Blog SegInfo - Segurança da Informação - Tecnologia - Notícias, Artigos e Novidades » rootkit

Rootkit TDL4 passa a usar 0-day utilizado pelo Stuxnet

Arlindo Pereira — Mon, 13 Dec 2010 13:46:07 +0000

O rootkit TDL4, uma variante do TDSS (Alureon) passou a utilizar uma vulnerabilidade 0-day no Windows Task Scheduler, seguindo o movimento do Stuxnet. O 0-day permite explorar uma falha de escalada de privilégios no Windows 7 e Vista, permitindo o rootkit se instalar no sistema, enganando o mecanismo de proteção User Access Control. O rootkit tem sido utilizado por cibercriminosos para criar pequenas botnets; um agravante é que uma vez instalado, ele ordena o download de outros malwares através de uma conexão encriptada, tornando mais difícil analisar os pacotes trafegando pela rede.

Via TDL4 rootkit copies Stuxnet, targets Windows users.

Posts Relacionados

Disponibilizados webcasts, vídeos e podcasts da conferência RSA 2011

Oracle Java 6 Update 24 corrige 21 vulnerabilidades

Linux vulnerável a ataques semelhantes aos de autorun no Windows

Vulnerabilidade no Cisco Internet Streamer

Pesquisadores de segurança encontram primeiro rootkit para Windows 64-bit

Editor — Sat, 28 Aug 2010 11:48:08 +0000

Uma nova versão do malware que se disseminou em fevereiro deste ano está agora infectando máquinas rodando as versões 64-bit do Windows. O rootkit atualizado, conhecido pelos nomes de Alureon, TDL e Tidserv, é o primeiro rootkit compatível com instruções 64-bit em kernel mode a se popularizar. Ele consegue ultrapassar as duas proteções anti-rootkit que a Microsoft implementou nas últimas versões do Windows, a Kernel Mode Code Signing e a Kernet Patch Protection, mais conhecido como PatchGuard.

Fonte: Rootkit with Blue Screen History Now Targets 64-Bit Windows – CIO.com

Foto: Roots por Waka Jawaka, CC-BY.

Posts Relacionados

A maioria dos usuários não se preocupa com segurança em smartphones, diz pesquisa

Relatório revela novos números de ataques a aplicações web - via @Imperva

Últimas vagas nos cursos de Teste de Invasão em Redes e Sistemas EAD e Fortalecimento de Servidores UNIX/Linux EAD da Academia Clavis Segurança da Informação

Cresce o número de phishing destinado a redes sociais e sites de universidades

Microsoft liberará patch para corrigir a vulnerabilidade .LNK na segunda-feira dia 02

Editor — Sun, 01 Aug 2010 22:53:30 +0000

A Microsoft irá liberar na segunda-feira dia 02 um patch para corrigir a vulnerabilidade em arquivos de atalho (.LNK), que vem sido explorada desde o mês passado. A atualização out of band, ou seja, fora do calendário de atualizações previstas, irá ser disponibilizada às duas da tarde no horário brasileiro (10:00 PDT).

Fonte: Out of Band Release to address Microsoft Security Advisory 2286198 – The Microsoft Security Response Center (MSRC) – Site Home – TechNet Blogs (via)

Foto: | USB moment | por arquera, CC-BY.

Posts Relacionados

Microsoft lança 10 boletins de segurança em junho

Saiu a quarta edição da revista Segurança Digital (via @_SegDigital)

Pesquisa sobre vazamento de dados aponta falhas em serviços financeiros

GTER31 e GTS17 - Mudança de Datas

Sophos fornece gratuitamente ferramenta para prevenir o rootkit .LNK no Windows

Editor — Mon, 26 Jul 2010 14:58:04 +0000

A empresa de segurança Sophos lançou hoje uma ferramenta gratuita para impedir o rootkit que utiliza a vulnerabilidade 0-day em arquivos de link (.LNK) no Windows. O programa, chamado Sophos Windows Shortcut Exploit Protection Tool, pode ser executado paralelamente à soluções antivírus tradicionais, e pode ser baixado do site da empresa gratuitamente.

Ainda não há previsão de lançamento de atualização corrigindo o problema por parte da Microsoft.

Fonte e foto: Sophos provides free tool to protect against Windows .LNK zero-day vulnerability

Posts Relacionados

Challenge #2 Blog SegInfo - Aplicação Web

10 coisas que você (provavelmente) não sabia sobre ciberguerra

iExploder: software para garantia de qualidade de navegadores web

Corte suprema da California decide que policiais não precisam de mandato para revistar aparelhos celulares

Siemens recomenda seus clientes a não mudarem as senhas depois de ataque de worm

Editor — Thu, 22 Jul 2010 18:56:27 +0000

Ainda sobre o rootkit 0-day de arquivos de atalho: descobriu-se que o rootkit traz também um worm que ataca sistemas SCADA (supervisory control and data acquisition) da Siemens chamado WinCC. Os sistemas SCADA são utilizados em aplicações industriais em fábricas de produtos, produção de alimentos, instalações químicas e usinas de energia, dentre outros, o que torna o ataque ainda mais crítico.

Frente a tudo isso, a Siemens avisa aos seus clientes para não modificarem as senhas padrão dos seus sistemas, pois isto quebrará as integrações entre os sistemas SCADA. Para piorar a situação, a senha padrão dos sistemas WinCC já é conhecida desde de 2008.

Aparentemente, o worm está dirigido no roubo de informações, não num dano direto aos sistemas, pois o ataque seria poderia ser devastador.

Fonte: After Worm, Siemens Says Don’t Change Passwords – CIO.com – Business Technology Leadership

Foto: Siemens Schweiz por surber, CC-BY.

