Страницы

понедельник, 30 июля 2018 г.

Анализ поведения трояна Pegasus в сети

Недавно был опубликован исходный код банковского трояна Pegasus. Несмотря на упоминание группы Carbanak в названии архива, исследователи из компании Minerva Labs опровергли причастность этой группы к трояну и доказали его связь с группой Buhtrap (Ratopak). Внутри архива находится краткое описание работы трояна, его исходный код, информация о системе банковских платежей и данные сотрудников многих российских банков.

Архитектура исходного кода Pegasus довольно интересна. Функциональность поделена на модули, собираемые в единый binpack на этапе компиляции. Процесс компиляции также включает в себя подпись исполняемых файлов сертификатом из файла tric.pfx, который отсутствует в архиве.

Не менее любопытна и сетевая активность трояна: после заражения он пытается распространиться внутри домена, умеет проксировать данные между машинами, используя пайпы и транспорт Mailslot. Мы сфокусировались на изучении особенностей сетевой активности трояна и оперативно добавили детекты для Pegasus в продукт PT Network Attack Discovery. Это позволит всем пользователям PT NAD своевременно обнаружить активность этого трояна и его модификаций в своей сети. В статье я дам подробное описание механизмов распространения по сети и взаимодействия между копиями Pegasus.

среда, 18 июля 2018 г.

Intel выпустила исправления новых уязвимостей прошивки ME


В начале июля компания Intel выпустила два security advisory (SA-00112 и SA-00118), в которых описала исправления в прошивке Intel Management Engine. Оба бюллетеня безопасности описывают ошибки, позволяющие атакующему произвольное выполнение кода на внутреннем процессоре PCH (Minute IA).

Эти ошибки аналогичны тем, которые специалисты по безопасности компании Positive Technologies обнаружили в ноябре прошлого года (SA-00086). Однако история на этом не закончилась, и теперь Intel выпустила новые исправления уязвимостей в ME.