Это слово можно найти в рекламе dr web
Порой так хочется заглянуть какому-нибудь вирусописателю в глаза и спросить: зачем и почему? С ответом на вопрос «как» мы справимся сами, а вот узнать, чем думал руководствовался тот или иной создатель вредоносного ПО, было бы очень интересно. Тем более, когда нам попадаются такие «жемчужины».
Герой сегодняшней статьи – интересный экземпляр шифровальщика. Задумывался он, по всей видимости, как очередной «вымогатель», но его техническая реализация больше похожа на чью-то злую шутку. Об этой реализации сегодня и поговорим.
К сожалению, проследить жизненный цикл этого энкодера практически невозможно – слишком уже мало статистики по нему, так как распространения он, к счастью, не получил. Поэтому оставим за скобками происхождение, методы заражения и прочие упоминания. Расскажем лишь о нашем случае знакомства с Wulfric Ransomware и о том, как мы помогли пользователю спасти его файлы.
Как активировать Dr.Web через ключевой файл
- Скачайте по ссылкам ниже взломанный ключевой файл для своей версии антивируса.
Справка! Скачивать крякнутый Dr.Web через торрент не нужно — ключевым файлом можно активировать только оригинальную версию, загруженную с официального сайта.
III. Выводы и заключение
Возвращаясь к началу. Мы не знаем, чем руководствовался автор Wulfric.Ransomware и какую цель он преследовал. Безусловно, для рядового пользователя результат работы даже такого шифровальщика покажется большой бедой. Файлы не открываются. Все названия пропали. Вместо привычной картинки – волк на экране. Заставляют читать про биткоины.
Правда, в этот раз под личиной «страшного энкодера» скрывалась такая вот нелепая и бестолковая попытка вымогательства, где злоумышленник использует готовые программы и оставляет ключи прямо на месте преступления.
Кстати, о ключах. У нас не было вредоносного скрипта или трояна, по которому можно было бы понять, как возник этот pass.key – механизм появления файла на зараженном ПК остается неизвестным. Но, помнится, в своей записке автор упоминал об уникальности пароля. Так вот, кодовое слово для расшифровки настолько же уникально, насколько уникальным является юзернейм shadow wolf :)
Антивирус Dr.Web на Windows и Android предоставляется бесплатно на один месяц. После окончания пробного периода вас попросят купить лицензию и ввести приобретенный серийный номер. Но активировать антивирус можно и без покупки: на нашем сайте вы найдете свежие коды активации и сможете бесплатно скачать ключевые файлы от 2022 года.
Dr.Web Security Space
Комплексная защита компьютера от интернет-угроз: включает в себя файрволл, брандмауэр, родительский контроль и антиспам.
7TBH-WD6B-6334-784C
ZP9U-3QHW-ST47-VF2Z
SE7D-QW66-W58G-J4X9
D93C-A7SP-3MWS-1UQ7
Dr.Web KATANA
Легкая не сигнатурная утилита для ПК: не конфликтует с другими антивирусами и обеспечивает защиту от новейших угроз.
I. Как все начиналось
В нашу антивирусную лабораторию часто обращаются люди, пострадавшие от шифровальщиков. Мы оказываем помощь вне зависимости от того, какие антивирусные продукты у них установлены. В этот раз к нам обратился человек, чьи файлы оказались поражены неизвестным энкодером.
Добрый день! Были зашифрованы файлы на файловом хранилище (samba4) с беспарольным входом. Подозреваю, что зараза пошла с компьютера дочери (Windows 10 со штатной защитой Windows Defender). Компьютер дочери не включали после этого. Файлы зашифрованы в основном .jpg и .cr2. Расширение файлов после шифрования: .aef.
Мы получили от пользователя образцы зашифрованных файлов, записку о выкупе и файл, который, вероятно, является ключом, необходимым автору шифровальщика для расшифровки файлов.
Вот и все наши зацепки:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Внимание, ваши файлы зашифрованы!
пароль уникален для вашего ПК.
После подтверждения я вышлю вам расшифровщик для файлов.
Пафосный волк, призванный показать жертве серьезность ситуации. Впрочем, могло быть и хуже.
Рис. 1. -As a bonus, I will tell you how to protect your computer in the future. –Seems legit.
I. Как все начиналось
В нашу антивирусную лабораторию часто обращаются люди, пострадавшие от шифровальщиков. Мы оказываем помощь вне зависимости от того, какие антивирусные продукты у них установлены. В этот раз к нам обратился человек, чьи файлы оказались поражены неизвестным энкодером.
