые его используют. Carbon Black ответила, что ошибка, обнаруженная ее конкурентом, является функцией, и что клиенты были заранее предупреждены о потенциальных рисках для конфиденциальности при использовании этой функции. Теперь Carbon Black предупреждает, что внутренняя проверка выявила совершенно отдельную ошибку в Cb Response, которая на самом деле может привести к непреднамеренному обмену конфиденциальными файлами некоторыми клиентами.

Анализ информации из открытых источников о киберпреступной инфраструктуре, которая, вероятно, использовалась для кражи 80 миллионов номеров социального страхования и других конфиденциальных данных из гиганта медицинского страхования Anthem, позволяет предположить, что злоумышленники, возможно, впервые закрепились в апреле 2014 года, за девять месяцев до того, как компания заявила, что обнаружила вторжение.

Согласно семимесячному расследованию, проведенному KrebsOnSecurity, служба кражи личных данных, которая продает номера социального страхования, записи о рождении, кредитные и биографические отчеты о миллионах американцев, проникла в компьютеры некоторых из крупнейших в Америке агрегаторов данных о потребителях и бизнесе.

Как снова и снова задокументировано в этом блоге, киберпреступники часто настолько небрежны или ленивы, что оставляют важные подсказки о том, кто и где они находятся. Но время от времени нахальные мошенники придумывают ловушку, предназначенную для того, чтобы выглядеть небрежно, хотя на самом деле они пытаются обмануть исследователей безопасности, заставив их быть неряшливыми и заразить их компьютеры вредоносным ПО.

Согласно доказательствам, собранным экспертами по безопасности, расследовавшими инцидент,

хакеров, занимающихся кибершпионажем, которые взломали охранную фирму Bit9, первоначально взломали систему защиты компании в июле 2012 года.Bit9 по-прежнему неохотно называет имена клиентов, пострадавших от вторжения, но специально созданное вредоносное ПО, использованное в атаке, было развернуто в прошлом году в целенаправленных атаках на подрядчиков Министерства обороны США.

Фонд Викимедиа на прошлой неделе предупредил, что читатели, которые видят рекламу в статьях Википедии, вероятно, используют веб-браузер, зараженный вредоносным ПО. Предупреждение указывает на явное возрождение рекламного и шпионского ПО, которое доставляется с помощью искусно замаскированных расширений и плагинов для браузеров, которые поставляются в комплекте с другим программным обеспечением или внедряются в схемы социальной инженерии.

Сотни тысяч веб-сайтов, припаркованных по адресу NetworkSolutions.com , обслуживают вредоносное программное обеспечение благодаря зараженному виджету, встроенному в страницы, предупредила в субботу компания по обеспечению безопасности.

Поставщик средств защиты веб-приложений Компания Armorize заявила, что обнаружила массовое заражение, отвечая на жалобу одного из своих крупнейших клиентов. Armorize заявила, что проследила проблему до виджета «Small Business Success Index», приложения, которое Network Solutions предоставляет владельцам сайтов через GrowSmartBusiness.ком блог.

Почему последнее предупреждение Киберкомандования является победой усилий правительства по обмену информацией

Автор Шеннон Вавра
10 июля 2019 г. | КИБЕРСКОП

Когда на прошлой неделе Киберкомандование США предупредило, что группа хакеров использует уязвимость в Microsoft Outlook, которая ранее использовалась в рамках связанной с Ираном кампании вредоносных программ, это, похоже, сигнализировало, насколько хорошо военные знают об этих операциях.Но предупреждение имело большое значение и в других отношениях: закулисные подробности, раскрытые CyberScoop, показывают, что это пример того, как правительство США расширило использование платформы для обмена информацией VirusTotal, чтобы частный сектор быстрее получал больше информации.

Как стало известно CyberScoop, наряду с предупреждением Киберкомандования, которое также было опубликовано в твите, Министерство внутренней безопасности (DHS) выпустило собственное частное предупреждение для промышленности. Предупреждение протокола светофора (TLP) отдела касалось той же угрозы, которую Киберкомандование в конечном итоге опубликует в VirusTotal.

Обнародовав вредоносные файлы, Киберкомандование, по-видимому, раскрыло новую информацию о том, как связанные с Ираном субъекты использовали другое семейство вредоносных программ, известное как Shamoon, совсем недавно, в 2017 году, согласно Chronicle, которому принадлежит VirusTotal. Мало того, что Киберкомандование впервые задокументировало активность Ирана в загрузке VirusTotal, но и бывшие представители Пентагона и разведки также говорят, что конкретные детали загрузки показывают, что военные хотят улучшить обмен информацией таким образом, чтобы поддерживать миссия кибербезопасности всего США.С. правительство.

Эксперты говорят, что цель состоит в том, чтобы продемонстрировать, что агентства видят атаки, чтобы воспрепятствовать злоумышленникам запускать новые. В этом случае военные обнародовали ключевые технические детали через Киберкомандование, а гражданское агентство — DHS — связалось напрямую с государственными учреждениями и другими организациями через TLP.

Киберкомандование акцентирует внимание на деятельности, связанной с Ираном — похоже, что большинство образцов командования на Virus Total поступило из России — происходит как U.За последние несколько недель отношения между США и Ираном обострились. По данным администрации Трампа, в июне Иран атаковал два корабля и сбил американский беспилотник. Как сообщает Yahoo News, киберкомандование, тесно связанное с Агентством национальной безопасности (АНБ), предприняло ответную кибератаку против шпионов, которые, как считается, стояли за нападениями на корабли.

Дэйв Вайнштейн, который служил в Киберкомандовании с 2010 по 2013 год, сообщил CyberScoop, что если Chronicle правильно связывает доказательства на VirusTotal с хакерами, связанными с Ираном, это может заставить других гнусных участников отступить.

«Этот тип обмена информацией потенциально может пересмотреть текущее исчисление злоумышленников в киберпространстве, которые по умолчанию предполагают, что они действуют в условиях высокой степени скрытности», — сказал Вайнштейн.

Связь Шамуна

По данным Chronicle, некоторые из   файлов, загруженных Cyber ​​Command на VirusTotal, могут быть связаны с уязвимостями, давно обнаруженными частными компаниями по кибербезопасности.

Уязвимость, о которой предупреждало киберкомандование, CVE-2017-11774, была исправлена ​​Microsoft в 2017 году, но группа, известная как APT33, которую исследователи связали с правительством Ирана, использовала ее как часть усилий по развертыванию черных ходов и запуску вредоносных программ. на веб-серверах еще в прошлом году, по данным компании FireEye, занимающейся кибербезопасностью.Как и в случае с большинством уязвимостей, наличие исправления не гарантирует, что пользователи применили его.

Самая известная версия Shamoon использовалась в 2012 году при атаке на нефтяной гигант Saudi Aramco, которая уничтожила данные на десятках тысяч компьютеров. Обновленная версия Shamoon 2 появилась в ноябре 2016 года в ходе очередной кампании против целей в Саудовской Аравии. В прошлом году вредоносное ПО, похожее на Shamoon, также заразило итальянскую нефтяную компанию, которая ведет бизнес в Саудовской Аравии, выведя из строя сотни серверов фирмы.

В информации Cyber ​​Command, опубликованной на VirusTotal на прошлой неделе, явно не показана связь между инструментами и предыдущими версиями Shamoon. Но анализ файлов показывает, что кампании имеют значительное сходство в своей инфраструктуре , Брэндон Левен, глава отдела прикладной разведки в Chronicle, сообщил CyberScoop.

«В каждом из этих загрузчиков вредоносных программ на самом деле промежуточные IP-адреса загрузки очень сильно пересекаются с инфраструктурой Shamoon 2», — сказал Левен CyberScoop.

Левен говорит, что совпадения могут помочь понять, как работает вредоносное ПО Shamoon.

«Мы точно не знаем, использовался ли именно этот эксплойт в этом действии, но [Киберкомандование], похоже, устанавливает связь», — сказал Левен CyberScoop. «Похоже, они утверждают, что этот конкретный обход безопасности Outlook был связан с этими вредоносными файлами».

Ссылка может добавить подробности к тому, что исследователи знают о способности Шамуна получать доступ к целям, говорит Левен. По словам Левена, хотя предполагалось, что определенную роль сыграл целевой фишинг, эта ссылка показывает, что эксплойт мог быть первоначальным вектором атаки на сети.

Киберкомандование

не стало комментировать происхождение образцов.

