Записи с меткой «анализ»

https://i1.wp.com/www.wazzup.su/uploads/posts/2011-09/1315614484_1281604561_kasp2010.jpg

«Лаборатория Касперского» получила патент на систему, препятствующую обнаружению эмулятора вредоносным ПО во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы.

Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий.

Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично. Данное упрощение позволяет ускорить работу и сэкономить ресурсы, но в то же время делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует.

«Цель этой технологии проста: вредоносы должны оставаться “уверенными” в том, что они работают в реальной системе, и, следовательно, не должны пытаться скрыть свою злонамеренную функциональность. Использование этой технологии позволит вывести на новый уровень качество детектирования угроз нашими защитными решениями», – поясняет Сергей Белов, ведущий антивирусный эксперт «Лаборатории Касперского» и автор патента.

В перспективе технология будет внедрена в продукты «Лаборатории Касперского» для домашних и корпоративных пользователей.

Патент №8555386, подтверждающий новизну технологии, выдан Бюро по регистрации патентов и торговых марок США.

«Лаборатория Касперского» обладает обширным портфолио патентов, большинство из которых описывает защитные технологии. К настоящему времени у компании было 174 патента, полученных в США, России, Евросоюзе и Китае. Еще 211 патентных заявок находятся на стадии рассмотрения.

Реклама

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Недооцененная угроза: более половины компаний не контролируют используемые сотрудниками программы и устройства

Большинство компаний не уделяют должного внимания тому, какие программы
и устройства используются внутри их корпоративных сетей. К такому выводу
пришли эксперты «Лаборатории Касперского» и независимой
компании B2B International в ходе совместного исследования, проведенного
в конце 2012 года 1 . По результатам анализа выяснилось, что 57%
компаний не применяют специальные средства контроля программ, а 56% не
следят за подключением внешних устройств.

Между тем, киберпреступники используют множество уловок для заражения
систем. Так, например, вредоносное ПО может встраиваться в популярную
программу, и любой сотрудник компании, который запустит ее в
корпоративной среде, поставит под угрозу всю IT-инфраструктуру компании.
Для предотвращения подобных происшествий должны применяться специальные
политики IT-безопасности, контролирующие установку и запуск программ в
корпоративной сети. Но, как показало совместное исследование B2B
International и «Лаборатории Касперского», 17% компаний либо
не знают о технологиях, позволяющих контролировать использование
программ, либо не заинтересованы в их использовании.

Схожая ситуация складывается и с контролем использования внешних
устройств, в частности, носителей информации: лишь 44% компаний уделяют
этому достаточно внимания и используют соответствующие инструменты, в то
время как 17% не знают о средствах контроля устройств или не
заинтересованы в их использовании. Тем временем, локальные угрозы,
например, вредоносные программы, которые распространяется через внешние
устройства, все еще более чем актуальны: только за 2012 год защитные
решения «Лаборатории Касперского» предотвратили более 3
млрд. локальных попыток заражения компьютера. Предоставление сотрудникам
полной свободы в отношении подключения внешних устройств также повышает
риск утечки информации.

«Использование инструментов контроля крайне важно для любого
бизнеса. Так, ограничение на установку программ обеспечивает
дополнительную защиту от вредоносного ПО и повышает продуктивность
сотрудников. Контроль использования внешних устройств в корпоративной
сети предотвращает несанкционированное подключение устройств, уменьшает
вероятность утечки данных, а также помогает предотвратить заражение
рабочих станций с внешнего носителя», — отметил Владимир
Удалов, руководитель направления корпоративных продуктов в странах
развивающихся рынков «Лаборатории Касперского».

Единая платформа для обеспечения безопасности Kaspersky Security для
бизнеса включает инструменты контроля программ и внешних устройств. Их
использование позволяет компаниям формировать эффективные политики
IT-безопасности, исключая возможность заражения корпоративной сети через
сторонние программы или съемные носители информации. Политики контроля
легко настраиваются и имеют централизованное управление, что позволяет
применять их сразу на всех рабочих станциях компании. 1 Международное
исследование «Лаборатории Касперского» и B2B International,
проведенное в ноябре 2012 года. В исследовании приняли участие более
5000 IT-специалистов из 18 стран мира, включая Россию.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

В Сети обнаружен компьютерный червь чрезвычайной сложности

«Лаборатория Касперского», ведущий российский производитель
систем компьютерной безопасности, сообщает об обнаружении нового
сетевого червя. По мнению специалистов компании, по своей сложности он
значительно превосходит не только существующие ныне вредоносные
программы, включая профессиональные шпионские кибератаки и кибероружие,
но и любое другое известное программное обеспечение.

Дизассемблированием и анализом нового компьютерного червя занимаются
лучшие эксперты «Лаборатории», однако они столкнулись с
чрезвычайно сложными компьютерными алгоритмами и изощрёнными способами
кодирования.

«Никогда ранее нам не приходилось сталкиваться не просто с таким
уровнем сложности и переплетённости машинного кода, но и с подобной
логикой программ, — утверждает Евгений Касперский. — Для
анализа даже самых сложнейших компьютерных червей и троянских программ
нашим экспертам требуется от нескольких недель до пары месяцев, но в
этом случае сложность работы оценке не поддаётся. Мне неизвестна ни одна
софтверная компания, способная на подобную разработку, даже теоретически
невозможно предположить, что этот код написан человеком. Большинство
вредоносных программ разработано разномастными компьютерными
преступниками в корыстных целях, некоторые кибератаки — просто
сетевое хулиганство, а за наиболее сложными атаками предположительно
стоят спец-службы разных стран. В данном же случае это ни первое, ни
второе, ни третье. Этот код нечеловечески сложен, боюсь, что червь имеет
внеземное происхождение».

Другие специалисты «Лаборатории Касперского», занимающиеся
изучением супер-вируса, также склоняются к неземной теории происхождения
нового компьютерного зловреда. Что интересно, первые образцы нового
компьютерного вируса специалисты компании получили в конце февраля из
Челябинской области, а также из научных организаций, занимавшихся
изучением обломков знаменитого Челябинского метеорита, что также
является косвенным доказательством космического происхождения нового
компьютерного червя. По этой же причине червь получил
«рабочее» название «Челябинск».

Эксперты обнаружили заражённые компьютеры также у сотрудников РАН,
вернувшихся из Челябинска. Как выяснилось, предположение о внеземном
происхождении нового компьютерного вируса не вызвало у них никакого
удивления, более того компьютерный гость из космоса подтверждает
некоторые смелые научные предположения.

Существует гипотеза о космическом происхождении жизни на Земле, согласно
которой первые протобактерии были занесены на еще бесплодную Землю
космическими объектами, метеоритами и астероидами. Российские учёные
считают, что инцидент с Челябинским компьютерным вирусом только
подтверждает её. Налицо пример спонтанного космического транс-планетного
перемещения не только примитивных форм биологической жизни, но также и
компьютерных червей.

Их коллеги-биологи комментируют это событие так: «Все известные
компьютерные вирусы и черви были созданы человеком. Здесь же мы имеем
дело с новой формой цифровой сущности. Метеоритное проникновение
чужеродной компьютерной жизни в уже заселённое сетевое пространство
Земли — это показательное, фундаментальное событие. Оно,
несомненно, подтверждает теорию дуальности биологической Земной жизни,
часть которой возникла самостоятельно, а часть — была занесена
извне, через космическое пространство. Таким образом, мы можем
предполагать, что на сегодняшний день на Земле одновременно существуют
три параллельные формы био-жизни: земная, инопланетная и
гибридная».

«Современная антивирусная индустрия традиционно готова к отражению
исключительно наземных компьютерных атак, а в данном случае мы принимаем
вызов из космоса. Я практически уверен, что рано или поздно специалистам
нашей компании удастся расколоть инопланетный код, во всяком случае,
первые пробные «вакцины» будут выпущены и предоставлены на
тестирование членам фан-клуба «Лаборатории» уже в ближайшее
время, — пообещал Евгений Касперский. — Однако не стоит
забывать и о других возможных источниках угроз, исходящих из
пространств, практически неизведанных человеком — подводных и
подземных. Именно по этой причине компания организовала экспедицию на
Камчатку к вулкану Толбачик, где сейчас проходит очередное мощное
вулканическое извержение. Я намерен лично заняться проектом поиска
компьютерных вирусов или их следов в свежих вулканических
выбросах».

Дополнительная информация о челябинском вирусе в посте Евгения
Касперского на eugene.kaspersky.ru.