Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

(more…)

Jak przekonaliśmy się kilka dni temu, złośliwe dokumenty PDF pozostają jedną z popularnych metod rozprzestrzeniania się malware’u typu banker-trojan. Złośliwy dokument PDF, o którym pisaliśmy, wykorzystuje lukę w programie Adobe Reader do przeprowadzenia włamania na komputerze użytkownika, który go otworzył, po czym instaluje w systemie trojana SpyEye.

(more…)

Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres cert@cert.pl.

Jak rozpoznać złośliwą wiadomość ?

(more…)

Adobe potwierdziło informację o luce w Adobe Readerze opublikowanej na liście Full Disclosure.
Podatność związana jest z błędem alokacji pamięci na stercie występującym w module escript.api, który ma miejsce podczas wywołania funkcji printSeps().

(more…)

Wraz ze wzrostem zainfekowanych stron internetowych pojawiają się również narzędzia służące do identyfikacji oraz analizy złośliwego kodu. Potrafią one wydobywać kod (głównie JavaScript, ale także VBScript) z dokumentów HTML i PDF oraz z animacji Flash. Następnie, w badanym kodzie, wyszukiwane są exploity. Mogą to być standardowe przepełnienia bufora jak i pływające ramki pobierające szkodliwy program, czy automatyczne przekierowania do złośliwych stron. Do takich narzędzi należą min. PhoneyC, jsunpack oraz wepawet.

(more…)

XIII Konferencja na temat bezpieczeństwa sieciowego SECURE 2009, organizowana przez NASK i działający w ramach NASK zespół CERT Polska, nawiązuje swym tytułem do “gorących” kwestii wiążących się z możliwością filtrowania ruchu i blokowania dostępu do szkodliwych treści w Internecie.

Tematem wiodącym konferencji, która odbędzie się 20-21 października w Warszawie, będzie dyskusja na temat najnowszych sposobów podchodzenia do problematyki ochrony przed zagrożeniami technicznymi oraz dostępem do szkodliwych treści z wykorzystaniem mechanizmów blokowania i filtracji, a także przegląd rozwiązań wspierających kontrolę dostępu i eliminację potencjalnych zagrożeń. W nawiązaniu do tej tematyki Krzysztof Silicki, pełnomocnik ds. CERT Polska, stwierdza: “Od lat w Europie trwa dyskusja nad rolą operatorów telekomunikacyjnych i dostawców treści w zapewnieniu bezpieczeństwa sieci Internet. Wizja powszechnego stosowania przez te podmioty filtracji ruchu i podejmowania decyzji o blokowaniu dostępu do niebezpiecznych zasobów Internetu stanowiłaby prawdziwą rewolucję. Czy do niej dojdzie? A jeśli tak, to kiedy i na jakich zasadach?”

Tegoroczna konferencja stanowi okazję do zapoznania się z opiniami ekspertów oraz najnowszymi doświadczeniami polskich i zagranicznych zespołów reagujących. Uczestnicy będą mogli wziąć udział w dyskusjach poświęconych blokowaniu zagrożeń bezpieczeństwa na poziomie operatora oraz filtrowaniem nielegalnych treści (m.in. w panelu dyskusyjnym na temat “Bezpieczeństwo, ochrona, ostrożność, cenzura” z wykorzystaniem systemu e-votingu). W trakcie konferencji zostaną omówione także inne ważne zagadnienia związane z zabezpieczeniem zasobów informatycznych sektora biznesowego i administracji państwowej oraz zwalczaniem przestępstw związanych z kradzieżą tożsamości i atakami na systemy e-bankowości. W programie SECURE 2009 znajdują się tak istotne kwestie jak rozwój nowych narzędzi skierowanych na walkę z nieznanymi dotąd zagrożeniami oraz techniczne i organizacyjne metody poprawy bezpieczeństwa wypracowywane przez organizacje zajmujące się przeciwdziałaniem zagrożeniom w sieci.

(more…)

W poprzednim odcinku.
Witam w drugiej części bliskich spotkań ze złośliwymi plikami PDF. W poprzednim odcinku przedstawione zostały informacje na temat budowy i potencjalnego zagrożenia jakim stają się pliki PDF. Szerokie możliwości jakie oferuje format zwróciły uwagę grup, które wykorzystując jego popularność rozpowszechniają wirusy, trojany i innego rodzaju złośliwe oprogramowanie. W poniższym artykule postaram się pokazać sposoby obrony przed atakami z wykorzystaniem plików PDF. Osoby bardziej zainteresowane znajdą opis w jaki sposób sprawdzić czy dany plik jest złośliwy i ewentualnie wyłuskać kod odpowiedzialny za zarażenie komputera.

Jak się (nie) zarazić.
Najwięcej złośliwych plików PDF udało się znaleźć na skompromitowanych serwisach WWW. Były one wykorzystywane jako jedna z metod infekowania komputerów poprzez przeglądarki WWW. Odkąd razem z Adobe Acrobat Reader’em instalowane są rozszerzenia do przeglądarek ta forma rozprzestrzeniania się zagrożeń związanych z plikami PDF jest najczęściej wykorzystywana. Typowym sposobem jest otwieranie pliku PDF w tzw. ramce pływającej (IFRAME), która jest niewidoczna dla użytkownika. W tle uruchamiana jest wtyczka, która otwiera przesłany plik i tym samym powoduje infekcję maszyny. Bardzo rzadko ale także zdarzają się złośliwe pliki PDF przesyłane w postaci załączników w SPAM’ie. W takim przypadku wymagana jest interakcja z użytkownikiem i zachęcenie go do otwarcia takiego pliku.
Ochroną przed zarażeniem się poprzez pliki PDF jest przede wszystkim zdrowy rozsądek. Nie należy otwierać plików pochodzących z nieznanych źródeł. Dobrą praktyką jest także wyłączenie obsługi plików PDF w przeglądarce. Dodatkowo możemy wyłączyć obsługę JavaScript’u w programie Adobe Acrobat Reader, lecz nie jest to rozwiązanie do końca skuteczne. Ale o tym za chwilę.
(more…)