Иногда сложно понять, кому новости про безопасность на сайте интереснее – вебмастерам, владельцам сайтам или профильным специалистам. Поэтому, чтобы избежать дублирования новостей в разных источниках, мы решили соединить вместе блог Безопасного поиска и блог Яндекса для вебмастеров. Присоединяйтесь: https://yandex.ru/blog/webmaster/
В ближайшее время будет запущена новая версия алгоритма ранжирования, в которой будет учтено, представляет ли сайт опасность для компьютера пользователя. Такие страницы не будут удалены из поиска, но могут ранжироваться ниже. Сниппеты этих страниц, как и раньше, будут содержать предупреждение об опасности.
Сервис Яндекс.DNS теперь защищает пользователей не только от вредоносного контента, но и борется с ботами. Каждый день Яндекс.DNS обрабатывает около семи миллиардов запросов, из них практически 2 миллиона отправляют боты. Подробнее о Яндекс.DNS и защите от ботов читайте в блоге Яндекса.
Команда безопасного поиска Яндекса провела исследование нового вредоносного ПО, заражающего *nix сервера, довольствуясь малыми привилегиями. Результаты расследования опубликованы в статье журнале Virus Bulletin. Версию на русском языке ищите в блоге Яндекса на Хабре.
В последние годы злоумышленники открыли для себя преимущества заражения серверов *nix. Эти сервера, зачастую, имеют более высокую производительность и широкий канал, чем сервера Windows, на них не всегда установлены средства защиты от вредоносного ПО, их реже обновляют. MAYHEM, обнаруженный в этом году, - отличный пример того, насколько опасным может быть вредоносное ПО под *nix, ведь для эффективного заражения ему даже не нужны права root. Злоумышленники нашли способ использовать максимум возможностей сервера, имея ограниченные права доступа.
В своём расследовании аналитики раскрывают детали заражения сервера с помощью PHP-скрипта. Далее установленный бот работает в бесконечном цикле и начинает отправлять информацию и получать команды от командного сервера, используя HTTP POST. Функционал ботнета определяется набором плагинов, которые хранятся в скрытой файловой системе. Большая часть плагинов нацелена на поиск и заражение других веб-серверов, используя их уязвимости. Особое внимание стоит обратить на плагин, который использует уязвимость Heartblead в OpenSSL.
Аналитики также смогли получить доступ к двум командным серверам злоумышленников, которые управляли более чем 1400 серверами, большая часть которых расположена в США, России, Германии и Канаде.
Чтобы максимально обезопасить своих пользователей от вредоносного контента в интернете, разработчики браузера Maxthon обратились к экспертам в этом вопросе - команде Безопасного Поиска Яндекса.
Так появилась новая версия популярного браузера Maxthon c Яндексом. С новой версией пользователи смогут блуждать по интернету без опаски – Safe Browsing API от Яндекса поможет выявить опасные вебсайты, а браузер покажет предупреждение о том, что на сайт лучше не заходить, чтобы не подхватить вирус. Кроме безопасного поиска в новую версию разработчики также добавили и другие полезные сервисы, Яндекс.Такси и Яндекс.Маркет.
Те, кто никогда прежде не использовал браузер Maxthon, откроют для себя множество интересных функций, которые упрощают работу в интернете, и позволяют не меняя браузер продолжить просмотр вебсайта на другом устройстве. Так, например, в ситуации, когда пользователь открыл в браузере интересную статью, но не успевает закончить её чтение с домашнего компьютера, вкладку можно моментально передать через облако на другое устройство. Пользователю просто нужно будет запустить браузер на своём телефоне, чтобы продолжить чтение в метро, по дороге на работу.
Загрузить Maxthon с Яндексом можно здесь
Команда безопасного поиска Яндекса расследовала новые методы внедрения вредоносного кода на веб-страницы. Результаты опубликованы в блоге Яндекса на Хабрахабре.
Мы уже писали о необходимости быть осторожными при вводе на сторонних сайтах своих конфиденциальных данных, таких как логины и пароли от почты, интернет-банкинга, социальных сетей.
В этом посте мы хотим подробнее рассказать о некоторых последствиях работы с анонимайзерами (или веб-прокси), которые зачастую неизвестны обычным пользователям.
Анонимайзеры — это категория сайтов, которые работают посредниками при загрузке страниц в интернете. Они предоставляют сервис доступа к другим сайтам, даже если эти сайты запрещены в сети пользователя, скажем, корпоративным файерволом. Например, если на работе блокируют социальные сети, сотрудники зачастую используют анонимайзеры, чтобы обойти этот запрет. Это происходит так: пользователь заходит на такой сайт и вводит в его адресной строке адрес веб-страницы, которую хочет посетить анонимно. Сайт-анонимайзер загружает эту страницу себе, обрабатывает и передает пользователю от своего имени. После этого пользователь выполняет процедуру авторизации на желаемом сайте.
При этом, к сожалению, большинство пользователей не задумываются о том, что все данные, которые они вводят, сначала попадают на сервер анонимайзера и лишь затем передаются на нужный ему сайт. В момент передачи данных анонимайзером у пользователя нет никакого контроля над ними, поэтому его логин и пароль могут попасть в руки злоумышленников:
Более того, недобросовестные прокси сами могут продавать базы персональных данных распространителям спама и вирусов. Получив доступ к почтовому аккаунту пользователя, можно рассылать друзьям и коллегам вредоносные письма и спам, а если пользователь вводил данные от аккаунта в интернет-банкинге, то он рискует вообще лишиться всех своих средств.
Несомненно, не все веб-анонимайзеры передают логин, пароль и другую важную информацию злоумышленникам, но риск воспользоваться именно недобросовестным анонимайзером достаточно велик. В связи с этим Яндекс рекомендует по возможности избегать ввода конфиденциальных данных на сайтах-анонимайзерах. Если это всё-таки пришлось сделать, рекомендуем вам сменить логин или пароль, как только у вас появится безопасный доступ к сайту.
Команда Безопасного Поиска Яндекса
Орбитум — это браузер на базе Chromium с поддержкой популярных социальных сетей: ВКонтакте, Facebook и Одноклассники. Теперь благодаря использованию технологии SafeBrowsing API от Яндекса Орбитум предупредит вас о переходе на небезопасный сайт и при загрузке вредоносного файла.
Команда Безопасного Поиска Яндекса
4 октября мы выступили с докладом «Embedding malware on websites using executable webserver files» на конференции VirusBulletin 2013. В этом докладе мы рассказали о:
Краткая история эволюции вредоносного кода на веб-сайтах для Drive-by download атак.
Одним из первых способов распространения вредоносного кода было изменение статического содержимого веб-страниц. Атакующие просто добавляли на страницу вредоносные скрипты и iframe.
Но спустя некоторое время такие модификации стали быстро обнаруживаться антивирусными программами по сигнатурам. Для того чтобы затруднить сигнатурный анализ, злоумышленники стали использовать различные методы обфускации кода на JavaScript. В ответ на это антивирусные вендоры начали внедрять в свои продукты эмуляторы JavaScript, что увеличило точность детектирования подобного вредоносного кода.
Следующим этапом эволюции Drive-by download атак стала модификация исходных текстов различных CMS и их шаблонов. Вредоносный код стал проверять различные параметры HTTP-запросов и на основании результатов проверки решать, внедрять вредоносный код на страницу или нет.
Современные методы распространения вредоносного кода
В процессе исследования мы выявили следующие три современных способа распространения вредоносного кода:
Модификация исходного кода веб-сервера
В первом квартале 2012 года мы стали детектировать большое количество вредоносных редиректов на ресурсы в доменной зоне org.in. Конечной целью перенаправления была landing page неизвестного ранее exploit kit. [http://safesearch.ya.ru/replies.xml?item_no=449].
Через некоторое время подобные редиректы стали осуществляться с одного из серверов крупного украинского хостера. Мы выяснили, что злоумышленники добавили вредоносную функциональность в исходные тексты веб-сервера nginx и заменили исполняемый файл веб-сервера на зараженный [http://safesearch.ya.ru/replies.xml?item_no=665].
В дальнейшем выяснилось, что аналогичные модификации существуют также для других популярных веб-серверов, например, Apache и lighttpd.
Модификация HTTP-ответа
В конце 2012 года был обнаружен новый руткит для Linux, который представлял собой загружаемый модуль ядра. Этот руткит перехватывает вызовы некоторых системных функций, анализирует исходящий трафик и внедряет вредоносный код непосредственно в HTTP-ответы.
Установка дополнительных модулей веб-сервера
Злоумышленники устанавливают дополнительные модули веб-сервера, чтобы изменять данные, передающиеся от сервера к браузеру пользователя. Общая схема этого процесса представлена на схеме:
Для своих целей атакующие используют две разновидности модулей для веб-сервера Apache:
Ниже представлена вредоносная конфигурация для mod_substitute и результаты ее работы.
Из специально разработанных модулей самыми популярными сейчас являются Trololo_mod и Darkleech, они продаются на различных хакерских форумах. Мы проанализировали около 90 образцов вредоносного модуля Darkleech и собрали статистику по адресам серверов управления.
По нашим данным, наиболее крупный командный сервер управлял приблизительно 38 тыс. зараженных серверов.
Методы детектирования вредоносного кода
Для того чтобы обнаружить заражение сервера, можно применить несколько общеизвестных методов.
Обнаружить вредоносный код на веб-сервере может быть легче, если перед этим найти результаты его работы в HTTP-ответах, которые веб-сервер выдаёт браузерам пользователей.
Яндекс разработал систему, которая может детектировать вредоносный код по HTTP-ответам сервера. Подробнее о ней написано здесь. Вы также можете использовать наш Safe Browsing API, чтобы проверять, заражен веб-сервер или нет. Дополнительную информацию о заражении и способах его устранения можно получить с помощью сервиса Яндекс.Вебмастер и Яндекс.Помощь.
Как не допустить заражения исполняемых файлов веб-сервера
Мы хотим поблагодарить за сотрудничество вебмастеров и системных администраторов, которые присылали нам образцы серверного вредоносного кода, что позволило нам провести это исследование и поделиться результатами.
Если у вас есть любой подозрительный код, конфигурационные файлы, логи атак на ваш веб-сервер, присылайте их для анализа по адресу virus-samples@yandex-team.ru.
В службу поддержки Яндекса поступила волна жалоб от пользователей на поддельные стартовые страницы у разных браузеров.
Наше исследование показало, что это связано с внедрением на компьютер жертвы файлов с расширением .url, так называемых Internet Shortcut'ов. Как правило, различные сомнительные программы-тулбары сохраняют такой ярлык в директорию браузера и прописывают в автозагрузку.
Важно, что Windows не показывает по умолчанию расширение у данных файлов, поэтому, если зайти в директорию браузера, будет видно просто 2 файла c именем "iexplore". Вроде ничего подозрительного. Однако в этом случае при старте компьютера будет открываться браузер со страницей, которая прописана в этом "ярлыке". Если эта страница - фишинг, пользователь начнет думать, что это "Яндекс" показывает ему странную рекламу, либо просто какой-то сайт заменил ему стартовую страницу.
Если вы или ваши знакомые столкнулись с подобной проблемой, попробуйте найти на компьютере и удалить файлы с расширением . url (скорее всего, они будут находиться в директориях, где установлен браузер). Это может помочь излечить систему от заражения.
Также излечиться можно с помощью программы avz, выполнив в ней скрипт (через меню "Файл"- "Выполнить скрипт"):
Procedure DeleteUrlFiles(ADirName : string; AScanSubDir : boolean);
var
FS : TFileSearch;
begin
ADirName := NormalDir(ADirName);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*.*');
while FS.Found do begin
SetStatusBarText(ADirName + FS.FileName);
if FS.IsDir then begin
if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
DeleteUrlFiles(ADirName + FS.FileName, AScanSubDir)
end else
if LowerCase(FS.FileName) = 'iexplore.url' then
DeleteFile(ADirName + FS.FileName);
if LowerCase(FS.FileName) = 'chrome.url' then
DeleteFile(ADirName + FS.FileName);
if LowerCase(FS.FileName) = 'mozilla.url' then
DeleteFile(ADirName + FS.FileName);
FS.FindNext;
end;
FS.Free;
end;
begin
DeleteUrlFiles('c:\', true); //вместо 'c:\' можно указать директорию, где установлен браузер, например, 'C:\Program Files\Internet Explorer\'
end.
В последнее время в нашу службу поддержки часто стали обращаться пользователи с жалобами на блокировку доступа к странице Яндекса, которая сопровождается просьбами ввести свой номер телефона для получения кода доступа.
Посмотреть на Яндекс.Фотках
Данное сообщение не имеет никакого отношения к Яндексу. Похожая проблема уже ранее описывалась в блоге компании, однако в данном случае сообщение появляется вследствие заражения компьютера вредоносной программой, которая фигурирует у различных антивирусных компаний под именем Trojan/Win32 ShipUp. В Интернете она распространяется на различных фишинговых* сайтах под видом полезных приложений или документов.
Посмотреть на Яндекс.Фотках
Для удаления троянской программы с компьютера можно воспользоваться антивирусной утилитой «AVZ», выполнив несколько действий:
1. Скачать AVZ и распаковать ее из архива.
2. Запустить исследование системы с помощью меню «Файл» - «Исследование системы» с настройками по умолчанию.
3. В полученном протоколе исследования в разделе «Автозапуск» найти имя файла библиотеки, зарегистрированной в разделе системного реестра: HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs. Как правило, эта библиотека располагается в директории c именем Mozilla.
4. В разделе «Задания планировщика задач» найти программу, которая будет располагаться в той же директории, что и библиотека.
5. Выполнить в AVZ скрипт с помощью меню «Файл» - «Выполнить скрипт» следующего формата:
begin
DeleteFile('%путь к найденной библиотеке %');
DeleteFile('%путь к найденному исполняемому файлу%');
ExecuteSysClean;
RebootWindows(true);
end.
Пример:
begin
DeleteFile('C:\DOCUME~1\A
DeleteFile('C:\DOCUME~1\A
ExecuteSysClean;
RebootWindows(true);
end.
После этого проблем с доступом к Яндексу быть не должно.
* Фишинг - это вид мошенничества в интернете, нацеленный на получение конфиденциальных данных пользователя, таких как логин, пароль, номер счёта или номер банковской карточки.
Фишинговые сайты маскируются под официальные сайты сервисов и выманивают у посетителей эту информацию под видом обычной процедуры авторизации.
Наиболее распространён фишинг на почтовые системы, социальные сети, интернет-банкинг и электронные платёжные системы, но встречается также фишинг и на другие сайты.
На прошлой неделе Яндекс выпустил мобильный Яндекс.Браузер. Одна из особенностей версии браузера для смартфонов на базе Android состоит в том, что браузер предупреждает пользователя об опасных сайтах при помощи Safe Browsing API Яндекса.
Это обеспечивает защиту пользователей от сайтов, которые:
В настоящее время Яндексу известно более 26 тысяч сайтов с перечисленными выше угрозами, актуальными для мобильных телефонов. Мы предупреждаем пользователей мобильного Яндекс.Браузера об опасных сайтах несколько сот тысяч раз в сутки.
Команда Безопасного Поиска Яндекса
Интернет — это в первую очередь информация, и это хорошо. Но не весь интернет одинаково полезен. Некоторые сайты могут заразить компьютер вирусом или выманить личные данные у доверчивых пользователей, которых много среди старшего поколения. А в какие-то уголки сети вряд ли стоит заглядывать детям.
