Univerzální DDoS Trojan pro Linux
16.7.2014 Viry, Počítačový útok

V únoru 2014 článek byl publikován na populární ruské internetové stránky pod kuriózním názvem - Studium na BillGates Linux botnet . Je popsáno Trojan s dostatečně univerzální DDoS funkčnosti. Schopnost, že jsme našli nejzajímavější byla schopnost Trojana provádět DNS Amplification typu útoků. Kromě toho, že vycházelo z článku vyplývá, že Trojan měl propracovanou modulární strukturu, něco, co jsme dosud viděli ve světě Linuxu malware před.

Tento článek také odkaz pro stažení všech souborů Trojan (získaný přímo z infikovaného stroje) - což je to, co jsme udělali.

Archiv, který jsme stáhli obsahoval následující soubory, které se podle autora článku, byly všechny moduly stejného Trojan:

atddd;
cupsdd;
cupsddh;
ksapdd;
kysapdd;
skysapdd;
xfsdxd.
Soubory cupsdd a cupsddh jsou detekovány produkty společnosti Kaspersky Lab jako Backdoor.Linux.Ganiw.a; atddd a zbývající soubory jsou detekovány jako Backdoor.Linux.Mayday.f.

Archiv se soubory také obsahoval konfigurační soubor pro cron - Plánovač úloh Linux. V tomto případě je nástroj se používá Trojan jako prostředek, jak se dostat oporu v systému. Trojan používá cron provádět následující úkoly:

Jednou za minutu - ukončení procesů všech aplikací, které mohou zasahovat do jeho provozu: iptables, nfsd4, profild.key, nfsd, DDosl, lengchao32, B26, codelove, node24.
Přibližně jednou za devadesát minut - ukončit všechny své procesy: kysapd, atdd, skysapd, xfsdx, ksapd
Přibližně jednou za dvě hodiny - stáhnout všechny jeho součásti do / etc adresáře z http://www.dgnfd564sdf.com:8080/ [název_modulu] (název_modulu = název modulu Trojana, např. cupsdd), po vymazání těchto souborů z / etc adresáře
Poté, co v roce devadesát minut - obnovit všechny jeho moduly
Každá minuta - purge systémové protokoly a bash historii příkazů a spouštění chmod 7777 [název_modulu]
Při následné analýze souborů, nenašli jsme žádný kód odpovědné za ukládání konfigurační soubor pro cron. S největší pravděpodobností byl soubor ručně stáhnout na počítač oběti podle cybercriminal po získání vzdáleného přístupu k systému.

Backdoor.Linux.Mayday.f (atddd)

Soubor atddd je backdoor navržen tak, aby provádět různé typy DDoS útoků na servery zadané. Jak bylo uvedeno výše, výrobky Kaspersky Lab detekovat jako Backdoor.Linux.Mayday.f. Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř přesné kopie atddd - s jedinou výjimkou, která je popsána dále v textu.

Backdoor začíná svůj provoz voláním funkce démona (1, 0), nadále běží na pozadí a přesměrování standardního vstupu, výstupu a chyby na / dev / null

Dále atddd shromažďuje příslušné informace o systému, včetně:

verze systému (zavoláním uname ())
počet procesorových jader a jejich hodinové sazby (převzato z / proc / cpuinfo)
Zatížení CPU (převzato z / proc / stat)
Zatížení sítě (data pro rozhraní s "eth" předpona převzaty z / proc / net / dev)
Výše uvedené informace jsou uloženy v uvedené struktuře g_statBase.
 

Poté, backdoor dešifruje řetězec určující adresu IP C & C serveru a číslo portu. Šifrovací algoritmus použitý, je velmi jednoduchý: šifrovaný řetězec je přijata znak po znaku, s 1 přidána do ASCII kódu znaku, pokud jeho číslo je liché a odečte se od něj, pokud číslo postavy je dokonce. V důsledku toho, řetězec "3/3-2/4-269-85" se získají IP-адрес "202.103.178.76", zatímco "2/82" znamená číslo portu "10991".

Po tomto, atddd čte konfigurační soubor fwke.cfg, který je umístěn ve stejné složce se škodlivého programu. Informace z konfiguračního souboru je uložen ve struktuře g_fakeCfg. Pokud soubor neexistuje, je backdoor pokusy vytvořit a uložit následující údaje v něm:

1. řádek: 0 / / příznak, je-li 1 pak začne útok, je-li 0, pak ukončit útok

2. řádek: 127.0.0.1:127.0.0.1 / / rozsah odchozích IP adres

3. řádek: 10000:60000 / / odchozí rozsah portů pro útok

4. řádek: prázdný řádek název / / domény v případě DNS povodně (viz níže)

Tato informace je následně odeslán na server C & C a mohou být aktualizovány pomocí příkazu z C & C.

Dále, backdoor vytvoří nové vlákno, CThreadTaskManager :: ProcessMain (), ve kterém příkazy k zahájení útoku a ukončit útok se dal do provádění fronty. Poté, nový podproces je vytvořen - CThreadHostStatus :: ProcessMain (). V tomto vlákně, údaje o procesoru a zatížení sítě se aktualizuje každou sekundu a může být následně odeslán na server C & C pokud o to požádá.

Po tomto, 20 vlákna jsou vytvořeny, který číst informace z fronty úloh a, v závislosti na informacích číst, zahájí útok nebo ukončit to. Nicméně, některé závity nesmí být použit v útoku, pokud příslušná C & C příkaz má parametr (počet vláken, které mají být použity).
 

Pak malware vstoupí do nekonečné smyčky zpracování zpráv z C & C. Po navázání spojení s C & C, informace o verzi systému a CPU taktovací frekvence, stejně jako údaje ze struktury g_fakeCfg, je poslán do C & C každých 30 sekund.

V odezvě, server měl poslat 4 byty, z nichž první je pořadové číslo příkazu - od 1 do 4.
 

Dále, pokud má příkaz parametry, C & C pošle další čtyři bajty definující množství dat, která bude odeslána (tj. parametry). Pak parametry sami jsou odeslány; Jejich velikost by měla odpovídat počtu z předchozího C & C reakci.

O každém příkazu ve větším detailu:

0x01. Příkaz k útoku. Parametry definují typ útoku a počet vláken, který bude použit. Typ útoku je definován byte, který může nabývat hodnot od 0x80 až 0x84. To znamená, že 5 typů útoku jsou možné:
0x80 - TCP povodeň. Počet cílový port je odeslán do C & C ve své odpovědi jako parametr. Rozsah Zdrojový port je definován v fwke.cfg. Každý nový požadavek je odeslán z nového přístavu v rozsahu stanoveném v pořadí čísel portů. Cílová IP adresa je také definována v parametrech.
0x81 - UDP povodní. Stejně jako 0x80, ale UDP se používá jako protokol transportní vrstvy.
0x82 - ICMP povodeň. Stejně jako výše, ale přes ICMP.
0x83, 0x84 - dva DNS povodňové útoky. Jediný rozdíl je název domény poslal v žádosti o DNS. V prvním případě, název je generován náhodně, v druhém, je definován v parametru (čtvrtý řádek fwke.cfg). V podstatě, oba útoky jsou podobné 0x81, kromě toho, že portu 53 (standardní port pro službu DNS) se používá jako cílový port.
0x02. Příkaz k ukončení útoku. Hodnota v prvním řádku fwke.cfg se změní na 0 a útok je ukončen.
0x03. Příkaz aktualizovat soubor fwke.cfg. Reakce také strukturu podobnou g_fakeCfg, údaje, ze kterých se používá k vytvoření nového souboru fwke.cfg.
0x04. Příkaz k odeslání stavu aktuálního příkazu v provedení na serveru C & C.
Kromě výše uvedeného, ​​backdoor obsahuje několik prázdných metody (bez jakéhokoliv kódu), které mají podivné názvy: CThreadAttack :: EmptyConnectionAtk, CThreadAttack :: FakeUserAtk, CThreadAttack :: HttpAtk. Zdá se, že malware spisovatel měl v plánu rozšířit funkčnost škodlivého programu, a to je testovací verze, spíše než finální verze. Soubor cupsdd, které je uvedeno níže, poskytuje potvrzení tohoto.

Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř identické kopie atddd, s výjimkou, že obsahují různé adresy serveru C & C: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 a 121.12.110.96:10991 , v tomto pořadí. Jména jejich konfigurační soubory jsou také odlišné: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg, resp.

To znamená, že v rozporu s naším očekáváním, že soubory atddd, kysapdd, skysapdd, xfsdxd, ksapdd nejsou moduly jednoho kusu malware, ale spíše různých kopií stejného Trojan, každý spojující jeho vlastní C & C serveru. Nicméně, toto není nejvíce zvláštní část zdaleka.

Backdoor.Linux.Ganiw.a (cupsdd)

Stejně jako soubory popsaných výše, tento soubor je backdoor navržen tak, aby vykonávat různé typy útoků DDoS. Nicméně, cupsdd je podstatně více funkcí a sofistikovanější, než jeho "kolegové", i když v místech jeho kód je velmi podobný tomu nalezený v atddd.

Backdoor začíná svůj provoz o inicializaci proměnných, které potřebuje z řetězce "116.10.189.246:30000:1:1: h: 578856:579372:579888" (oddělovač - ":"), který je nejprve dešifruje pomocí algoritmu RSA. Řetězec obsahuje následující proměnné:

IP adresa C & C serveru - g_strConnTgt = 116.10.189.246

g_iGatsPort = 30000 - Port C & C serveru

g_iGatsIsFx = 1 a g_iIsService = 1 - vlajky použity později

g_strBillTail = h - postfix pro název souboru, který bude klesl (viz níže)

g_strCryptStart = 578.856, g_strDStart = 579.372, g_strNStart = 579888 - odkazy na údaje RSA (šifrovaný řetězec a klíčové)

Dále, malware kapky a spustí soubor, který je umístěn na posunu 0xb1728 od začátku původního souboru, a je 335872 bajtů ve velikosti, za předpokladu, že soubor není již spuštěna. Malware zkontroluje, zda soubor běží a snaží svázat socket 127.0.0.1:10808. Je-li pokus úspěšný, znamená to, že soubor není spuštěn, a je třeba ji upustil a popraven.
 

Pokud soubor je již spuštěna, její proces, jehož PID lze nalézt v souboru / tmp / bill.lock, je ukončen (kill (pid, 9)). Pak je soubor klesla stejně, nahradí stávající kopie.

Název souboru, který je zrušen je generován z názvu aktuálního souboru, který je spuštěn + postfix z proměnné g_strBillTail. V našem případě soubor byl jmenován cupsddh a byl umístěn ve stejné složce s kapátkem.

Po tomto, současný proces vidličky a dítě proces volá funkci systému ("/ cesta / k / cupsddh"), který vykonává soubor klesl.

Dále, funkce démon (1, 0) se nazývá, pro stejné účely jako v případě vzorku popsaného výše (atddd).

Poté, malware zvládá situaci, pokud by byla cupsdd dříve provedena a je v současné době aktivní. Za tímto účelem se zkontroluje, zda soubor / tmp / gates.lock existuje. Pokud to neexistuje, aktuální proces je ukončen (exit (0)). Pokud ne, soubor (/ tmp / gates.lock) je vytvořen a PID současného procesu je zapsán do něj.

Pak, když vlajka g_iIsService == 1, Backdoor si klade ke spuštění při spuštění systému tím, že vytvoří následující skript s názvem DbSecuritySpt v / etc / init.d /:

#! / Bin / bash
/ cesta / k / cupsdd

Malware také vytváří symbolické odkazy na skript v / etc / rc [1-5] .1/S97DbSecuritySpt
 

Dále, malware přečte konfigurační soubor conf.n (pokud existuje), ze stejné složce jako ten, ve kterém se nachází cupsdd. První 4 bajty souboru definovat velikost dat, která následuje. Všechna data jsou uložena ve struktuře g_cnfgDoing.

Pak malware přečte soubor obsahující příkazy - cmd.n. Formát je stejný jako v conf.n. Data jsou uložena ve struktuře g_cmdDoing.

Poté, malware získá všechny potřebné informace o systému, včetně:

Název operačního systému a verze jádra (např. Linux 3.11.0-15-generic), voláním uname ()
CPU taktovací frekvence, vzít z / proc / cpuinfo
Počet jader CPU, odebraných z / proc / cpuinfo a zatížení CPU, převzaté z / proc / stat
Zatížení sítě, převzato z / proc / net / dev
Pevný disk velikosti v MB, převzato z / proc / meminfo
Informace o síťových rozhraních, odebraných z / proc / net / dev
Všechna data jsou uložena ve struktuře g_statBase.

Dále, nový proud, CThreadTaskGates :: ProcessMain, je vytvořen, ve kterém jsou tyto příkazy zpracované:

0x03. DoConfigCommand (). Aktualizujte konfigurační soubor conf.n.
0x05. DoUpdateCommand (). Začít nové vlákno, CThreadUpdate :: ProcessMain, ve kterém aktualizace jednou z jeho součástí. Příkaz přijímá číslo od 1 do 3, jako parametr. Každá z těchto čísel je spojena s jedním z následujících řetězců:
1 - "Alib" - soubor / usr / lib / libamplify.so
2 - "Bill" - klesl modul (cupsddh)
3 - "Gates" - kapátko (cupsdd)
 

V závislosti na parametru, jedna z komponent škodlivý program je aktualizován. Aktualizace se spustí vysláním 6 bajtů, které obsahují řetězec "EF76 # ^" k serveru C & C, následuje jeden z řetězců, uvedených výše (v závislosti na parametru).

C & C reaguje tím, že pošle 4 bajty obsahují délku (v bajtech) souboru, který bude převedena další. Pak C & C přenáší samotný soubor v 1024 bajtů paketů.

Za prvé, soubor je uložen v adresáři / tmp pod náhodným jménem se skládá z číslic. Pak, v závislosti na souboru, který byl přijat, existující soubor cupsdd (nebo cupsddh) nahrazuje nebo soubor se zkopíruje do / usr / lib / libamplify.so

Dále, dočasný soubor bude odstraněn z / tmp, a příkaz chmod slouží k nastavení 755 oprávnění k výslednému souboru. Poté se v případě, že aktualizace cupsddh, aktivní proces je ukončen a nový soubor je vypuštěn. V případě aktualizace cupsdd, závěrečná etapa (od kopírování souboru z / tmp) se provádí cupsddh, ke kterému je příslušný příkaz odeslán.