Posts Relacionados

Publicada Portaria que estabelece diretrizes de gerência de incidentes em redes do Governo Federal

Atualizações de segurança do Windows da última terça "quebram" VMware

Malware Carberp se atualiza automaticamente, e agora foca também em dados bancários russos

Lançamento do AVG 2011

Vulnerabilidade LNK sobe o nível Infocon da ISC para amarelo, mas retorna para verde

Editor — Tue, 20 Jul 2010 21:10:13 +0000

O Internet Storm Center publica o chamado nível Infocon, utilizado para ilustrar o nível de perigo que as vulnerabilidades trazem ao tráfego na internet e aos sistemas de computadores em geral. Ontem à tarde o nível Infocon subiu de verde para amarelo devido à vulnerabilidade LNK, como está sendo chamado o rootkit 0-day de arquivos de atalho que divulgamos no Blog SegInfo, e assim permaneceu por mais de 24h. Há instantes (às 17h53), o nível Infocon voltou a ficar verde, mas irá para amarelo novamente caso a infecção se espalhe.

Fonte: Preempting a Major Issue Due to the LNK Vulnerability – Raising Infocon to Yellow e Lowering infocon back to green

Foto: | USB moment | por arquera, CC-BY.

Posts Relacionados

OpenWall "Owl" Linux com mais ferramentas de segurança

VideoLAN divulga nota de segurança

Tutoriais de ataques de injeção SQL da OWASP

Evento "Cloud Computing - A Segurança na Nuvem" - por ISACA-RJ (via @ppagliusi)

Vulnerabilidade de arquivos de atalho (.lnk) é confirmada pela Microsoft, e não é exclusiva do Windows 7

Editor — Mon, 19 Jul 2010 13:51:56 +0000

Lembra da notícia sobre o rootkit de afeta arquivos de atalho (.lnk) que divulgamos na última sexta (16/07)? A Microsoft confirmou a vulnerabilidade, indicando que o malware afeta não só o Windows 7, como todos os outros – XP, Vista, 2003, 2008. Ainda não foi indicado data de lançamento do bugfix, de forma que a possível correção do 0-day deverá ser liberado na próxima “patch tuesday”, dia 10 de agosto de 2010.

Apesar de não ter sido mencionado no relatório de segurança da Microsoft, o Windows XP SP2 também é afetado pela vulnerabilidade (o relatório menciona apenas o Windows XP SP3). Sendo assim, esta é a primeira vulnerabilidade do XP SP2 que não será corrigida pela Microsoft, poucos dias após o fim do suporte ao sistema por parte da Microsoft.

Fonte: Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution (via)

Foto: Screen shot por warrenski, CC-BY-SA.

Posts Relacionados

Microsoft - número recorde de atualizações de segurança da "patch tuesday" de outubro

SegInfo automatiza processo de inscrições

Estatísticas de ocorrências do CERT.br para o ano de 2010

Lançado Python 3.2; linha 2.X somente receberá atualizações de segurança

Novo malware para Windows 7 – arquivos de atalho

Editor — Fri, 16 Jul 2010 15:38:59 +0000

Foi descoberto um novo tipo de malware capaz de infectar um sistema Windows 7 com todas as atualizações de segurança através de um pendrive. O malware, do tipo rootkit, se dissemina através de dispositivos de armazenamento USB (como pendrives) mas não utiliza o sistema tradicional de auto-execução (autorun).

O malware se esconde num arquivo de atalho (.lnk), tais como os atalhos para programas na área de trabalho. Tradicionalmente eles só são executados caso o usuário dê um duplo-clique no ícone, mas um arquivo .lnk malicioso pode ser executado automaticamente quando a pasta é aberta no Windows Explorer (ou qualquer outro programa que permita ver ícones). Então, o malware faz a ação tradicional de rootkit – se instala na máquina e passa a ocultar a sua presença.

Fonte: Experts Warn of New Windows Shortcut Flaw — Krebs on Security

Foto: | USB moment | por arquera, CC-BY.

Posts Relacionados

Pesquisador de segurança cria ferramenta para ataques DDoS com um encurtador de URL

Fraudes online somaram R$ 900 milhões de prejuízo aos bancos brasileiros em 2009

Retrospectiva dos perigos tecnológicos da última década

Palestrante do SegInfo fala sobre obrigatoriedade do armazenamento de logs de conexão pelos provedores

Rootkit para Android a ser demonstrado na DEF CON

Editor — Fri, 04 Jun 2010 18:01:35 +0000

Na próxima DEF CON, a conferência hacker que ocorerrá nos dias 30 de julho a 1º de agosto de 2010 nos Estados Unidos, os hackers da Trustwave apresentarão um rootkit para celulares Android. O malware, prova de conceito, foi concebido como um módulo do kernel Linux, possibilitando controle total e remoto no sistema. Um atacante poderia, por exemplo, ligar para o celular infectado e ao invés do celular tocar, cair numa shell com o usuário root, redirecionar chamadas ou mesmo capturar dados de login e senha. A Google, em resposta, disse que o rootkit é uma prova de conceito e que para instalá-lo é necessário ter acesso root no sistema, o que por padrão é desativado, e que é uma demonstração interessante de como os celulares atuais são tão poderosos quanto computadores domésticos.

Fonte: Network World

Foto: android plush bag por laihiu, CC-BY.

Posts Relacionados

Firewalls de aplicação web e open source

Firma de segurança diz para o Facebook: renovem suas políticas (de privacidade)

88 defeitos de "alto-risco" encontrados no kernel do Android

Aniversário de 1 ano do blog SegInfo!