![](https://habrastorage.org/webt/6f/mv/5g/6fmv5grq8zghyef1t4-51ifem_u.jpeg)
Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.
Silence использует проприетарный формат интерактивной справки Microsoft (Compiled HTML Help или CHM). После того, как жертва открывает вложение, стартует содержащийся в нем файл «start.htm» с JavaScript внутри, целью которого является скачивание дроппера с заданного адреса для выполнения следующего этапа. Дальше — больше: дроппер подгружает троянца Silence, модули которого функционируют как службы Windows. Среди них: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программа для удаленного выполнения консольных команд.
Вольготно обосновавшись в заражённой сети злоумышленники начинают партизанить — копить данные, записывать изображения с экранов жертв, вычисляя “дойных коров” — обладателей нужной информации. Как только им удается докопаться до “правды” — алгоритма работы инфосистем таких сотрудников — финансы плавно снимаются со счетов и перекочевывают в карманы злоумышленников.
Mozilla убирает слежку из Firefox
Бывало гордо отказываешься от сохранения cookie, заходишь на новый сайт и думаешь, что остался не замеченным. Но на самом-то деле тебя, скорее всего, посчитали. Просто сделали это чуть более изощренным способом. Один из множества таких инструментов — Canvas Fingerprinting.
В чем суть? На многих сайтах, установлен специальный код отслеживания. Он «просит» у браузера нарисовать скрытое изображение, причем из-за особенностей конкретной системы (GPU, драйвера, версии браузера и так далее) изображение получается не менее уникальным, чем человеческий отпечаток пальца. Так что компьютер надежно идентифицируется. Использоваться это знание может с очень разными целями. Чаще всего – для показа правильной рекламы. А отключить Canvas Fingerprint в популярных браузерах фактически невозможно.
В январе 2018 года Mozilla обещала сделать «поддержку» Canvas Fingerprint отключаемой. Эта опция станет доступной в Firefox 58. Занятно, что функция блокировки Canvas Fingerprint приехала в Firefox прямиком из Tor Browser, который базируется на коде Firefox. Раньше-то функции мигрировали как раз из Firefox в Tor. Остается понять что делать с остальными фингерпринтами и можно будет жить спокойно.
Зачем ломать замок, если можно зайти в хранилище ключей?
![](https://habrastorage.org/webt/uo/7m/4v/uo7m4vkttgowzjcctxspwexmxhm.jpeg)
Добавлять туда информацию может каждый обладатель аккаунта Google, но вот список открытых проблем доступен только сотрудникам корпорации добра. По крайней мере, так задумывалось. Алекс нашел способ при помощи Java-скрипта (через POST-запрос) получать полное описание багов. Он, правда, тут же уточняет, что сам не курил, это мальчишки соседние курили, а он просто рядом стоял. В смысле, в описания багов не вчитывался и никаких секретов не запомнил. Теперь, конечно, лазейка закрыта, а Бирсан на премию может купить себе что-нибудь приятное.
Стоит заметить, что это не первая история с несанкционированным доступом в хранилище уязвимостей, принадлежащее компании такого уровня. Нечто похожее случилось в 2013 году с Microsoft. А ведь, казалось бы, именно такие сервисы и должны оберегаться особенно тщательно, тем более, что их держат абсолютно все IT-компании. Потенциально злоумышленник может получить не только сотни заботливо описанных и проверенных уязвимостей оптом, но и вмешаться в работу трекера. Поменять статус понравившейся уязвимости на более низкий или просто закрыть тикет, как неподтвердившийся. Теоретически это может позволить отсрочить закрытие уязвимости на неопределенный срок.
![](https://habrastorage.org/files/1a3/d84/77c/1a3d8477c94641beaa19694292d10b54.png)
Древности
Семейство «Siskin»
Неопасные резидентные вирусы, стандартно поражают COM-, EXE- и OVL-файлы. Ежемесячно 7-го числа исполняют три мелодии (одна из них – «Чижик-Пыжик»). Перехватывает int 1Ch, 21h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Комментарии (6)
dzod
05.11.2017 16:31Молодцы ребята, годный материал пишите!
По поводу «причем из-за особенностей конкретной системы (GPU, драйвера, версии браузера и так далее) изображение получается не менее уникальным, чем человеческий отпечаток пальца. Так что компьютер надежно идентифицируется.» А гаджет идентефицируется, если использовать например не ТОР, а VPN+Inbrowser?
kernelconf
05.11.2017 23:37Для противодействия Canvas Fingerprinting есть несколько дополнений, от рандомизирующих его каждый раз, до сбрасываюших после перезапуска браузера, что даже лучше, так как первый вариант дает информацию что пользователь что-то химичит.
CrazyOpossum
Скрипта на Jave? Javascript'а?
apterion7
На днях тоже коллега задал вопрос, могу ли я править джава-скрипты. Даже растерялся.