S3R

В журнале CNews № 64 за 2012 год опубликован авторитетный Рейтинг CNews Analytics «Крупнейшие компании России в сфере защиты информации» — CNews Security 2012.

Отрадно, что наша компания НПО «Эшелон» вошла в ТОП-30 публичных ИБ-компаний. При этом компания показала достаточно высокие темпы роста (8 место), что является следствием креативной позиции коллектива в разных областях. Конечно, в прошлом году компания традиционно демонстрировала высокое качество в области сертификационных и аттестационных испытаний, тематических исследований средств защиты информации и программного обеспечения, в ИБ-проектах, поставках, интеграции, разработке, производстве средств и систем защиты информации, обучении, научных изысканиях (в том числе в качестве головного исполнителя), аудите безопасности систем, программ и систем менеджмента, консалтинге, спецэкспертизах и многое другое. Прикольно, что рейтинг отразил итоги уже ушедших 2011 и 2010 годов, мы же (чуть позже) уже сделаем осмысление основных позитивных успехов 2012 года.

Спасибо аналитикам CNews, поздравляем всех участников Рейтинга с этим приятным событием!

Весь год сотрудники компании «Эшелон» не только ударно работали, но и занимались разнообразными видами спорта.

Лето В самый холодный и дождливый день лета были проведены соревнования по броскам коллег в холодные воды Москвы-реки.

Осень. Осенью мужская часть компании потребовала закупить модную спортивную форму и стала пропадать на вечерних тренировках по футболу. Для остальных сотрудников спортивные наклонности коллег стали понятными только после изучения материалов, полученных от фотографа, пожелавшего остаться неизвестным.

Зима. Зимой к футболу добавился еще один вид спорта, традиционный для офисных сотрудников – боулинг.

 В результате проведенных соревнований были выявлены лучшие футболисты:

• Сергей Трошкин
• Александр Барабанов
• Максим Гришин
• Максим Юдов
• Олег Гудков

а также боулингисты:

• Александр Голиков
• Игорь Юрьевич Шахалов
• Захар Федоткин
• Виктор Карташов
• Денис Варин

Мы уже сообщали о публикации на официальном сайте ФСТЭК России проекта приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».  Поскольку блоггеры активно обсуждают данный документ, мы тоже решили высказать свое мнение.

Документ, в общем,  оставил позитивное впечатление. Отметим следующие положительные и прогрессивные моменты нового документа.

1. Документ написан с использованием обобщения «лучших практик» и мирового опыта в данной области (достаточно посмотреть NIST SP 800-53).
2. Указанные меры по защите информации сформулированы на основе последних достижений в области методов и средств защиты информации и позволяют противостоять наиболее актуальным в настоящее время угрозам, а не тем угрозам, которые были актуальны 20 — 30 лет назад.
3. Документ позволяет использовать компенсирующие меры защиты информации при невозможности или нецелесообразности реализации в системе защиты информации отдельных выбранных мер защиты информации — налицо прогрессивный шаг, уход от «табличного» подхода РД АС.

Linux / Chapro.A — вредоносный бинарный модуль для Apache Linux x64. Данная вредоносная программа  использует XOR цикл с 12 байтной длиной ключа для кодирования большинства строк.

Программа имеет множество возможностей, чтобы избежать обнаружения. Перед внедрением вредоносного контента она осуществляет ряд проверок.

Во-первых, Linux / Chapro.A проверяет user-arent пользователя веб-браузера для известных ботов, а также веб-браузеров. Если там встречается одно из «запрещённых» слов, то такому пользователю вредоносный фрейм не отгружается. Как видно на скриншоте, зловред игнорирует пользователей Chrome, поисковые боты, пользователей Linux, Mac OS.

Дополнительно, Chapro проверяет IP-адреса во всех SSH-соединениях, и эти IP-адреса тоже заносит в чёрный список. Кроме того, осуществляется проверка cookie, поставленного в прошлый раз каждому пользователю. Второй раз ему фрейм не передаётся, также как фрейм не передаётся на один и тот же IP-адрес дважды.

Наконец, когда Chapro всё-таки решает передать iframe посетителю, то внедряет в HTML-страницу примерно такой код:

Каждые 10 минут модуль опрашивает командный сервер с помощью HTTP POST запросов, и получает свежую копию вредоносного фрейма.

Источник.

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами
 ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

После этого Weelsof приступает к основной части своей программы: блокирует доступ к рабочему столу и выводит во весь экран локализованную страницу с поддельным сообщением от местных блюстителей порядка, якобы обнаруживших на машине пиратский контент. «Правонарушителю» предлагается в кратчайшие сроки заплатить штраф, чтобы вернуть компьютер в рабочее состояние. По свидетельству экспертов, структура воспроизводимой зловредом страницы периодически меняется ― во избежание обнаружения. Уплата выкупа далеко не всегда дает желаемый эффект, посему уступать требованиям вымогателей не рекомендуется.

Обновленный MRST начал с усердием вычищать Weelsof на местах, и к концу ноября число этих детектов, фиксируемых защитными решениями Microsoft, уменьшилось вполовину. Большое количество локальных заражений Weelsof обнаружено в США и Германии (по 19% общей популяции), а также во Франции (15%), Великобритании (12%) и Голландии (8%).