Выпуск №3
Август 2010
Некоторые приёмы статического анализа кода из арсенала вирусного аналитика
Исследователи вредоносного кода часто сталкиваются с упакованными и защищёнными исполняемыми файлами. Данная статья описывает приёмы работы с такими объектами при помощи редактора Hiew (Hacker's View), пользующегося популярностью в среде вирусных аналитиков. Статья ориентирована на начинающих специалистов, в задачи которых входит анализ исполняемых файлов в форматах PE или ELF, и предполагает знакомство с архитектурой x86 и ассемблером Intel.
Анализ и лечение классических вирусов
Техника инфицирования исполняемых модулей вновь стала актуальна, обеспечивая функцию сокрытия и самозащиты вредоносной программы. Одна из задач данной статьи — представить обзор классических техник заражения исполняемых файлов. Во второй части статьи рассматривается «шаг за шагом» процесс анализа и разработки процедуры лечения для относительно старого, но не утратившего своей актуальности файлового вируса Win32.Parite.C.
Буткиты: новый виток развития
В этой статье речь пойдёт о буткитах — вредоносных программах, получающих управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жёсткого диска (MBR). Статья представляет собой, в первую очередь, обзор новых и малоизученных семейств буткитов: Alipop, Mebratix, Black Internet. Особое внимание будет уделено принципам функционирования загрузочного кода.
TDSS: полное раскрытие
История вскрытия и анализ скрытых механизмов крупнейшего ботнета в мире. Данное исследование демонстрирует, как, имея на руках только инструмент злоумышленников (бинарный файл трояна), выйти на «цифровое ядро» киберформирования.
Атаки на банковские системы
Цель данной статьи — осветить современные тенденции в области атак на системы электронной коммерции. В первой части статьи приводится обзор технологий защиты онлайн-банкингов и схем атаки на них. Во второй части описаны результаты анализа шпионской программы Ibank - универсального инструмента для атаки на ряд популярных систем ДБО российского производства.
Выпуск №2. Безопасность в Интернете
Февраль 2010
Атака клонов. Омографическая атака на интернационализированные доменные имена
О современной реализации фишинговой атаки, основанной на подмене символов в написании доменных имён, и мерах безопасности, принимаемых регистраторами доменов верхнего уровня и производителями браузеров для защиты от неё.
Тестирование на проникновение: инструментальный анализ уязвимостей или имитация действий злоумышленника?
Обобщая свой опыт проведения «тестов на проникновение» в этой статье, автор акцентируется на важности имитации действий реального злоумышленника в ходе тестирования и приведит примеры универсальных атак на защищенные ресурсы, высокая эффективность которых подтверждается на практике в большинстве случае.
Повышение защищённости протокола HTTPS при помощи прокси-сервера
Об ошибках в реализации протокола HTTPS, предупреждениях браузеров об устаревших сертификатах и других проблемах, решаемых при помощи технологий проксирования SSL.
Атака через браузер. Анализ вредоносных Flash-объектов и документов в формате PDF
Большая часть веб-заражений сегодня осуществляется при посредстве вредоносных офисных документов и Flash-объектов. В статье представлена аналитическая и инструментальная база для анализа этого вида атак.
Выпуск №1. Rootkit-технологии
Ноябрь 2009
Обнаружение руткитов режима ядра с помощью отладчика [ 
PDF ]
Часто с выявлением системных аномалий, вызываемых наиболее профессиональными руткитами режима ядра, не справляются специализированные утилиты. В таких случаях в качестве инструмента для поиска руткитов может использоваться отладчик ядра. В статье описаны наиболее сложные техники сокрытия активности в системе и принципы их обнаружения вручную на примере отладчика WinDBG.
Современные rootkit-технологии в Linux [ PDF ]
О руткитах для *nix-систем мало пишут, отчего они не перестают быть вполне реальной угрозой. Автор описывает несколько малоизвестных механизмов сокрытия программной активности в Linux.
Анализ руткита TDSS [ PDF ]
Руткит TDSS также известен под именами Tidserv, TDSServ и Alureon. Автор фокусируется на анализе техник инсталляции руткита, обхода антивирусов и деталях функционирования драйвера.
«Все лгут». Погоня за истиной при поиске руткитов [ PDF ]
В этой статье вкратце описывается достаточно простой и, вместе с тем, более эффективный и безопасный, чем общепринятые, метод получения информации о состоянии NT-системы, который может применяться при поиске руткитов. Вкратце рассмотрены преимущества и ограничения существующих технологий, широко применяемых в антивирусах и антируткитах. Далее приведены детали предлагаемого метода, его плюсы и минусы, очевидные пути обхода и пример практической реализации.