Добрый день! Были зашифрованы файлы на файловом хранилище (samba4) с беспарольным входом. Подозреваю, что зараза пошла с компьютера дочери (Windows 10 со штатной защитой Windows Defender). Компьютер дочери не включали после этого. Файлы зашифрованы в основном .jpg и .cr2. Расширение файлов после шифрования: .aef.
Мы получили от пользователя образцы зашифрованных файлов, записку о выкупе и файл, который, вероятно, является ключом, необходимым автору шифровальщика для расшифровки файлов.
Вот и все наши зацепки:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Внимание, ваши файлы зашифрованы!
пароль уникален для вашего ПК.
После подтверждения я вышлю вам расшифровщик для файлов.
Пафосный волк, призванный показать жертве серьезность ситуации. Впрочем, могло быть и хуже.
Рис. 1. -As a bonus, I will tell you how to protect your computer in the future. –Seems legit.
Видео эксплуатации
Демонстрация проходит на ОС Windows 10 x64 от пользователя без прав администратора.
0:00-0:12 через консоль Windows показываю, что текущий пользователь не является администратором
0:12-0:24 показываю установленную версию Dr.Web Security Space
0:24-0:29 в папке на рабочем столе находится файл drweb_eop_upd_dll.dll (исходные коды и файл приложены к тикету)
0:29-0:34 показываю, что в папке C:\ProgramData\Doctor Web\Updater\etc находится 3 файла
0:34-0:47 копирую библиотеку drweb_eop_upd_dll.dll в папке на рабочем столе и один экземпляр называю version.dll, другой — cryptui.dll
0:47-0:56 копирую файл C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe в папку на рабочем столе, рядом с dll.
0:56-1:00 запускаю скопированный файл
Запускаемый файл drwupsrv.exe из папки на рабочем столе загружает расположенную рядом version.dll. Данная библиотека создает файл C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml.new. На папку C:\ProgramData и вглубь у пользователя есть права на создание файлов, поэтому это легальная операция. Если попробовать создать такой файл вручную, то, вероятно, защитные механизмы Dr.Web предотвращают такую операцию. Но в эксплуатации создание файла проходит от имени drwupsrv.exe, что вероятно обходит внутренние проверки и файл создается. Фактически, это обход той самой проверки подписи о которой и идет речь в начале статьи.
1:00-1:22 демонстрирую созданный файл и его содержимое. В общем смысле файл совпадает по содержимому с файлом C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml, но все пути указывают папку на рабочем столе (C:\Users\User\Desktop\dwtest)
1:22-2:00 ничего не происходит (на этом этапе я ожидаю процесса обновления ПО, который по умолчанию происходит раз в полчаса и ожидаемое время можно найти в логах)
2:00-2:14 судя по всему, взяв созданный файл конфигурации, обновлятор видит, что в папке C:\Users\User\Desktop\dwtest нет файлов ПО Dr.Web, начинает туда файлы ПО копировать.
Среди копируемых файлов есть файл dwservice.exe, который запускается в момент обновления от имени пользователя NT AUTHORITY\SYSTEM. Данный файл загружает в себя библиотеку cryptui.dll, которая была в папке C:\Users\User\Desktop\dwtest. Код библиотеки просто запускает интерактивную консоль, которую и видно на экране. Командой whoami убеждаюсь, что получены права системы.
Отчет об уязвимости был отправлен в Доктор Веб и, вроде бы, разработчики все поправили.
15.05.2020 — Обращение в техподдержку с просьбой предоставить security-контакт.
20.05.2020 — Получаю ответ, что можно передать отчет в данном обращении
20.05.2020 — Передаю отчет
14.06.2020 — Получаю ответ, что для 12 версии уязвимость исправлена. Ожидают портирование для версии 11.
07.07.2020 — Разработчики подтверждают, что исправления выпущены.
Как активировать Dr.Web через код активации
Свежие серии ключей доступны на нашем сайте абсолютно бесплатно. В основном они активируют Dr.Web на 3 месяца, но присутствуют рабочие ключи и на более долгий срок.
Также существуют специальные журнальные ключи для антивируса. Журнальный ключ — это официальная лицензия, которая предоставляется самой компанией Dr.Web специально для читателей некоторых компьютерных журналов. Единственное отличие такого ключа — это время действия, так как обычно они действительны в течение 1-2 месяцев.
Важно! Помимо этого компания Dr.Web предоставляет пользователям возможность активировать лицензию с помощью кодового слова. Кодовое слово — это слово, которое можно найти в рекламе Dr.Web. Чтобы получить бесплатную защиту на 3 месяца, необходимо ввести найденное кодовое слово на официальном сайте.
Разведка
Я не разбираюсь в продуктах Доктор Веб, поэтому взял первое попавшееся, что можно было скачать на сайте — это был Dr.Web Security Space 12 для Windows. При настройках по умолчанию данный продукт проводит проверку обновлений каждые полчаса. И в механизме обновления была обнаружена уязвимость.
Ниже я предлагаю видео эксплуатации с описанием того, что происходит на видео с привязкой ко времени. Там же будет описание, в чем же конкретно состояла уязвимость.
II. Приступаем к работе
Первым делом мы взглянули на структуру присланного образца. Как ни странно, он не был похож на файл, пострадавший от шифровальщика. Открываем шестнадцатеричный редактор и смотрим. В первых 4 байтах содержится оригинальный размер файла, следующие 60 байт заполнены нулями. Но самое интересное находится в конце:
Рис. 2 Анализируем поврежденный файл. Что сразу бросается в глаза?
Все оказалось до обидного просто: 0х40 байт из заголовка были перенесены в конец файла. Для восстановления данных достаточно просто вернуть их в начало. Доступ к файлу восстановлен, но зашифрованным осталось название, и с ним все сложнее.
Рис. 3. Зашифрованное название в Base64 выглядит как бессвязный набор символов.
Попробуем разобрать pass.key, отправленный пользователем. В нем мы видим 162-байтную последовательность символов в ASCII.
Рис. 4. 162 символа, оставленные на ПК жертвы.
Если приглядеться, то можно заметить, что символы повторяются с определенной периодичностью. Это может свидетельствовать об использовании XOR, где свойственны повторения, частота которых зависит от длины ключа. Разбив строку по 6 символов и проXORив некоторыми вариантами XOR-последовательностей, какого-либо осмысленного результата мы не добились.
Рис. 5. Видите повторяющиеся константы в середине?
Решили погуглить константы, потому что да, так тоже можно! И все они в итоге привели к одному алгоритму − Batch Encryption. После изучения скрипта стало понятно, что наша строка – это не что иное, как результат его работы. Следует упомянуть, что это вовсе не шифровальщик, а всего-навсего кодировщик, заменяющий символы на 6-байтные последовательности. Никаких тебе ключей или других секретов :(
Рис. 6. Кусок оригинального алгоритма неизвестного авторства.
Алгоритм не работал бы как надо, если бы не одна деталь:
Рис. 7. Morpheus approved.
С помощью обратной подстановки превращаем строку из pass.key в текст из 27 символов. Особого внимания заслуживает человеческий (скорее всего) текст ‘asmodat’.
Рис.8. USGFDG=7.
Рис. 9. Интерфейс Folder Locker. Обязательно проверили на вредоносность.
Утилита представляет собой шифратор для Windows 7 и выше, который распространяется с открытым исходным кодом. При шифровке используется пароль, необходимый для последующей дешифровки. Позволяет работать как с отдельными файлами, так и с целыми директориями.
Ее библиотека использует симметричный алгоритм шифрования Rijndael в режиме CBC. Примечательно, что размер блока был выбран равным 256 бит – в отличие от принятого в стандарте AES. В последнем размер ограничивается 128 битами.
Наш ключ формируется по стандарту PBKDF2. При этом паролем выступает SHA-256 от введенной в утилите строки. Остается лишь найти эту строку, чтобы сформировать ключ дешифровки.
Что ж, вернемся к нашему уже раскодированному pass.key. Помните ту строчку с набором цифр и текстом ‘asmodat’? Пробуем использовать первые 20 байт строки в качестве пароля для Folder Locker.
Гляди-ка, работает! Кодовое слово подошло, и все прекрасно расшифровалось. Судя по символам пароля – это HEX-представление определенного слова в ASCII. Попробуем отобразить кодовое слово в текстовом виде. Получаем ‘shadowwolf’. Уже чувствуете симптомы ликантропии?
Давайте еще раз взглянем на структуру пораженного файла, теперь уже зная механизм работы локера:
- 02 00 00 00 – режим шифрования имен;
- 58 00 00 00 – длина зашифрованного и закодированного в base64 имени файла;
- 40 00 00 00 – размер перенесенного заголовка.
Рис. 10. Красным выделено зашифрованное имя, желтым – перенесенный заголовок.
А теперь сравним зашифрованное и расшифрованное имена в шестнадцатеричном представлении.
Структура расшифрованных данных:
- 78 B9 B8 2E – мусор, созданный утилитой (4 байта);
- 0С 00 00 00 – длина расшифрованного имени (12 байт);
- далее идет, собственно, имя файла и дополнение нулями до нужной длины блока (паддинг).
Как продлить лицензию Dr.Web
Продлить действующую лицензию можно как с помощью взломанных ключей и ключевых файлов, так и официально, через сайт компании. Неофициальные ключи заменяют друг друга и не суммируются между собой.
Но если вы продлеваете лицензию через официальный сайт, то при покупке получите скидку от 40% до 43%, а срок старой лицензии суммируется со сроком новой.
Dr.Web-Key: ключи для Dr.Web, кодовое слово запись закреплена
Название программы: Adguard
Adguard — это программа для блокировки рекламы, входящая в тройку лучших антибаннеров мира вместе с расширениями от Adblock и Adblock Plus. Однако Adguard не ограничивается банальным удалением баннеров — это универсальная программа, которая содержит в себе все самые необходимые функции для максимально комфортного пользования интернетом. Например, предупреждение или блокирование фишинговых и других онлайн-угроз, фильтрация нецензурных материалов и защита ваших личных данных в интернете.
Функциональные возможности
Программа включает 3 основных модуля: Антибаннер, Антифишинг и Родительский контроль.
Антибаннер полностью удаляет все рекламные элементы с веб-страниц. Блокирует видеорекламу, всплывающие окна, убирает объявления, баннеры и другие материалы рекламного характера. При этом фильтрация происходит еще до загрузки сайта в браузере, а это значит:
а) никакой рекламы;
б) экономия трафика/денег;
в) сокращение времени загрузки сайтов.
Антитрекинг — это защита от посторонних наблюдателей истории вашего серфинга. С Adguard рекламные сети и счетчики не смогут отследить ваши поисковые запросы и посещенные вами сайты и использовать эти данные в корыстных целях. В то время как без Adguard они имеют довольно полное представление о вашем поле, возрасте и сфере интересов.
Антифишинг защищает вас от сайтов, содержащих вредоносный код, а также от сайтов интернет-мошенников. Программа действительно снижает вероятность заражения компьютера вирусами. Adguard использует черные списки, насчитывающие миллионы опасных сайтов. Модуль Антифишинга обрабатывает URL-адреса в режиме реального времени — сверяет их с доменами сайтов в своей базе данных. А благодаря оптимизации данного процесса — такая проверка занимает доли секунды. Это функция, выгодно отличает Adguard от главных конкурентов — Adblock и Adblock Plus.
Родительский контроль позволяет защитить детей от вызывающих и нецензурных материалов и сайтов для взрослых, что в целом обеспечивает безопасность детей онлайн. Родители могут быть абсолютно спокойны, поскольку их ребенок не увидит порнографического содержания в интернете. Кстати, эта функция недоступна другим популярным блокираторам рекламы, таким как Adblock и Adblock Plus.
1. Работает во всех популярных браузерах;
2. Разработана для блокировки любых видов рекламы;
3. Проста в использовании, незаметно блокирует рекламу в фоновом режиме;
4. Предупреждает об опасности при переходе на подозрительные сайты;
5. Блокирует все механизмы трекинга и защищает ваши личные данные;
6. Защищает детей в интернете, блокирует доступ к “взрослым” сайтам;
7. Имеет модуль (Помощник Adguard) для управления программой прямо из браузера;
8. Работает «из коробки», не требуя никаких дополнительных настроек;
9. Ускоряет интернет. Без тонны баннеров страницы открываются гораздо быстрее;
10. Экономит трафик. Реклама убирается еще ДО загрузки страницы в браузер, а значит страницы открываются чистыми и лишний трафик не тратится на отображение баннеров;
11. Даёт возможности продвинутой настройки: добавление своих пользовательских скриптов (userscripts).
Комфортная работа в сети
Adguard станет настоящим спасением для тех, кто устал от навязчивой рекламы. Больше не будет никаких назойливых баннеров, отвлекающей флеш- анимации, раздражающей видеорекламы на Youtube. Уже сегодня вы можете открыть для себя чистый и безопасный интернет, как это сделали почти 11,5 миллионов пользователей Adguard.
Системные требования
Операционные системы: Windows XP, Vista, 7, 8, 8.1, 10;
ОЗУ: от 512Мб;
Браузеры: Internet Explorer (все версии IE), Google Chrome, Opera, Яндекс Браузер, Mozilla Firefox, а также любой другой браузер;
Диск: 50Мб свободного места на диске.
Виктор Злобин
Dr.Web-Key: ключи для Dr.Web, кодовое слово запись закреплена
Трояны-вымогатели — обратная сторона криптографии
Ежегодно 5 мая в нашей стране отмечается День криптографической службы России. Криптография неотделимо связана с безопасностью информации. Прикладное значение этой древней науки невозможно переоценить, так как потребность человека ограничивать доступ к информации так же естественна, как и потребность эту информацию распространять.
Показать полностью. В этом смысле криптографию можно считать удивительной наукой — естественная и стройная, как математика, при этом живая и многофункциональная, как всякий язык. Не будет преувеличением сказать, что современный цифровой мир твердо опирается на законы криптографии: методы обеспечения защиты информации по определению немыслимы без соответствующих знаний.
И если бы все светлые концепции, до которых додумывался человек, использовались лишь в благих целях, мир, безусловно, стал бы утопией. Трояны-шифровальщики — частный, но очень показательный пример того, как заложенные в криптографии идеи нашли свое широчайшее применение и у киберпреступников. Криптография как наука занимает очень важное место в извечном противостоянии меча и щита, поэтому среди объемного багажа знаний вирусных аналитиков «Доктор Веб» знания в области криптографии являются определяющими.
В сегодняшнем выпуске «Антивирусной правды», приуроченном к знаменательной дате, мы решили кратко рассказать нашим читателям, почему стоит избегать встречи с троянами-шифровальщиками, и напомнить о несложных правилах, которые позволят уберечь компьютер от таких атак.
Троянов-шифровальщиков часто называют цифровой чумой XXI века. Массовые заражения компьютеров шифровальщиками начались в середине нулевых, хотя сама концепция таких атак была сформулирована гораздо раньше — в 90-е. Первые атаки были достаточно примитивны: зачастую вирусы шифровали только названия файлов и каталогов, либо же злоумышленники использовали некриптостойкие алгоритмы шифрования, которые позволяли впоследствии восстановить измененные файлы. Но идея вымогательства и шантажа очень «удачно» легла в основу таких атак.
С развитием технологий — совершенствованием алгоритмов шифрования, созданием анонимных сетей типа Tor, распространением криптовалют и ростом процессорных мощностей — развитие получили и атаки шифровальщиков. Вирусописатели стали использовать заимствованный код, отвечающий за шифрование данных, при этом поменялась и сама схема шифрования. Ключ дешифровки стал уникальным для каждой жертвы, таким образом с его помощью нельзя было расшифровать файлы, зашифрованные другой копией трояна. Алгоритмы шифрования, такие как RSA, AES и их разновидности обладают достаточной криптостойкостью, чтобы расшифровать файлы без ключа дешифровки или ошибки в коде трояна было попросту невозможно.
Атаки шифровальщиков стали настоящей эпидемией в прошлом десятилетии, при этом множество злоумышленников сфокусировались на более крупных целях — компаниях и предприятиях. Перспектива необратимой потери информации на корпоративных компьютерах может быть фатальна для бизнеса, поэтому аппетиты злоумышленников росли в геометрической прогрессии. Так, средний выкуп за восстановление файлов обычного пользователя мог оцениваться в 300-500$, а для организаций — сотни тысяч и даже миллионы долларов в зависимости от масштабов компании-жертвы.
Что делает атаки шифровальщиков столь опасными? В первую очередь, перспектива полной потери измененных данных. Жертва как правило не осознает ценность своей цифровой информации до тех пор, пока не столкнется с последствиями такой атаки. Фотографии, видео, заметки и записи, собранные коллекции — все это для большинства из нас представляет очень высокую эмоциональную ценность, порой невыражаемую в денежном эквиваленте. Злоумышленники прекрасно это понимают, поэтому умело играют на чувствах жертвы. Для компаний, как было сказано выше, потеря информации может обернуться многомиллионными издержками, репутационными потерями или вовсе крахом бизнеса. Во-вторых, злоумышленники зачастую шантажируют жертв (обычно крупные компании) обнародованием украденной информации. При этом доподлинно неизвестно, были ли файлы украдены и зашифрованы, либо же только зашифрованы. Неизвестность, внезапность, ощущение, что все козыри на стороне злоумышленников — все это оказывает серьезное давление на жертву таких атак.
Эффективность и прибыльность атак шифровальщиков на крупные компании привела к распространению Ransomware-As-A-Service («вымогательство как услуга»). Вирусописатели продают так называемым операторам готовые наборы ПО для атак на различные цели, при этом получая комиссию от вырученной прибыли.
Одним из последних трендов в мире шифровальщиков является использование вирусописателями утилиты BitLocker, встроенной в современные ОС Windows. Такой подход позволяет минимизировать риск детектирования вредоносной активности антивирусом, так как BitLocker определяется как легитимная программа. Как правило, сценарий заражения следующий: злоумышленник получает доступ к RDP-сессии жертвы и доставляет полезную нагрузку, позволяющую запустить BitLocker с нужными параметрами, после чего шифрует логические диски жертвы.
Стоит отдельно отметить, что все специалисты по компьютерной безопасности и компания «Доктор Веб» в частности категорически не рекомендуют идти на поводу у преступников и платить выкуп за якобы восстановление файлов. Во-первых, что бы ни обещали злоумышленники, нет никаких гарантий, что после оплаты жертва получит ключ дешифровки. Во-вторых, оплата выкупа спонсирует команды вирусописателей и мотивирует их на продолжение преступной деятельности.
Как же обезопасить себя от атак вымогателей? В первую очередь, проблемы не существовало бы в принципе, если бы у каждой цели преступников были актуальные и работоспособные бэкапы. О важности бэкапов мы писали в этой статье. Стоит заметить, что многие трояны-шифровальщики могут зашифровать и бэкапы, если в момент атаки они будут находиться в зоне досягаемости. Поэтому накопитель с резервными копиями должен быть надежно защищен или изолирован в тот момент, когда копирование не происходит. Во-вторых, следует своевременно устанавливать обновления для используемых на компьютере программ, в особенности это касается ОС, программ сетевого оборудования и, конечно же, антивирусного ПО. Многие шифровальщики в качестве вектора атаки используют известные и по каким-то причинам незакрытые уязвимости для заражения устройств. Своевременное обновление ПО позволяет минимизировать эти риски. И, конечно же, следует использовать надежное комплексное антивирусное решение, обладающее механизмами несигнатурного, поведенческого анализа. Одним из таких решений является наш программный продукт Dr.Web Security Space, который успешно противостоит различным видам шифровальщиков и блокирует попытки исполнения неавторизованного вредоносного кода.
Простые правила сообщества:
1. Будьте взаимно вежливы друг к другу!
2. Любая реклама без согласования с администрацией - сразу отправляетесь в черный список, без разбирательства!
Кодовое слово Dr.web запись закреплена
Аскар Амангельдин
Кодовое слово Dr.web запись закреплена
Доступно кодовое слово. Как обычно ключ по слову на 3 месяца. Кто не может получить на свою почту, используйте сервисы временной почты. Всем добра!
Кодовое слово Dr.web запись закреплена
Глеб Бонд@рь
Котд Cia
Кодовое слово Dr.web запись закреплена
Александр Панков
Victor Rak ответил Александру
Кодовое слово Dr.web запись закреплена
В связи с угрозами со стороны компании Доктор Веб, мы вынуждены убрать рабочее кодовое слово. Но никто не запрещает вам использовать поисковые системы гугл и яндекс, а так же обсуждать в комментариях.
Тема дня - угадай кодовое слово и используй его!
Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.
В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:
нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Дело в том, что буквально перед этим я исследовал несколько программ, которые точно так же полагались на проверку цифровой подписи. И такую проверку было очень легко обойти.
Цифровая подпись файла соответствует только самому исполняемому файлу, но работающая программа это не только исполняемый файл. Существует несколько способов повлиять на работу программы, не меняя исполняемый файл: можно подменить библиотеки, которые загружаются или сделать инъекцию кода прямо в памяти.
Я посмотрел на профиль автора: «Работает в: Доктор Веб». А что если посмотреть, не используется ли в продуктах этой компании проверка, о которой говорит автор? Я решил посмотреть и, спойлер, нашел уязвимость, которая позволяет повысить свои привилегии до системных пользователю Dr.Web Security Space для Windows.
Читайте также: