[Информационная безопасность] Security Week 18: непреднамеренный кибершпионаж
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:
На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).
Безопасника, запросившего аудит, можно понять: куча записей с микрофона во временной директории Windows очень похожа на следы шпионской программы. До марта 2020 года такая активность аудиодрайвера могла пройти незамеченной. Но с переходом на удаленную работу на системный диск начали падать записи многих часов конференц-звонков. В некоторых случаях это даже приводило к переполнению накопителя. Что, видимо, и запустило расследование данного инцидента. Впрочем, странное поведение компьютера не всегда свидетельствует о вредоносной деятельности — иногда это просто ошибка.
В блоге ERNW нет данных о распространенности этой проблемы. Указывается лишь конкретная версия драйвера со сбоем — Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: неверная работа драйвера была незаметна при отладке, когда необходимый ключ прописан в реестре. И еще: такую «фичу» штатного ПО легко адаптировать для действительно вредоносных действий.
Что еще произошло
Исследования «Лаборатории Касперского». Первое — о снижении абсолютного числа атак вымогателей-шифровальщиков на пользовательские ПК. Не стоит расслабляться: операторы явно переключились с широкого распространения вредоносного ПО на точечные выпады в адрес компаний. Второе — отчет об активности APT-группировок в I квартале 2021 года.
Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время к базе данных можно было обратиться без авторизации.
Криптовалюты убивают бесплатные инструменты непрерывной интеграции. В блоге компании LayerCI, поставщика подобного решения, описаны попытки абьюза систем, позволяющих выполнять собственный код на чужих ресурсах, для майнинга криптовалют.
Больше 4 млн почтовых адресов появились в базе сервиса Haveibeenpwned после разгрома ботнета Emotet. Такой нестандартный источник данных позволит уведомить пользователей, чьи пароли украли в результате заражения компьютера вредоносной программой.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Законодательство в IT, Финансы в IT] Глава Positive Technologies заявил, что считает ошибкой введение санкций США против компании
- [Информационная безопасность, Assembler, Реверс-инжиниринг, Хранение данных, CTF] Ломаем зашифрованный диск для собеседования от RedBalloonSecurity. Part 0x02
- [Информационная безопасность] (не) Безопасный дайджест: псевдоутечки, налоговый дипфейк и атака на сыр
- [Информационная безопасность, DevOps] Введение Open Policy Agent (OPA) (перевод)
- [Информационная безопасность, Разработка под Linux, Софт] Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года
- [Информационная безопасность, Сетевые технологии, IT-стандарты] New IP — следующий этап развития Интернета или ужесточение контроля над пользователями
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Читальный зал, Лайфхаки для гиков] Как крупное кредитное бюро Experian 5 лет зарабатывает на уязвимости в своей системе (перевод)
- [Информационная безопасность, Карьера в IT-индустрии] Как начать карьеру в системной интеграции без опыта: «Ростелеком-Солар» приглашает на стажировку
- [Информационная безопасность, Системное администрирование, Сетевое оборудование] 1. Континент 4 Getting Started. Введение
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_realtek, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:03
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное: На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука). Безопасника, запросившего аудит, можно понять: куча записей с микрофона во временной директории Windows очень похожа на следы шпионской программы. До марта 2020 года такая активность аудиодрайвера могла пройти незамеченной. Но с переходом на удаленную работу на системный диск начали падать записи многих часов конференц-звонков. В некоторых случаях это даже приводило к переполнению накопителя. Что, видимо, и запустило расследование данного инцидента. Впрочем, странное поведение компьютера не всегда свидетельствует о вредоносной деятельности — иногда это просто ошибка. В блоге ERNW нет данных о распространенности этой проблемы. Указывается лишь конкретная версия драйвера со сбоем — Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: неверная работа драйвера была незаметна при отладке, когда необходимый ключ прописан в реестре. И еще: такую «фичу» штатного ПО легко адаптировать для действительно вредоносных действий. Что еще произошло Исследования «Лаборатории Касперского». Первое — о снижении абсолютного числа атак вымогателей-шифровальщиков на пользовательские ПК. Не стоит расслабляться: операторы явно переключились с широкого распространения вредоносного ПО на точечные выпады в адрес компаний. Второе — отчет об активности APT-группировок в I квартале 2021 года. Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время к базе данных можно было обратиться без авторизации. Криптовалюты убивают бесплатные инструменты непрерывной интеграции. В блоге компании LayerCI, поставщика подобного решения, описаны попытки абьюза систем, позволяющих выполнять собственный код на чужих ресурсах, для майнинга криптовалют. Больше 4 млн почтовых адресов появились в базе сервиса Haveibeenpwned после разгрома ботнета Emotet. Такой нестандартный источник данных позволит уведомить пользователей, чьи пароли украли в результате заражения компьютера вредоносной программой. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:03
Часовой пояс: UTC + 5