0x07. DoCommandCommand (). Napište nový příkaz cmd.n.
0x02. StopUpdate (). Zavřít aktuální spojení, která byla založena za účelem aktualizace modulů.
Dále, backdoor spustí několik vláken, ve kterých se současně provádí několik dalších operací:

CThreadClientStatus aktualizuje údaje o procesoru a zatížení sítě ve struktuře g_statBase každou sekundu.
CThreadRecycle odstraňuje dokončené úkoly z fronty.
CThreadConnSender čte příkazy z fronty a předává je do cupsddh modulu přes TCP spojení s 127.0.0.1 na portu 10808. V reakci obdrží stav jejich provedení.
CThreadMonBill kontroluje, zda modul cupsddh běží jednou za minutu. Pokud ne, spadne a spustí jej znovu.
CThreadLoopCmd čte příkazy z g_cmdDoing (soubor cmd.n) a provádí jejich pomocí systémového volání (cmd).
Dále, hlavní vlákno vstoupí do smyčky příjem a zpracování příkazů ze serveru C & C. Existují dvě možnosti, v tomto případě, v závislosti na g_iGatsIsFx vlajky:

Pokud je nastaven příznak (== 1), malware jednoduše používá nové vlákno poslat informace o systému a aktuální konfiguraci z g_cnfgDoing na C & C a čeká na příjem příkazů v reakci, jako vzorku (atddd) je popsáno výše;
Pokud není nastaven příznak, pak komunikační relaci je iniciována C & C. Jinými slovy, malware čeká na C & C se připojit a začne přenášet data vyšší pouze tehdy, pokud bylo spojení navázáno uvedené.
 

Příkazy přijaté od C & C jsou rozděleny do dvou frontách: buď pro provedení v současném modulu (v závitu CThreadTaskGates popsaných výše), nebo pro předání do cupsddh modulu (závit CThreadConnSender).

Backdoor.Linux.Ganiw.a (cupsddh)

Soubor je nabitý UPX. Poté, co byl rozbalen, volá daemon (1,0). To vytvoří soubor / tmp / bill.lock, v němž ukládá PID aktuálního procesu. cupsddh ukládá systémová data ve struktuře g_statBase, který je totožný s tím, že používá cupsdd.

Dále vyplní se struktura g_provinceDns s IP adresy serverů DNS převede na binární data v síťovém pořadí bajtů pomocí funkce inet_addr (), přičemž data z pole řetězců g_sProvinceDns (offset v rozbaleného souboru: 0x8f44с, velikost 4608 bajtů).

cupsddh spustí příkaz "insmod / usr / lib / xpacket.ko" při pokusu o načtení modulu jádra do jádra. Nicméně, soubor není přítomen na "čistých" systémů a malware nedává žádný pokus, aby si jej stáhnout nebo získat ji jiným způsobem.

Další data ze souboru / usr / libamplify.so (jak se ukázalo, není knihovna, ale ještě jeden konfigurační soubor) je načten do struktury g_AmpResource. Soubor má následující formát: 1. dword je počet DWORD, které následují. Zdá se, že obsahuje seznam IP adres DNS serverů, které jsou v současné době relevantní, tj. těch, vhodné pro typ DNS Amplification DDoS útoky.

Poté, modul vytvoří dvě vlákna: CThreadTask a CThreadRecycle. Bývalý vykonává příkazy z fronty, obsahující příkazy, které přišly z cupsdd modulu. Ten odstraní příkazy, které byly provedeny. Dále, hlavní vlákno váže socket 127.0.0.1:10808 a vstoupí do nekonečné smyčky, přijímá příkazy od cupsdd modulu a uvedení příkazy přijaté do výše fronty.

Následující příkazy jsou možné:

0x01. Začátek útoku podle parametrů obdrželi. Podívejte se na podrobnější popis níže.
0x02. Ukončit aktuální útok, nastavením příslušného příznaku.
0x03. Aktualizace aktuální konfiguraci ve struktuře g_cnfgDoing, který se používá při útoku. Také, aktualizovat stávající místní MAC adresy, stejně jako MAC adresu a IP aktuálního brány ve struktuře g_statBase.
0x05. Závěrečná fáze aktualizace cupsdd modul (viz výše).

Jsou dva hlavní způsoby útoku možná: normální režim a režim jádra.

Režim jádra

Tento režim používá pktgen , paketový generátor kernel-level zabudovaný do Linuxu. Jeho výhodou je to, že útočník provoz je vytvořen s největší možnou rychlostí pro danou síťového rozhraní. Kromě toho, že pakety vytvořené tímto způsobem, není možné detekovat běžnými sniffers jako např. standardní tcpdump, protože pakety jsou generovány na úrovni jádra.
 

Generátor paketů je řízen pomocí sady scripts / konfigurační soubory v adresáři / proc / net / pktgen, ale modul pktgen musí být nejprve vloženy do jádra vyvoláním příkazu "modprobe pktgen". Nicméně, jsem nenašel žádné takové hovory. Zdá se, že volání "insmod / usr / lib / xpacket.ko" je používán místo toho, ačkoli, jak již bylo uvedeno výše, soubor chybí ze systému ve výchozím nastavení. Výsledkem je, že v režimu jádra není funkční v této verzi malware.

Nicméně, malware pokusí zapsat několik souborů do / proc / net / pktgen složky, a to:

. souboru / proc / net / pktgen / kpktgend_% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující:
rem_device_all
add_device eth% d
max_before_softirq 10000
 

. souboru / proc / net / pktgen / eth% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující:
Počet 0
clone_skb 0
Zpoždění 0
TXSIZE_RND
min_pkt_size% d
max_pkt_size% d
IPSRC_RND
src_min% s
src_max% s
UDPSRC_RND
udp_src_min% d
udp_src_max% d
dst% s
udp_dst_min% d
udp_dst_max% d
dst_mac% 02x% 02x% 02x% 02x% 02x% 02x / / MAC adresa brány z g_statBase
is_multi% d
multi_dst% s / / pokud existuje několik adres, které mají být použity v útoku (tj. v případě, že hodnota v předchozím řádku není rovno 0), ale jsou uvedeny v těchto řádků, jejichž počet odpovídá předchozí parametr
pkt_type% d
dns_domain% s
syn_flag% d
is_dns_random% d
dns_type% d
is_edns% d
edns_len% d
is_edns_sec% d

Hodnoty většiny pktgen parametry jsou předávány z cupsdd pomocí příkazových parametrů.

soubor / proc / net / pktgen / pgctrl, který obsahuje řetězec "start".
Normální útok

Stejně jako v případě atddd, normální režim útok používá raw sokety.

Následující typy útoku je možné v tomto režimu:

CAttackSyn - TCP-SYN flood.
CAttackUdp - UDP oken (jako je tomu v případě atddd)
CAttackDns - DNS oken (jako je tomu v případě atddd)
CAttackIcmp - ICMP oken (jako je tomu v případě atddd)
CAttackCc - HTTP povodní.
CAttackAmp - DNS Amplification.
Posledním typem útoku na výše uvedeném seznamu je odlišná v tom pakety jsou odesílány do zranitelných DNS servery, s cílem útoku zadanou IP adresou odesílatele. V důsledku toho, cybercriminal odešle malý paket s požadavkem na DNS a DNS server reaguje na cíl útoku s výrazně větší paketu. Seznam ohrožených DNS serveru je uložen v souboru libamplify.so, který je zapsán na disk po příslušném příkazem z C & C.
 

Post Scriptum. BillGates v1.5

Tato verze Trojan se objevil o něco později a je zřejmě v současné době nejnovější. V podstatě se jedná o stejný cupsdd, jen trochu "ve tvaru nahoru". Celkově lze říci, že je logika v kódu, a existuje několik nových funkcí.

Nejvýznamnější změny byly provedeny v modulu Gates, tj. soubor cupsdd. Nyní má tři provozní režimy. Volba režimu je založena na složku, ze které soubor je zahájena. Konkrétně, pokud je spuštěn z adresáře / usr / bin / pojie, režim pak sledování je povoleno, jinak modul pracuje v režimu instalace a aktualizace, které je později nahrazen režimu, ve kterém kontroluje Bill modul.
 

Instalace a způsob aktualizace.
Za prvé, modul ukončí svůj pracovní proces v režimu monitorování, pokud existuje. Jeho PID je uložen v souboru / tmp / moni.lock.
Dále je přeinstaluje a znovu spustí Bill modulu.
Dále, pokud proces pracuje v "ovládající Bill modul" režim existuje, že proces je ukončen. Jeho PID je uložen v souboru / tmp / gates.lock.
Pokud je nastaven příznak g_iIsService (je definována stejným způsobem jako v předchozí verzi), modul nastaví sám spouštět při startu systému stejným způsobem jako před (v předchozí verzi).
Dále modul zapíše svou cestu k souboru / tmp / notify.file a pak zkopíruje do souboru / usr / bin / pojie. Poté se spustí jeho kopii, což je, samozřejmě, nastaven na spuštění v režimu monitorování, a pak změní svůj provozní režim pro ovládání modulu Bill.

Režim sledování.
Zapíše PID aktuálního procesu do souboru / tmp / moni.lock. Dále, to začne dvě vlákna - jedno sledovat Bill modul a druhý sledovat modulu Gates pracující v řízení režimu Bill. Pokud jeden z těchto procesů je v současné době neběží, příslušný soubor je vytvořen a znovu zahájena.

Ovládání režimu modulu Bill.
Činnost modulu Gates jsou přesně stejné, jako tomu bylo v předchozí verzi Trojan (po instalaci modulu Bill a inicializaci příslušné proměnné a struktury Trojan).

Abychom to shrnuli, v nové verzi Trojan jeho autoři přidali trochu "robustnost", aniž by se žádné významné změny funkčnosti.

Je také třeba poznamenat, že pevně IP adresa serveru C & C zůstala stejná (116.10.189.246) v této verzi, ale číslo portu změnilo - to je nyní 36008 místo 30000 v předchozí verzi.


Nové gTLD, stejné útoky
15.7.2014 Počítačový útok

Počítačoví zločinci po celém světě již začala ukazovat své zbraně a útoky na nové gTLDs, na "generic Top Level Domains" schválený ICANN a nabízené registrátorů, kteří mají zájem o koupi nové jméno domény. Nedávno jsme zjistili, škodlivé aktivity, včetně malwaru a phishingových stránek registrovaných v kořenových domén. klubu,. berlin,. modrá,. počítače,. fotoaparát,. Futbol, ​​odkaz.,. růžové,. zprávy,. cestování, dovolenou. a . xyz.

Nové gTDLS byly nedávno schválila ICANN a registrátoři již je nabízejí jako řešení pro ty, nudit se tradiční . com nebo . org , a kteří chtějí více možností při registraci internetových domén. Měli byste být připraveni vidět webové stránky, jako je " funny.dance "nebo" joe.dentist "nebo dokonce" my.creditcard ".

Podle nTLDStats.com , více než 1,4 milionu domén již byly registrovány pomocí těchto nových gTLDs:

V současné době existuje více než 322 nových domén nejvyšší úrovně poskytované ICANN, mezi nimi nejpopulárnější je. xyz (určený v únoru 2014) , berlin. a klub. (obě jsou v lednu 2014):

2

Brazilský phishingu a domény squatteři mají zájem především o těchto nových gTLDs, který již registrováno několik nových domén pomocí jména místních značek, jako jsou banky, on-line obchody, a společnosti vydávající kreditní karty. Například:

cielo-seucartaobateumbolao.xyz
megasaldao-americanas.xyz
lojadoricardoeletro.xyz
hsbc.club
santander.club
bradesco.club
ricardoeletro.club
ricardoeletro.computer
ricardoeletro.camera
Tyto domény byly registrovány s úmyslem, že budou použity pro phishingové kampaně, tak to přijde jako žádné překvapení, že údaje zapsané v příslušných "whois" databáze je zcela falešný:

Malware je také zapojen. Jsme si vědomi padouchy hosting své využívají sady v těchto oblastech - Jaderná Exploit balení je v současné době pomocí modré. , růžová, futbol,.. a hlásit. gTLDs, jak poukázal ven bezpečnostní výzkumník Frank Denis.

Ale brazilští protivníci nejsou jediní, kdo se zajímají o nové gTLDs jako angličtina-reproduktory byly představeny v podobných zájmy už začínají podvodné doménu, která prodává mince pro on-line hry, jako je FIFA '14 a další.

 

Další phishery již zahájily phishingové kampaně, a to i za použití starší domény nejvyšší úrovně, jako je . cestovat (zahájen v roce 2005). Jak můžete vidět v následujícím zneužívané domény, který je hostitelem stránku phishing zaměřený na brazilské bance:

 

Pokud jste běžný uživatel, být si vědom těchto odkazů uvedených v e-mailových zprávách nebo v sociálních sítích - mohou být stejně nebezpečné jako ostatní odkazy. Pokud jste firma, je to skvělý nápad, aby zahájily proces sledování značky, aby se ujistili, že název vaší společnosti nebo značky nejsou používány v kampaních týkajících se těchto nových TLD.

Uživatelé Kaspersky jsou chráněny proti všem těmto útokům.


Počítačoví piráti se chystají na větší útok. Využívají chybu routeru
8.7.2014 Počítačový útok

Počítačoví piráti chystají větší útok zaměřený na routery – brány do světa internetu, které jsou využívány v domácnostech i firmách. Menší útoky, které mají za cíl zmapovat terén, odhalil Národní bezpečnostní tým CSIRT.CZ. Při kybernetických nájezdech jsou přitom využívány chyby v routerech, takže uživatelům nepomůže ani dobře zabezpečený počítač.
Ve chvíli, kdy získají počítačoví piráti kontrolu nad routerem, mohou plně monitorovat síťový provoz a dokonce jej i měnit.
 