У Яндекса есть несколько продуктов и инструментов, помогающих обезопасить работу в интернете: предупреждения и фильтры в поиске, браузер с двойной системой защиты, Яндекс-версия антивируса Касперского. Сегодня эту линейку пополнил Яндекс.DNS.
Яндекс.DNS — это бесплатный сервис, который поможет вам заблокировать опасные и «взрослые» сайты. Его можно настроить на компьютере, в мобильном или сразу во всей сети — через точку доступа Wi-Fi. Настроив Яндекс.DNS, например, на домашнем роутере, вы сразу обезопасите все устройства, которые к нему подключаются. Чтобы облегчить настройку, мы вместе с производителями роутеров разработали специальные прошивки. Прошивку для моделей ZyXel серии Keenetic можно скачать уже сейчас, а совсем скоро появится версия для моделей D-Link DIR-615 и DIR-620 (подписывайтесь, и мы вас уведомим о её появлении). Конечно, мы планируем расширить список сетевых устройств, для которых есть прошивка Яндекс.DNS, и открыты к сотрудничеству с их производителями.
Собственно, немного о самом сервисе. У Яндекс.DNS есть три режима:
— «Безопасный» защищает от вредоносных и мошеннических сайтов.
— «Семейный» закрывает доступ и к опасным сайтам, и к ресурсам для взрослых.
— «Без фильтрации» просто предоставит вам быстрый и надёжный DNS-сервер.
Сайты проверяются Яндексом ещё до того, как вы открыли их в браузере. При попытке зайти на небезопасный сайт, вы увидите соответствующее предупреждение. На скорость интернета Яндекс.DNS никак не влияет.
Все подробности, инструкции и установочные файлы вы найдёте на сайте dns.yandex.ru.
Делаем Неопасными Сети,
Команда безопасного поиска Яндекса
У службы безопасного поиска Яндекса сегодня день рождения. И вот как мы его провели:
Распространение вирусов и существование киберпреступности во многом зависит от бдительности пользователей и сотрудничества компаний, заинтересованных в том, чтобы интернет оставался полезным для людей.
По вопросам сотрудничества пишите на safesearch@yandex-team.ru, а семплы веб-серверного вредоносного ПО присылайте на virus-samples@yandex-team.ru
Сделаем интернет безопаснее вместе!
Команда Безопасного Поиска Яндекса
Как не попасться на уловки SMS-мошенников: Яндекс информирует и дает рекомендации по безопасности.
Мы разместили этот текст в блоге Яндекса 6 марта 2012 года. С тех пор злоумышленников в интернете не стало меньше, но и мы не сидели сложа руки. За прошедшие полтора года мы добавили в наши сервисы и продукты больше средств обеспечения безопасности и дополнили этот текст новой полезной информацией.
Пользователи жалуются нам на объявления, в которых им якобы от имени Яндекса предлагают деньги в подарок. При этом человека просят ввести номер мобильного, а затем — код активации из полученного смс-сообщения. Если пользователь так и поступает, то, сам того не ведая, подключает платную смс-подписку. Ему начинают присылать смс, например, с прогнозом погоды, и каждый день списывают за это деньги с его мобильного счета. Вот как может выглядеть такое объявление:
Хотим предупредить, что мы не имеем отношения к подобным объявлениям, даже если они появляются на фоне Яндекса. Мошенники намеренно подделывают веб-страницы под известные сайты, которым люди доверяют. Они используют имя не только Яндекса, но и других популярных сервисов — например, ВКонтакте или Одноклассники. Помимо обещаний, в ход идут угрозы и предупреждения — например, «Ваш аккаунт взломан», «Антивирус устарел. Срочно обновите». Будьте внимательны и не попадайтесь на уловки злоумышленников.Иногда злоумышленники заманивают пользователя на свой сайт броскими рекламными баннерами вроде «Узнай дату своей смерти! Если не боишься, ЖМИ!» или «Как сбросить 15 кг за две недели? Супердиета!». Обычно после клика на такой баннер пользователь попадает на созданный злоумышленниками сайт, где ему предлагают ввести свой номер телефона. Причины могут быть разные — например, часто пользователя просят доказать, что он не робот. Результат всегда один — со счёта списываются деньги.
Если в интернете вас просят сообщить номер телефона или другую личную информацию, разберитесь, кто именно просит. Часто злоумышленники выманивают у доверчивых пользователей не только номера телефонов, но и пароли от аккаунтов в социальных сетях или данные банковских карт. Для этого используются фишинговые письма и сайты. О том, как избежать кражи ваших личных данных и распознать обман, читайте в нашем материале о фишинге.
Будьте внимательны и не попадайтесь на уловки злоумышленников.
Если вы уже попались:
1. Прежде всего, отключите смс-подписку. Как это сделать, можно узнать у вашего сотового оператора — на сайте или позвонив в его службу поддержки. Вы можете также сообщить оператору о факте мошенничества и попросить вернуть деньги за услугу, которую вам навязали обманом. Ниже вы найдете ссылки на соответствующие разделы сайтов крупнейших операторов.МТС
Контактный центр МТС — http://www.mts.ru/mob_connect/help/service_abonent s/contacts
Как узнать стоимость услуг по коротким номерам и заблокировать смс-подписку — http://www.mts.ru/mob_connect/entertainment/short_ voice
О случаях мошенничества можно сообщать по адресу 911@mts.ru.
МегаФон
Справочная служба — 8 800 550-05-00
Как заблокировать смс-подписку (для абонентов Московского региона) — http://moscow.megafon.ru/services/content/stop_con tent/about.html
Проект МегаФона по борьбе с мошенничеством — http://stopfraud.megafon.ru
Куда сообщать о мошенничестве— http://stopfraud.megafon.ru/feedback, телефон — 0500 (с номеров МегаФона).
Билайн
Центр поддержки — 0611 (с номеров Билайна).
Как заблокировать смс-подписку — http://safe.beeline.ru/cpa/bw.wbp.
Как включить или отключить подписки — http://safe.beeline.ru/cpa/podpiski.wbp.
Куда обращаться в случае мошенничества — http://safe.beeline.ru/smc/if/index.wbp.
2. Проверьте свой компьютер с помощью антивируса. Мы рекомендуем использовать, например, бесплатную Яндекс-версию антивируса Касперского или антивирусные программы из списка на этой странице. После этого на всякий случай можно еще проверить, не подменил ли вирус DNS-адрес на компьютере или записи в файле hosts (в случае подмены браузер может открывать не тот сайт, который вам нужен). Если вы в этом не разбираетесь, попросите кого-нибудь из знакомых.
Как защититься от смс-мошенничества и других угрозСредства защиты от разного вида угроз встроены во многие сервисы и продукты Яндекса. Например, Яндекс.Браузер определяет сайты с смс-мошенничеством, о котором мы писали выше, и предупреждает пользователя о них с помощью специальной плашки. Если вы пользуетесь другим браузером, вам может пригодиться расширение Элементы, которое тоже умеет предупреждать о неблагонадёжных страницах.
Иногда достаточно просто открыть сайт, чтобы заразить свой компьютер вирусом. При попытке перехода на такой сайт в Яндекс.Браузере или в браузере с установленными Элементами пользователь видит предупреждение о его опасности. Оно означает, что сайт может быть заражён вирусом или содержать вредоносный код.
Кроме того, Яндекс умеет определять фишинговые и заражённые сайты ещё до того, как вы их открыли, и предупреждает об их потенциальной опасности прямо на странице результатов поиска.
Мы уже говорили о том, что злоумышленники пользуются названиями популярных сервисов, чтобы ввести пользователя в заблуждение. Иногда они копируют в том числе и адрес ресурса. Например, адрес Яндекса — yandex.ru, а вот yandex.ch.tf или yandex.12391.ru— это подделка под Яндекс. Расширение Элементы умеет определять такие подделки и предупреждает о них.
Наверняка вы видели на сайтах назойливые баннеры, которые перемещаются при прокрутке страницы и закрывают содержимое сайта. Часто эти баннеры ведут на вредоносные сайты, а при попытке закрыть их открывают новое окно с рекламой. Яндекс определяет такие сайты и ограничивает их показы странице результатов поиска, чтобы свести к минимуму риск заражения вашего компьютера.
В качестве комплексного инструмента обеспечения безопасности вашего компьютера можно использовать Яндекс.DNS. Это фильтр, который позволяет легко защититься от вирусов и злоумышленников в интернете. Настроить Яндекс.DNS может любой — подробную инструкцию можно найти на странице сервиса. Яндекс.DNS особенно полезен для того, чтобы уберечь детей от нежелательного контента или неопытных пользователей от мошенников.
Надёжные, правильно настроенные программы и оборудование — залог вашей безопасности в интернете. Однако не следует забывать о главном — будьте внимательны. Старайтесь критично относиться к заманчивым или пугающим объявлениям, которые вы встречаете в сети, и всегда проверяйте, на каких сайтах вы вводите свои личные данные и кому их сообщаете. Кроме того, расскажите о популярных способах кражи личных данных своим близким, особенно детям и людям старшего поколения, которые плохо ориентируются в интернете. Чем больше людей будут в курсе, тем меньше достанется мошенникам.
Команда безопасного поиска Яндекса
Как мы уже рассказывали, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машины Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.
Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий детектор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки. На графике показано количество сайтов, использующих вредоносные Java-апплеты, которые выявляются системой ежедневно:
Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:
• использование Oracle Java более чем на 3 миллиардах компьютеров;
• кроссплатформенность эксплойтов;
• относительная простота эксплуатации уязвимостей;
• в большинстве случаев Java-плагин включен в браузере.
Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.
Рассмотрим СVE-2013-0433. Суть этой уязвимости заключается в том, что при помощи уязвимого метода com.sun.jmx.mbeanserver.M
Класс JmxMBeanServer имеет публичный конструктор. Таким образом чтобы повысить свои привилегии, достаточно выполнить:
javax.management.MBeanServer ms =
com.sun.jmx.mbeanserver.J
com.sun.jmx.mbeanserver.MBeanInstantiator mi =
((com.sun.jmx.mbeanserver
Class clazz = mi.findClass("some.restricted.class.here", (ClassLoader)null);
Чтобы заразить компьютер пользователя, злоумышленники размещают на зараженной веб-странице вредоносный код, например:
После посещения страницы происходит цепочка редиректов:
Посмотреть на Яндекс.Фотках
В итоге пользователь перенаправляется на страницу с эксплойтами:
Посмотреть на Яндекс.Фотках
При наличии уязвимой версии Java, вредоносный апплет 887.jar повышает свои привилегии в системе, загружает и запускает вредоносную программу.
По данным сервиса VT на 12.02.2013, рассмотренный вредоносный апплет детектируют 5 антивирусов из 40, а устанавливаемое с его помощью вредоносное ПО не детектирует ни один антивирус из 40.
Злоумышленники почти всегда обфусцируют или шифруют вредоносный код внутри Java-апплетов, что позволяет им обходить сигнатурные методы детектирования. Так, рассматриваемый образец после декомпиляции имеет вид:
Все строковые константы, встречающиеся в данном апплете, обфусцированы, имена переменных и классов изменены на случайные. В апплете эксплуатируется описанная уязвимость СVE-2013-0433:
Чтобы избежать заражения, мы рекомендуем:
Команда Безопасного Поиска Яндекса
По данным команды «Безопасного поиска Яндекса», за 2012 год активность злоумышленников осталось по-прежнему высокой.
Количество предупреждений в результатах поиска в 2012 году, по сравнению с данными на 2011 год, уменьшилось всего на 0,4%. За прошедший год набрали популярность новые схемы, предназначенные для монетизации трафика и получения трафика.
Так, для монетизации трафика в 2012 году часто использовались мобильные редиректы с опасными обновлениями и сайты-локеры. Для получения трафика самой популярной оказалась схема с использованием методов перебора паролей для административных панелей CMS. Это вызвало эпидемию с массовым заражением сайтов под управлением WordPress.
Также появились новые способы распространения вредоносного ПО. Злоумышленники стали распространять вредоносные флеш-баннеры и начали активно применять способ распространения вредоносного кода с использованием зараженных бинарных файлов веб-серверов. Стали чаще использоваться уязвимости в сторонних продуктах, таких как Java Runtime Environment и Adobe Reader. Исходя из этого поведенческий анализатор приобрел новый компонент детектирования вредоносных PDF-файлов.
За время работ компонента было проверено более 2 600 000 PDF файлов, а зараженных вредоносных PDF-файлов найдено более 200 000. В 2012 году злоумышленники стали распространять зараженные программы не только с использованием уязвимостей в браузерах и сторонних продуктах, но и через софт-порталы и порталы, с которых можно скачать ПО для мобильных устройств. Для того чтобы обезопасить пользователей, команда «Безопасного поиска Яндекса» 14 декабря 2012 года запустила алгоритм, позволяющий предупреждать пользователей о загрузке опасных файлов.
Прогресс не стоит на месте, и злоумышленники всегда находят новые способы добычи и монетизации трафика, а также способы распространения вредоносных программ. Команда «Безопасного поиска Яндекса» старается всегда своевременно предупреждать пользователей Яндекса об угрозах и предлагает вашему вниманию наше видео для владельцев сайтов о том, как позаботиться о безопасности сайта с помощью сервиса Яндекс.Вебмастер.
В одном из постов мы уже рассказывали про опасные обновления, когда пользователю при переходе на сайт предлагается обновить ПО Opera Mini, Flash Player и т.д. Особенно это актуально для пользователей смартфонов на базе Android, так как эта платформа позволяет легко устанавливать приложения из сторонних источников. Один из способов обезопасить себя – установка приложений только из Play Market, Amazon App Store, Yandex.Store и других надёжных источников. Но даже установка приложений из Play Market не гарантирует безопасности.
Сейчас часть приложений в Play Market не просто является клоном популярных приложений (или плагинов и тем для популярных приложений), но при этом обладает посторонней функциональностью, используемой для фишинга и агрессивной рекламы.
Например, при поиске тем для популярной программы работы с смс GoSMS Pro на первых позициях результатов поиска присутствуют темы от автора Workshop Theme:
То, что приложение имеет недокументированные функции, видно уже по разрешениям, которые оно запрашивает перед началом установки:
Очевидно, что для программы, устанавливающей новую тему оформления, такие полномочия избыточны.
При установке темы пользователю устанавливается также дополнительный сервис, который показывает рекламу из партнерской программы AirPush прямо в строке уведомлений. И, что хуже всего, он также создает фишинговые уведомления о якобы пришедших смс:
При нажатии на любое такое уведомление открывается браузер и происходит скачивание apk-файла. Подобные «обновления» для Android, предлагаемые в рекламе, в большинстве своем являются подделкой под Google Play.
Одно из таких приложений при установке собирает данные о смартфоне, шифрует их при помощи AES на содержащемся в приложении ключе и отправляет на удаленный сервер:
После этого оно отправляет несколько смс на короткий номер, что приводит к списанию средств со счета пользователя:
К сожалению, далеко не все антивирусы детектируют подобные приложения.
По данным сервиса VirusTotal на 15.01.2013, семпл с темой GoSMS Pro детектируют 7 антивирусов из 45.
Семпл Fake Play Market на момент сканирования 15.01.2013 по данным сервиса VirusTotal детектируют 5 антивирусов из 46.
Чтобы не стать жертвой подобных атак, помните:
Считаете ли вы, что программы с подобной функциональностью – вредоносные, и что с ними нужно бороться?