Знакомая КРЫСА

Загруженные файлы — скомпилированные загрузчики PowerShell — предназначены для загрузки PUPY RAT, части вредоносного ПО с открытым исходным кодом, которое ранее использовал APT33. По данным компаний по кибербезопасности Sophos и Avast, которые также обнаруживали загруженные файлы, исполняемые файлы должны были выглядеть как законные установщики программного обеспечения. Обе компании заявили, что один из исполняемых файлов был замаскирован под законный сертификат Citrix, а другой выдавал себя за обновление проигрывателя Adobe Flash.

Лотем Финкельстин, менеджер Threat Intelligence Group компании Check Point, занимающейся кибербезопасностью, сообщил CyberScoop, что загруженные образцы «связаны» с атаками APT33 против Саудовской Аравии, включая Shamoon.

Компании, с которыми разговаривал CyberScoop, не были первыми, кто выявил связи с APT33. FireEye приписала уязвимость Outlook APT33 на основании данных об атаке, выявленной фирмой в конце 2018 года, и атаке в прошлом месяце.

Лаборатория Касперского сообщает, что группа, которую она называет Newsbeef, связана с файлами в загрузке.По словам Касперского, у Newsbeef был доступ к исходному коду Shamoon, и в прошлом он использовал бэкдор PUPY, такой как APT33. Московская компания сообщила CyberScoop, что она также приписала группе один из исполняемых файлов, загруженных на VirusTotal, но компания говорит, что неясно, состоят ли APT33 и Newsbeef из одних и тех же людей.

Три других примера, опубликованных Cyber ​​​​Command, были веб-оболочками или скриптами загрузки. По словам Левена, каждый инструмент имеет несколько иную цель, но позволяет злоумышленникам выполнять различные задачи на серверах, подвергшихся атаке.

«Злоумышленник явно имеет возможность взаимодействовать с серверами, которые он мог скомпрометировать, — сказал Левен.

Эндрю Брандт, главный исследователь Sophos, сказал, что веб-оболочка в загрузке VirusTotal позволяет злоумышленникам манипулировать файлами в файловой системе компьютера, на котором развернута веб-оболочка. Брандт также сказал, что он включает в себя команды базы данных, которые позволяют удаленно управлять базой данных.

Публикация образцов может подтолкнуть хакеров, связанных с иранским режимом, к тому, чтобы еще раз изменить способ ведения своего бизнеса.Группа кибершпионажа, связанная с Ираном, обновила свои инструменты после отчетов Symantec, подробно описывающих их деятельность в начале этого года. В другом случае исследователи Cisco Talos обнаружили, что хакеры, связанные с Ираном, изменили свою тактику в результате опубликованного исследования.

Финал киберкомандования

Вайнштейн, который сейчас работает начальником службы безопасности Claroty, говорит, что последняя загрузка Киберкомандования показывает, что военные могут перейти к использованию Virus Total для отражения противников.

«Это преднамеренная и стратегическая попытка Киберкомандования… сотрудничать с исследовательским сообществом в области безопасности для искоренения вредоносной киберактивности», — сказал Вайнштейн CyberScoop.«Я думаю, что это может заставить наших противников дважды подумать о своих действиях — быть более избирательными».

Выпуск образцов со ссылками на одну из самых громких атак Ирана, Shamoon, происходит сразу после того, как Киберкомандование опубликовало образцы, в которых освещаются не только бывшие атаки, но и активные атаки, связанные с Россией, как впервые сообщил CyberScoop.

Левен сказал CyberScoop в то время, что «это может означать, что [Киберкомандование] может стремиться проводить более активные операции» в будущем.

Боб Стасио, который ранее работал как в Агентстве национальной безопасности, так и в Киберкомандовании, сообщил CyberScoop, что загрузки показывают изменение отношения Министерства обороны к своим противникам. В прошлом правительство США воздерживалось от публичного раскрытия своих рук, опасаясь, что публичная информация может поставить под угрозу операции разведки.

«В АНБ это хорошо известно — они не собираются сжигать свой доступ», — сказал Стасио. «Как только вы покажете … что у вас есть карты, злоумышленник узнает, что они скомпрометированы, и начнет менять способ своей работы.Это самое худшее для сбора разведывательной информации, потому что это ставит под угрозу все дело. И вы хотите избежать этого любой ценой».

Стасио заявил, что у Киберкомандования, вероятно, теперь есть достаточно правдоподобных оснований для опровержения — с помощью частных компаний по кибербезопасности, ранее идентифицировавших связанные кампании — для загрузки этих образцов без раскрытия источников и методологии.

АНБ отказалось комментировать последнюю загрузку.

DHS переходит в

В то время как Киберкомандование начало загружать образцы в Virus Total только в прошлом году, Джей Хили, бывший директор Белого дома по защите киберинфраструктуры, сообщил CyberScoop, что такая практика применялась уже давно.

«[Киберкомандование] с момента своего создания десять лет назад хотело работать напрямую с частным сектором для защиты нации, а не через [Министерство внутренней безопасности]», — сказал Хили. «Пессимисты увидят, что [Киберкомандование] использует Virus Total — и публикует твиты, чтобы предупредить о действиях злоумышленников — как захват земли против DHS».

Должностные лица частного сектора говорят, что DHS знало, что что-то грядет. По словам Нила Дженкинса, главного аналитика Альянса киберугроз, консорциума компаний, который делится собственной информацией об угрозах, департамент выпустил предупреждение TLP до публикации сообщения VirusTotal.По словам Дженкинса, предупреждение было обозначено как «Янтарный», что является вторым по величине из четырех уровней TLP. TLP: Эмбер указывает, что информация может быть передана заинтересованным сторонам, но не публично.

Дженкинс сообщил CyberScoop, что 1 июля DHS уведомило его группу о том, что информация об угрозе будет опубликована агентством 2 июля. Дженкинс сказал, что киберкомандование будет загружать образцы в VirusTotal.

«Они хотели, чтобы мы знали, что это произойдет, и что у нас есть защита», — сказал Дженкинс CyberScoop.

DHS не прокомментировал подробности о том, что ему стало известно и когда. Официальный представитель Агентства кибербезопасности и безопасности инфраструктуры DHS сообщил CyberScoop, что релиз, выпущенный на прошлой неделе, является примером того, как департамент работает над повышением коллективной безопасности, работая как с промышленностью, так и с правительством.

«CISA работает с USCYBERCOM, разведывательным сообществом и партнерами из частного сектора, чтобы отслеживать киберактивность и обмениваться информацией, чтобы обеспечить безопасность Америки и наших союзников», — сказал чиновник.«Объявление на прошлой неделе — еще один пример тесного сотрудничества между правительством и промышленностью для обмена информацией и коллективной защиты наших систем».

Киберкомандование обратилось за комментариями к предупреждению TLP, обратившись к DHS.

Время решает все

Сообщение VirusTotal появилось около 15:00. 2 июля по восточному времени. DHS просило компании публично распространять эти образцы до 13:00. В тот день по восточному времени член CTA сообщил CyberScoop.

— Дело в том, что ты делаешь это на основе доверия, — сказал Дженкинс.«Если кто-то дает вам эту информацию и говорит: «Вы не можете действовать по этому поводу до среды», и вы действуете заранее, и это что-то портит, то вы, вероятно, не получите эту информацию в следующий раз».

Дженкинс, который ранее занимал должность начальника отдела политики и планирования в Национальном центре интеграции кибербезопасности и связи Министерства внутренней безопасности США, также сообщил CyberScoop, что агентству нужны отзывы от частного сектора, например, о том, когда альянс в последний раз видел активные хэши. — которые являются уникальными идентификаторами, такими как отпечатки пальцев, для каждого образца вредоносного ПО.

«[DHS] хотел узнать на основе нашей телеметрии, на основе имеющейся у нас информации, когда в последний раз мы видели, как эти хэши срабатывают, как часто мы видели их активными», — сказал, например, Дженкинс. «Если мы предпримем это действие во вторник… Что произойдет после этого? Мы все еще видим, что эти файловые хэши продолжают работать? Можете ли вы предоставить нам информацию, пока мы движемся вперед, чтобы посмотреть, что произойдет?»

Стасио сказал, что в прошлом различные мандаты в DHS, АНБ и Киберкомандовании часто работали друг против друга при обмене информацией.

