Страницы

пятница, 10 августа 2018 г.

Низкоуровневый взлом банкоматов NCR


Изображение: Sascha Kohlmann, CC BY-SA 2.0

Существуют системы, доступа к которым у простых смертных нет по умолчанию. И разработчики таких систем наивно полагают, что они защищены от проникновения и зорких глаз исследователей.

Взять хотя бы банкоматы (АТМ). Нередки случаи, когда к АТМ подходят неизвестные, подключают ноутбук, забирают деньги и уходят, не оставляя каких-либо логов в системе. А недавние истории с «котлетами» (вредоносное ПО под названием Cutlet Maker) и подавно подтверждают, что неуязвимых систем нет — есть недоисследованные.

понедельник, 30 июля 2018 г.

Анализ поведения трояна Pegasus в сети

Недавно был опубликован исходный код банковского трояна Pegasus. Несмотря на упоминание группы Carbanak в названии архива, исследователи из компании Minerva Labs опровергли причастность этой группы к трояну и доказали его связь с группой Buhtrap (Ratopak). Внутри архива находится краткое описание работы трояна, его исходный код, информация о системе банковских платежей и данные сотрудников многих российских банков.

Архитектура исходного кода Pegasus довольно интересна. Функциональность поделена на модули, собираемые в единый binpack на этапе компиляции. Процесс компиляции также включает в себя подпись исполняемых файлов сертификатом из файла tric.pfx, который отсутствует в архиве.

Не менее любопытна и сетевая активность трояна: после заражения он пытается распространиться внутри домена, умеет проксировать данные между машинами, используя пайпы и транспорт Mailslot. Мы сфокусировались на изучении особенностей сетевой активности трояна и оперативно добавили детекты для Pegasus в продукт PT Network Attack Discovery. Это позволит всем пользователям PT NAD своевременно обнаружить активность этого трояна и его модификаций в своей сети. В статье я дам подробное описание механизмов распространения по сети и взаимодействия между копиями Pegasus.

среда, 18 июля 2018 г.

Intel выпустила исправления новых уязвимостей прошивки ME


В начале июля компания Intel выпустила два security advisory (SA-00112 и SA-00118), в которых описала исправления в прошивке Intel Management Engine. Оба бюллетеня безопасности описывают ошибки, позволяющие атакующему произвольное выполнение кода на внутреннем процессоре PCH (Minute IA).

Эти ошибки аналогичны тем, которые специалисты по безопасности компании Positive Technologies обнаружили в ноябре прошлого года (SA-00086). Однако история на этом не закончилась, и теперь Intel выпустила новые исправления уязвимостей в ME.

четверг, 14 июня 2018 г.

В компьютерах Apple закрыта уязвимость прошивки, найденная экспертами Positive Technologies

Исправленная уязвимость позволяла эксплуатировать опасную ошибку в подсистеме Intel Management Engine и по-прежнему может присутствовать в устройствах других вендоров, использующих процессоры Intel.

Компания Apple выпустила обновление для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (CVE-2018-4251), обнаруженную экспертами Positive Technologies Максимом Горячим и Марком Ермоловым. Подробная информация об этом представлена на сайте технической поддержки Apple.

понедельник, 5 марта 2018 г.

Первое правило Всемирного мобильного конгресса: никому не показывать бейдж Всемирного мобильного конгресса


Крупнейшее событие телеком-индустрии в этом году получило особенно широкое освещение в СМИ – на открытие ежегодного Всемирного мобильного конгресса (Mobile World Congress, MWC-2018) в столице Каталонии – Барселоне - прибыл лично король Испании, что вызвало волну протестов среди сторонников независимости региона от властей Мадрида. Как итог – на первых полосах всех газет и в прайм-тайме на телеканалах - высокие технологии и телеком-инновации на фоне митингующей толпы. А всем участникам и посетителям конгресса для большей безопасности рекомендовано не носить бейдж за пределами территории проведения мероприятия.