[FNAF SFM] Survive The Night - Mandopony (Cover by Swiblet)
Μια εκμετάλλευση που βρέθηκε πρόσφατα και παρακάμπτει την προστασία κατά της εκμετάλλευσης του sandbox στο Adobe Reader 10 και 11 είναι εξαιρετικά εξελιγμένη και αποτελεί πιθανώς μέρος μιας σημαντικής λειτουργίας cyberespionage, δήλωσε ο επικεφαλής της ομάδας ανάλυσης κακόβουλου λογισμικού στον προμηθευτή ιών Kaspersky Lab.
Η εκμετάλλευση ανακάλυψε την Τρίτη από ερευνητές της εταιρείας ασφαλείας FireEye, ο οποίος δήλωσε ότι χρησιμοποιείται σε ενεργές επιθέσεις. Η Adobe επιβεβαίωσε ότι το exploit λειτουργεί ενάντια στις πιο πρόσφατες εκδόσεις του Adobe Reader και του Acrobat, συμπεριλαμβανομένων των 10 και 11, οι οποίες διαθέτουν μηχανισμό προστασίας sandbox.
"Η Adobe έχει επίγνωση των αναφορών ότι αυτά τα τρωτά σημεία εκμεταλλεύονται στο φυσικό περιβάλλον σε στοχευμένες επιθέσεις για να εξαπατήσουν τους χρήστες των Windows να κάνουν κλικ σε ένα κακόβουλο αρχείο PDF που παραδίδεται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ", ανέφερε η εταιρεία σε συμβουλευτική για την ασφάλεια που δημοσιεύθηκε την Τετάρτη
. σε μια ενημερωμένη έκδοση κώδικα, αλλά στο μεταξύ οι χρήστες του Adobe Reader 11 συμβουλεύονται να ενεργοποιήσουν τη λειτουργία Προστατευόμενης προβολής επιλέγοντας την επιλογή "Αρχεία από ενδεχομένως μη ασφαλείς τοποθεσίες" κάτω από το μενού Επεξεργασία> Προτιμήσεις> Ασφάλεια (Ενισχυμένο). το κακόβουλο λογισμικό που εγκαθιστά είναι εξαιρετικά υψηλού επιπέδου, σύμφωνα με τον Costin Raiu, διευθυντή της ομάδας έρευνας και ανάλυσης κακόβουλου λογισμικού της Kaspersky Lab. «Δεν είναι κάτι που βλέπετε κάθε μέρα», δήλωσε την Πέμπτη
Κρίνοντας από την επιδείνωση των επιθέσεων, ο Raiu κατέληξε στο συμπέρασμα ότι πρέπει να είναι μέρος μιας επιχείρησης «τεράστιας σημασίας» που «θα ήταν στο ίδιο επίπεδο με την Duqu. "
Το Duqu είναι ένα κομμάτι malware κυψέλης που ανακαλύφθηκε τον Οκτώβριο του 2011 και σχετίζεται με το Stuxnet, τον εξαιρετικά εξελιγμένο υπολογιστικό σκουλήκι που πιστώνεται με φυγοκεντρητές εμπλουτισμού ουρανίου στο πυρηνικό εργοστάσιο του Ιράν στο Natanz. Τόσο η Duqu όσο και η Stuxnet πιστεύεται ότι έχουν δημιουργηθεί από ένα έθνος.
Η τελευταία εκμετάλλευση έρχεται με τη μορφή εγγράφου PDF και προσβάλλει δύο ξεχωριστά ευπάθειες στο Adobe Reader. Το One χρησιμοποιείται για να αποκτήσει τα αυθαίρετα δικαιώματα εκτέλεσης κώδικα και το ένα χρησιμοποιείται για να ξεφύγει από το sandbox Adobe Reader 10 και 11.
Το exploit λειτουργεί σε Windows 7, συμπεριλαμβανομένης της έκδοσης 64 bit του λειτουργικού συστήματος, και παρακάμπτοντας τους μηχανισμούς κατά της εκμετάλλευσης των Windows ASLR (τυποποίηση διάταξης χώρου διευθύνσεων) και τους μηχανισμούς DEP (Prevention Execution Prevention).
Όταν εκτελεστεί, το εκμεταλλευόμενο ανοίγει ένα έγγραφο PDF που περιέχει ένα ταξιδιωτικό έντυπο, το οποίο περιέχει ένα έντυπο αίτησης θεώρησης ταξιδιού. Το όνομα αυτού του εγγράφου είναι "Visaform Turkey.pdf".