— DHS не живет в том же мире, что и NSA, — сказал Стасио. «Мотивация [DHS] состоит в том, чтобы работать с общественностью, работать со штатами, работать с другими агентствами, которые не работают в сверхсекретном мире, они просто хотят получить эту информацию, чтобы сказать: «Эй, вы, ребята, сидите». об этих золотых крупицах информации… почему бы вам не дать ее нам?»

По словам Стасио, потенциальная возможность провала разведывательных операций часто мешала такому обмену информацией.

«Я был в ситуациях с некоторыми группами акторов, когда мы знали все, что делал противник — кого они нацеливали, как они это делали, и они на самом деле нацеливались на организации частного сектора в США.С. — и нам не разрешили раскрыть показатели этой информации», — сказал Стасио.

Двигаясь вперед, Дженкинс сказал, что он надеется, что DHS продолжит делиться информацией о загрузках Virus Total с частным сектором.

«Мы хотели бы, чтобы это исходило от нескольких агентств, но через DHS, потому что DHS придерживается того же менталитета сетевой защиты, что и члены CTA», — сказал он. «Для нас это была хорошая возможность начать тестирование того, что, увидев, как это работает, передать извлеченные уроки правительству, они могут поделиться извлеченными уроками с нами.И мы примем это как первый шаг».

-В этой истории-

продвинутая постоянная угроза (APT), APT33, Avast, Брэндон Левен, Хроника, Министерство обороны (DOD), Министерство внутренней безопасности (DHS), взлом, Kaspersky, Newsbeef, Shamoon, Sophos, Киберкомандование США

Идеальное киберпреступление — SafeBreach


Преступники обычно подходят к краже данных с одной целью: приложить как можно меньше усилий, чтобы собрать как можно больше конфиденциальных, приносящих деньги пользовательских данных.Криптовалютные кошельки, банковские учетные данные, вымогательство и кража личных данных — это лишь несколько примеров.

С этой целью преступники могут разрабатывать трояны, а затем создавать инфраструктуру, включая серверы управления и контроля (C2), для заражения жертв, отправки команд вредоносным программам и хранения похищенных данных. Для этого им необходимо приобрести VPS и доменные имена для серверов C2, продлевать их каждый год и приобрести прокси для анонимности своей деятельности. В качестве альтернативы преступники могут направить свои усилия на атаку законных незащищенных сайтов, таких как сайты WordPress без исправлений, и начать атаки оттуда.Наконец, более дорогой вариант для преступников — приобрести вредоносное ПО как услугу (MaaS). Независимо от того, какой вариант они выберут, эта незаконная деятельность может занять время, потребовать денег и сопряжена с риском быть пойманным.

Вместо этого, что, если бы преступники могли получить большое количество учетных данных жертв, не заражая ни одну жертву, без необходимости что-либо строить или покупать и без риска быть пойманным? Недавно мы решили изучить эту тему и подтвердить нашу теорию о том, что этот тип «идеального преступления» может стать новой реальностью в кибербезопасности.

В этом блоге мы расскажем, как нам удалось получить большие объемы конфиденциальных данных с помощью службы Google VirusTotal в сочетании с другими известными службами вредоносных программ и хакерскими форумами. Мы также опишем шаги, которые мы предприняли для снижения риска, связанного с найденной нами информацией, включая уведомление Google об этих файлах и действиях. Наконец, мы рассмотрим основные шаги, которые вы можете предпринять, чтобы защитить себя и свою организацию от этого типа вредоносной деятельности.

Наш процесс

Наше исследование началось с VirusTotal, одной из самых полных служб хранения вредоносных файлов, доступных в настоящее время.VirusTotal принадлежит Google и предоставляет бесплатный сервис для загрузки подозрительных файлов и их проверки с помощью десятков антивирусных движков. Он также предоставляет расширенные возможности поиска для лицензированного пользователя, позволяя им запрашивать набор данных VirusTotal с помощью комбинации десятков запросов: тип файла, имя файла, дата отправки, страна и содержимое файла — это лишь несколько примеров.

Для проверки нашей теории мы разработали идею «Взлом VirusTotal», основанную на известном методе «Взлом Google.«При взломе Google преступники используют Google для поиска уязвимых веб-сайтов, IoT, установленных веб-оболочек и утечек конфиденциальных данных. Поскольку VirusTotal использует более продвинутые поисковые API Google, мы полагали, что у него есть потенциал для ускоренного взлома Google. Наша цель состояла в том, чтобы идентифицировать данные, которые мог бы собрать преступник с лицензией VirusTotal, доступной за небольшую плату в размере 600 евро.

После получения лицензии VirusTotal мы начали с классификации имен эксфильтрированных файлов, используемых обычными вредоносными похитителями информации.Затем мы использовали различные API-интерфейсы VirusTotal, включая поиск, VT Graph и Retrohunt, для поиска этих имен файлов.

Результаты были огромными. Всего за несколько дней нам удалось собрать более 1 000 000 учетных данных , , удаленных с помощью различных типов вредоносных программ и незашифрованных криптовалютных кошельков. Мы также обнаружили рынок, который публикует небольшое количество данных жертв бесплатно в качестве тизера, с дополнительным сайтом и каналом Telegram, который предлагает для продажи большее количество эксфильтрованных данных жертв.

В разделах ниже мы предоставляем подробную информацию о том, как мы использовали известные вредоносные службы, такие как RedLine Stealer, Azorult, Racoon Stealer и Hawkeye, и известные хакерские форумы, такие как DrDark и Snatch_Cloud, для раскрытия конфиденциальных данных, которые легко доступны. преступникам в VirusTotal.

Похититель RedLine

RedLine Stealer — вредоносное ПО, доступное для продажи на подпольных форумах в виде отдельной версии или по подписке. Эта вредоносная программа использует браузеры для сбора такой информации, как сохраненные учетные данные, данные автозаполнения и данные кредитной карты.Он также проводит инвентаризацию системы при работе на целевой машине, которая включает такие сведения, как имя пользователя, данные о местоположении, конфигурация оборудования и информация об установленном программном обеспечении безопасности. В более поздних версиях RedLine добавлена ​​возможность кражи криптовалюты. Это семейство также нацелено на протоколы передачи файлов (FTP) и клиенты мгновенных сообщений (IM), и это вредоносное ПО имеет возможность загружать / скачивать файлы, выполнять команды и периодически отправлять обратно информацию о зараженном компьютере.

Для начала мы использовали VirusTotal Query для поиска всех двоичных файлов, которые были идентифицированы хотя бы одним антивирусным ядром как вредоносное ПО RedLine: «движки: MSIL.Trojan-Stealer.Redline.B». Запрос вернул 800 результатов.

Кроме того, мы искали файлы с именем «DomainDetects.txt», которое является одним из имен файлов, эксфильтрированных RedLine Stealer. Этот запрос вернул сотни эксфильтрованных файлов: «content:DomainDetects.txt tag:zip». Эксфильтрованные zip-файлы имеют соглашение об именах: код_страны[id_жертвы][дата].молния.

Затем мы использовали VirusTotal Graph, сервис для платных клиентов в рамках VirusTotal, который позволяет пользователям визуально исследовать этот огромный набор данных, обнаруживать общие черты угроз и понимать взаимосвязь между файлами, URL-адресами, доменами, IP-адресами и другими элементами, обнаруженными в ходе текущего расследования. . Интеллектуальный обзор любого артефакта вредоносного ПО на графике позволит объединить результаты в карту угроз.

Используя VirusTotal Graph, мы обнаружили, что первый zip-файл, включенный в результаты поиска выше «3930983661a2a4e52e7a714bd58363038e0f2fa3785a4186e098e0c29a2aae89», также был включен в файл RAR с именем «TG @BitPapaFREELOGS 08.2021 500 ШТ..rar”:
c7738fa91ca692d9e2dd2398fdb17ce58b546bd21a5112114a17b9754365d241

Файл RAR содержит похищенные данные, принадлежащие 500 жертвам, в том числе 22 715 паролей к различным сайтам:

Глядя на формат имени файла RAR — «TG @BitPapaFREELOGS 08.2021 500 PIECES.rar» — можно предположить, что он был опубликован намеренно, а не автоматическим загрузчиком или по ошибке:

  • «BitPapa» — это название сайта рынка криптовалют, а также российского канала Telegram.
  • «500 ШТ.» — количество жертв.