Projekt Turris si klade za cíl pomocí speciálního routeru analyzovat provoz mezi internetem a domácí sítí a identifikovat podezřelé datové toky. Při jejich detekci pak router upozorní centrálu na možný útok.
Centrála systému umožňuje porovnat data z více než 860 připojených routerů a vyhodnotit nebezpečnost detekovaného provozu. V případě, že je odhalen útok, jsou vytvořeny aktualizace, které jsou distribuovány do celé sítě Turris a pomáhají tak chránit všechny její uživatele.
Chyby, které mohou počítačoví piráti zneužít, se objevily na routerech značek Netgear, Linksys a Cisco. Uvedl to server Security Affairs s tím, že není vyloučeno, že postižených značek je v konečném důsledku daleko více.

„V posledním týdnu monitorujeme každý den více než 100 útoků na routery, které jsou zapojené do výzkumného projektu Turris,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

Oťukávají terén před větším útokem.
bezpečnostní analytik Pavel Bašta
Podle něj to nasvědčuje tomu, že si kyberzločinci pouze „oťukávají terén před větším útokem“. Zaměřují se totiž na chybu, která jim umožňuje převzít kontrolu nad touto bránou do světa internetu. Nepotřebují ani znát přístupová hesla, speciálně upravený malware je dokáže obejít a vyresetovat do defaultního nastavení, popsal chování nezvaného návštěvníka bezpečnostní expert Johannes Ullrich na diskuzním fóru sans.edu.

„Pokud se informace o novém malwaru potvrdí, můžeme očekávat, že bude napaden i určitý počet zařízení v ČR. Ve spolupráci s týmem projektu Turris budeme nyní bedlivě sledovat podezřelé aktivity a pokud bychom zaznamenali jejich nárůst, budeme veřejnost informovat,“ podotkl Bašta.

Ve chvíli, kdy získají počítačoví piráti kontrolu nad routerem, mohou plně monitorovat síťový provoz a dokonce jej i měnit. Přesně takovým způsobem probíhal i útok z letošního května.

Virus v routeru dokáže napáchat pěknou neplechu
Když se nezvaný návštěvník zabydlel v routeru, zablokoval na všech připojených počítačích internetové připojení a automaticky vyzýval uživatele k instalaci aktualizace flash playeru. Snažil se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti modulu pro přehrávání flashe.

Výzvy k aktualizaci se přitom zobrazovaly i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což mohlo některé uživatele uvést v omyl. Zobrazování hlášek i na regulérních webech bylo možné právě kvůli tomu, že kyberzločinci ovládali přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahovaly.

Místo aktualizace flash playeru si uživatelé stáhli do počítače, a případně do všech dalších připojených sestav, pouze dalšího nezvaného návštěvníka. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru.

Jak správně nastavit router a bránit se tak případným útokům kyberzločinců, naleznete v našem dřívějším článku.


Více Platform * mince Miner Útok routery na portu 32764

8.7.2014 Viry, Počítačový útok

Díky čtečce Garyho pro odesílání nás ve vzorku s * mince horníka, který našel útočí na port 32764. Port 32764 byla nedávno zjištěno, že nabízejí ještě další backdoor na Sercomm vybavených zařízeními. Zabývali jsme tento backdoor před [1]

Bot sám se zdá být varianta "zollard" červ sean před Symantec [2]. Symantec writeup popisuje červa jako útok na php-cgi zranitelnost, ne Sercomm backdoor. Ale to červ byl viděn s použitím různých exploitů.

Zde některé rychlé, velmi předběžné, detaily:

Důvod, proč říkám, že * knoflíkový vs Bitcoin je, že v minulosti jsme zjistili, tato horníci většinou útoku non-Bitcoin crypto-měn využít omezených schopností těchto zařízení. Nemám dostatečné podrobnosti zatím o této variantě.

Je zajímavé, že Gary našel to, co vypadá jako 5 binárních souborů s identickým funkčností, ale sestavovány pro 4 různé architektura poskytuje pro větší pokrytí z možných zranitelných zařízení. Binární soubory jsou pojmenovány podle architektury, které podporují.

Název Velikost "Soubor" výstup
arm  86680 ELF 32-bit LSB executable, ARM, verze 1, staticky propojeny, zbavený
armeabi 131812 ELF 32-bit LSB executable, ARM, EABI5 verze 1 (SYSV), staticky propojeny, zbavený
mips 140352 ELF 32-bit MSB spustitelný soubor, MIPS, na MIPS I verze 1 (SYSV), staticky propojeny, zbavený
mipsel 141288 ELF 32-bit LSB executable, MIPS, na MIPS I verze 1 (SYSV), staticky propojeny, zbavený
86 74332 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), staticky propojeny, zbavený
Binární Zdá se, proveďte následující kroky mimo jiné:

odstranit a znovu vytvořit adresáře / tmp (mít prázdnou jednu ke stažení)
vytvořit adresář / var / run / .zollard
Port firewall 23 (telnet) a 32764 (snaží se vyhnout opětovnému využití. Port 23 je zvláštní ...)
spustit telnet démon (divné, že to také brány firewall port 23)
používá tento uživatelského agenta pro některé odchozí žádosti: Mozilla/5.0 (compatible; Zollard, Linux)
Instalační soubor php s backdoor (jednoduchý php "exec")
To také vypadá, existuje mnoho dalších variant pro různé architektury založené na řetězec v souboru Gary nám poslal.

[1] https://isc.sans.edu/diary/Port+32764+Router+Backdoor+is+Back+ (nebo + se + to + + někdy pryč% 3F) / 18009
[2] http://www. symantec.com / připojit / blogy / linux-worm-zaměření-skryté-zařízení


Hacknout lze i (chytrou) žárovku

8.7.2014 Počítačový útok
Ledničkou nebo automobilem to nekončí. V éře Internetu věcí (Internet of things, IoT) se cílem útoku mohou stát i žárovky.

Výzkumníci z firmy Context Information Security upozornili na chybu v LED žárovkách, které vyrábí firma LIFX. Systém zde funguje tak, že zde existuje jediná řídicí (master) žárovka, která ovládá ty ostatní. Řídicí žárovka pak komunikuje přes Wi-Fi s mobilním telefonem či jiným zařízením. Objevena byla ovšem bezpečnostní zranitelnost a útočník mohl díky obejít přístup k řídicí žárovce, rozsvěcet, zhasínat a měnit konfiguraci sítě.

Než Context informace zveřejnil, upozornil výrobce a obě společnosti vyvinuly opravu, kterou lze nasadit jako aktualizaci firmwaru. Podle LIFX chybu téměř jistě nikdo nestačil zneužívat, protože odhalit ji bylo poměrně složité a vyžadovalo reverzní inženýrství. Podvodníci mohou samozřejmě trávit svůj čas podstatně efektivněji. Ačkoliv tedy v tuto chvíli jde především o zajímavou technickou kuriozitu, ukazuje, co za pár let v době Internetu věcí může být rutinním způsobem útoku.
Žárovky LIFX se začaly vyrábět v roce 2012, přičemž potřebné prostředky byly získány pomocí „startovače" KickStarter. Žárovky spolu komunikují pomocí bezdrátové sítě 802.15.4 6LoWPAN, pouze ta řídicí je připojena k Wi-Fi. Komunikace je sice šifrovaná, výzkumníci z Contextu ji však dokázali zachytit, analyzovat a zpětně zjistit, jaké signály vyvolávají jaké akce/změny nastavení. Po prolomení protokolu bylo tedy možné žárovky ovládat bez nutnosti získat přístup k hlavní žárovce, přičemž tato činnost byla navíc prakticky neviditelná. Oprava zahrnuje generování šifrovacích klíčů navázaných právě na přístup přes Wi-Fi k řídicí žárovce.
Mnozí dodavatelé propojené elektroniky zatím podle Contextu odpovídající zabezpečení prakticky ignorují.


Cílené útoky zasáhly 13 % českých firem

4.7.2014 Počítačový útok
V uplynulých dvanácti měsících čelilo v České republice cíleným kybernetickým útokům 13 % firem. Oproti předchozímu období to znamená nárůst o dva procentní body. V porovnání se světem je na tom Česko o jeden procentní bod hůře. Vyplývá to z červnového průzkumu společnosti Kaspersky Lab a B2B International, kterého se zúčastnilo na čtyři tisíce IT manažerů z firem ve 27 zemích, včetně České republiky.

Celosvětová čísla průzkumu ukázala, že nejoblíbenějšími oběťmi cílených útoků jsou společnosti ve vládním a obranném sektoru. V posledních 12 měsících jim čelilo 18 % dotázaných organizací v tomto odvětví. Dalšími v pořadí byly sektory telekomunikací – 17 %, finanční služby a doprava a logistika, obojí shodně s 16 %. Blíže nespecifikovaným útokům malwaru v Česku jim ve sledovaném období čelilo 71 % dotázaných firem, což je podstatně více, než je celosvětový průměr (51 %). Cílený útok se typicky skládá z několika škodlivých částí, které pracují zároveň tak, aby obešly bezpečnostní opatření napadené organizace. Mohou implementovat unikátní modifikace běžného malwaru nebo zneužít konkrétní zranitelnosti existující v prostředí firmy.


Použití síly Luuuk
25.6.2014 Počítačový útok

Krádež více než půl milionu euro za pouhý týden - to zní jako loupež hollywoodského filmu. Ale organizátoři Luuuk bankovního podvodu vytáhl ho s kampaní Man-in-the-Browser (MITB) proti konkrétní evropské banky. Ukradené peníze se pak automaticky převedeny do přednastavených mule účty. Když se objevil skvělý ovládací panel Luuuk je okamžitě dostal do kontaktu s bankou, a zahájila vyšetřování.

Na 20 lednu 2014 Kaspersky Lab zjištěn podezřelý serveru, který obsahuje několik souborů protokolu, včetně událostí z roboty hlášení k velení a řízení webových panelu. Informace zaslány Zdálo se, že v souvislosti s finanční podvody; to včetně údajů o oběti a sumy peněz ukradených.


Obrázek 1: Příklad souboru protokolu

Po další analýze jsme zjistili další soubory na server obsahující protokoly s různým obsahem a ukazuje potenciálně podvodných bankovních transakcí, stejně jako zdrojový kód v JavaScriptu vztahující se k C2 infrastruktury. Tato informace poskytnuté cenné údaje o bance, které byly cílené a dalších informací, jako např. peněz mezek systému a provozních podrobností použité v tomto schématu.


Obrázek 2: Ovládání zdrojového kódu panel

Poté, co jsme analyzovali všechny dostupné údaje, bylo jasné, že C2 je server-side část Trojan infrastruktury bankovní. Věříme, že podvod byl spáchán za použití Man-in-the-Browser techniky a byl také schopen provádět automatické transakce přednastavit peníze účty mule.

Rozhodli jsme se pojmenovat toto C2 luuuk po cestě správa panel použitý na serveru: / server / adm / luuuk /

Níže je shrnutí relevantních informací získaných z straně serveru součásti:

Asi 190 obětí, většinou se nacházejí v Itálii a Turecku.
Podvodné transakce v hodnotě více než 500 tisíc € (dle protokolů).
Podvodné popisy přenosu.
Oběti "a mezky" IBAN.
Ovládací panel byl umístěn v doméně uvvya-jqwph.eu , řešení na IP adresu 109.169.23.134 během analýzy.

Podvodné kampaně cílené uživatelům jedné banky. I když jsme nebyli schopni se dostat škodlivý kód používaný k oběti, věříme, že zločinci používají bankovní Trojan provádění Man-in-the-Browser operace se dostat pověření svých obětí přes škodlivé webové injekce. Na základě informací dostupných v některé ze souborů protokolu na bázi malware ukradl uživatelská jména, hesla a OTP kódy v reálném čase.


Obrázek 3: Podvodné transakce příklad protokolu.

Tento druh injekce jsou velmi časté ve všech variantách Zeus (Citadela, SpyEye, IceIX, atd.) a všechny z nich jsou dobře známé v Itálii. Během našeho vyšetřování nebylo možné najít infekce vektor, nicméně bankovní trojské koně používají různé metody, aby nakazit oběti, včetně spamu a drive-by downloads.

Útočníci používají ukradené pověření ke kontrole oběť? Y vyvážení a automaticky provádět několik škodlivých transakcí, pravděpodobně pracuje v pozadí legitimní bankovní relace. To by bylo v souladu s jedním ze škodlivých artefaktů (VNC server), které jsme našli vázané ke škodlivému serveru používaného útočníky.

Přes "obvyklé" postupy, kterými se ukrást peníze uživatelů (uživatel / heslo / OTP bypass), co je opravdu zajímavé, v této kampani je klasifikace z předdefinovaných peněz mul používané pro přenos ukradené peníze.

Podle protokolů transakcí, tam byly 4 různé peněz-mule (nebo pokles) skupiny:

13test: limit, který se kapky v této skupině může přijmout je mezi 40.000 a 50.000 eur, ačkoli tam jsou některé kapky, které mají různé limity, mezi 20,000 a 30,000.
14test: limit, který se kapky v této skupině může přijmout je mezi 15.000 a 20.000 eur, ačkoli tam jsou některé kapek do této skupiny, které mají různé limity, mezi 45,000 a 50,000.
14smallings: limit, který se kapky v této skupině může přijmout je mezi 2500 a 3000 eur.
16smallings: limit, který se kapky v této skupině může přijmout je mezi 1750 a 2000 eur, ačkoli tam jsou kapky v této skupině, které mohou přijímat množství mezi 2500 a 3000 eur (stejně jako v 14smallings skupiny).
To by mohlo být ukazatelem dobře organizované mezka infrastruktury. Různé skupiny mají různé limity na peníze, které mohou být převedeny na jeho muly, indikátor úrovně důvěry mezi nimi.

Provozovatelé tohoto ovládacího panelu odstranit všechny citlivé součásti, 22. ledna, dva dny poté, co naše vyšetřování začalo. O činnosti transakce základě se domníváme, že by to mohlo být změna infrastruktury, spíše než úplné zastavení provozu.

Kromě toho, na základě zjištěné podvodné transakce činnosti na serveru a několik dalších ukazatelů, domníváme se, že zločinci stojí za provozu jsou velmi aktivní. Také oni ukázali proaktivní bezpečnostní činnost provozní, měnící se taktiku a čištění stopy, když objevil.

Kaspersky Lab je udržování kontaktů s různými LEA a postižené finanční instituce s cílem stíhat zločince.

Kaspersky Prevence podvodů vs Luuuk

Důkaz odhalil odborníky společnosti Kaspersky Lab uvádí, že kampaň byla s největší pravděpodobností organizována profesionálními zločinci. Nicméně, nebezpečné nástroje, které slouží k ukrást peníze lze účinně čelit bezpečnostních technologií. Například, společnost Kaspersky Lab vyvinula Kaspersky předcházení podvodům - multi-tier platformy na pomoc finanční organizace chránit své klienty z on-line finančních podvodů. Tato platforma obsahuje komponenty, které zajišťují klientských zařízení z mnoha typů útoků, včetně Man-in-the-Browser útoků, stejně jako nástroje, které mohou pomoci společnostem odhalit a blokovat podvodné transakce.


Dramatický pokles ohrožené NTP servery používané v DDoS útoků
25.6.2014 Počítačový útok

Zatímco záplatování z webových serverů zranitelných k Heartbleed OpenSSL chyba může být pozastavena, nelze totéž říci o opravách NTP servery, které by mohly být prosazeny na ničivé zesílení útoků.

Záplava Distributed Denial-of-service útoků (DDoS) řítil společností v lednu a únoru, někteří dosáhl 400 Gbps a udržování kritických služeb v režimu offline. Útočníci využil slabosti Network Time Protocol (NTP) zaslat velkého množství provoz na zfalšovaných destinací. DDoS útoky byly levné a snadno sundat a sbíral obavy mimo jiné US-CERT, který vydal poradenství v lednu ve výšce takedowns.

V té době, více než 430 tisíc serverů by mohly být použity při útocích; že počet havaroval v březnu jen více než 21.000 a květnu, vlasy přes 17.000 serverů, stále zranitelné, podle průzkumu dnes zveřejnila bezpečnostní firmy Týmu NSFocus.

"Je to obrovská ztráta," řekl Terence Chong, řešení architekt Týmu NSFocus. "Jednou zranitelnost byla objevena, a návěstí byly vyřazeny, organizace spravující tyto otevřené servery se nápravná opatření na opravu jejich servery a přinést softwaru na nejnovější verzi."

Nejnovější verze zakázal monlist funkci nebo příkaz MON_GETLIST v NTP servery, které se používají k synchronizaci nastavení času mezi počítači. Tato funkce umožňuje administrátorům získat seznam posledních 600 strojů interakci se serverem NTP, klasický set-a-zapomenout na funkci. Útočníci použili funkci navázat žádosti monlist ze svých cílů, které byly zaplaveny s UDP. Odpovědi mohou být zesíleny, aby byla mnohem větší než původní žádosti a dostatek NTP servery vracející se žádosti, webové stránky a servery jsou snadno překročení s provozem.

Organizace byly vyzvány, aby okamžitě opravit, nebo ručně zakázat příkaz monlist, s cílem zmírnit tento problém. A zatímco 95 procent si, zbývající 17.000 servery jsou stále obavy, řekl Chong.

"Sedmnáct tisíc je stále spousta serverů venku a nesmí být oprava na dlouhou dobu," řekl Chong. "Pokud nebyly ještě oprava, může to být proto, že server není řádně zdokumentovány a řízena, a nemusí být objeveny na nějakou dobu."

Týmu NSFocus prováděny po celém světě skenování hledají NTP serverů s cílem shromáždit svá data. Chong řekl, že společnost stále pozoruje útoky prosazujících určité procento zbývajících neopravených servery, a upozorňuje, že i když většina z nich byla oprava, v květnu, více než 2000 zůstává, že mají schopnost zahájit útoky s 700x zesílení.

"Veškeré zesílení útoky jsou levné způsob DDoS útočníky k jeho zahájení," řekl Chong. "Mohou napsat skript, který vytvoří 10x až 500x objem zesílení provozu, která by mohla přinést dolů stránky snadno ve srovnání s tradiční metodou použití botnety pod jejich kontrolou, jak generovat provoz sami, což vyžaduje spoustu úsilí."

V dubnu, Arbor Networks vykazovaných údajů, které ukázaly, 85 procent útoků DDoS, které překročilo 100 Gb byly NTP zesílení útoků . CloudFlare hlášeno 400 Gb NTP zesílení útok proti jednomu ze svých zákazníků, doplňování a 300 Gbps útok proti SpamHaus, že se spoléhal na zesílení DNS místo.

Chong řekl, že je důležité, zbývající servery NTP být oprava. NTP servery, které také umožňují zdrojová IP adresa spoofing a nenásledují BCP38, standard, který definuje, jak porazit IP zdrojovou adresu spoofing , je také pravděpodobné, že se stal zdrojem budoucích útoků DDoS.

"Je to chytrý útok. Mám-li vytvořit skript, který odešle žádost každý druhý, si představit, že účinek se vracejí paketů, "řekl Chong.


Útoky před spuštění systému
17.6.2014 Počítačový útok

Hlavním cílem sledovaným malware spisovatelů při vývoji škodlivého kódu je, aby to začít co nejdříve, umožňuje to, aby se klíčové změny kódu a systémových ovladačů operačního systému, jako je například instalace háčky, před součásti antivirového produktu inicializovat. V důsledku toho, malware a anti-malware výrobky hrají kočka a myš svého druhu, neboť pracují na stejné úrovni: operační systém, ovladače a systémové rootkits všechny pracují v režimu jádra.

Bootkits představují v současné době nejpokročilejší technologii k dispozici zločinci. To umožňuje škodlivý kód spustit před načtením operačního systému. Tato technologie je realizován v řadě škodlivých programů.

O čem jsme psali bootkits (např. XPAJ a TDSS (TDL4) ) několikrát. Nejnovější publikace bootkit související doposud popisuje scénáře cílených útoků založených na bootkit technologie, realizované v masce kampaně. Nicméně, tyto dokumenty nejsou uvolněny často a někteří odborníci mohou získat dojem, že bootkits, jako souborové viry, jsou "mrtvá", že Trusted Boot odvedl svou práci a že hrozba již není relevantní.

Nicméně, existují bootkits; které jsou v poptávce na černém trhu a jsou široce využívány zločinci pro účely, které zahrnují provádět cílené útoky.


Fragment TDSS nakladače kód v MBR

Statistika
Za prvé, pojďme se podívat na KSN statistik. Níže uvedená tabulka představuje pořadí škodlivých programů, které se detekují jako Rootkit.Boot. *, Za období od 19.května 2013 do 19.května 2014.

Rodina Uživatelé Upozornění
Rootkit.Boot.Cidox 45797 60787
Rootkit.Boot.Pihar 25490 75320
Rootkit.Boot.Harbinger 19856 34427
Rootkit.Boot.Sinowal 18762 420549
Rootkit.Boot.SST 8590 73079
Rootkit.Boot.Tdss 5388 19071
Rootkit.Boot.Backboot 4344 9148
Rootkit.Boot.Wistler 4230 13014
Rootkit.Boot.Qvod 1189 1727
Rootkit.Boot.Xpaj 690 2483
Rootkit.Boot.Mybios 442 5073
Rootkit.Boot.Plite 422 648
Rootkit.Boot.Trup 300 7395
Rootkit.Boot.Prothean 217 1407
Rootkit.Boot.Phanta 167 5475
Rootkit.Boot.GoodKit 120 131
Rootkit.Boot.Smitnyl 100 3934
Rootkit.Boot.Stoned 69 96
Rootkit.Boot.Geth 60 166
Rootkit.Boot.Nimnul 53 84
Rootkit.Boot.Niwa 37 121
Rootkit.Boot.Fisp 35 344
Rootkit.Boot.CPD 25 39
Rootkit.Boot.Lapka 19 21
Rootkit.Boot.Yurn 8 18
Rootkit.Boot.Aeon 6 6
Rootkit.Boot.Mebusta 5 5
Rootkit.Boot.Khnorr 4 4
Rootkit.Boot.Sawlam 4 7
Rootkit.Boot.Xkit 4 20
Rootkit.Boot.Clones 1 1
Rootkit.Boot.Finfish 1 1
Celkový 136435 734601
Většina bootkits se aktivně detekovány pomocí technologie založené na chování již ve fázi jejich instalace v systému. Alternativně mohou být zjištěny poprvé antivirový produkt provádí automatickou kontrolu po spuštění systému, což má za následek aktivní postup odstranění infekce je zahájena. Všimněte si, že statistické údaje uvedené výše jsou pouze infikovaných detekci Master Boot Record. Údaje zahrnují i ​​data přijatá z již infikovaných počítačů, na kterých byla naše antivirové řešení instalovaných po stroje byly infikovány.

To lze vidět v tabulce výše, že deriváty TDSS - Pihar a SST - patří mezi TOP zjištěného 5 bootkits. Harbinger bootkit, které adware "zahrnuje", je na třetí pozici a Sinowal je na čtvrtém místě v žebříčku. První místo je obsazené, s výrazným vedením, které Rootkit.Boot.Cidox. Vzhledem k tomu, Cidox sehrála zvláštní roli v bootkit vývoji, budeme diskutovat o svůj příběh ve větším detailu.

Cidox: veřejně dostupné kód
Cidox je nabízen jako doplněk k dalšími škodlivými programy a slouží k ochraně malware, se kterým je distribuován. To znamená, že bootkit není použit k vytvoření vlastní botnet TDSS stylu.

Původní verze malware byly zahrnuty do společnosti Kaspersky Lab antivirové databáze před třemi lety, 28. června 2011. Tehdy Cidox byl průlom škodlivého technologie, protože to bylo první infikovat VBR spíše než MBR.

Cidox byla použita k ochraně bankovnictví Trojan Carberp, mezi dalšími škodlivými programy. Když byl publikován Carberp zdrojový kód, zdrojový kód v bootkit byla "unikly" stejně. Jako výsledek, Cidox re-nařídil příběh nechvalně známého Zeus (Zbot) Trojan. Zatímco "úniku" z Zeus zdrojového kódu dělal to mnohem jednodušší ukrást peníze z on-line bankovních systémů, publikace Cidox zdrojový kód znamená, že více nebo méně zkušený programátor může mít jít na psaní malware, který působí na nejnižší úrovni, Před uvedením do provozu operačního systému.


Fragment Cidox zdrojového kódu

Cidox se v současné době používá k načtení a chránit nejrůznější malware, včetně crimewaru, blokátory a malware, jejichž cílem je ukrást peníze on-line bankovních systémů.

Cílené útoky

Maska Kampaň výše uvedené nebyl ojedinělý případ bootkits používány v cílených útoků. Před časem jsme psali o HackingTeam , společnost, jejíž software (včetně bootkits) se používá při provádění policejních operací v různých zemích po celém světě. Další společnost, FinFisher , nabízí podobné služby, zatímco software vyvinutý to zahrnuje i bootkit - Rootkit.Boot.Finfish, který se stane být na posledním místě v našem žebříčku.


Seznam výrobků a služeb z FinFisher je oficiální internetové stránky

Analýza produktů nabízených FinFisher byl prezentován v článku Kaspersky Lab připravil Virus Bulletin konferenci. Prezentaci lze nalézt na webových stránkách VB .

BIOS. Hledání nových východisek

Nikdy nekončící boj mezi antivirových řešení a škodlivého kódu vede i bývalý a druhý do další fáze svého vývoje. Malware spisovatelé muset hledat nové výchozí body, s BIOS stává jedním z nich. Nicméně, věci se těžko pohyboval kolem zkušební výzkum , protože hmotnost modifikace BIOSu je "nevhodné" provoz pro malware spisovatelů, který vyžaduje značné úsilí na provedení a proto může být použita pouze ve vysoce cílených útoků.

Jaké sny mohou přijít
Klasický BIOS systému je nyní v podstatě relikt, který je obtížné používat a má řadu omezení. To byl důvod, proč zcela nový jednotný modulární rozhraní, UEFI , byl vyvinut UEFI Forum konsorciem na základě specifikací původně poskytnutých společností Intel.

Co UEFI nabízí:

Podpora moderním vybavením.
Modulární architektura.
EFI Byte Code - architektura a ovladače, které jsou nezávislé na typu procesoru (x86, x86-64, ARM/ARMv8).
Různé nástavce pro UEFI, které jsou načteny z různých médií, včetně přenosných zařízení.
Vývoj pomocí programovací jazyk na vysoké úrovni (dialekt C).
Secure Boot.
Spouštění po síti .
Doporučujeme také čtení o 10 nejčastějších mylných představ o UEFI.

Následující Podpora operačních systémů UEFI:

Linux pomocí ELILO nebo speciální verzi zavaděče GRUB.
FreeBSD.
Apple Mac OS X pro Intel-kompatibilní systémy (v10.4 a v10.5 poskytuje částečnou podporu, zatímco v10.8 poskytuje kompletní podporu).
Microsoft Windows, počínaje Windows Server 2008 a Windows Vista SP1 x86-64. Microsoft Windows 8 podporuje UEFI, včetně 32 bitové UEFI, stejně jako bezpečný boot.
Stručně řečeno, to, co dělá nabídku UEFI? Jednoduchý, snadno pochopitelný a dobře zdokumentované, jednotný a pohodlný způsob rozvoje, aniž by se uchylovat k 16-bit montážní programování.

Z hlediska anti-malware řešení, UEFI je velmi dobrým místem pro realizaci něco jako záchranný disk. Za prvé, bude kód záchranného disku je spuštěn před operačním systému a zavaděč začátku; Za druhé, UEFI snadný přístup pevného disku, stejně jako více či méně snadno přístup k síti; Třetí, jednoduché a snadno pochopitelné grafické uživatelské rozhraní může být vytvořeno. Jen to, co lékař nařídil, kdy člověk musí vypořádat s sofistikované a aktivně se bránit hrozbám, jako jsou bootkits.

Z hlediska škodlivých vývojářů kódu, vše výše uvedené je také výhodné pro bootkit, což mu umožňuje poskytovat spolehlivou ochranu pro malware. Alespoň dokud se vývojáři firmwaru postarat o to, zavést řádnou ochranu.

Nicméně předtím, než přejde k funkčnosti ochrany, bychom chtěli řešit jednu důležitou otázku. Výrobci zařízení rozvíjet jejich firmware sebe a dělat svá vlastní rozhodnutí, pokud jde o podporu pro volitelné funkce , které nabízí specifikace UEFI. Tyto funkce patří, v první řadě, chrání firmware v SPI Flash z úpravy a bezpečnou botou . V případě UEFI, máme klasický problém Pohodlí vs bezpečnosti.

Ohrožení a ochrany mechanismy
To přijde jako žádné překvapení, že v UEFI se stal všeobecně zavedena, to přitahovalo zájem nezávislých badatelů jako potenciální útok vektoru ( jeden , dva , tři ). Seznam možných průniku bodů je poměrně rozsáhlý a zahrnuje kompromisů (vstřikování, nahrazení nebo napadení) OS zavaděče a EFI, ohrožení řidiče UEFI, přímý přístup SPI Flash od operačního systému a mnoho dalších. V případě spouštění v systému UEFI + Legacy ( CSM režim), staré způsoby napadení systém používaný bootkit vývojáři zůstávají v platnosti. Je také zcela zřejmé, že v případě, že pre-boot Execution Environment je ohrožena, všechny bezpečnostní mechanismy systému Windows, jako je například Patch Guard, řidiče ověření podpisu apod., jsou k ničemu.

UEFI specifikace verze 2.2 včetně nové bezpečné zaváděcí protokol , který měl zajistit bezpečné pre-boot Execution Environment, stejně jako ochranu před škodlivým kódem je proveden z potenciálně zranitelných míst.

Boot protokol zabezpečení definuje postup používaný k ověření moduly jsou načteny, jako jsou řidiči, zavaděč OS a aplikací. Tyto moduly by měla být podepsána speciálním klíčem a digitální podpis musí být ověřen před vložením modulu. Klávesy používané k ověření moduly by měly být uloženy ve vyhrazené databázi chráněné proti průniku, jako je TPM. Klíče mohou být přidány nebo změněny pomocí jiných klíčů, které poskytují bezpečný způsob úpravy samotnou databázi.

Na základě výše uvedeného, ​​provádění těchto bezpečnostních mechanismů firmwaru a operačním systému vývojáři základě lze považovat za optimální z hlediska bezpečnosti:

Ochrana SPI Flash proti škodlivým modifikací. Zákaz podporu pro upgrade firmware z operačního systému.
Blokování přístupu ke kritickým UEFI sekcích, včetně většiny proměnných prostředí.
Zcela přerušení používání CSM.
Ochrana systémový svazek, který obsahuje UEFI ovladače, zavaděče a aplikace před škodlivými modifikací.
Operační systém a firmware vývojáři by měli zavést a umožnit Secure Boot (stejně jako Trusted mechanismus Boot implementována v OS Windows).
Ochrana klíč úložiště z modifikací.
Ochrana mechanismus slouží k aktualizaci databáze, ve které jsou uloženy klíče od falšování a jiné druhy útoků.
Implementace ochrany proti "Evil Maid" útoků, které zahrnují fyzický přístup k počítači.
Pomocí odbornost nashromážděné přední anti-malware společnosti a realizaci anti-malware technologie na úrovni firmwaru.
Nicméně je třeba mít na paměti, že pokud jsou implementovány další pokročilé mechanismy ochrany, budou zločinci přijít s více pokročilých útoků proti UEFI. Metody používané v současné době jsou založeny na výměně zavaděč UEFI pro operační systém Windows 8. Během jeho inicializace, škodlivý OS loader načte nahradit nakladač na paměti, vypne bezpečnostní mechanismy Patch Guard a řidič ověření podpisu pomocí jedné metody, nebo jiný, nastaví potřebné háčky a předá řízení na původní loader kódu.

V případě Mac OS pomocí šifrování celého disku, originální přístup je používán, který je založen na implementaci jednoduchého UEFI keylogger získat tajné přístupové heslo zadané uživatelem na klávesnici dešifrovat obsah pevného disku při startu systému. Ve všech ostatních ohledech, metoda založená na výměně nebo napadení boot loader systém je v tomto případě, stejně.

Závěr

Bootkits se vyvinuly z Proof-of-Concept vývoje na rozložení hmotnosti a nyní skutečně stane open-source software. Spuštění škodlivého kódu z Master Boot Record (MBR) nebo Volume Boot Record (VBR), umožňuje počítačovým zlodějům ke kontrole všechny fáze startu OS. Tento typ infekce se v podstatě stala standardem pro malware spisovatelů. Jeho realizace je založena na ověřených, fundovaných technologií. Důležité je, že tyto technologie jsou k dispozici na různých prostředků ve formě zdrojového kódu. V budoucnu to může vést k výraznému zvýšení množství malwaru na základě těchto technologií, jen s menšími změnami v logice jednotlivých programů "provozu. Očekáváme, že nové úpravy TDSS a Cridex, které jsou již obeznámeni se zločinci. Jsme také obává, že takový malware by mohly být použity v jiných typech útoků páchaných zločinci, např. v systémech, které používají výchozí Deny technologií.

Klíčové bylo, že state-of-the-art anti-malware technologie implementované v našich produktech jsou úspěšné v boji proti těmto infekcím. Vzhledem k tomu, že je těžké předpovědět, co teď specifické metody maskování, blokování nebo odolávání anti-malware produkty, bude vynalezen zločinci v blízké budoucnosti, kterou se provádí anti-malware technologie na úrovni firmware, v kombinaci s mechanismy ochrany popsaných výše, bude umožňují bezpečnostní řešení pro neutralizaci rootkity a bootkits před škodlivý kód je schopen převzít kontrolu. Navíc, obsahující anti-malware modul UEFI zjednoduší proces odstranění infekce a vývoj nových metod pro detekci nově vyvinuté bootkits, které používají nové, pokročilé maskovací techniky, stejně jako rootkity, které se střetávají s provozem systému nebo anti-malware řešení.

PS Zvláštní poděkování od autorů do Vasilij Berdnikov za jeho pomoc při výzkumu materiálů pro tento papír.


Feedly a Evernote blokovaly útoky DDoS

13.6.2014 Počítačový útok
Nejoblíbenější RSS čtečka Feedly se stala terčem útoku DDoS a většinu středy byla nedostupná. Problémům s kyberzločinci se nevyhnula ani platforma ani Evernote.

„Útočníci chtějí, abychom jim za zastavení útoku zaplatili,“ napsali představitelé společnosti s 15 miliony uživateli na svém blogu. „Vzdát se nehodláme,“ dodali. Podle aktualizované zprávy na blogu se útok podařilo eliminovat kolem půlnoci našeho času.

Feedly však nebyla jediná služba, kterou si útočníci vyhlédli, v úterý měla problémy i oblíbená služba sloužící k ukládání poznámek Evernote. Zatím není jasné, zda se jednalo o shodu okolností, nebo zda byly oba útoky propojené, ale tyto dvě služby spolu úzce spolupracují.

Představitelé společnosti uživatele čtečky RSS ujistili, že jejich data jsou v bezpečí a že pracují s poskytovatelem na odstranění hrozby, což se jim podařilo chvíli před desátou večerní našeho času. Po pár okamžicích se však služba stala znovu nedostupnou.

Problémy začaly už v úterý, kdy prémioví uživatelé dočasně nemohli synchronizovat své poznámky se službou Evernote, která má přes sto milionů uživatelů.

Výpadek při útoku DDoS (distribuované odmítnutí služby) je způsoben příjmem obrovského množství požadavků odesílaných až z tisíců počítačů na cílovou službu s účelem jejího ochromení a jeho cílem jsou často například politické organizace a kontroverznější, nepříliš oblíbené projekty. K útokům jsou často používány zavirované počítače bez vědomí jejich majitelů.

Evernote se s útokem kyberzločinců nesetkalo poprvé. V roce 2013 se útočníci údajně dostali k uživatelským jménům, e-mailům a zašifrovaným heslům, tento útok byl však omezenější.

„Pokračujeme ve snižování následků útoku, ale Evernote jsme úspěšně uvedli zpět do chodu,“ řekla tisková mluvčí Everonote Ronda Scottová. „Vzhledem k podstatě útoků DDoS nedošlo ke ztrátě dat a nebyl napaden ani žádný uživatelský účet,“ dodala.


DDoS útoky Vezměte dolů Feedly, Evernote
12.6.2014 Počítačový útok
Agregátor zpráv Feedly zůstane v režimu offline středu, to bojuje distribuované odmítnutí služby útoku, který se držel službu po dobu několika hodin.

V blogu dnes ráno, společnost uznala, že útočník se snaží vydírat nejmenovaný sumu peněz z Feedly k zastavení útoku, ale generální ředitel a zakladatel Edwin Khodabakchian poznamenává, že se "odmítl se vzdát" vydírat pokusy.

Khodabakchian trvá na tom, že výpadek je jen DDoS souvisí a že žádná z informací svých uživatelů byla ohrožena útokem. Blog poukazuje na to, že to funguje s poskytovateli síťových pomoci zmírnit útok na svých nejlepších schopností, ale jak to dělá nějaké změny v jeho infrastruktury, bude to trvat ještě několik dalších hodin, dokud není obnovena služba. Feedly - k dispozici na webových prohlížečů a iOS a Android platformy - je RSS čtečka, která viděla významný uptick v uživateli, kdy Google oznámil, že se bude končit jeho Reader službu března 2013.

Psaní poznámek služba Evernote také sama oběť útoku DDoS během posledních 24 hodin.

Útok, že cílená Evernote se servisní režimu offline kolem 17:30 EST úterý asi pět hodin. Podle Twitter, Evernote dostal zpět do provozu krátce po 10 hodin

Společnost uvádí, uživatelé mohou zaznamenat "škytavka nebo dva" v průběhu příštích 24 hodin, je přestaví post-útok.

Aplikace, která umožňuje uživatelům dělat si poznámky na cestách, překonal 100 milionů uživatelů po celém tomto období minulý měsíc, že ​​lví podíl se sídlem v Asii, Evropě, na Středním východě a v Africe.

Je to jasné, zda oba DDoS útoky jsou příbuzné, ale Evernote se v poslední době integrovat své služby s Feedly Pro, premium verze z RSS čtečky.

V březnu sociální síť Meetup.com a projektový management konzole Basecamp byli oba srazil v režimu offline po DDoS útoků, kdy útočníci požadovali výkupné zastavit bouchání na stránky s provozem.

High-objem popření servisních útoků jsou stále častější, podle výzkumu zveřejněného Arbor Networks dříve v tomto roce. Útoky mezi 100 Gb a 300 Gb, které umožňují útočníkům zaklepat služby v režimu offline po delší dobu, se stává novým standardem.

"Zdá se, že útočníci se snaží dosáhnout cíle, ať už je to na dopad na dostupnost služeb nebo jako součást mnohem širšího útoku kampaně, odvést z finančních podvodů a krádeží," Arbor Networks řešení archictect Darren Anstee řekl v té době.


TweetDeck sundán v brázdě XSS útokům
12.6.2014 Počítačový útok
Služby TweetDeck byly zakázány v současné době jako Twitter se snaží získat handle na cross-site scripting zranitelnost, že dnes ráno způsobil hory zděšení na sociálních sítí platformu.

Zpočátku uživatelů bylo řečeno, protokol z Twitter nástroj pro sledování v reálném čase, aby pro opravy se projeví. Ale opravy, ale nevzal pro některé, kteří uvedli, že viděli dialogové okno pop-up svědčí o benigní XSS využít.

Uživatelé mohou být ohroženi více závažných útoků. Cross-site scripting nastane, když útočníci jsou schopni aplikovat kód do webových stránek a webových služeb, které mohou být automaticky provedeny prohlížečem uživatele. Hackeři úspěšně vykonávající skriptovací útok cross-site vzdáleně aplikovat kódu na straně klienta, což vede ke ztrátě dat nebo přerušení provozu.

V případě TweetDeck zneužít, mohl by útočník převzít uživatele účtu, funkci nebo odstranit tweetů nebo znetvořit účet. Exploit kód byl tweeted celé dopoledne, a automaticky retweeted desítky tisíc krát.

"Tato chyba zabezpečení velmi konkrétně činí tweet jako kód v prohlížeči, což umožňuje různé cross site scripting (XSS) útoky, které mají být provozovány pouze prohlížení tweetu," řekl Trey Ford, globální bezpečnostní stratég Rapid7. "Současný útok jsme svědky" červ ", že samostatně výdělečně opakování vytvořením škodlivé tweety. Vypadá to, že to v první řadě týká uživatelů z TweetDeck plugin pro Google Chrome. "

Ford porovnal je s Samy červ, která zasáhla MySpace před osmi lety, ale poukazuje na to, že TweetDeck červ nenutí účet sledovat útočníka.

Twitter získal TweetDeck v roce 2011 směrem nahoru ve výši 50 milionů dolarů. TweetDeck poskytuje uživatelům řídicího panelu výhledem na více účtů. Tweet časové osy, oznámení a přímé zprávy se zobrazí v přizpůsobitelných streaming sloupcích.


Použití nmap pro skenování pro DDOS reflektory

3.6.2014 Počítačový útok

Než jsme se dostali do toho tady je standardní upozornění. Nekontrolovat žádné zařízení, které nemáte výslovné povolení ke skenování. Pokud nevlastníte zařízení vřele doporučuji vám, že povolení v písemné formě . Také, skenování portů může způsobit nestabilitu nebo selhání některých zařízení a / ​​nebo aplikací. Jen se zeptejte někoho, kdo ztratil imigrační styčné důstojníky do heartbleed . Takže buďte opatrní!

Jak jsme viděli v posledních deníků o reflexní DDOS útoky , které jsou určitě chuť na den. americko-CERT tvrdí, existuje několik protokolů na bázi UDP, které jsou potenciálním útoku, . Z vlastní zkušenosti vím, že ty nejrozšířenější jsou DNS, NTP, SNMP, a chargen. Za předpokladu, že máte oprávnění; Existuje jednoduchý způsob, jak udělat dobrý sběr dat pro tyto porty v síti? Ano, jako ve skutečnosti to může být provedeno v jedné jednoduché nmap příkazu.

nmap â € "su â €" â € "PN â €" n â € "balení: 19,53,123,161 â €" script = ntp-monlist, dns-rekurze, snmp-sysdescr <target>

Leta € ™ s rozčlenit tento systém:

-Ne â € "provést UDP skenování. Vzhledem k tomu, všechny výše uvedené služby jsou UDP jen musím skenovat pro UDP portů.

-A-provádět operační systém a detekci verze aplikace. To se bude snažit, aby vám více informací o tom, co aplikace běží na otevřené porty. -Možnost zahrnuje také detekci operačního systému, ale je nepravděpodobné, že detekce operační systém bude pracovat při skenování tento pár portů.

-PN â € "skenovat, i když jste cana € ™ t obraťte se na IP. Ve výchozím nastavení nmap nebude kontrolovat veškeré zařízení je cana ™ t kontakt €. Bohužel, pokud zařízení je schovaný za firewallem nmap nebude obvykle schopen detekovat zařízení a bude jej vynechat z podrobného skenování. Nevýhodou používání â € "PN je, že nmap dokončí podrobnou kontrolu proti šetření, i když to doesnâ € ™ t neexistují nebo nejsou žádné porty jsou otevřené. Pokud skenujete velké množství IP adres, skenování bude trvat dlouhou dobu.

-N â € "dona € ™ t dělat rozlišení DNS. Ve výchozím nastavení nmap provádí rozlišení DNS. Není tím, že usnesení urychlí skenování poněkud.

-Pu: 19,53,123,161 â € "skenování UDP porty zadané. V nmap â € ~ â € "pa € ™ se používá k označení, které porty skenovat. Â € ~ UA € ™ říká, nmap, že porty, které následují, jsou UDP porty. Vzhledem k tomu, skenování skenování pouze UDP porty (â € "SU) â € ~ UA € ™ je nadbytečný. Nicméně v průběhu let jsem se dostal do zvyku výslovně určující, jaký typ portů, které chcete skenovat, pokud chci přidat nějaké porty TCP (-pt :) na skenování v pozdější době.

Porty uvedené v tomto testu jsou:

19 â € "chargen
53 â € "DNS
123 â € "NTP
161 - SNMP
â € "script = ntp-monlist, dns-rekurze, snmp-sysdescr â €" â € "script = volba umožňuje nmap skriptovací engine (NSE) a spustí skripty, když smysl provozovat. Jinými slovy, bude ntp-monlist script spustit pouze tehdy, když je port NTP zjištěno, že je otevřený. nmap má mnoho skriptů jsou k dispozici, které mohou být použity k rozšíření nmaps základní funkce.

Skripty uvedené v tomto testu jsou:

ntp-monlist â € ", zatímco každá otevřená služba NTP lze použít reflexní DDOS útoku maximální zesílení je dosaženo pomocí služby NTP, které umožňují příkaz monlist které mají být provedeny. Tento skript bude dělat zkontrolujte, zda monlist mohou být provedeny na otevřený port NTP.
Normálně otevřená služba NTP bude vypadat podobně jako:
123/udp otevřené NTP NTP v4

Pokud je příkaz monlist povolena na NTP server, bude ntp-monlist skript vám další informace:

123/udp otevřené NTP NTP v4

| Ntp-monlist:

| Cíl je synchronizován s 206.108.0.131

| Alternativní Cílové rozhraní:

| XXX.16.1.71

| Veřejné servery (4)

| XXX.87.64.125 XXX.75.12.11 XXX.108.0.131

| Další Asociace (596)

â € | etcâ € |

dns-rekurze â € "Normálně veřejné servery DNS bude odpovídat pouze na dotazy DNS, pro které jsou autoritativní. DNS server, který umožňuje a zpracovává dotazy na jména není směrodatný, se nazývají rekurzivní DNS servery a rekurzivní DNS servery jsou ve většině případů chybně. Výstup pro otevřené DNS port s rekurze povoleno bude podobný:
53/UDP open domény DNS společnosti Microsoft 6.1.7600 (1DB04228)

| Dns-nsid:

| _ Bind.version: Microsoft DNS 6.1.7600 (1DB04228)

| _dns-Rekurze: Rekurze se zdá být povolen

snmp-sysdescr â € "se snaží získat více informací ze služby SNMP. Otevřená služba SNMP bude vypadat podobně jako:
161/udp otevřené snmp SNMPv1 serveru (veřejný)

S snmp-sysdescr skript bude obvykle zobrazují více informací, které vám mohou říci více o zařízení, které skenování:
161/udp otevřené | filtrovány snmp

| _snmp-Hh3c-přihlášení: TIMEOUT

| _snmp-Win32 akcie: TIMEOUT

Nebo

161/udp otevřené snmp SNMPv1 serveru (veřejný)

| Snmp-sysdescr: Apple AirPort - Apple Inc, 2006-2012. Všechna práva vyhrazena.

| _ Systém uptime: 9 dní, 20:15:36.56 (85053656 timeticks)

Chceš se hádat na co jsou tato zařízení?

Jak můžete vidět, nmap umožňuje jednoduchý a účinný způsob skenování pro běžné porty používané v reflexních DDOS útoků. Tento deník se sotva dotkli povrchu schopností nmapâ € ™ s.

Já bych měla zájem vědět, jestli někdo z vás má způsoby, jak posílit nebo zlepšit tuto kontrolu.

Â

- Rick Wanner - rwanner v ISC dot sans dot edu - http://namedeplume.blogspot.com/ - Twitter: namedeplume (Protected)


Siemens Opravy DoS chybu v Robustní OS zařízení
29.5.2014 POčítačový útok
Siemens oprava zranitelnosti denial-of-service, která ovlivnila mnoho verzí jeho robustní operační systém, software, který běží na některé z RuggedCom přepínačů společnosti a sériových-to-Ethernet zařízení.

Chyba zabezpečení by mohla umožnit vzdálený útočník způsobit Robustní OS software ke srážce by Odeslat speciálně vytvořené pakety na webové rozhraní zranitelné zařízení. Chyba byla hlášena Siemens přes ICS-CERT a byla objevena výzkumníkem Aivar Liimets z Martem dálková ovládání systémů. Siemens vydala aktualizované verze firmwaru pro postižené produktů opravit chybu.

"Implementace webového serveru (port 80/TCP) v dotčených zařízeních by mohlo umožnit útočníkovi provést útok DoS proti správu webového rozhraní přístroje odesláním speciálně vytvořených paketů přes síť bez předchozího ověření. Funkce přepínání není ovlivněna, pouze webové rozhraní. Manuální studený restart zařízení je nutné získat přístup k rozhraní webové správy, " poradní ICS-CERT říká.

"Dotčenými výrobky, RuggedCom spínače a sériové-to-Ethernet zařízení, se používá k připojení zařízení, která pracují v náročných prostředích, jako jsou elektrické rozvodny a řízení provozu skříní. Podle společnosti Siemens, produkty RuggedCom ROS bázi jsou rozmístěny v různých odvětvích včetně energetiky, zdravotnictví a veřejné zdraví, a dopravních systémů. "

Dotčené výrobky Siemens patří:

Všechny verze ROS před v3.11,
ROS v3.11 (pro produkt RS950G): všechny verze před ROS v3.11.5,
ROS v3.12: všechny verze před ROS v3.12.4, a
ROS v4.0 (pro produkt RSG2488): všechny verze před ROS verze 4.1.0.
ICS-CERT poradní říká, že není tam žádný známý veřejný využít pro zranitelnosti právě teď, ale zákazníci používající ohroženou verzi firmwaru by měla co nejdříve i praktické aktualizovat.


Útočníci používají reflexní techniky pro větší DDoS útokům
28.4.2014 Počítačový útok

Akamai oznámila novou útočnou zprávu globální DDoS, který ukazuje, že v 1. čtvrtletí, DDoS útočníci spoléhal méně na tradiční botnet infekce ve prospěch reflexních a amplifikace techniky.

"Místo toho, aby pomocí sítě zombie počítačů, novější DDoS toolkits zneužívání internetové protokoly, které jsou k dispozici na otevřených nebo zranitelné servery a zařízení. Věříme, že tento přístup může vést k Internetu stále připravený k použití botnet pro škodlivých činitelů," Podle Stuarta Scholly, senior viceprezident a generální manažer bezpečnosti v Akamai. Nejčastěji zneužívané protokoly jsou Character Generator (chargen), Network Time Protocol (NTP) a Domain Name System (DNS). Tyto protokoly, které jsou založeny na User Datagram Protocol (UDP), může být upřednostňovány, protože umožňují útočníkům skrýt svou identitu. Kromě toho mohou útoky amplifikace na bázi doručit masivní záplavu dat na cíl, přičemž vyžaduje pouze relativně malý výstup ze zdroje. Nové odraz a zesílení útoku nástroje mohou přinést silný úder. Q1 viděl nárůst 39 procent průměrné šířky pásma a největší-někdy DDoS útok k překročení sítě zmírnění Prolexic DDoS. Tento útok podílí více reflexe techniky v kombinaci s tradiční botnet na základě žádosti útoku vytvářet špičkový provoz více než 200 Gb (gigabitů za sekundu) a 53,5 Mpps (milionů paketů za sekundu). Toto čtvrtletí se více než polovina DDoS útoku provozu zaměřené na mediální a zábavní průmysl. Tenhle průmysl byl zaměřen o 54 procent škodlivých paketů zmírnit tím, Prolexic během aktivní DDoS útoků v 1. čtvrtletí. Ve srovnání s 1. čtvrtletím 2013

47 procentní nárůst celkových DDoS útokům
9 procent pokles průměrné šířky pásma útoku
Nárůst 68 procent v oblasti infrastruktury (vrstva 3 a 4) útoky
21 procent pokles v aplikaci (vrstva 7) útoky
50 procent pokles v průměrné délce útok: 35 vs 17 hodin
133 procentní nárůst průměrné šířky pásma vrcholu.
Ve srovnání se 4. čtvrtletím 2013
18 procentní nárůst celkových DDoS útokům
Nárůst o 39 procent v průměru pásma útoku
Nárůst o 35 procent do infrastruktury (vrstva 3 a 4) útoky
36 procent pokles v aplikaci (vrstva 7) útoky
24 procent pokles v průměrné délce útok: 23 vs 17 hodin
114 procentní nárůst průměrné šířky pásma vrcholu.
Inovace ve DDoS trhu vyvolal nástrojů, které mohou vytvořit větší poškození s menším množstvím zdrojů. High-objem, útoky na infrastrukturu na bázi Q1 byly možné díky dostupnosti snadno-to-použití DDoS nástroje z DDoS-as-a-Service Marketplace. Tyto nástroje jsou navrženy tak, zlomyslné hackery dodat větší výkon a pohodlí do rukou méně zručných útočníků. Například, v 1. čtvrtletí, NTP reflexe útoků narostl, pravděpodobně z důvodu dostupnosti bezstarostný-až k-cvičení útoku DDoS nástroje, které podporují tento odraz techniky. Povodeň metoda NTP šel z účetnictví na méně než 1 procento všech útoků v předchozím čtvrtletí dosáhl téměř stejnou popularitu jako SYN flood útoky, trvalky oblíbené mezi DDoS útočníkům. Ani chargen ani NTP útoku, byly zjištěny v 1. čtvrtletí 2013, ale tvořily 23 procent všech útoků na infrastrukturu zmírnit tím, Prolexic v 1. čtvrtletí 2014. Úplná zpráva je k dispozici zde (nutná registrace).


Nové trendy v metodice kybernetický útok

22.4.2014 Počítačový útok
Websense dokumentovány nejnovější posun ve složitých útočných trendy, vývoj v ohrožení ekosystému a posun motivaci kybernetickým útokům. "Počítačoví zločinci se stále vyvíjejí jejich plánování a provádění útoku udržet náskok před většinou stávajících bezpečnostních opatření," řekl Charles Renert, viceprezident výzkum v oblasti bezpečnosti na Websense. "Zatímco odhodlaný, vytrvalý útočníci nadále mít úspěch ve vyspělých, strategických útoků s použitím zero-day exploity a pokročilé malware, tam také byl boom v cybercriminal činnosti v masovém měřítku. Dokonce i tyto další" běžné "formy útoku jsou snadno uklouznutí minulosti organizace, aniž by v reálném čase obrany. "

Websense Security Labs 2014 Threat Report Detaily rostoucí globální trestního infrastruktura-as-a-service hospodářství prostřednictvím využití výstroje a ohrožených webových stránek přesměrování řetězy. Prostřednictvím analýzy nejnovější metodiky útoku, výzkumníci zabezpečení Websense analyzovat sedm hrozeb fáze pokročilých útoků. Kromě toho, výsledky zahrnují modifikaci a změně použití stávajících zdrojového kódu malware. Klíčová zjištění patří:

85 procent škodlivých odkazů použitých na webových nebo mailových útoků byly umístěny na zhoršenou legitimních webových stránkách
3,3 procenta veškeré nevyžádané pošty obsahovala škodlivé odkazy a další škodlivý obsah
Průměrný počet webových stránek, přesměrování použitých na útok v roce 2013 byly čtyři roky
Maximální počet přesměrování používaných v plně zdokumentované útoku bylo 20
Webové stránky jsou klasifikovány jako Business a Economy, informačních technologií, nakupování a cestování dělal vrchol 10 seznamu napadených kategorií přesměrování určení
Rozsah a Neutrino Exploit soupravy zažil největší nárůst přijetí po zatčení Blackhole tvůrce
30 procent škodlivých spustitelných souborů vzorku včetně vlastní šifrování velení a řízení komunikační nebo datové exfiltrace.
Zpráva také dokumentuje, jak infrastruktura útoku kampaně se neustále vyvíjí, rozšířené a znovu použít v průběhu celého životního cyklu hrozeb. aby se zabránilo odhalení, když opakované použití komponent v dalších útocích, zločinci jsou ve stále větší míře přístup, který zahrnuje úpravu a modulaci stávajících útočných nástrojů. Často, to znamená, že se rozhodli využít konkrétní síly konkrétního kusu malware zaměřit se nová průmyslová odvětví. Kromě toho výzkumníci zabezpečení Websense pozoroval Zeus malware, který byl původně navržen jako finanční hrozeb a keylogging Trojan, výrazně zvýšené používání jak to bylo repurposed jiných vertikálních trhů. V loňském roce vláda a komunikační průmysl patří mezi pět nejlepších vertikál cílených se Zeus malware připojil finančních firem. Horní dvě odvětví zasaženy nejhůře, se Zeus útoky byly služby a výrobní odvětví.


Analýza 244.703 DDoS incidentů
14.4.2014 Počítačový útok
Týmu NSFocus vydala své DDoS Threat Report 2013, který upřesňuje útoku trendy a metody v uplynulém roce. Zpráva obsahuje statistické analýzy a klíčové poznámky na základě 244.703 DDoS incidentů.

Pozorování ukazují, že DDoS útoky jsou splatné v době APT. DDoS útoky byly použity jako smokescreens k provádění APT útoků nebo pro jiné nekalým účelům. Zpráva také konstatuje, že dostupnost DDoS-as-a-Service, která poskytuje komukoli s počítačem a kreditní kartu schopnost provést útok. DDoS zesílení útoky budou i nadále představovat výzvu, jako útok března 2013 ve věci protisoutěžních jednání -spam organizace Spamhaus se ukázalo, v němž doprava dosáhla 300 Gbps. Nicméně, potenciál pro více těžkých útoků DDoS amplifikace, jako jsou ty, využívající pro NTP, mohou výrazně překročit limity šířky pásma vidět do dnešního dne. "DDoS se rychle stává běžnou bolest bod, a podniky potřebují, aby tuto hrozbu vážně, pokud se očekávat, že poskytovat nepřetržitou službu svým zákazníkům, "řekl Frank Ip, viceprezident operací v USA pro Týmu NSFocus. V roce 2013, cyberattackers dal trh lekci hackernomics a představila nesčetné způsoby, v nichž se vyvinuly své strategie útoku nasadit sofistikované metody, které budou způsobit maximální množství škody pomocí nejmenším počtem zdrojů. Čím více se dozvídáme o útoku mentalitě, silnější naše obrana stane, "Ip přidal. Zjištění ukazují, že hackernomics je hnací silou, která zastřešuje DDoS trend menších, kratších a opakované útoky. Účelem většiny útoků je narušit, ne zničit. Jak takové, malé aplikační vrstvě nebo hybridní útoky, které jsou levnější, aby zahájila, může způsobit velké škody k síťovým zdrojům. útoků DNS zvýšil v důsledku pokroku v oblasti technologií anti-DDoS, které mohou lépe counter ostatní útoku, a DNS infrastruktura stále zůstává jedním z nejslabších článků.


Basecamp dostane DDoSed a vydíral
6.4.2014 Počítačový útok
Basecamp, dříve známý jako 37signals, se podařilo z velké části zmírněn DDoS útok který začal dnes (24. března), ve 08:46 centrálního času, a které z jeho služeb k dispozici pro uživatele po dobu několika hodin.

"Cílem je, aby se Basecamp, a zbytek našich služeb, nedostupných tím, že zaplaví síť s falešnými žádostmi, takže nic legitimní může projít. Tento útok byl zahájen spolu s pokusem o vydírání, které se snažila, abychom zaplatit, aby se zabránilo tento útok , "Basecamp David Heinemeier Hansson je vysvětleno v příspěvku na GitHub. "Všimněte si, že tento útok se zaměřuje na síťové propojení mezi našimi servery a internet. Všechna data jsou v bezpečí a zdravé, ale nikdo není schopen dostat se do něj tak dlouho, dokud útok . je úspěšně proveden To je jako parta lidí, kteří blokují přední dveře a nedopustit vás do svého domu Obsah vašeho domu jsou v bezpečí -.. si prostě nemůžete dostat, dokud se dostat z cesty " společnost odmítla zaplatit útočníka, a jejich šetření bylo zjištěno, že v posledních několika týdnech, stejné zločinci byly montážní tento typ útoku proti Fotolia, Setkání v GitHub, a mnoho dalších. "My jsme spojily své úsilí v oblasti vymáhání práva s ostatní oběti teď, a pracuje se stejným agentem na případu. Zatímco pátrání po těchto zločinců je notoricky těžké, budeme dělat naše nejlepší postavit je před soud, "řekl a dodal, že ve většině případů vydírání poznámka přišel z adresy odpovídající vzoru Dari *** @ gmail. com . útok se v současné době výrazně zpomalil, a většina služeb společnosti lze přistupovat uživatelé. Přesto to neznamená, že útočníci se neobnoví ji. "Další oběti nám vyprávěl o tom, jak by útočník převzít přestávka, a zkuste to znovu později s jinou metodou, "sdílel. počáteční útok dosáhl 20Gbps, ale podle dřívějších obětí, mohou útočníci ještě lépe než to. Hansson říká, že 95 procent všech zákazníků, mohou nyní přístup služby, ale že jejich servery "se napínat trošičku pod masivní zatížení zadržovanou poptávku," tak oni mohou očekávat nějaké zpomalení. "Pokud útok pokračuje, budeme psát kompletní pitvu do 48 hodin," řekl uzavřena.


24 milionů routery vystavit ISP na DNS-based útoky typu DDoS
3.4.2014 Počítačový útok
DNS-založené DDoS zesílení útoků se výrazně zvýšil v posledních měsících, zaměřených na zranitelné domácí routery po celém světě. Jednoduchý útok může vytvořit 10s Gb provozu narušit poskytovatele sítě, podniky, webové stránky a jednotlivci kdekoli na světě.

Nominum Nejnovější výzkum ukazuje:
Více než 24 milionů domácích routerů na internetu mají otevřené DNS, proxy, které vystavují ISP na DNS-založené útoky typu DDoS
V únoru 2014 více než 5,3 milionu těchto směrovačů byly použity pro vytvoření útoku provoz
Při útoku v lednu 2014 více než 70% z celkového DNS provozu v síti poskytovatele byla spojena s amplifikací DNS
DNS je zdaleka nejvíce populární protokol k zahájení zesílení útoků s více dostupnými zesilovači, než v příštích čtyřech protokolů dohromady.
Zesílení útoků DNS vyžaduje trochu zručnosti a úsilí a způsobit velké škody; To je důvod, proč jsou stále více populární. Vzhledem k tomu, zranitelné domácích routerů maskovat cíl útoku je obtížné pro ISP k určení konečného určení a příjemce obrovských vln zesíleného provozu. provozu od částky zesílení až bilionů bajtů denně narušení ISP sítí, weby a jednotlivců. Dopad na ISP je čtyřnásobně:

Dopad sítě generované nebezpečný provoz syceném dostupné šířky pásma
Dopad na náklady generované špice v telefonní hovory, způsobené přerušovaným přerušení služby
Vliv příjmů jako špatná zkušenost internet vede ke zvýšení chrlit nebo retenčních nákladů
Pověst dopad jako nežádoucí provoz směřuje vrstevníky.
"Stávající na místě DDoS obrany nepracují proti dnešním zesílení útoků, které mohou být spuštěny na libovolné zločinec, který chce dosáhnout maximální škody s minimálním úsilím," vysvětlil Sanjay Kapoor, viceprezident pro strategii, Nominum. "I když ISP používají osvědčené postupy k ochraně svých sítí, mohou stále stávají oběťmi, a to díky vlastní zranitelnosti v otevřených proxy serverů DNS."


High-Bandwidth zesílení NTP DDoS útoky stupňovat

1.4.2014 Počítačový útok

Prolexic vydal s vysokým rizikem upozornění poradenství na NTP zesílení útoků DDoS . Tato metoda útok kypěl v popularitě v letošním roce, poháněný dostupnosti nových DDoS sady nástrojů, které usnadňují vytvářet high-šířka pásma, high-objem DDoS útoky proti on-line cílům.

"V průběhu měsíce února, jsme viděli použití NTP zesílení útoků proti přepětí 371 procent proti naší klientské základny," řekl Stuart Scholly, SVP / GM Security, Akamai Technologies. "Ve skutečnosti, největší útoky jsme viděli na naší síti v letošním roce byli všichni NTP zesílení útoků." Zatímco NTP zesílení útoky byly hrozbou pro mnoho let, počet nových DDoS útoku sady nástrojů, a proto je snazší pro nebezpečné herci zahájit útoky se jen několik serverů. Vzhledem k současné dávky NTP zesílení útoku sady nástrojů, by se zlými úmysly aktérů zahájit 100 Gbps útoky - nebo větší - s využitím jen několik ohrožené NTP serverů. Ve pouhý měsíc (únor 2014 vs ledna 2014):

Počet NTP amplifikace útoků vzrostl 371,43 procenta
Průměrná šířka pásma vrchol DDoS útok zvýšil 217,97 procenta
Průměrný vrchol DDoS útok objem vzrostl 807,48 procenta.
Na rozdíl od největších útoků v posledních dvou letech, amplifikace útoky NTP nebyly zaměřeny na konkrétní odvětví. Obory zaměřené podle NTP zesílení útoků v únoru součástí financování, herní, e-Commerce, internetové a telekomunikační, média, školství, poskytovatelé SaaS a bezpečnost. V laboratoři Prolexic Security Engineering & Response Team prostředí, simulované NTP zesílení útoků produkoval zesílené odpovědi 300x nebo více na šířku pásma útoku a 50x pro objem útoku, takže to extrémně nebezpečná metoda útoku.


NameCheap DNS hit server s "novým typem" DDoS
31.3.2014 Počítačový útok
Populární registrátor domén a webhostingové služby si Vaši byl potíže s nečekaným DDoS útoku zaměřeného na 300 nebo tak domén na dvou svých svých DNS nameservery.

"Samotná velikost útoku zahlceni mnoha našich DNS serverů za následek nedostupnost a pomalý výkon. Naše původní odhady ukazují, že velikost útok na více než 100Gbps, dělat to jeden z největších útoků někdo viděl, nebo se týkají. A to je Nový typ útoku, který jsme my a naše hardwarové a síťové partneři dosud nesetkal, "si Vaši generální ředitel Richard Kirkendall a Vice President Matt Russell sdílené v příspěvku . útok začal kolem 15,55 GMT / 11.55 EST ve čtvrtek, a byl plně zmírnit o tři hodiny později, ale to trvalo nějakou dobu pro všechny DNS služby společnosti vrátit zpět do normálu. "Náš DNS platforma je nadbytečný, globální platforma se šíří přes 3 kontinentech a 5 zemí, které zpracovává DNS pro mnoho našich zákazníků. To je platforma pečlivě udržovány a běžel, a platforma, která úspěšně odrazí další DDoS útoky na téměř denně, "vysvětlil dva, ale dodal, že se stále snažil udržet své služby k dispozici zákazníkům. "Trvalo nám asi 3 hodin, aby plně zmírnění útoku, úzce spolupracuje s naším hardware a sítě dodavatelů, "oni dále sdílet, a oznamuje zlepšení, aby k podobným útokům v budoucnu:" Jsme předkládání klíčovou infrastrukturu programu vylepšení DNS, který bude vidět nás masivně rozšířit Velikost naší infrastruktury DNS a naši schopnost absorbovat a odrazit útoky, jako jsou tyto. " Velikost útoku není největší, kdo někdy viděl, jako 300 gigabitů za sekundu (ve špičce) DDoS byla zaměřena proti SpamHaus v loňském roce, a teprve nedávno Cloudflare odhalil jejich infrastruktura, které byly podrobeny jednomu dosažení 400 gigabitů za sekundu. Nicméně, DDoS útoky jsou stále vážnou obtíž, zejména proto, že útočníci začali využívat zranitelné servery NTP namontovat masivní reflexe útoků. To je ještě známo, zda servery NameCheap je byly hit s tímto konkrétním typu DDoS - ". nový typ útoku" Kirkendall a Russell jen řekl, že je Vzhledem k tomu, že NTP reflexe útoky nejsou tak nové a neznámé, Zajímalo by mě, jestli byli svědky další, dosud (do značné míry), neznámý a nepoužívaný typ útoku.


Analýza 244.703 DDoS incidentů
31.3.2014 Počítačový útok

Týmu NSFocus vydala své DDoS Threat Report 2013, který upřesňuje útoku trendy a metody v uplynulém roce. Zpráva obsahuje statistické analýzy a klíčové poznámky na základě 244.703 DDoS incidentů.

Pozorování ukazují, že DDoS útoky jsou splatné v době APT. DDoS útoky byly použity jako smokescreens k provádění APT útoků nebo pro jiné nekalým účelům. Zpráva také konstatuje, že dostupnost DDoS-as-a-Service, která poskytuje komukoli s počítačem a kreditní kartu schopnost provést útok. DDoS zesílení útoky budou i nadále představovat výzvu, jako útok března 2013 ve věci protisoutěžních jednání -spam organizace Spamhaus se ukázalo, v němž doprava dosáhla 300 Gbps. Nicméně, potenciál pro přísnější útoky DDoS amplifikace, např. takové, využívající pro NTP, mohou výrazně překročit limity šířky pásma vidět aktuální. "DDoS se rychle stává běžnou bolest bod a podniky potřebují, aby tuto hrozbu vážně, pokud by očekávali na poskytovat nepřetržitou službu svým zákazníkům, "řekl Frank Ip, viceprezident operací v USA pro Týmu NSFocus. V roce 2013, cyberattackers dal trh lekci hackernomics a představila nesčetné způsoby, v nichž se vyvinuly své strategie útoku nasadit sofistikované metody, které budou způsobit maximální množství škody pomocí nejmenším počtem zdrojů. Čím více se dozvídáme o útoku mentalitě, silnější naše obrana stane, "Ip přidal. Zjištění ukazují, že hackernomics je hnací silou, která zastřešuje DDoS trend menších, kratších a opakované útoky. Účelem většiny útoků je narušit, ne zničit. Jak takové, malé aplikační vrstvě nebo hybridní útoky, které jsou levnější, aby zahájila, může způsobit velké škody k síťovým zdrojům. attacks DNS zvýšila v důsledku pokroku v technologiích anti-DDoS, které mohou lépe NAVRCHOLU.cz TOPlist Další útoku, a DNS infrastruktura stále zůstává jedním z nejslabších článků.


Wordpress "Pingback" DDoS útoky

31.3.2014 Počítačový útok

Sucuri zjistil zajímavou "reflexní" útok pomocí funkce Wordpress Pingback zaútočit na webové stránky [1]. Na rozdíl od jiných reflexních útoky, které používají UDP služby, jako je NTP a DNS, tento útok využívá funkci Wordpress Pingback.

V úmyslu ze Pingback je upozornit na stránky, které jste odkaz na odkaz doufat, že stránky, které se spojují, aby se oplatit. Některé systémy automatizovat a spravovat automatické seznamy, které odkazují zpět na stránky, které se vztahuje jejich článek. Za účelem provádění pingback, Wordpress implementuje funkci API XML-RPC. Tato funkce bude poté odeslat požadavek na stránkách, na které byste chtěli poslat "pingback".

