Slo-Tech - Raziskovalci iz podjetja Aikido so odkrili, da napadalci uporabljajo nov način za skrivanje zlonamerne kode v prispevke, ki jih pošljejo v repozitorije na Githubu. Napadi na izvorno kodo knjižnic, ki se potem propagirajo navzdol po verigi (supply-chain attack) niso nič novega, je pa nov način skrivanja. Uporabili so nedefinirani del Unicoda, ki se imenuje PUA (Private Use Area). To so rezervirani bloki, ki so namenoma prazni, da si lahko posamezne organizacije interno definirajo svoje znake, če jih potrebujejo.

Ker te kode niso definirane, jih običajna orodja ne prikazujejo. Odvisno od izvedbe ne prikažejo ničesar ali pa nadomestne znake (placeholder), ki so videti povsem neškodljivi. Sami po sebi tudi so, a za njihovo uporabo v izvorni kodi ni prav nobenega razloga. Napadalci so na tak način skrili zlonamerni del kode, saj ga urejevalniki kode ne prikažejo. V resnici pa je v kodi ukaz, ki te znake pretvori v običajni tekst ASCII in ga upošteva. Izkaže se, da vodi do Googlovega...

Slo-Tech - Sprva je kazalo, da se 4chan ne bo uspel vrniti, a skoraj dva tedna po vdoru je stran spet dosegljiva. V četrtek zvečer se je pojavila prva objava, v kateri razen napisa testiranje ni bilo vsebine, včeraj pa so objavili še daljšo razlago. Stran je padla zaradi zastarele programske opreme, kar pa so izkoristili napadalci.

Ti so sicer uporabili britanski naslov IP, a verjetno niso delovali iz te države. Na 4chan so naložili zlonamerni dokument PDF, ki je uspel prodreti skozi zastareli modul na strani. Od tam so napadalci dobili dostop do celotne strani, kjer so si postregli z vsemi podatki, vključno z izvorno kodo in podatki o upravljavcih. Nato so začeli spreminjati začetno stran, kar so opazili upravljavci. Stran so nato izključili.

Poleg tega upravljavci pojasnjujejo še nekoliko širše ozadje administracije strani. Priznavajo, da je niso primerno vzdrževali, ob tem pa so razkrili še pretekli potek nadgradenj. Od konca leta 2023 do lanskega aprila so se odločali o specifikacijah...

Slo-Tech - Kitajski raziskovalci (z University of the Chinese Academy of Sciences) so pokazali, da je možno zlonamerno kodo učinkovito skriti v nevronske mreže in jo s tem pretihotapiti mimo protivirusnih zaščit. V objavljenem članku so 36,9 MB virusne kode skrili v 178 MB veliko nevronsko mrežo, ki je sicer namenjena prepoznavanju fotografij. S tem njenega delovanja niso opazno poslabšali (manj kot odstotek), so pa se izmuznili protivirusnim programom. Storitev VirusTotal, ki uporablja več kot 70 različnih protivirusnih programov in sezname sumljivih strani, domen in podobna orodja za iskanje sumljivega obnašanja, ni opazila ničesar.

Raziskovalci so v izdelani model nevronske mreže, ki je dobro deloval, v primeren sloj podtaknili virus. Možno je tudi drugače, in sicer lahko vzamejo nenatreniran model, mu dodajo virus in ga potem urijo. Rezultat bo nevronska mreža, ki bo nekoliko večja, bo pa primerljivo kakovostna. To je v bistvu steganografija, umetnost skrivanja, ki ni novost. Skrivna...

Spritesmods - Jeroen Domburg, znan tudi kot Sprite, je na svoji spletni strani objavil zanimiv članek v katerem opisuje razvoj zlonamerne programske opreme za kontroler trdega diska. Kot je namreč znano, je kontroler trdega diska vmesnik med računalnikom in trdim diskom, oziroma del trdega diska, ki skrbi za fizično branje in zapisovanje podatkov iz oziroma na trdi disk.

Domburg se je podviga lotil z 88i9146 kontolerjem Western Digital 3.5" 2TB trdega diska. Priključil ga je na JTAG vmesnik ter ugotovil, da vsebuje tri ARM procesorje. Dva sta tipa ARM9, eden pa Cortex-M3. Nekaj raziskovanja je tudi pokazalo, da je Cortex-M3 mogoče izključiti, pa trdi disk kljub temu ohrani polno funkcionalnost. Kar pomeni, da ta ARM procesor ne...

Slo-Tech - Felipe Manzano, neodvisni varnostni raziskovalec iz Argentine je pred kratkim na svojem blogu objavil prispevek o vključevanju zlonamernih datotek v PDF dokumente.

Kot namreč določa PDF specifikacija, je v PDF dokumente mogoče vključevati različne datoteke. Manzano pa v svojem prispevku piše o tem, kako v nedolžen PDF dokument vključiti in skriti zlonamerni PDF dokument.

Z nekaj preprostimi triki je mogoče tudi doseči, da se ta vključeni PDF ne prikaže kot priponka, pač pa se samodejno odpre takoj, ko...

Schneier.com - Ko zaposleni v Microsoftu odkrijejo ali izvedo za varnostne ranljivosti v Microsoftovi programski opremi, razvijejo varnostne posodobitve, ki jih preko storitve Windows Update pošljejo svojim uporabnikom.

Marsikateri potencialni napadalec se sprašuje, ali bi bilo mogoče iz teh varnostnih posodobitev z reverznim inženiringom samodejno razviti zlonamerno kodo, ki bi omogočila izrabo varnostne ranljivosti?

Vprašanje so si zastavili tudi varnostni strokovnjaki David Brumley, Dawn Song in Jiang Zheng ter odkrili, da to vsekakor je mogoče.

V članku Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications so opisali nekaj tehnik, s katerimi je mogoče iz varnostne posodobitve, posredovane preko Microsoftove storitve Windows Update, samodejno zgenerirati zlonamerno kodo (tim. exploit).

Odkritje kaže na to, da bo napadalec z ustreznim orodjem lahko samo počakal na novo varnostno posodobitev, nekaj sekund nato pa bo že imel zlonamerni program, ki ga bo lahko...