Закрытие AlphaBay и Hansa

24 Июля 2017, 19:53

AlphaBay

Министерство юстиции США официально подтвердило то, о чем все уже догадывались: даркнет-маркет AlphaBay был закрыт правоохранительными органами. Однако, согласно официальному пресс-релизу, все не так просто, как предполагалась. Тогда как пользователи ушедшего в оффлайн AlphaBay пытались организованно перейти на другую подпольную торговую площадку, Hansa, теперь выяснилось, что ее тоже закрыли власти. Более того, сайт работал под управлением полиции с июня 2017 года.

Сообщается, что закрытие AlphaBay и Hansa Market стало результатом крупной международной операции, в которой принимали участие США, Канада, Таиланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.

Первым "пошел ко дну" сайт Hansa, над серверами которого 20 июня 2017 года перехватила управление полиция Голландии. При этом сайт продолжал работать еще месяц, до недавнего времени, что позволило правоохранителям собрать множество улик и информации о клиентах торговой площадки.

В это же время собственную операцию провели правоохранительные органы США и Канады, арестовавшие серверы AlphaBay 4 июля 2017 года. Теперь представители Минюста подтвердили, что ранее арестованный в Таиланде 25-летний гражданин Канады Александр Каз, являлся одним из руководителей ресурса, известным как Alpha02. После ареста, 12 июля 2017 года, Каз покончил с собой в тайской тюрьме.

Усовершенствованный EternalSynergy способен атаковать новые версии Windows

19 Июля 2017, 12:22

ethernalsynergy

EternalSynergy — это один из инструментом из арсенала АНБ, похищенный у спецслужб группой The Shadow Brokers и опубликованный в открытом доступе в апреле 2017 года. Согласно техническому анализу специалистов Microsoft, эксплоит способен выполнить произвольный код на Windows-машине, если SMB открыт для внешних соединений, эксплуатируя уязвимость CVE-2017-0143. При этом EternalSynergy работал лишь для Windows 8. Исследователи Microsoft отмечали, что ряд изменений в безопасности ядра не позволяют вредоносу влиять на более новые версии ОС.

Тайский исследователь Worawit Wang сумел модифицировать EternalSynergy таким образом, чтобы эксплоит представлял опасность и для более новых версий Windows. Специалист пишет, что в его версии инструмент по-прежнему атакует ту же уязвимость, но использует другую методику атак.

Ван уверяет, что доработанная версия эксплоита не вызывает краха системы, ведь, в его понимании, это совершенно недопустимо. Напомню, что во время эпидемии WannaCry эксплоит EternalBlue демонстрировал успешное срабатывание преимущественно на компьютерах под управлением Windows 7, тогда как Windows XP часто "падала".

EternalSynergy был успешно протестирован и работает для:

  • Windows 2016 x64;
  • Windows 2012 R2 x64;
  • Windows 8.1 x64;
  • Windows 2008 R2 SP1 x64;
  • Windows 7 SP1 x64;
  • Windows 8.1 x86;
  • Windows 7 SP1;

По сути, это означает, что теперь для уязвимости CVE-2017-0143 существуют три актуальных эксплоита: EternalSynergy, EternalRomance и версия Worawit Wang. Сочетая эти инструменты, атакующий сможет скомпрометировать практически любую систему из семейства Windows, не считая разве что Windows 10. Разумеется, если пользователь не установил патч MS17-010.

Установка Windows Subsystem for Linux

15 Июля 2017, 17:22

Windows Subsystem for Linux

Windows Subsystem for Linux (WSL) — слой совместимости для запуска Linux-приложений (двоичных исполняемых файлов в формате ELF) в ОС Windows 10. Здесь работает менеджер пакетов APT, через который удобно ставить огромное количество утилит, да и сами они часто упрощают жизнь.

Подсистема WSL доступна только на 64-битных редакциях Windows 10 и может быть активирована на версиях Windows 10 Anniversary Update и более поздних. Так например на Windows 10 LTSB выйдет сообщение: "Приложение, которое вы пытаетесь запустить, не поддерживается в этой версии Windows."

Сейчас в WSL стало возможно использовать:

  • Утилиты: apt, sed, grep, awk, top, tmux, ssh, scp и другие;
  • Оболочки: bash, zsh, fish и прочие;
  • Инструменты: Vim, Emacs, nano, Git, GDB;
  • Языки: Node.js и npm, Ruby и Gems, Java и Maven, Python и Pip, C/C++, C# и .NET Core и NuGet, Go, Rust, Haskell, Elixir/Erlang;
  • Сервисы: sshd, Apache, lighttpd, nginx, MySQL, PostgreSQL;

Полный список нововведений, которые появились после обновления, можно посмотреть здесь.

Для установки WSL нужно сделать следующие шаги:

Google перестанет доверять всем сертификатам WoSign и StartCom

08 Июля 2017, 21:33

SSL

Согласно сообщению от компании Google, в скором времени (а именно — начиная с выпуска Chrome 61, который ожидается в середине сентября) будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году).

При посещении сайта с таким сертификатом выдается ошибка:

NET::ERR_CERT_AUTHORITY_INVALID

В Chrome 57 (вышедшем в марте 2017 года) частично уже было прекращено доверие к старым сертификатом, но для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь данный белый список будет убран и блокировка станет действовать в отношении выданных указанными СФ сертификатов к любому домену.

Стоит напомнить, что аналогичные меры уже действуют со стороны Mozilla: начиная с Firefox 51 (появившемся в января 2017 года) введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.

История началась с того, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:
Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершённой сделке;
Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей);

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

06 Июля 2017, 09:04

android

"Доктор Веб" обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.
Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.
Однако, отмечает "Доктор Веб", платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.
Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты.