SteamHide прячет вирус внутри картинок на аватарках профилей Steam

Аналитики компании G Data обнаружили вредоноса SteamHide, операторы которого прячут малварь в метаданных изображений в профилях Steam.

Впервые странные картинки в Steam обнаружил ИБ-исследователь Miltinhoc, рассказавший о своей находке в Twitter в конце мая 2021 года.

SteamHide

Исследователи G Data рассказывают, что на первый взгляд такие картинки неопасны. Стандартные EXIF-инструменты ​​не обнаруживают в них ничего подозрительного, разве что предупреждают о том, что длина данных в ICC-профиле некорректна.

SteamHide

Однако на самом деле вместо ICC-профиля (который обычно используется для отображения цветов на внешних устройствах, например принтерах) такие изображения содержат малварь в зашифрованном виде (внутри значения PropertyTagICCProfile).

В целом сокрытие малвари в метаданных изображений, это вовсе неновое явление, признают исследователи. Однако использование крупной игровой платформы, такой как Steam, для размещения вредоносных картинок, существенно усложняет ситуацию. Злоумышленники получают возможность в любой момент заменить вредоносную программу, с такой же легкостью, с которой меняется файл изображения в профиле.

При этом Steam просто служит для хакеров средством и используется для размещения малвари. Вся основная работа, связанная с загрузкой, распаковкой и выполнением такой полезной нагрузки, выполняется внешним компонентом, который обращается к изображению из профиля Steam. Такую полезную нагрузку можно распространять и обычными способами, в электронных письмах или через взломанные сайты.

Эксперты подчеркивают, что сами изображения из профилей Steam не являются ни «заразным», ни исполняемым. Они представляют собой лишь средство для переноса фактической малвари, для извлечения которой нужна вторая вредоносная программа.

SteamHide

Второй вредонос, о котором идет речь, был найден исследователями на VirusTotal, и он представляет собой загрузчик. Он имеет жестко закодированный пароль «{PjlD \\ bzxS #; 8 @ \\ x.3JT & <4 ^ MsTqE0» и использует TripleDES для дешифрования пейлоадов из картинок.

В системе жертвы малварь SteamHide сначала запрашивает Win32_DiskDrive для VMWare и VBox и завершает работу, если они существуют. Затем вредонос проверяет, есть ли у него права администратора, и пытается повысить привилегии с помощью cmstp.exe.

При первом запуске он копирует себя в папку LOCALAPPDATA, используя имя и расширение, указанные в конфигурации. SteamHide закрепляется в системе, создавая в реестре следующий ключ: \Software\Microsoft\Windows\CurrentVersion\Run\BroMal

IP-адрес управляющего сервера SteamHides хранит на Pastebin, а обновляться может через определенный профиль Steam. Как и загрузчик, он извлекает исполняемый файл из PropertyTagICCProfile. Причем конфигурация позволяет ему изменять ID свойства изображения и строку поиска, то есть в будущем для сокрытия малвари в Steam могут использоваться другие параметры изображения.

Пока SteamHide не имеет какой-либо другой функциональности и, похоже, малварь еще находится в разработке: исследователи нашли несколько сегментов кода, которые на данный момент не используются. К примеру, вредонос проверяет, установлен ли Teams, проверяя наличие SquirrelTemp\SquirrelSetup.log, но после с этой информацией никого не происходит. Возможно, это нужно для проверки установленных приложений в зараженной системе, чтобы позже их можно было атаковать.

Также специалисты обнаружили заглушку ChangeHash (), и похоже, что разработчик малвари планирует добавить полиморфизм в будущие версии. Еще малварь умеет отправлять запросы в Twitter, что в будущем может использоваться для получения команд через Twitter, либо вредонос сможет действовать как Twitter-бот.

Источник

Автодополнение команд в консоли. Ubuntu 8.x

Если ставить Ubuntu 8 (проверено на версиях от 8.04 до 8.20) на процессора от AMD, то из коробки возникает неприятная ситуация. А именно -в консоли не работает автодополнение команд.

Не стану описывать все скитания по инету в поисках решения. Дам сразу ответ.

В файле .bashrc нужно дописать конструкцию:

if [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi

Как включить карточки предпросмотра в Google Chrome?

Такие карточки появляются при наведении курсора мышки на соответствующую вкладку. Они очень удобны, когда вы взаимодействуете с большим числом вкладок.