Мы нашли дополнительные результаты, в том числе файл в шесть раз больше (200 МБ) с 46 952 паролями, принадлежащими 1000 жертвам, при поиске файлов с похожими именами. Например:

  • Запрос: имя:TG @BitPapaFREELOGSit

  • Мы нашли файл с именем «SHA256: b1473e737c7ee2849fec49b616f83f077d1a1f552e8d3139354ecb8b002da4a9», который содержит данные 34 жертв, включая учетные данные, документы и криптовалюту с сентября 2021 года.
  • Файл содержал более 800 паролей, 30 из которых были для URL-адресов, связанных с правительством (например, более 40 жертв из Министерства здравоохранения). Ниже приведен пример файла пароля, извлеченного RedLine:
  • .

Азорулт

Azorult — троян для кражи информации и одно из самых распространенных семейств вредоносных программ. Он собирает и извлекает учетные данные, данные для входа в браузер, файлы cookie, историю, сеансы чата, файлы криптовалютного кошелька и снимки экрана.Обычно он распространяется через спам либо в виде вложения, либо в виде полезной нагрузки вредоносного файла документа.

Используя VirusTotal Query, мы выполнили поиск «YandexBrowser_Default.txt», который является одним из известных имён эксфильтрированных файлов. Было возвращено 162 результата:

Первый файл включает файлы CV, учетные данные для Facebook, Apple, Snapchat, учетную запись правительства Австралии и другую конфиденциальную информацию. Ниже приведен образец содержимого файла с отредактированными паролями:

.

С помощью VirusTotal Graph мы преобразовали данные одной жертвы из zip-файла «75a2d5fa3c7d2defd71752bee1a938f8043b15a8d651e51ba1db31cb880f9666» в ее родительский zip-архив.

Архивный файл «Новая папка» от 21 сентября 2021 года содержит данные о 1000 пострадавших.

Включает 405 МБ эксфильтрованных данных, в том числе 136 000 паролей для различных систем:

Он включал учетные данные для 1300 государственных сайтов из 48 стран:

Файл также включал 30 связанных с налогами сайтов, таких как IRS в США, Великобритании, Индии и других странах:

Используя эти учетные данные, злоумышленник, вероятно, сможет украсть еще более конфиденциальные данные с таких сайтов, как:

Похититель енотов

Raccoon Stealer — это похититель информации, который поддерживает кражу учетных данных пользователей и данных, хранящихся в веб-браузерах, почтовых приложениях, криптовалютных кошельках и файлах Discord.Считается, что он возник в России, открыто рекламирует себя как вредоносное ПО как услугу (MaaS) в даркнете и хорошо известен в киберпреступных кругах. Это также одна из наиболее хорошо управляемых служб вредоносных программ.

С помощью VirusTotal Query мы выполнили поиск «chrome_autofill.txt». это известное имя файла, извлеченное Racoon. Запрос возвратил 69 результатов.

Используя VirusTotal Graph, мы видим, что этот текстовый файл включен в другой zip-файл, который включен в еще больший ZIP-файл (57 МБ) с именем «raccoon_logs_349_pieces_2021-11-02_16_05_08.молния».

Поиск «name:raccoon logs » (ошибка написана намеренно) дает десять результатов, включая файл с именем «raccoon_logs_2392_pieces_2021-09-11_18_49_29.zip», который включает 2392 жертвы.
Sha256: 9070ede5a8380122663ae022552772e75c822f71c1c95212a277736410375710

Этот файл содержит 96 000 паролей для различных служб:

Он также включает в себя криптовалютные кошельки. Например, запуск pywallet.py раскрывает приватные ключи кошелька:

pywallet.py –dumpwallet –wallet «.\DE 194.195.91.19 2021-09-11\wallets\BitcoinCore.dat»

Это означает, что закрытые ключи зашифрованы.

Но другие файлы не были зашифрованы, что упростило их кражу преступником. Например:

pywallet.py —dumpwallet —wallet «.\JM 63.143.93.177 2021-09-11\wallets\CHOPPA CHOPPA.dat»

Возможная исходная личность хакера — загрузка файла на VirusTotal

Есть два способа загрузить файл на VirusTotal.Один из них бесплатный и открыт для всех через веб-интерфейс без входа в систему. Другой — через вошедшего в систему пользователя, который идентифицируется с помощью ключа API. Девять из десяти файлов выше были загружены через веб-интерфейс Racoon Stealer из разных стран (вероятно, с использованием прокси), но последний файл, вероятно, был загружен оригинальными хакерами для публикации своего «сервиса» с использованием API-ключа 9c2cfa71.

Этот ключ API будет отправлен в Google в запросе на блокировку.

Расширение поиска до запроса «logs.zip» tag:zip size:2

000+» возвращает шесть дополнительных результатов, включая сжатый файл

размером 556 МБ с исходным именем файла «988.logs.zip» и исходным именем:

.

US[C64C48406FF187D3C0D2B8B68B793AEB] [2021-10-03T20_58_19.7082173+03_00]

Этот файл также включал 988 жертв вредоносных программ RedLine. Каждая папка с эксфильтрованными файлами содержит текстовый файл, в котором указано название исходной группы злоумышленников: cbanke.

DrDark, хакерский форум, используемый группой cbanke, даже позволяет бесплатно загружать файлы жертв с диска Google.Имя файла — «250 LOGS [TG @cbanke_logs].zip», что связывает этот сайт с группой cbanke. Файл был загружен 24 ноября 2020 г. и включает ZIP-файл размером 287 МБ. Мы рассмотрим это подробнее в разделе ниже.

Доктор Дарк

DrDark — известный хакерский форум, который публично заявляет о своей цели следующим образом:

«DrDark — это форум, посвященный заработку в интернете, различным схемам заработка, вопросам IT и многому другому. Также мы делимся знаниями о кардинговых форумах, модификациях вредоносных программ, взломе, безопасности, программировании, взломе и многом другом».

Файл 250 LOGS [TG @cbanke_logs].zip, который также бесплатно включен в DrDark, содержит данные эксфильтрации с помощью Spyware.KpotStealer. Например: 028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057

Эксфильтрованные данные содержат имя «KPOT», и вредоносное ПО действительно записывает те же эксфильтрованные файлы.

Пользователь, загрузивший этот файл, идентифицированный как Starkye на форуме DrDark, имеет 19 сообщений, предлагающих файлы с аналогичными типами конфиденциальных данных:

И сотни других пользователей предлагают аналогичные файлы:

Например, пользователь, идентифицированный как Wanag3R, опубликовал 233 сообщения, предлагая файлы с конфиденциальными данными — тип учетных данных, сумма, страны жертв и т. д., включенные в файлы, указаны в именах файлов.

Другой пользователь, идентифицированный как kanebuckley, опубликовал 400 сообщений и специализируется на украденных учетных данных для Netflix и игр.

Эти действия выполняются в обычном Интернете. Нет необходимости в доступе к даркнету — эти люди не прячутся.

Группа Snatch_Cloud

Используя VirusTotal Query, мы выполнили поиск «name: logs tag:zip», который является известным именем файла, полученным от Snatch_Cloud Group.Наш запрос вернул 1000 результатов, одним из которых был недавно загруженный файл размером 265 МБ с интересным именем:
«1000 US logs.zip».

470FFEF7EC81AED271E5F52B85EB483F2CF27BABB1C85D8FE823C6CFA5CDB9A4

Это тоже эксфильтрация RedLine. Каждая папка с эксфильтрованными файлами содержит текстовый файл:

.

Этот сайт продает эксфильтрованные файлы жертв, всего 422 000 файлов в период с июня по август 2021 года и более 70 000 только в сентябре 2021 года. Это в среднем 2000-8000 ПК в день.

Дали ссылку на VirusTotal, которая закачана из России и ведет на https://mega.nz/file/0KZn3QzA, который запрашивает пароль для доступа к файлам. В конце концов, преступникам даже не нужен VirusTotal — они могут купить доступ к файлам жертв напрямую.

Сайт группы в Telegram, насчитывающий около 500 участников, предоставляет инструкции о том, как обналичить деньги, и отображает сообщения от пользователей, благодарящих администратора за все деньги, которые они заработали.

Ястребиный глаз

HawKeye — широко используемый кейлоггер, который распространяется с 2013 года. В настоящее время он используется в фишинговых кампаниях, нацеленных на предприятия по всему миру, и предназначен для кражи учетных данных из многочисленных приложений. Его команда разработчиков продает на рынках даркнета и хакерских форумах.

Иногда поиска уже удаленных файлов недостаточно и требуется немного больше усилий. В этом примере HawkEye мы исследуем, как преступники могут искать вредоносное ПО, которое использует простые протоколы для кражи данных.Учетные данные эксфильтрируются с использованием SMTP или FTP. Вредоносное ПО подключается к FTP-серверу C2, используя имя пользователя и пароль, поэтому преступник, у которого они есть, может получить к ним доступ, как если бы он был первоначальным хакером.

С помощью службы Retrohunt, предоставляемой в рамках VirusTotal, любой может найти все двоичные файлы, которые соответствуют сигнатуре правила YARA за последние 90 дней. Мы добавили правило YARA для обнаружения всех двоичных файлов вредоносных программ HawkEye (любой злоумышленник может использовать правило YARA, предоставленное VirusTotal, которое включает 12000 общих правил):

Поиск Retrohunt дал 82 результата за последние 90 дней и еще 265 результатов за 90 дней, для доступа к которым требовалась платная лицензия.

Давайте посмотрим на один из них:

Использование Dnspy для декомпиляции выявило следующую зашифрованную настройку:

Злоумышленник может расшифровать это без написания кода, используя .Net Fiddle, онлайн-среду, позволяющую писать, тестировать и делиться кодом.

Скопировав зашифрованные строки в код шаблона и нажав «Выполнить», можно получить хост FTP, имя пользователя и пароль.

В этот момент злоумышленник сможет использовать первоначальные учетные данные злоумышленника и загрузить все эксфильтрованные данные жертвы.В этом примере могло быть поражено 200 жертв.

Заключение

В этой статье мы доказали, что метод «Взлом VirusTotal» работает в больших масштабах. Преступник, использующий этот метод, может собрать практически неограниченное количество учетных данных и других конфиденциальных данных пользователя с минимальными усилиями за короткий период времени, используя безопасный подход. Мы назвали это совершенным киберпреступлением не только из-за отсутствия риска и очень низких усилий, но и из-за неспособности жертв защитить себя от такого рода деятельности.После того, как жертвы были взломаны первоначальным хакером, у большинства из них мало информации о том, какая конфиденциальная информация загружается и хранится на VirusTotal и других форумах.

Целью публикации этого поста было повысить осведомленность об этой проблеме, побудить поставщиков таких репозиториев помочь смягчить эти виды деятельности и снизить общий уровень риска. Ниже приведены шаги, которые мы предприняли для достижения этой цели:

  1. Мы заранее проинформировали Google о наших выводах и попросили их удалить файлы из VirusTotal.Через месяц мы получили ответ от Google:
    «Спасибо за предоставленные образцы и рекомендации, но, к сожалению, восемь зарегистрированных файлов все еще доступны».
  2. Кроме того, мы предоставили Google следующие рекомендации:
    1. Периодически ищите и удаляйте файлы с конфиденциальными данными пользователя и блокируйте ключи API, которые загружают эти файлы.
    2. Добавить алгоритм, который запрещает загрузку файлов с конфиденциальными данными, которые содержат открытый текст или зашифрованные файлы с паролем дешифрования, прикрепленным текстом или изображением.
  3. Мы также рекомендуем правоохранительным органам рассмотреть тактику борьбы с незаконными форумами и торговыми площадками, где преступники продают и покупают конфиденциальную информацию.
  4. Что касается последнего метода использования вредоносного ПО, которое подключается к C2-серверам по незащищенным протоколам, мы рекомендуем поставщикам сотрудничать с хостинговыми компаниями для затопления или прекращения действия уязвимых C2-серверов.

Несмотря на то, что усилия по смягчению последствий метода «взлома VirusTotal» в первую очередь должны выполняться поставщиками репозиториев, таких как VirusTotal, каждая организация может предпринять ключевые шаги для предотвращения компрометации своей информации, в том числе:

  • Реализация многофакторной аутентификации.
  • Использование надежных уникальных паролей, которые периодически меняются.
  • Внедрение сегментации сети и фильтрации трафика.
  • Сканирование на наличие уязвимостей и обновление программного обеспечения.
  • Удаление ненужных приложений и применение элементов управления.
  • Внедрение инструментов реагирования на обнаружение конечных точек (EDR) и предотвращения потери данных (DLP).
  • Ограничение доступа к ресурсам по сети, особенно путем ограничения протокола удаленного рабочего стола (RDP).

Эксклюзив: российская антивирусная фирма подделала вредоносное ПО, чтобы навредить конкурентам — бывшие сотрудники

САН-ФРАНЦИСКО (Рейтер) — Более десяти лет назад одна из крупнейших в мире По словам двух бывших сотрудников, они наносят ущерб конкурентам на рынке, заставляя их антивирусные программы классифицировать безопасные файлы как вредоносные.

Они сказали, что секретная кампания нацелена на Microsoft Corp MSFT.O, AVG Technologies NV AVG.N, Avast Software и других конкурентов, заставив некоторых из них удалить или отключить важные файлы на ПК своих клиентов.

Некоторые из атак были заказаны соучредителем «Лаборатории Касперского» Евгением Касперским, отчасти для того, чтобы отомстить более мелким конкурентам, которые, по его мнению, копировали его программное обеспечение, а не разрабатывали свои собственные технологии.

«Юджин посчитал это воровством», — сказал один из бывших сотрудников. Оба источника попросили об анонимности и сказали, что они были среди небольшой группы людей, знавших об операции.

«Лаборатория Касперского» категорически отрицает, что она обманом заставляла конкурентов классифицировать чистые файлы как вредоносные, так называемые ложные срабатывания.

«Наша компания никогда не проводила никаких тайных кампаний, направленных на то, чтобы обманом заставить конкурентов генерировать ложные срабатывания, чтобы нанести ущерб их положению на рынке», — говорится в заявлении Касперского агентству Reuters. «Подобные действия неэтичны, нечестны и их законность как минимум сомнительна».

Руководители Microsoft, AVG и Avast ранее сообщали агентству Reuters, что в последние годы неизвестные лица пытались спровоцировать ложные срабатывания.Когда с ними связались на этой неделе, они не прокомментировали утверждение о том, что «Лаборатория Касперского» нацелилась на них.

Российская компания является одним из самых популярных производителей антивирусного программного обеспечения, имеет 400 миллионов пользователей и 270 000 корпоративных клиентов. «Лаборатория Касперского» завоевала широкое уважение в отрасли благодаря своим исследованиям сложных западных шпионских программ и компьютерного червя Stuxnet, который саботировал ядерную программу Ирана в 2009 и 2010 годах. выбор конкурентов для саботажа.

«Решено было создать некоторые проблемы» для соперников, сказал один из бывших сотрудников. «Это наносит ущерб не только конкурирующей компании, но и компьютерам пользователей».

Бывшие сотрудники «Лаборатории Касперского» рассказали, что исследователям компании поручали работать над диверсионными проектами неделями или месяцами.

По словам бывших сотрудников, их главная задача заключалась в том, чтобы перепроектировать программное обеспечение для обнаружения вирусов конкурентов, чтобы выяснить, как обмануть их, чтобы они помечали хорошие файлы как вредоносные.

Возможности для такого обмана увеличились за последние полтора десятилетия, поскольку стремительный рост числа вредоносных компьютерных программ побудил компании, занимающиеся безопасностью, делиться друг с другом большим количеством информации, говорят отраслевые эксперты. Они лицензировали механизмы обнаружения вирусов друг друга, обменивались образцами вредоносных программ и отправляли подозрительные файлы сторонним агрегаторам, таким как Google Inc. GOOGL.O VirusTotal.

Сотрудники работают в штаб-квартире «Лаборатории Касперского», компании, которая специализируется на производстве антивирусного программного обеспечения и программного обеспечения для интернет-безопасности, в Москве, 29 июля 2013 года.REUTERS/Сергей Карпухин

Распространяя все эти данные, компании, занимающиеся безопасностью, могут быстрее выявлять новые вирусы и другой вредоносный контент. Но сотрудничество также позволило компаниям много заимствовать из работы друг друга, а не искать плохие файлы самостоятельно.

В 2010 году «Лаборатория Касперского» открыто жаловалась на подражателей, призывая к большему уважению интеллектуальной собственности, поскольку обмен данными стал более распространенным.

Пытаясь доказать, что другие компании копируют его работу, Kaspersky заявила, что провела эксперимент: она создала 10 безвредных файлов и сообщила VirusTotal, что считает их вредоносными.VirusTotal собирает информацию о подозрительных файлах и передает ее охранным компаниям.

