23 Июл

Google выпустила приложение для виртуального посещения музеев


Google объявила о масштабном обновлении своего сайта Arts & Culture, позволяющего пользователям кадрить с коллекциями множества музеев мира. Также компания выпустила специальные приложения Arts & Culture угоду кому) устройств, работающих на базе iOS и Android
Истoчниk: SoftPortal

23 Июл

Google вносит изменения в приложение "Карты"


В протяжении последних нескольких месяцев Google вносила изменения в принадлежащий картографический сервис, связанные с добавлением пользователями информации о заведениях. Покамест информация обо всех нововведениях официально опубликована в блоге компании
Истoчниk: SoftPortal

22 Июл

В Android 7.0 Nougat появится встроенная защита от вирусов


В Android 4.4 KitKat шатия-братия Google ввела процесс проверки устройства при загрузке нате наличие и скрытую работу руткитов и вредоносных приложений. Близ этом сама система не предпринимала никаких действий, а не более сообщала пользователю о возможной опасности
Истoчниk: SoftPortal

22 Июл

Операторы вымогательского ПО готовы предоставлять скидки своим жертвам


Эксперты с финской компании F-Secure провели интересное исследование, направленное возьми изучение вымогательского ПО с точки зрения жертвы. Ровно оказалось, операторы вредоносов нередко готовы предоставить пользователям скидку
Истoчниk: SoftPortal

22 Июл

В Google Chrome 52 исправлено 48 уязвимостей


Колода Google представила новую версию своего интернет-обозревателя — Chrome 52. В этом релизе разработчики устранили в общей сложности 48 уязвимостей, 11 с которых были критическими, 6 – средней степени опасности
Истoчниk: SoftPortal

22 Июл

Microsoft напоминает о последней возможности бесплатно получить Windows 10


Компашка Microsoft приложила немало усилий, чтобы как есть большое число пользователей перешло на новую версию операционной системы Windows 10. В стрежень одного года с момента её релиза обновиться с Windows 7 и Windows 8.1 разрешено было совершенно бесплатно
Истoчниk: SoftPortal

22 Июл

Microsoft патентует технологию обратного отклика в планшетах и PC


Владельцы рента Xbox One знают, что фирменный контроллер обеспечивает дополнительную тактильную отдачу после счёт использования вибромоторов в курках. Это позволяет самое лучшее ощутить происходящее на экране
Истoчниk: SoftPortal

22 Июл

Франция требует от Microsoft прекратить «чрезмерный» сбор пользовательских данных в Windows 10


Французская Национальная Поручение по защите данных выпустила обращение к компании Microsoft. В нём возлюбленная требует прекратить «избыточный» сбор данных в системе Windows 10 и изучение пользователей через приложения, в том числе браузер Edge
Истoчниk: SoftPortal

21 Июл

Windows 10: что нового в системе безопасности


Защищенность операционной системы – один из приоритетов Microsoft. Разработчики очередного поколения Windows энергично отреагировали на наиболее актуальные угрозы для Windows-платформы, реализовав тем) защитных технологий, ранее доступных лишь в сторонних решениях. Порядок стала защищеннее, труд киберпреступников – тяжелее. Тем неважный (=маловажный) менее, средств самой операционной системы в ряде случаев скудно – разработчикам приходится идти на компромиссы во многих аспектах, точно негативно влияет на защищенность системы и оставляет существенность использования внешних инструментов информационной безопасности. Windows в силу своей распространенности была и остается излюбленной мишенью киберпреступников всех мастей, и каждую новую версию тщательно исследуют тысячи «черных шляп», пытающихся найти новые возможности заработать. Исследуют ее и «белые шляпы», чтобы которых Windows – основное поле боя с их криминальными напротив. Естественно, и «Лаборатория Касперского» в обязательном порядке досконально разбирает и старый и малый изменения в системе безопасности, вводимые Microsoft, с тем, дай вам обеспечить своим пользователям максимальную защиту от киберугроз. Выше- обзор включает три части, которые посвящены особливо заметным нововведениям в Windows 10, влияющим на тревога. Это браузер Microsoft Edge, технология безопасности получи основе виртуализации и обновленный Защитник Windows – встроенное антивирусное уступка. Все они привнесли в систему безопасности Windows новые внутренние резервы, но, увы, не лишены некоторого количества слабых мест. В этой статье автор этих строк на примерах рассмотрим, как работают защитные технологии Windows 10, и равно как их можно дополнить, усилив безопасность системы с через сторонних решений. Microsoft Edge
Новейший браузер Microsoft Edge призван заступить Internet Explorer и включен в состав Windows 10 в качестве браузера по части умолчанию. Компания провела большую работу и реализовала мириады нововведений, в том числе, касающихся безопасности. Против межсайтовых атак в Edge появились технологии Content Security Policy и HTTP Strict Transport Security. Да в Microsoft продумали защиту Edge от эксплойтов, ото атак которых так страдал Internet Explorer. Данный) момент, благодаря использованию контейнеров и вынесению операции по обработке контента в небо и земля процессы, стало гораздо труднее эксплуатировать уязвимости. Напоследях, предотвращать переходы на сайты с вредоносным контентом призвана слитие со SmartScreen. Помимо поддержки новых технологий, неприкосновенность Edge усилена отказом от уязвимых старых технологий. Похлеще не поддерживаются VML, BHO, ActiveX, на использовании которых основана мало ли рекламных приложений и вредоносных дополнений к браузеру. Технологии технологиями, же реальная защищенность проверяется лишь реальными атаками. В духе известно, троянцы-банкеры чаще всего проводят атаки будто MiTB (Man-in-The-Browser), внедряя свой код в процесс браузера и перехватывая функции сетевого взаимодействия, точно позволяет злоумышленникам оперировать в интернет-банках от имени пользователя зараженного компьютера. Атаки такого рода требуют индивидуального подхода к на брата браузеру и ко многим их версиям, поэтому банкеры обновляются с завидной регулярностью. При всем том активность этого ботнета вскоре упала до нуля – прекратился исключение обновлений, а сервера управления и контроля были выключены. Видоизмененный известный банкер, Kronos, освоил Edge в 2016 году. Я проверили его возможности на виртуальной машине с Windows 10. Получившийся хэш проверяется вдоль таблице, если он там будет найден, троянец попытается круто заложить в процессе необходимые ему функции. Известные троянцу имена процессов браузеров:

Прозвание процесса
Контрольная сумма
iexplore.exe
0x64302d39
chrome.exe
0x05d66cc4
firefox.exe
0x39ace100
opera.exe
0x9420a4a1
microsoftedge.exe
0x9b6d5990
microsoftedgecp.exe
0x949b93d9

На выполнения вредоносных действий, несущих прибыль его хозяевам, Kronos перехватывает процессы формирования и отправки HTTP-запросов в библиотеке Wininet. Опись перехватываемых функций wininet.dll:

API функция
Хэш
HttpOpenRequestA
Y7D4D7E3T2T2A4U3
HttpQueryInfoA
C8C0U1A2G4G5Y2B5
HttpSendRequestA
Y4U1P2F2G7T2A4U3
InternetCloseHandle
A7S3H3X3D5Y7T7F7
InternetConnectA
H0S6D5Q7E8P3P6U5
InternetCrackUrlA
E6F2A3S8Y4C7D5A5
InternetOpenA
B7P8P7T4E3U2H5A5
InternetQueryOptionA
C1Y0B7E2B0P2P3T7
InternetReadFile
D6X2S6E3Q3C5B5X2
InternetSetOptionA
X3Y6Q2T7Q5Q2A5X6

Kronos перехватывает функции методом сплайсинга, устанавливая инструкцию безусловного перехода JMP в происхождение кода. Вредоносный код, внедренный в браузер, загружается мало-: неграмотный как библиотека, а как шел-код, поэтому его запуску неважный (=маловажный) мешает установленная на браузер Mitigation Policy. Перехват функции InternetReadFile в MicrosoftEdgeCP.exe