Чтобы их активировать выполните следующие шаги:

1. Запустите браузер Google Chrome.
2. Откройте страницу chrome://flags.
3. Активируйте флаг #tab-hover-cards переведя переключатель в положение «Enabled».
4. Аналогично активируйте флаги #tab-hover-card-images и #update-hover-at-begin-frame.
5. Перезапустите браузер.

Если захотите обратно отключить карточки, то переведите указанные флаги в положение «Disabled» и перезапустите браузер.

Свежее обновление Windows 10 обернулось «синим экраном смерти»

А также внезапными сбоями системы, снижением производительности проблемами с Bluetooth и Wi-Fi. Выпущенное неделю назад плановое обновление Windows 10 принесло пользователям немало серьёзных проблем.

Windows-10-Update_large
Windows 10 Update

Осторожно. Свежее обновление Windows 10 обернулось «синим экраном смерти» 14 апреля Microsoft выпустила очередной апдейт Windows 10 в рамках ежемесячного обновления Patch Tuesday, традиционно выходящего во второй вторник месяца. Обновление Windows 10 под номером KB4549951 должно было залатать четыре очень серьезные бреши в системе безопасности операционной системы. Апдейт настоятельно рекомендовали установить всем пользователям.

Однако установившие обновление пользователи начали жаловаться на многочисленные проблемы. Среди жалоб — «синий экран смерти», разрывы связи Bluetooth и Wi-Fi, проблемы с подключением, низкая производительность. Некоторые пользователи также столкнулись с глобальным сбоем системы.

Microsoft на данный момент не признала ни одной из этих проблем. Специалисты пока рекомендуют удалить проблемное обновление, если оно было установлено. Сделать это можно через настройки в разделе обновлений.

Ошибка 0x00000002 при подключении сетевого принтера

Подключение сетевого принтера через стандартные TCP/IP порт или принт-сервер обычно не вызывает проблем, особенно у тех, кто делает это по долгу службы постоянно. Но последнее время, многие сталкиваются с сообщением об ошибке 0x00000002, которая часто стала появляться у пользователей компьютеров, работающих на операционной системе Windows версии 7, 8 и 10. Она означает, что драйвер подключаемого печатного устройства установлен не корректно или поврежден.

Что же делать в данной ситуации и как исправить ошибку?

Первое, что необходимо сделать — просто удалить драйвер. Для этого:

  1. Зайдите в «Устройства и принтеры» и удалите принтер, который пытаетесь подключить.
  2. Перезапустив «Диспетчер печати», в строке поиска меню «Пуск» найдите printui /s /t2.
  3. Во вкладке «Драйверы» удалите драйвер и пакет драйвера вашего принтера.
  4. В строке поиска меню «Пуск» найдите printmanagement.msc.
  5. В «Управление печатью» зайдите в «Настраиваемые фильтры», а затем во «Все драйверы».
  6. Кликните правой кнопкой мышки по нужному драйверу и нажмите «Удалить пакет драйвера».

После этого перезапустите диспетчер печати и повторите процедуру подключения сетевого принтера. Если вторая попытка тоже не увенчается успехом, тогда нужно будет пройти более сложный путь:

  1. Удалить ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
  2. Удалить подкаталоги от 1 до 499 и файлы, оставив только winprint.dll, в папке c:\Windows\System32\spool\prtprocs\x64
  3. Удалить Print Processors и драйвера, оставив winprint, из ветки HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments
  4. Перезагрузив компьютер, установите сетевой принтер.

Управление сеансом пользователя на сервере Windows 2012/2016

Вплоть до Windows server 2008 управлять сеансами пользователей было достаточно просто. Через диспетчер задач во вкладке пользователя можно было нажав ПКМ на имени пользователя выбрать «удаленное управление» и вуаля! Помогаете пользователю в том, с чем он не может справиться самостоятельно.

Как управляли раньше

Но сейчас это стало намного сложнее. Одно время МС вообще такую возможность забрала у администраторов. Но потом одумалась и вернула. Но удобства былого больше нет.

Как же это делается сейчас?

Открываете powershell или cmd (кому что больше нравится). Читать далее «Управление сеансом пользователя на сервере Windows 2012/2016»

CredSSP Error (Ошибка подключения по RDP)

8 мая 2018 года компания Microsoft выпустила новое обновление устраняющее уязвимость в удалённом выполнении кода в незакрепленных версиях CredSSP (поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений). Злоумышленники, использующие эту уязвимость, могли передавать данные пользователя для выполнения кода в целевой системе, включая установку и удаление произвольного программного обеспечения, удаление или изменение данных на сервере, создание учётных записей с любыми правами. При этом, после обновления, многие пользователи, при попытке подключения к удалённому рабочему столу, столкнулись с ошибкой «CredSSP encryption oracle remediation» либо как на скрине на русском языке

На самом деле это не является ошибкой, это является уведомлением о проблеме безопасности давно не обновлённого сервера.

Microsoft отреагировала на уязвимость и приступила к устранению проблемы, поделив шаги на 3 этапа. Читать далее «CredSSP Error (Ошибка подключения по RDP)»

ИИ от Google построил собственный ИИ, превосходящий любой из разработанных людьми

AutoML — искусственный интеллект, способный создавать собственный ИИ, — разработал систему компьютерного зрения, которая, как говорят в Google, превосходит все схожие существующие системы.

II

В мае 2017 года исследователи из Google Brain представили AutoML — искусственный интеллект, способный генерировать собственные ИИ. Недавно стало известно, что AutoML построил систему, которая превосходит «конкурентов», разработанных людьми. Об этом сообщает портал Futurism.

Специалисты из Google автоматизировали разработку моделей машинного обучения с помощью обучения с подкреплением. AutoML действует как управляющая нейросеть, которая разрабатывает дочернюю нейросеть для специализированной задачи. Для этой дочерней сети (которую исследователи назвали NASNet) в задачу входило распознавание объектов — людей, машин, светофоров, багажа и т. д. — на видео в реальном времени.

При этом AutoML оценивает работу NASNеt и использует эту информацию для улучшения дочерней сети; этот процесс повторяется тысячи раз. Когда инженеры протестировали NASNet на наборах изображений ImageNet и COCO, она превзошла все существующие системы компьютерного зрения.

Согласно исследователям из Google, NASNet успешно предугадывала изображения в контрольной выборке ImageNet в 82,7% случаев. Это на 1,2% лучше, чем прошлый рекорд. При этом система также оказалась на 4% эффективней, с 43,1% средней точности (mAP). Кроме того, менее затратная версия NASNet превзошла лучшие схожие модели для мобильных платформ на 3,1%.

AutoMl-result

Существует множество возможных вариантов применения AutoML и NASNet. Точные, эффективные алгоритмы компьютерного зрения могут быть использованы для создания сложных ИИ-роботов или, например, для помощи слабовидящим людям. Такие алгоритмы могут также помочь в совершенствовании технологий автономного вождения: чем быстрее беспилотный автомобиль распознает объекты на своем пути, тем быстрее он реагирует.

При этом, конечно, возникают этические вопросы, связанные с опасениями по поводу ИИ: что, если AutoML будет создавать системы с такой скоростью, что общество просто за ними не поспеет? Впрочем, многие крупные компании стараются учитывать проблемы безопасности ИИ. Например, Amazon, Facebook, Apple и некоторые другие корпорации являются членами Партнерства по развитию ИИ (Partnership on AI to Benefit People and Society). Институт инженеров и электротехники (IEE) же предложил этические стандарты для ИИ, а DeepMind, например, анонсировал создание группы, которая будет заниматься моральными и этическими вопросами, связанными с применениями искусственного интеллекта.

Вобщем вы поняли: будущее уже наступило

Опубликована подробная информация о уязвимостях WPA2

Комплекс уязвимостей в WAP2 получил название KRACK (аббревиатура от Key Reinstallation Attacks) и был обнаружен сводной группой исследователей, в которую вошли: Мэти Ванхоф (Mathy Vanhoef) и Фрэнк Писсенс (Frank Piessens) из Левенского католического университета, Малихех Ширванян (Maliheh Shirvanian) и Нитеш Саксена (Nitesh Saxena) из Алабамского университета в Бирмингеме, Ионг Ли (Yong Li) из компании Huawei Technologies, а также представитель Рурского университета Свен Шеге (Sven Schäge).

wi-fi-router

Исследователи сдержали свое обещание, и подробная информация о проблемах WPA2 уже появилась на сайте krackattacks.com, а также специалисты начали наполнять тематический репозиторий на GitHub. Кроме того, эксперты опубликовали свою научно-исследовательскую работу (PDF), которая будет представлена на конференциях Computer and Communications Security (CCS) и Black Hat Europe.