В течение полутора недель все 10 файлов были объявлены опасными 14 охранными компаниями, которые слепо последовали примеру «Лаборатории Касперского», согласно презентации для СМИ, проведенной старшим аналитиком «Лаборатории Касперского» Магнусом Калькулом в Москве в январе 2010 года.

Когда Жалобы Касперского к существенным изменениям не привели, по словам бывших сотрудников, это усилило саботаж.

ВНЕДРЕНИЕ ПЛОХОГО КОДА

По словам бывших сотрудников, инженеры «Лаборатории Касперского» брали важную часть программного обеспечения, обычно встречающегося на ПК, и внедряли в него плохой код, чтобы файл выглядел зараженным.Они анонимно отправят подделанный файл на VirusTotal.

Затем, когда конкуренты запускали этот подделанный файл через свои механизмы обнаружения вирусов, этот файл помечался как потенциально вредоносный. Если поддельный файл выглядел достаточно близко к оригиналу, «Лаборатория Касперского» могла обмануть конкурирующие компании, заставив думать, что чистый файл тоже проблематичен.

VirusTotal не дал немедленного комментария.

В своем ответе на письменные вопросы Reuters «Лаборатория Касперского» отрицала использование этой техники.Компания заявила, что тоже стала жертвой такой атаки в ноябре 2012 года, когда «неизвестная третья сторона» манипулировала «Лабораторией Касперского» и ошибочно классифицировала файлы с Tencent 0700.HK, Mail.ru MAILRq.L и игровой платформы Steam как вредоносные.

Степень ущерба от таких атак трудно оценить, потому что антивирусное программное обеспечение может выдавать ложные срабатывания по целому ряду причин, и многие инциденты обнаруживаются после того, как затронуто небольшое количество клиентов, говорят руководители службы безопасности.

Бывшие сотрудники «Лаборатории Касперского» заявили, что Microsoft была одним из конкурентов, ставших мишенью, поскольку многие более мелкие компании по обеспечению безопасности последовали примеру компании из Редмонда, штат Вашингтон, в обнаружении вредоносных файлов.Они отказались дать подробный отчет о какой-либо конкретной атаке.

Директор Microsoft по исследованиям в области защиты от вредоносных программ Деннис Батчелдер рассказал агентству Reuters в апреле, что он вспомнил случай в марте 2013 года, когда многие клиенты звонили и жаловались, что антивирусная программа сочла код принтера опасным и поместила его в «карантин».

Батчелдер сказал, что ему потребовалось примерно шесть часов, чтобы понять, что код принтера очень похож на другой фрагмент кода, который Microsoft ранее считала вредоносным.По его словам, кто-то взял законный файл и вставил в него кусок плохого кода. Поскольку обычный код принтера был очень похож на измененный код, антивирусная программа и его поместила в карантин.

В течение следующих нескольких месяцев команда Бэтчелдера обнаружила сотни, а в конечном итоге и тысячи хороших файлов, которые были изменены, чтобы выглядеть плохо. Бэтчелдер сказал своим сотрудникам не пытаться установить виновного.

— Неважно, кто это был, — сказал он. «У всех нас в отрасли была уязвимость, поскольку наши системы были основаны на доверии.Мы хотели это исправить».

В последующем интервью в среду Бэтчелдер отказался комментировать какую-либо роль, которую Касперский мог сыграть в проблемах с кодом принтера 2013 года или любых других атаках. У Reuters нет доказательств связи Касперского с атакой на код принтера.

По мере того, как в индустрии безопасности распространялись слухи о индуцированных ложных срабатываниях, обнаруженных Microsoft, другие компании заявили, что пытались выяснить, что пошло не так в их собственных системах и что делать по-другому, но никто не назвал виновных.

Сотрудники Avast, производителя бесплатного антивирусного программного обеспечения с самой большой долей рынка во многих странах Европы и Южной Америки, обнаружили большое количество подделанных сетевых драйверов, дублированных для разных языковых версий.

Главный операционный директор Avast Ондржей Влчек заявил агентству Reuters в апреле, что, по его мнению, преступники были хорошо оснащенными авторами вредоносных программ и «хотели поразвлечься» за счет отрасли. В четверг он не ответил на просьбу прокомментировать утверждение о том, что Касперский спровоцировал ложные срабатывания.

ВОЛНЫ АТАК

Бывшие сотрудники заявили, что «Лаборатория Касперского» время от времени манипулировала ложными срабатываниями в течение более 10 лет, с пиковым периодом между 2009 и 2013 годами. ложные срабатывания сегодня представляют собой гораздо меньшую проблему.

Отчасти это связано с тем, что охранные компании стали менее склонны принимать решения конкурентов как истину и тратят больше средств на отсеивание ложных срабатываний.

Бывший технический директор AVG Юваль Бен-Ицхак сказал, что компания пострадала от множества плохих образцов, которые прекратились после того, как она установила специальные фильтры для их фильтрации и улучшила свой механизм обнаружения.

«Было несколько волн этих проб, обычно четыре раза в год. Это поколение поврежденных образцов просуществовало около четырех лет. Последняя волна была получена в начале 2013 года», — сказал он агентству Рейтер в апреле.

Директор по стратегии AVG Тодд Симпсон в среду отказался от комментариев.

«Лаборатория Касперского» также сообщила, что улучшила свои алгоритмы защиты от ложных образцов вирусов. Он добавил, что, по его мнению, никакая антивирусная компания не проводила атаки, «поскольку это очень плохо скажется на всей отрасли».

«Хотя рынок безопасности очень конкурентен, надежный обмен данными об угрозах, безусловно, является частью общей безопасности всей ИТ-экосистемы, и этот обмен не должен быть скомпрометирован или поврежден», — сказал Касперский.

Отчет Джозефа Менна; Под редакцией Тиффани Ву

Новый вариант вредоносного ПО Konni, использованный в кампании против России

Автором этой записи в блоге является Хоссейн Джази

В конце июля 2021 года мы обнаружили продолжающуюся фишинговую кампанию, подталкивающую Konni Rat к нацеливанию на Россию.Конни был впервые замечен в дикой природе в 2014 году и потенциально связан с северокорейской группой APT под названием APT37.

Мы обнаружили два документа, написанных на русском языке и использующих один и тот же вредоносный макрос. Одна из приманок связана с торгово-экономическими вопросами между Россией и Корейским полуостровом. Другой – о заседании межправительственной российско-монгольской комиссии.

В этом сообщении блога мы представляем обзор этой кампании, в которой используются два разных метода обхода UAC и хитрые приемы запутывания, чтобы оставаться незамеченными.

Обзор атак

На следующей диаграмме показан общий процесс, используемый этим субъектом для компрометации жертв. Вредоносная активность начинается с документа, который выполняет макрос, за которым следует цепочка действий, которая, наконец, развертывает Konni Rat.

Рисунок 1: Общий процесс

Анализ документов

Мы нашли две приманки, используемые Konni APT. Первый документ «Экономические отношения.doc» содержит 12-страничную статью, которая, кажется, была опубликована в 2010 году с заголовком: « Региональные экономические контакты Дальнего Востока России с корейскими государствами (2010-е годы) ».var» , используя findstr , а затем записывает содержимое строки, начиная с «var» в y.js . В конце он вызывает функцию Wscript Shell для выполнения файла Java Script ( y.js ).

Умная часть заключается в том, что актор попытался скрыть свой вредоносный JS, который является началом его основных действий в конце содержимого документа, и не поместил его непосредственно в макрос, чтобы избежать обнаружения антивирусными продуктами, а также скрыть его. основной замысел от них.

Рисунок 3: Макрос

Файл y .js вызывается с активным документом в качестве аргумента.Этот javascript ищет два шаблона, закодированных в активном документе, и для каждого шаблона сначала он записывает этот контент, начиная с шаблона, в файл temp.txt , а затем декодирует его с помощью базы 64, используя встроенную функцию декодера base64, функцию . de(input) и, наконец, записывает декодированное содержимое в определенный вывод.

yy.js используется для хранения данных первого декодированного контента, а y.ps1 используется для хранения данных второго декодированного контента.После создания выходных файлов они выполняются с использованием Wscript и Powershell .

Рисунок 4: y.js

Скрипт Powershell ( y.ps1 ) использует функцию DllImport для импорта URLDownloadToFile из urlmon.dll и WinExec из kernel32.dll . После импорта необходимых функций он определяет следующие переменные:

  • URL-адрес для загрузки файла с него
  • Каталог для хранения загруженного файла (%APPDATA%/Temp)
  • Имя загруженного файла, который будет храниться на диске.

На следующем этапе он вызывает URLDownloadToFile для загрузки CAB-файла и сохраняет его в каталоге %APPDATA%Temp с уникальным случайным именем, созданным с помощью GetTempFileName . В конце он использует WinExec для выполнения команды cmd, которая вызывает expand для извлечения содержимого CAB-файла и удаления CAB-файла. y.ps 1 удаляется в конце с помощью Winexec .

Рисунок 5: y.ps1

Извлеченный CAB-файл содержит 5 файлов: check.bat , install.bat , xmlprov.dll , xmlprov.ini и xwtpui.dll . yy.js отвечает за выполнение файла check.bat , извлеченного из CAB-файла, и удаление себя в конце.

Рисунок 6: yy.js

Check.bat

Этот пакетный файл проверяет, запущена ли командная строка от имени администратора с использованием net session > nul , и если это так, он выполняет install.bat . Если у пользователя нет прав администратора, он проверяет версию ОС и, если это Windows 10, устанавливает для переменной с именем num значение 4, в противном случае — значение 1.Затем он выполняет xwtpui.dll , используя rundll32.exe , передавая ему три параметра: EntryPoint (функция экспорта DLL для выполнения), num (число, указывающее версию ОС) и . установить.bat .

Рисунок 7: check.bat

Install.bat

вредоносное ПО, используемое злоумышленником, выдает себя за xmlprov Network Provisioning Service. Эта служба управляет файлами конфигурации XML на основе домена для автоматической подготовки сети.
Install.bat отвечает за установку xmlprov.dll в качестве службы. Для достижения этой цели он выполняет следующие действия:

  • Остановить работающую службу xmlprov
  • Скопировать xmlprov.dll и xmlrov.ini в каталог system32 и удалить их из текущего каталога
  • Проверить, установлен ли xmlProv и установлена ​​ли служба не установлена ​​создайте сервис через svchost.exe
  • Изменить XMLPROV Значения обслуживания, включая типа и BINPATH и
  • добавить XMLPROV в список услуг, которые будут загружены Svchost
  • Добавить XMLPROV до реестра XMLPROV key
  • Запуск службы xmlProv
Рисунок 8: Install.bat

xwtpui.dll

Как мы упоминали ранее, если машина жертвы не имеет нужной привилегии, xwtpui.dll вызывается для загрузки файла install.bat . Поскольку install.bat создает службу, она должна иметь привилегию высокого уровня целостности, а "xwtpui.dll" используется для обхода UAC и получения правильной привилегии, а затем загружает install.bat .

EntryPoint — основная функция экспорта этой dll. Он начинает свою деятельность с разрешения вызовов API. Все имена вызовов API жестко закодированы, и актер не использовал никаких методов запутывания, чтобы скрыть их.

Рисунок 9: Точка входа

На следующем шаге он проверяет уровень привилегий, вызывая функцию Check_Priviledge_Leve l. Эта функция выполняет следующие действия и возвращает ноль, если у пользователя нет соответствующих привилегий или UAC не отключен.

  • Вызовите RtlQueryElevationFlags , чтобы получить состояние высоты, проверив значение PFlags . Если он равен нулю, это означает, что UAC отключен.
  • Получите маркер доступа, связанный с текущим процессом, используя NtOpenProcessToken , а затем вызовите NtQueryInformationToken , чтобы получить TokenElevationType и проверить, равно ли его значение 3 или нет (если значение не равно 3, это означает, что текущий процесс повышенный).TokenElevationType может иметь три значения:
    • TokenElevationDefault (1): указывает, что контроль учетных записей отключен.
    • TokenElevationTypeFull (2): указывает, что текущий процесс выполняется с повышенными привилегиями.
    • TokenElevationTypeLimited (3): указывает, что процесс не запущен с повышенными привилегиями.
Рисунок 10: Проверка уровня привилегий

После проверки уровня привилегий он проверяет параметр, переданный из формы check.bat , который указывает версию ОС, и, если версия ОС — Windows 10, он использует комбинацию модифицированной версии обхода RPC UAC, о которой сообщают Google Project Zero и Parent. Подмена PID для обхода UAC, в то время как для других версий Windows используется метод « Token Impersonation method » для обхода UAC.

Token Impersonation UAC Bypass (Calvary UAC Bypass)

Calvary — это метод олицетворения / кражи привилегий токена, который олицетворяет токен процесса автономного установщика Центра обновления Windows ( wusa.exe ) для порождения cmd.exe с наивысшими привилегиями для выполнения install.bat . Этот метод является частью утечки наборов инструментов ЦРУ США, известной как Vault7.

Актер также использовал этот метод в своей кампании 2019 года. Этот обход UAC начинается с выполнения wusa.exe с использованием ShellExecuteExw и получает свой токен доступа с помощью NtOpenProcessToken . Затем токен доступа wusa.exe дублируется с помощью NtDuplicatetoken . Параметр DesiredAccess этой функции указывает запрошенное право доступа для нового токена. В этом случае актор передал TOKEN_ALL_ACCESS как значение DesiredAccess , которое указывает, что новый токен имеет комбинацию всех прав доступа этого текущего токена.Затем дублированный токен передается ImpersonateLoggedOnUser , а затем создается экземпляр cmd с использованием CreateProcessWithLogomW . В конце дублированный токен назначается созданному потоку с помощью NtSetINformationThread , чтобы сделать его повышенным.

Рисунок 11: Кавалерийский PE

Обход контроля учетных записей Windows 10

Обход UAC, используемый для Windows 10, использует комбинацию модифицированной версии обхода UAC на основе RPC, о которой сообщил проект Google Zero, и спуфинга родительского PID для обхода UAC.Процесс выглядит следующим образом:

  • Шаг 1: Создает дескриптор привязки строки для идентификатора интерфейса «201ef99a-7fa0-444c-9399-19ba84f12a1a» и возвращает его дескриптор привязки и устанавливает требуемую информацию о проверке подлинности, авторизации и безопасности. Качество обслуживания для дескриптора привязки.
Рис. 12. Привязка RPC
  • Шаг 2. Инициализирует RPC_ASYNC_STATE для выполнения асинхронных вызовов и создает новый процесс без повышенных прав (он использует winver.exe в качестве процесса без повышенных прав) через NdrAsyncClientCall .
Рисунок 13: RPC AsyncCall
  • Шаг 3. Использует NtQueryInformationProcess , чтобы открыть дескриптор объекта отладки, передав ему дескриптор созданного процесса. Затем отсоединяет отладчик от процесса с помощью NtRemoveProcessDebug и завершает созданный процесс с помощью TerminateProcess .
Рис. 14. Отсоединение процесса
  • Шаг 4: Повторяет шаг 1 и шаг 2 для создания нового процесса повышения прав: Taskmgr.exe .
  • Шаг 5: Получите полный доступ к дескриптору процесса taskmgr.exe , получив его начальное событие отладки. Сначала он вызывает ожидание объекта отладки, используя WaitForDebugEvent , чтобы получить событие отладки создания начального процесса, а затем использует NtDuplicateObject , чтобы получить дескриптор процесса полного доступа.
Рис. 15. Создание процесса с автоматическими повышенными правами (TaskMgr.exe)
  • Шаг 6: После получения полностью привилегированного дескриптора Taskmgr.exe , актор использует этот дескриптор для выполнения cmd как процесса с высокими привилегиями для выполнения install.bat . Чтобы добиться этого, актор применил метод спуфинга родительского PID для создания нового процесса cmd с помощью CreateProcessW и дескриптора Taskmgr.exe , который является процессом с автоматическим повышением прав, назначенным в качестве родительского процесса с использованием UpdateProcThreadAttribute .
Рис. 16. Подмена родительского PID

Xmlprov.dll (Konni Rat)

Это последняя полезная нагрузка, которая была развернута как служба с использованием svchost.exe . Эта Крыса сильно запутана и использует несколько методов антианализа. Он имеет настраиваемый раздел с именем « qwdfr0 », который выполняет весь процесс деобфускации. Эта полезная нагрузка регистрируется как служба с помощью функции экспорта ServiceMain .

