Кому мешает Вирусдай

Опубликовано в Исследования, Компания   5 Ноября, 2015

Кому мешает virusdie.ru

Уважаемые пользователи! С 2013 года (с тех пор, как мы запустили проект virusdie.ru) мы многое сделали: выросли из одностраничного бесплатного сайта в большой сервис; вылечили тысячи сайтов и стали базовым инструментом защиты сайтов для тысяч веб-мастеров.

Почему не любят защитников

Конечно, по мере своего развития и роста процента выявления угроз, Вирусдай стал не только помощником для веб-мастеров, но и проблемой для другой, «темной стороны». Мы уже привыкли к ставшими закономерностью попыткам атак на наши сервера после вскрытия нами очередной фишинговой сети или начала детектирования и автоматического устранения распространенного трояна. Привыкли мы и к негативным отзывам о нас, появляющимся по тем же причинам.

Теперь мы столкнулись с новыми по своему воплощению попытками компрометирования сервиса Вирусдай. Хотя, данный случай единичный, в то же время нет сомнений, что направлен он именно против нашего сервиса. Итак, давайте разберем небольшой кейс.

Кейс

Некоторое время назад мы столкнулись с необычной модификацией файлов нашего сервиса, размещенных на сервере одного из наших пользователей. При детальном анализе файлов было выявлено, что модификации подверглись только (и только лишь) два файла, а именно: файл синхронизации и файл инициализации страницы блокировки запроса фаерволом. Отметим, Вирусдай использует многоуровневую систему защиты, в том числе ЭЦП. Модификация файлов сервиса на стороне пользователя не позволяет получить доступ к аккаунту сервиса Вирусдай, данным других сайтов аккаунта или других пользователей, а также каких-либо других направленных действий. В данных файлах на сервере пользователя злоумышленником были намеренно дописаны строки для обращения ко внешнему скомпрометированному ресурсу:

Обращение к скомпрометированному сайту

Однако, в случае размещения данного кода в файле синхронизации, он не выполняется (из-за архитектуры файла синхронизации) и не представляет ни опасности, ни каких-либо последствий для работы сервиса на стороне пользователи. В случае же с инициализацией страницы блокировки запроса фаерволом данный код исполняется и приводит к запросу с внешнего ресурса (на данный момент, пустого).

Понимая, что алгоритм настоящего фаервола сервиса Вирусдай имеет корректные настройки и направлен на блокирование только вредоносных и опасных запросов, демонстрация страницы блокировки с обращением к внешнему ресурсу с малой вероятностью может быть показана пользователям. Однако, мы полагаем, что расчет злоумышленника был именно на этот сценарий.

Мы предполагаем, что несмотря на отсутствие угроз для пользователей сервиса, в данном случае злоумышленник преследовал определенные цели и в скором времени в сети должно появится описание данного инцидента, призванное подорвать доверие к сервису Вирусдай и нанести вред его репутации. В настоящее время совместно с хостинг-провайдером пользователя проводятся мероприятия по установлению личности злоумышленника.

Для пользователей сервиса данный инцидент не представляет опасности. Также, мы внесли ряд изменений в алгоритмы проверки файлов для снижения вероятности их умышленной модификации.
Команда сервиса Вирусдай.