Το exploit επίσης απομακρύνει και εκτελεί ένα στοιχείο downloader κακόβουλου λογισμικού που συνδέεται σε έναν απομακρυσμένο διακομιστή και κάνει λήψη δύο πρόσθετων στοιχείων. Αυτά τα δύο στοιχεία κλέβουν κωδικούς πρόσβασης και πληροφορίες σχετικά με τη διαμόρφωση του συστήματος και μπορούν να καταγράψουν πληκτρολογήσεις.
Η επικοινωνία μεταξύ του κακόβουλου λογισμικού και του διακομιστή εντολών και ελέγχου συμπιέζεται με zlib και στη συνέχεια κρυπτογραφείται με AES (Advanced Encryption Standard) χρησιμοποιώντας κρυπτογράφηση δημόσιου κλειδιού RSA.
Αυτός ο τύπος προστασίας σπάνια παρατηρείται σε κακόβουλο λογισμικό, δήλωσε ο Raiu. "Κάτι παρόμοιο χρησιμοποιήθηκε στο κακόβουλο λογισμικό Flame cyberespionage, αλλά στην πλευρά του εξυπηρετητή."
Πρόκειται είτε για ένα εργαλείο cyberespionage που δημιουργήθηκε από ένα έθνος, είτε ένα από τα λεγόμενα εργαλεία νόμιμης παρακολούθησης που πωλούνται από ιδιωτικούς εργολάβους στην επιβολή του νόμου η οποία δεν έχει ακόμα πληροφορίες σχετικά με τους στόχους της επίθεσης ή τη διανομή τους σε όλο τον κόσμο, ανέφερε ο Raiu
Με ηλεκτρονικό ταχυδρομείο την Τετάρτη, ο ανώτερος διευθυντής ασφαλείας της FireEye η έρευνα, Zheng Bu, αρνήθηκε να σχολιάσει τους στόχους της επίθεσης. Το FireEye δημοσίευσε μια δημοσίευση στο blog με τεχνικές πληροφορίες σχετικά με το κακόβουλο λογισμικό την Τετάρτη, αλλά δεν αποκάλυψε καμία πληροφορία σχετικά με τα θύματα
Bu είπε ότι το κακόβουλο λογισμικό χρησιμοποιεί ορισμένες τεχνικές για να ανιχνεύσει εάν εκτελείται σε μια εικονική μηχανή, ώστε να μπορεί να αποφύγει την ανίχνευση από αυτοματοποιημένα συστήματα ανάλυσης κακόβουλου λογισμικού.
Η Adobe κλείνει την τρύπα μηδενικής ημέρας στο Reader, Acrobat
Αποκτήστε την επιδιόρθωση για ένα ελάττωμα ασφαλείας κάτω από την επίθεση στο λογισμικό Adobe. Για να αποφύγει τις επιθέσεις που αναφέρθηκαν τον Φεβρουάριο και οι οποίες πήγαν μετά από μια τρύπα ασφαλείας μηδενικής διάρκειας στο Reader και στο Acrobat, η Adobe κυκλοφόρησε χθες μια ενημερωμένη έκδοση 9.1 για χρήστες Windows και Macintosh.
Το Adobe Reader υπό την επίθεση μηδενικής ημέρας
Οι Online απατεώνες χρησιμοποιούν ένα .pdf ηλεκτρονικού ταχυδρομείου για την εκμετάλλευση ενός νέου ελαττώματος μηδενικής ημέρας στο Adobe Reader και το Acrobat και εγκαταστήστε ένα Trojan
Η Adobe επιβεβαίωσε την ευπάθεια μηδενικής ημέρας που εκμεταλλεύεται στο Adobe Reader και το Acrobat. Ακολουθήστε αυτή τη συμβουλή για να προστατεύσετε τον εαυτό σας από το να γίνει θύμα.
Αναφέρεται ότι η ευπάθεια μηδενικών ημερών στο Adobe Acrobat και το Adobe Reader είναι υπό εκμετάλλευση στο φυσικό περιβάλλον έχει επιβεβαιωθεί από την Adobe σε μια ανάρτηση ιστολογίου. Η Adobe διερευνά το ζήτημα για να καθορίσει τον τρόπο με τον οποίο θα το διορθώσει, αλλά είστε εν μέρει μεταξύ σας.