Рисунок 17: ServiceMain

Несмотря на то, что этот образец сильно запутан, его функциональность не сильно изменилась, и он похож на свою предыдущую версию. Похоже, актер просто использовал сложный процесс запутывания, чтобы помешать всем механизмам безопасности.Общее количество обнаруженных вирусов в этом образце на момент анализа равнялось 3, что указывает на то, что злоумышленнику удалось использовать обфускацию и обойти большинство антивирусных продуктов.

Эта RAT имеет зашифрованный файл конфигурации «xmlprov.ini», который будет загружен и расшифрован в начале анализа. Функциональность этой RAT начинается со сбора информации с машины жертвы путем выполнения следующих команд:

  • cmd /c systeminfo: Эта команда используется для сбора подробной информации о конфигурации компьютера жертвы, включая конфигурации операционной системы, информацию о безопасности и данные об оборудовании (размер ОЗУ, место на диске и информацию о сетевых картах), и сохраняет собранные данные в файл tmp.
  • cmd /c tasklist : Выполняет эту команду, чтобы собрать список запущенных процессов на компьютере жертвы и сохранить их в файле tmp.

На следующем этапе каждый из собранных tmp-файлов преобразуется в CAB-файл с помощью cmd /c makecab , а затем шифруется и отправляется на сервер злоумышленника в HTTP-запросе POST ( http://taketodjnfnei898. c1.biz/up.php?name=%UserName% ).

Рисунок 18: Загрузка данных на сервер

После отправки данных на сервер происходит цикл приема команд с сервера ( http://taketodjnfnei898.c1.biz/dn.php?name=%UserName%&prefix=tt ). На момент анализа сервер был недоступен и, к сожалению, у нас недостаточно информации о следующем шаге этой атаки. Подробный анализ этой полезной нагрузки будет опубликован в последующем сообщении в блоге.

Анализ кампании

Конни — крыса, потенциально используемая APT37 для нападения на своих жертв. Основными жертвами этой Крысы являются в основном политические организации в России и Южной Корее, но она не ограничивается этими странами, и было замечено, что она нацелена на Японию, Вьетнам, Непал и Монголию.

Было проведено несколько операций, в которых использовалась эта крыса, но, в частности, кампании, о которых сообщили ESTsecurity и CyberInt в 2019 и 2020 годах, аналогичны тем, о которых мы сообщали здесь. В этих кампаниях актер использовал приманки на русском языке для нацеливания на Россию. Есть несколько отличий между прошлыми кампаниями этого актера и тем, что мы задокументировали здесь, но все же основной процесс один и тот же: во всех кампаниях актер использует документы с макросами оружия для загрузки CAB-файла и развертывания Konni RAT как службы.

Вот основные отличия этой новой кампании от старых:

  • Макросы разные. В старой кампании актер использовал текстовые поля для хранения своих данных, а в новой контент был закодирован в base64 в содержимом документа.
  • В новой кампании файлы JavaScript использовались для выполнения пакетных файлов и файлов PowerShell.
  • В новой кампании для загрузки CAB-файла используются вызовы API Powershell и URLMON, тогда как в старой кампании для загрузки CAB-файла использовался certutil .
  • В новой кампании использовались два разных метода обхода UAC в зависимости от ОС жертвы, в то время как в старой действующий субъект использовал только метод олицетворения токена.
  • В новой кампании актер разработал новый вариант Konni RAT, сильно запутанный. Кроме того, его конфигурация зашифрована и больше не кодируется base64. Он также не использует FTP для эксфильтрации.

Клиенты Malwarebytes защищены от этой кампании.

МОК

d283a0d5cfed4d212cd76497920cf820472c5f138fd061f25e3cddf651

f a7d5f7a14e36920413e743932f26e624573bbb0f431c594fb71d87a252c8d90d
SHA256 SHA256
N / A N / A FCCAD2FEA7371AD24A1256B78165BCEFFC5D01A850F6E2FF576A2D8801EF94FA
Экономические отношения.Doc
y.js 7f82540a6b3fc81d581450dbdf7dec7ad45d2984d3799084b29150ba91c004fd
yy.js 7a8f0690cb0eb7cbe72ddc9715b1527f33cec7497dcd2a1010def69e75c46586
y.ps1 617f733c05b42048c0399ceea50d6e342a4935344bad85bba2f8215937bc0b83
tmpBD2B.tmp 10109e69d1fb2fe8f801c3588f829e020f1f29c4638fad5394c1033bc298fd3f
проверка.летучей мыши
install.bat 4876a41ca8919c4ff58ffb4b4df54202d82804fd85d0010669c7cb4f369c12c3
xwtpui.dll 062aa6a968090cf6fd98e1ac8612dd4985bf9b29e13d60eba8f24e5a706f8311
xmlprov.dll f702dfddbc5b4f1d5a5a9db0a2c013900d30515e69a09420a7c3f6eaac901b12
xmlprov.dll 80641207b659931d5e3cad7ad5e3e653a27162c66b35b9ae9019d5e19e092362
xmlprov.INI 491ed46847e30b9765a7ec5ff08d9acb8601698019002be0b38becce477e12f6


Домены:
takemetoyouheart c1 биз
taketodjnfnei898 ueuo ком
taketodjnfnei898 c1 биз
romanovawillkillyou с1 [.] [.] [.] [.] [.] [.] [.] [.]бизнес

Родственные

Вариант Konni RAT, нацеленный на Россию в продолжающейся кампании атаки

До сих пор Konni RAT удавалось избегать обнаружения, поскольку только 3 решения безопасности на VirusTotal смогли обнаружить вредоносное ПО.

Исследователи ИТ-безопасности из лаборатории Malwarebytes Labs сообщили о новой и продолжающейся кампании вредоносного ПО, главной целью которой является Россия. Полезная нагрузка, сброшенная злоумышленниками в ходе этой атаки, — Konni RAT, впервые обнаруженная в 2014 году и используемая северокорейской группой хакеров Black Hat, известной как Thallium и APT37.

С другой стороны, 6 июля 2017 года, через несколько дней после ракетных испытаний, Северная Корея также подверглась удару Konni RAT. В то время «Лаборатория Касперского» утверждала, что хакеры, стоящие за кампаниями вредоносного ПО Konni, могут быть корейского происхождения, а атаки, вероятно, исходили из Южной Кореи.

Способ действия кампании включает методы социальной инженерии, такие как заманивание жертвы в загрузку файла документа, содержащего вредоносный макрос. Как только жертва включает макрос, она выполняет цепочку действий, включая развертывание нового варианта Konni RAT, который сильно запутан.

Общий процесс

Среди других функций Konni Rat оснащен возможностями захвата экрана и кейлогинга, благодаря которым ему удается красть данные с целевых компьютеров.Однако в текущей кампании вредоносное ПО использует команду cmd /c systeminfo для сбора информации об устройстве, включая:

  • Информация о безопасности
  • Конфигурации операционной системы
  • Данные об оборудовании, такие как место на диске, размер ОЗУ, информация о сетевых картах и ​​т. д.)

На данный момент исследователи выявили только два документа, которые используются в кампании. Один из документов касается торгово-экономических вопросов между Корейским полуостровом и Россией, а другой документ претендует на протокол заседания межправительственной российско-монгольской комиссии.

Стоит отметить, что оба документа написаны на русском языке, как показано на скриншоте ниже:

В своем блоге Хосейн Джази из Threat Intelligence Team подчеркнул, что Konni RAT потенциально используется APT37 для нападения на политические организации в России и Южной Корее. Однако Джази предупредил, что заболевание Конни не ограничивается этими странами, поскольку его заражение также наблюдалось в таких странах, как:

.
  • Япония
  • Непал
  • Монголия
  • Вьетнам

Тем не менее, Джази отметил, что злоумышленникам, стоящим за новым вариантом Konni RAT, до сих пор удавалось избегать обнаружения против большинства используемых антивирусных продуктов, поскольку на момент публикации этой статьи только 3 решения безопасности на VirusTotal были способен обнаружить вредоносное ПО.

Несмотря на то, что этот образец сильно запутан, его функциональность не сильно изменилась, и он похож на свою предыдущую версию. Похоже, актер просто использовал сложный процесс запутывания, чтобы помешать всем механизмам безопасности. Исследователь пришел к выводу, что общее количество обнаруженных вирусов в этом образце на момент анализа составляло 3, что указывает на то, что злоумышленник успешно использовал обфускацию и обходил большинство антивирусных продуктов.

Добавить комментарий

Ваш адрес email не будет опубликован.