Как выяснилось, предупреждение, выпущенное ранее US-CERT, которое цитировали СМИ, оказалось верным. Исследователи пишут, что краеугольным камнем их атаки действительно является четырехэлементный хендшейк WPA2. Данный хендшейк осуществляется тогда, когда клиент хочет подключиться к защищенной сети Wi-Fi. Он используется для подтверждения того, что обе стороны (клиент и точка доступа) обладают корректными учетными данными. В то же время хендшейк используется для согласования свежего ключа шифрования, который впоследствии будет применяться для защиты трафика. В настоящее время практически все защищенные Wi-Fi сети используют именно такой, четырехэлементный хендшейк. Что делает их все уязвимыми перед какой-либо вариацией атак KRACK.

handshake

«К примеру, атака работает против частных и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)», — пишут авторы KRACK.

По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устройства.

Единственной хорошей новостью на сегодня является тот факт, что атакующему придется находиться к зоне действия целевой Wi-Fi сети, то есть атаку не получится осуществить удаленно. Видеоролик ниже демонстрирует KRACK в действии и описывает ее работу.

Сообщается, что от KRACK в некоторых случаях может защитить использование HTTPS, однако далеко не всегда. Дело в том, что сам HTTPS нельзя назвать абсолютно безопасным (к примеру, существуют методики даунгрейда соединения), хотя он и станет дополнительным слоем шифрования.

«Любое устройство, использующее Wi-Fi, скорее всего, уязвимо. К счастью, различные имплементации могут быть пропатчены в режиме обратной совместимости», — рассказывает Мэти Ванхоф.

Список уязвимых продуктов и доступных обновлений уже формируется на специальной странице US-CERT, он будет активно обновляться в ближайшие дни. Эксперты прогнозируют, что мобильные устройства и настольные компьютеры получат патчи в самом ближайшем будущем, а вот миллионы IoT-устройств теперь ждет незавидная судьба, так как все они в одночасье стали уязвимы, и многие никогда не получат обновлений.

    Уязвимости, вошедшие в состав KRACK:

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Мэти Ванхоф рассказал, что ему удалось обнаружить комплекс проблем, из которых формируется KRACK, еще в 2016 году, но он более года совершенствовал свою атаку. Исследователь сообщил об уязвимостях некоторым производителям и представителям US-CERT еще в июле 2017 года, а в августе поделился информацией о проблемах с широким кругом вендоров.

Что даст Украине новый закон о кибербезопасности?

Верховная Рада на заседании в четверг, 5 октября, приняла в целом закон об основных принципах кибербезопасности Украины.

Процесс от законопроекта до принятия закона занял более двух лет. Впервые проект закона о кибербезопасности был зарегистрирован группой депутатов из разных фракций в июне 2015 года. В начале 2016 года в связи с утверждением президентом «Стратегии кибербезопасности Украины» документ потерял актуальность и был отозван. Позднее был зарегистрирован уже новый существенно доработанный проект. Первое чтение документ прошел еще в сентябре прошлого года и только сейчас наконец был окончательно принят парламентом. За принятие законопроекта проголосовало 257 народных депутатов.

Появление этого закона именно сейчас актуально как никогда. Так как одним из мировых трендов является тенденция к значительному росту количества кибератак, которые становятся все более изощренными и малопрогнозируемыми. Особенной целью киберпреступников являются критически важные объекты инфраструктуры страны. Украина не стала здесь исключением. В июне этого года произошла крупнейшая кибератака в истории страны, заблокировавшая работу тысяч украинских компаний и государственных органов.

cyber-security

«Насколько важен вопрос кибербезопасности, я думаю, сейчас понимает каждый из нас. Мы ведем войну с врагом, с агрессором — Россией. Это гибридная война, одной из частей которой являются кибератаки», — отметил глава профильного комитета ВР Александр Данченко, представляя законопроект ко второму чтению.

Финальный текст закона пока не опубликован, однако по данным народного депутата Ольги Черваковой, парламент не поддержал поправку «о технологической информации», против которой выступали медийные общественные организации. «Эта поправка, которая устанавливает тотальную диктатуру и фактически отрицает доступ граждан к любой информации, которая составляет общественный интерес, информации о жизни, здоровье людей, об опасности, экологических вопросах», — заявила депутат в ходе рассмотрения законопроекта в зале Рады. Читать далее «Что даст Украине новый закон о кибербезопасности?»