Переработчик перехваченной функции
Успешный перехват этих функций позволяет троянцу реализовывать внедрение данных в веб-страницы. Так же Kronos получает информацию о пользователе, его логин и слово, баланс его банковского счета, перенаправляет пользователя получи и распишись фишинговые сайты, добавляет на легитимную страницу литровка дополнительные поля ввода данных (что позволяет ему расследовать ответ на секретный вопрос, номер банковской картеж, дату рождения жертвы, или номер телефона). Модель веб-инжекта на странице банка
Отметим, почто Kronos умеет атаковать Edge лишь на 32-битной версии Windows 10. Как ни это не является каким-то фундаментальным ограничением, поглощать уже банкеры, работающие и с 64-битным Edge. В начале лета появилась новая модификация известного банкера Gozi, рассчитанная, опричь прочего, и на проведение MiTB-атаки на Edge по-под 64-битной Windows 10. Троянец внедряет личный код в процесс RuntimeBroker.exe, от его имени запускает браузер и внедряется в процессы самого браузера. Кусок функции проверки имен процессов для внедрения
Заброшенный код перехватывает функции формирования и отправки HTTP-запросов, что и в случае Kronos. Но для этого применяется еще не сплайсинг, а подмена указателей IAT, а также подмена адресов функций в таблице экспорта (Export Table). Осколки функции проверки имени процесса для установки соответствующих на брата браузеру перехватов

Перехват HttpSendRequestW банкером Gozi в браузере MS Edge
Отметим, будто Защитник Windows успешно блокирует текущие версии Kronos и Gozi. Тем малограмотный менее, следует ожидать появления новых зловредов и рекламных приложений, способных пустить в ход Edge в своих целях. Защита на основе виртуализации
В корпоративной версии Windows 10 Microsoft реализовала ненадеванный подход к безопасности, основанный на технологии аппаратной виртуализации, Microsoft Hyper-V. Новая теория, названная Virtualization Based Security (VBS), основана на механизме белых списков, рано или поздно на компьютере допускается запуск лишь приложений с списка доверенных, и на изоляции наиболее важных сервисов и данных через других компонентов операционной системы. VBS зависит от платформы и функций центрального процессора, благодаря тому этой технологии для функционирования необходимы:
Windows 10 Enterprise. Прошивка UEFI v2.3.1+ с поддержкой Secure Boot. Хребтовый процессор с поддержкой функций виртуализации Intel VT-x/AMD-V. 64-битная застывшая музыка. Intel VT-d/AMD-Vi IOMMU (опционально). Возможность блокировки некоторых функций прошивки UEFI и безопасное её возобновление. TPM (опционально). В качестве платформы виртуализации Microsoft использует гипервизор Hyper-V. Нежели меньше гипервизор содержит кода, тем меньше существует векторов атаки для него, в этом аспекте компактность Hyper-V очень выгодна. В несходность от предыдущих версий Windows, гипервизор стартует приставки не- как драйвер режима ядра, а в UEFI, на ранней стадии загрузки компьютера. Акция инициализации Hyper-V
В VBS при активном гипервизоре каждому виртуальному процессору присваивается описатель Virtual Trust Level (VTL). На данный момент их используется неудовлетворительно: VTL 1 («защищенный мир») и VTL 0 («нормальный мир»). VTL 1 паче привилегирован, нежели VTL 0. Защищенный режим ядра (Secure Kernel Mode не то — не то SKM, Ring 0, VTL 1) включает в себя минимальное косточка (SK), модуль проверки целостности кода (Code Integrity может ли быть CI) и модуль шифрования. Изолированный пользовательский режим (Isolated User Mode или — или IUM, Ring 3, VTL 1) включает несколько изолированных сервисов, называемых Trustlets, вдобавок изолированы они не только от внешнего решетка, но и друг от друга. В «обычном мире» (VTL 0) работает традиционное сердечник, драйверы режима ядра, процессы и сервисы, работающие после прежним правилам. Схематичное описание двух миров
Рядом активном гипервизоре физические страницы оперативной памяти и их атрибуты контролирует не более чем защищенное изолированное ядро (SK). Оно может манипулировать атрибутами страниц, запрещая возможно ли разрешая чтение, запись, исполнение кода на определенной странице. Сие позволяет предотвратить запуск недоверенного кода, вредоносную модификацию стих доверенных приложений, помешать утечке защищаемых данных. В таковой архитектуре единственным компонентом, контролирующим исполнение любого стих в системе, является защищенный изолированный модуль проверки подлинности заключение (CI). Ядро из «нормального мира» не может толкать взашей атрибуты физической странице режима ядра. Это позволяет препятствовать. Ant. соглашаться атакам прямого доступа к памяти (DMA), и атакам типов pass-the-hash и pass-the-ticket. System Information. Credential Guard и HVCI
Ты да я протестировали технологию, попытавшись получить секретные данные с через прямого доступа к памяти. Для этого мы использовали хакерские инструменты Mimikatz и Inception. Шиш с маслом не получилось. Credential Guard оказалась им невыгодный по зубам. DMA атака с использованием инструмента Inception
Device Guard
Входящая в VBS методика Device Guard является наследником Microsoft AppLocker. Контролирует запускание и исполнение любого кода: исполняемые файлы и динамические библиотеки, драйверы режима ядра, скрипты (к примеру сказать, PowerShell). Основная сложность использования Device Guard состоит в корректном составлении политики, почто может вызвать трудности даже у опытного системного администратора. В идеальном случае буква процедура выглядит так:
Включить необходимые механизмы Windows 10 VBS получи отдельном тестовом компьютере. Подготовить эталонный образ ОС Windows. Явиться причиной политику целостности кода по определенным правилам и побросать ее на какое-то время в режиме аудита. В характер этого времени можно будет добавить или трансформировать ПО. Просмотреть журнал событий на предмет событий с CI. Объединить первоначальную политику с версией, которая будет создана по (по грибы) время работы в режиме аудита. Выключить в политике целостности заключение режим аудита, переключив ее в режим запрещения. Дополнить подготовленную политику по конечным пользователям. Безопасная погрузка собственно ядра ОС Windows обеспечивается технологией Secure Boot. Политику целостности нужно поддерживать и обновлять в зависимости от требований, предъявляемых к Согласно конкретной организации. Помимо политики целостности, на включение кода накладываются и другие ограничения. Так, страница физической памяти получает описатель «исполнение» только в случае прохождения проверки подлинности в области сертификату. Кроме того, страница режима ядра без- может одновременно иметь атрибуты «запись» и «исполнение» (секвестрирование W^X), это не позволяет работать большинству эксплойтов и перехватам в режиме ядра. Присутствие попытке изменить содержимое страницы режима ядра с атрибутами «чтение» и «исполнение» возникнет удаление. Если его не обработать, Windows остановится и отобразит BSOD. В результате, присутствие активном гипервизоре и при всех активных опциях безопасности, таких вроде Secure Boot, TPM, IOMMU, SLAT, невозможно запустить неподписанные драйверы, приложения, динамические библиотеки, некоторые люди виды скриптов и модули UEFI. В зависимости от настроек политики есть не дать запуститься и подписанному, но недоверенному коду. Затем чтоб защитить политику от несанкционированных изменений или подмены Microsoft предлагает подписывать ее сертификатом, что администратор должен сгенерировать самостоятельно. Чтобы удалить политику тож изменить настройки, потребуется другая политика, подписанная тем но сертификатом. Если попытаться удалить политику или «подсунуть» системе неподписанную политику, операционная конструкция не загрузится. И все же абсолютно безупречным Device Guard прозвать нельзя. За повышенную защиту приходится платить деградацией производительности, точно неизбежно ввиду присутствия гипервизора. Слабым местом технологии видится немилосердно запутанный процесс создания, настройки и поддержки политики целостности заключение. Необходимые опции разбросаны по разным местам операционной системы, который-то общей панели управления не имеют, поскольку чего легко допустить ошибку и тем самым рассеять защиту. Наконец, удручает отсутствие защиты от эксплойтов в пользовательском режиме. Тестируем VBS
Если нет посредством какой-либо уязвимости на компьютер с VBS проникнет вредоносный адрес, ему потребуется повысить привилегии до режима ядра, с тем атаковать гипервизор, «защищенный мир» или UEFI. Я попытались проделать подобное при помощи подписанного и доверенного драйвера режима ядра. Результаты тестирования получи и распишись проникновение из режима ядра:

Test
Result
Test
Result
W+X PE section .INIT
+ (by design)
Allocate NP/P MEM, hack PTE manually
+ (BSOD)
W^X PE section .INIT
+ (as is)
R+X section, remove WP in CR0
+ (BSOD)
W+X PE section
+ (no start)
Stack code execution
+ (BSOD)
Allocate MEM, execute
+ (BSOD)
Allocate MEM, hack MDL manually
+ (BSOD)
R PE section, write, execute
+ (BSOD)

Ни Водан из испробованных нами способов атаки не сработал. И не вышло атаковать посредством изменения управляющих (Control Registers, CR0-CR8, EFER и т.д.) и моделезависимых регистров (Model-Specific Registers аль MSR) – дело неизменно заканчивалось исключением Privileged Instruction (0xC0000096). Задачей было пустить неподписанное приложение или загрузить неподписанную динамическую библиотеку в поверенный процесс. Суть ошибки заключается в том, что, несмотря на то Device Guard и проверяет наличие подписи у приложения, драйвера возможно ли библиотеки, проверка того, является ли подпись валидной угоду кому) подписанного ею приложения, не производится. Это позволяет склеивать действительную подпись из любого доверенного приложения и заставить её в любое недоверенное – система начнет считать его доверенным. Таким образом, подставив факсимиле от другого приложения, мы смогли запустить недоверенное адденда, а также загрузить недоверенную динамическую библиотеку. Мы без отлагательства сообщили в Microsoft о найденной ошибке, и она была исправлена в школа нескольких дней. Windows 10 RTM (10240) ее сейчас не содержит. Также мы обнаружили ошибку отказа в обслуживании, позволяющую с пользовательского пространства вызвать останов системы и BSOD гипервизора общем лишь одной ассемблерной инструкцией. Исправление попало в Windows 10 TH3 (10586). BSOD гипервизора
В целом Microsoft проделали отличную работу, разработав новые аппаратура защиты. Однако, как и в прошлых версиях, остались внутренние резервы для атаки через прошивку. Другой проблемой являются высокие запросы к квалификации системного администратора. В случае неправильной настройки не то — не то утери приватного сертификата вся защита становится бесполезной. Выключая этого, нет никакой защиты от уязвимостей в пользовательском режиме. Да не стоит забывать, что VBS доступна лишь пользователям корпоративной версии Windows 10. Об всех найденных в процессе тестирования уязвимостях мы уведомили компанию Microsoft. Встроенная антивирусная ограждение Windows
Рассмотрим также компонент Windows, обеспечивающий защиту системы через вредоносных программ в реальном времени. Он включен по части умолчанию и для пользователей, пренебрегающих установкой сторонних антивирусов, является основным средством информационной безопасности в Windows. Основная урок встроенной защиты – предотвратить установку и запуск вредоносного программного обеспечения. Симпатия в реальном времени сканирует файлы и запущенные процессы, определяя середь них вредоносные в соответствии с регулярно обновляемой базой сигнатур. И в большинстве случаев экий защиты достаточно. Однако, если вы активный инет-пользователь и часто выполняете на компьютере критически важные операции – вот хоть, управляете своими банковскими счетами в интернет-банке, – вы нужна многоуровневая защита. Самый совершенный антивирус может прокараулить новый, еще неизвестный зловред. И в этом случае могут уберечь только дополнительные уровни защиты, которые помешают троянцу провести вредоносную деятельность в системе. Перехват ввода данных с клавиатуры
Вереница банкеров используют для кражи аккаунта пользователя в системе онлайн-банкинга отсадка перехвата ввода данных с клавиатуры. В частности, так поступают Qadars, Zbot и Cridex.. Наш брат протестировали реакцию встроенной защиты на перехват нажатий клавиш с через тестового приложения, использующего WinAPI-функцию GetAsyncKeyState (манер, аналогичный использованию в последнем тесте от компании MRG). У нас получилось навернуть имя пользователя и пароль при входе в систему PayPal рядом запущенном Защитнике. Логирование пароля при входе в являвшийся личной собственностью кабинет PayPal
Несанкционированный доступ к веб-камере
В следующем тесте автор этих строк попытались получить несанкционированный доступ к веб-камере. Такая функциональность в последние годы всегда чаще начала появляться в троянцах и прочих хакерских инструментах. Одним с ярких примеров популярности данного функционала у злоумышленников является реальность такого модуля слежения в троянце AdWind. Наблюдение ради жертвой через ее собственную веб-камеру позволяет сосредоточить о ней массу информации, которую можно использовать со временем для криминального заработка, хотя бы посредством банального шантажа видеозаписями интимного характера. Отдельный антивирусные решения способны контролировать доступ приложений к камере. В реальной жизни прагматично нет ситуаций, когда легитимному приложению нужно гнуть горб с камерой без уведомления пользователя, поэтому уведомить его об этом – удобная и принятая существенность. Пользователь может в каждом отдельном случае решить, в сущности ли приложению нужно использовать камеру, или но это подозрительная активность, которую надо пресечь. Наше тестовое использование использовало публичную библиотеку OpenCV (так же, к примеру, действует троянец Rover). Дитя природы скрипт на языке Python захватывал изображение с веб-камеры и показывал его в отдельном окне. В результате держи машине с ОС Windows 10 с включенной защитой применение свободно перехватывало видео, а пользователь не получал никаких уведомлений об этом. Интернирование экрана скриптом
Контроль drive-by-загрузок
Еще одной с наиболее актуальных проблем для Windows-пользователей являются многочисленные эксплойты, позволяющие инфекцию) систему через уязвимости в различных приложениях. Мы испытали встроенную защиту для одном из последних эксплойтов к уязвимости CVE-2016-1019 в Adobe Flash Player. Обложка эксплойта представляет собой SWF-объект, сжатый алгоритмом ZLIB. Флэш-эксплойт
В таком виде обложка определяется Защитником при копировании и помещается в карантин. Успешное детектирование упакованного эксплойта
Впрочем если подвергнуть файл декомпрессии, получив исходный SWF, сень пропустит его. Более того, сжатый файл, какой-либо успешно детектировался на диске, загружается с интернет-сайтов через drive-by-атаки и успешно запускается из контекста браузера. В случае ежели в системе установлена уязвимая версия Adobe Flash Player, пожалуй что заражение, так как в Защитнике отсутствует компонент контроля drive-by-загрузок. Успешная заваливание в браузере флэш-эксплойта, ранее успешно детектируемого получи и распишись диске
Заключение
На сегодняшний день для обеспечения надежной защиты пользовательской системы нужен сопряженный подход, который сочетает в себе как обычные детектирующие техники (сигнатурный расследование, анализ поведения и т.д.), так и дополнительные модули, которые нацелены получи и распишись выявление распространенных техник атак злоумышленников. Как показало наше небольшое труд, в некоторых случаях встроенных в Windows 10 технологий информационной безопасности к полноценной защиты от вредоносных атак недостаточно. В духе и в предыдущих версиях Windows, необходимо закрывать все возможные векторы атак с через специализированных защитных решений класса Internet Security.
Истoчниk: Securelist