S Wordpress, Pingback je odeslána jako požadavek POST na požadavek / xmlrpc.php. Tělo žádosti bude vypadat takto:

<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://victim</string></value></param>
<param><value><string>http://reflector</string></value></param>
</params>
</methodCall>

Pro útok viděný Sucuri, URL "oběť" zahrnoval náhodný parametr jako "victim.com? 123456 = 123456", aby se zabránilo ukládání do mezipaměti.

Výsledkem této žádosti je, že váš Wordpress instalace zašle požadavek na stránkách oběti. Nemyslím si, že útok bude poskytovat významnou dopravní zesílení, ale to poplést skutečný zdroj útoku.

Ve výchozím nastavení je tato funkce povolena ve všech Wordpress instaluje, a není zcela snadné vypnutí. Sucuri doporučuje přidat následující filtr API Wordpress:

add_filter ("xmlrpc_methods", funkce ($ metody) {
unset ($ metody ['pingback.ping']);
return $ metody;
});

Odstranění xmlrpc.php se nedoporučuje, protože to bude šroty řadu dalších funkcí, které používají rozhraní API.

[1] http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html


300000 směrovače ohrožena v DNS únos kampaně
10.3.2014 Incidenty | Počítačový útok

Některé 300.000 potvrdila - ale s největší pravděpodobností mnohem více - se malá kancelář / domácí kanceláře (SOHO) routery byly ohroženy a jejich nastavení DNS změnil používat dvě IP adresy v Londýně, účinně umožňuje dosud neznámé útočníci provádět Man-in-the-middle útoky . "K dnešnímu dni jsme identifikovali více než 300.000 přístrojů, převážně v Evropě a Asii, které věříme, že byly zneužity v rámci této kampaně, ten, který sahá až do nejméně poloviny prosince roku 2013," hlásil výzkumníky Team Cymru, kteří zahlédl několik postižené TP-Link Wi-Fi routery v lednu začala vyšetřovat záležitost.

"Směrovače oba malé kanceláře / domácí kanceláře (SOHO), třídy zařízení, která uvedené Wi-Fi připojení, místní DNS, DHCP a služby zákazníkům, a nebyly s použitím výchozích hesel," poukázali. , ale některé z nich byly spuštěny verze firmware zranitelné Cross-Site Request padělání útoky, a alespoň jeden běhu firmware sportovní nedávno objevil . chybu, která umožňuje útočníkům ke stažení konfiguračního souboru přístroje, které, samozřejmě, obsahuje pověření pro správu Dotčené routery pocházejí od různých výrobců - výše uvedené TP-Link, D-Link, Micronet, a jiní - a oni jsou převážně nacházejí ve Vietnamu, Indii, Itálii, Thajsku, a Kolumbie, ale také v Srbsku, Ukrajině a Bosně a Hercegovině. Zajímavostí této kampaně je, že Zdá se, že v současné době jsou DNS dotazy zaslané těchto dvou IP adresy jsou předávány na legitimní servery. "Pokusy o přihlášení do místních bankovních webových stránek v postižených zemích, a stáhnout aktualizace softwaru od společnosti Adobe a další vše se zdá fungovat normálně, i když mnoho požadavků vyřešit nápadně pomalu nebo se nepodařilo dokončit. Webové stránky jsme testovali také se objevil na normálního zobrazení reklamy pomocí těchto DNS serverů, "výzkumníci zjistili. Takže buď to hmotnost ohrožena je příprava pro pozdější neplechu, nebo škoda již byla provedena. Vědci Team Cymru si všimli jisté podobnosti mezi touto kampaní a ještě jedna, která byla většinou omezena na cílení zákazníků z několika polských bank, ale k závěru, že "jemné rozdíly v tradecraft zaměstnaných je pravděpodobné, že [se] dodržují buď samostatné kampaně do stejné skupiny, nebo více aktérů s využitím stejné techniky pro různé účely. " Oni také dodal, že nevěří, že také nedávno objevil Měsíc červ cílení kampaně Linksys routery se montuje stejným útočníky. Vědci oznámily orgány o této kampani, a také výrobci z dotčených zařízení. Team Cymru mluvčí Steve Santorelli sdílet s PC Pro , že dvě IP adresy, které jsou DNS dotazy jsou přesměrovány jsou umístěny na strojích v Nizozemsku, ale jsou registrovány UK-založená společnost 3NT řešení. IP rozsahy této společnosti již dříve a opakovaně byl spojován s spamování stránkách. Vědci mají společné užitečné techniky pro zmírnění tohoto typu útoku v whitepaper . "Jako bar je stále aktivována pro ohrožení koncových stanic, počítačoví zločinci se obracejí na nové metody pro dosažení jejich požadovaných cílů, bez přístupu k počítačům obětí přímo. Kampaň je uvedeno v této zprávě je poslední v rostoucím trendu Team Cymru je pozorován kybernetických zločinců zaměřených SOHO routery, "oni poznamenal. Není divu, že zločinci jsou jít po těchto zařízení, za předpokladu, že jsou notoricky plné využitelnosti bezpečnostních děr, a uživatelé jsou laxní, pokud jde o změnu hesla výchozí správce?


GnuTLS knihovna chyba otevírá cestu pro MITM útoky
10.3.2014 Zranitelnosti | Počítačový útok

Kritická kryptografický chyba podobná té, nedávno objevené v iOS a OS X byla odhalena existovat v knihovně kódů GnuTLS, široce používán v open source software a linuxových distribucí. "GnuTLS knihovna poskytuje podporu pro kryptografických algoritmů a protokolů jako Transport Layer Security (TLS). Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření, "bezpečnostní tým Red Hat je vysvětleno v bezpečí poradenství oznámil vydání aktualizace, která řeší problém. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem (CVE-2014-0092) místě." chyba byla objevena Nikos Mavrogiannopoulos z Red Hat Security Technologies Tým, v průběhu auditu GnuTLS pro Red Hat. Další chyba byla nalezena v cestě GnuTLS ovládal verze 1 X.509 certifikáty, které by mohly umožnit útočníkovi podařilo získat takový certifikát od důvěryhodné certifikační autority pro vydávání certifikátů pro jiné weby, které by být přijata GnuTLS jako platné (CVE-2009-5138). mají chyby byly opraveny a uživatelé GnuTLS se doporučuje přejít na aktualizovaných balíčků a restartovat všechny aplikace spojené s knihovnou GnuTLS, aby se změna projeví. Ostatní Projekty se přestěhovali opravit chybu v této knihovně, včetně Debian a Ubuntu , ale stovky dalších aplikací a operačních systémů používají to jsou ještě k tomu. vývojáři GnuTLS také poskytuje novou verzi knihovny, která řeší problém, a jak Alternativou k tomu, náplast, která dočasně zmírňuje ji. chyba je dost vážné, protože to by mohlo umožnit útočníkovi vydávat se za jinou webovou stránku a zachytit a dekódovat všechny šifrované provoz, který jde od koncového uživatele k serveru a zpět. příčinou chyba je, jako ve výše uvedeném případě Apple, zdánlivě jednoduchá a velmi snadno přehlédnout v zběžné kontroly - pár "goto vyčištění" volá na špatném místě, a škoda byla dělána. A zřejmě to bylo děláno lety - v roce 2005, nebo ještě dříve. Toto zjevení a podobnost mezi dvěma crypto nedostatky již způsobit, že některé on-line komentátoři spekulovat, že obě byly vloženy úmyslně zpravodajské komunity USA. To je, samozřejmě, jen teorie. Co je určitě známo, že knihovna GnuTLS je tak široce používané, že to bude trvat nějaký čas pro každý projekt použitím provést nezbytná bezpečnostní opravy.


Triple Handshake Cookie Cutter
4.3.2014 Počítačový útok

Výzkumy vydali dokument popisující několik chyb v protokolu TLS (Transport Layer Security). Některé útoky jsou známy již nějakou dobu, ale papír v sobě spojuje a vysvětluje jim pěkně, a také přidává několik opravdu chytrých nových nápadů. Triky se spoléhají na řezání zasedání vypnout a znovu-spuštění je tak, že klient a server skončit s jiným (bezpečnostním) stavu. Plná výzkum je k dispozici zde https://secure-resumption.com/ . Dobrou zprávou je, že (a) hlavní dopad je zřejmě omezena na připojení, které používají na straně klienta, certifikátů, což je vzácné, a (b) se vědci informovali dodavatele prohlížeče brzy, a některé prohlížeče a TLS knihovny jsou již záplatovaný .


Buffer overflow v "Typ bezpečí" jazyk?
3.3.2014 Počítačový útok

Zadejte Bezpečné jazyky a přetečení zásobníku

Tam jsou ty z nás, které si většina z vývoje našeho softwaru do "Typ bezpečných" jazyků jako je Python, Ruby a. NET. Někdy jsme smuggly dívat se dolů na jazyky, jako je C, C + + a shromáždění, které nejsou typově bezpečné a neposkytují ochranu paměti. Víte, typ bezpečné programovací jazyky jsou "imunní" na otravné problémy, jako např. nárazníkové-offerflows.

Umožňuje porovnat zdrojový kód jednoduchého C a Python program, který přiřadí a vytisknout řetězec. Za prvé je zde Python zdrojový kód. >>> mystring = "Toto je můj řetězec" >>> print MyString Toto je můj řetězec můžete vidět, že v Pythonu nemusíte deklarovat typ proměnné. Nemusíte se určit, jak velká je vaše řetězec bude. Vše, co udělat, je přiřadit řetězec do proměnné a jazyk Python se postará o zbytek za vás. Nyní se podívejme na C verze tohoto kódu. char MyString [20]; mystring = "Toto je můj řetězec"; printf ("% s", mystring), S C první řádek říká kompilátoru, že "MyString" proměnná bude mít 20 znaků. Další řádek přiřadí proměnné MyString hodnotu "Toto je můj řetězec". Programátor je zodpovědný za definování jak co proměnnou bude ukládat a co velikost proměnné v paměti bude. Pokud programátor udělá chybu a pouze přidělí 20 bajtů paměti se pak pokusí uložit 30 bajtů stav vyrovnávací paměti přetečení. Od základní jazyk Python se postará o všechny správy paměti a variabilní psaní pro vás, to je "imunní" na tyto typy problémů. Tak typu použití typově bezpečné jazyky a všechno bude v pořádku. Je to tak?
 

Minulý týden zneužít byl vyslán, aby pastebin.com, že zneužil podmínku přetečení vyrovnávací paměti ve funkci Pythons socket.recvfrom_into (). Tato funkce byla zavedena v Pythonu 2.5 a je stále zranitelná v Pythonu 3. Každý program Python tam, že používá tuto funkci je totiž potenciálně zranitelný vůči vzdálenému vykořisťování. A využívat je pro tento vulnerabilty ditributed ve volné přírodě. Ale jak je to možné? Je to typ bezpečné jazyk! Všechny typ bezpečné jazyky se nabídnout nějakou ochranu proti paměťových manipluation útoky, ale nakonec se všechny tyto jazyky volat na nativních knihovnách. Takže zatímco vývojáři softwaru v typově bezpečné jazyky jsou obvykle méně pravděpodobné, že k rozvoji kód náchylnější k přetečení vyrovnávací paměti to využít slouží jako silný připomínka, než všechny jazyky jsou zneužíváni. Bezpečnostní pracovník se vždy spolehnout na obranu do hloubky. chyba byla oprava na nejnovější verzi 3.3.4 Python interpret. Aktualizujte svůj tlumočníka brzy. Verions 2.7 tlumočníci jsou trochu složitější. Lastest interpret je 2.7.6 a neobsahuje patch pro vydání # 20246. Oprava je k dispozici na webových stránkách, ale není kompilován do k nejnovější verzi ještě. V tomto případě prevence není možné, takže detekce a sledování je nezbytné. Dávejte pozor na webových stránkách Pythonu a dívat se na nejnovější aktualizace. Existuje několik šancí zaregistrujte se SANS Python programovacím kurzu. Připojte se mi Python pro penetraci testerů v Reston VA březnu 17-21 nebo SANSFire v Baltimore června 23-27.
 

Python chyba report: http://bugs.python.org/issue20246

http://www.sans.org/event/northern-virginia-2014/course/python-for-pen-testers
http://www.sans.org/event/sansfire-2014/course/python-for-pen-testers


NameCheap DNS hit server s "novým typem" DDoS
28.2.2014 Počítačový útok
Populární registrátor domén a webhostingové služby si Vaši byl potíže s nečekaným DDoS útoku zaměřeného na 300 nebo tak domén na dvou svých svých DNS nameservery.

"Samotná velikost útoku zahlceni mnoha našich DNS serverů za následek nedostupnost a pomalý výkon. Naše původní odhady ukazují, že velikost útok na více než 100Gbps, dělat to jeden z největších útoků někdo viděl, nebo se týkají. A to je Nový typ útoku, který jsme my a naše hardwarové a síťové partneři dosud nesetkal, "si Vaši generální ředitel Richard Kirkendall a Vice President Matt Russell sdílené v příspěvku . útok začal kolem 15,55 GMT / 11.55 EST ve čtvrtek, a byl plně zmírnit o tři hodiny později, ale to trvalo nějakou dobu pro všechny DNS služby společnosti vrátit zpět do normálu. "Náš DNS platforma je nadbytečný, globální platforma se šíří přes 3 kontinentech a 5 zemí, které zpracovává DNS pro mnoho našich zákazníků. To je platforma pečlivě udržovány a běžel, a platforma, která úspěšně odrazí další DDoS útoky na téměř denně, "vysvětlil dva, ale dodal, že se stále snažil udržet své služby k dispozici zákazníkům. "Trvalo nám asi 3 hodin, aby plně zmírnění útoku, úzce spolupracuje s naším hardware a sítě dodavatelů, "oni dále sdílet, a oznamuje zlepšení, aby k podobným útokům v budoucnu:" Jsme předkládání klíčovou infrastrukturu programu vylepšení DNS, který bude vidět nás masivně rozšířit Velikost naší infrastruktury DNS a naši schopnost absorbovat a odrazit útoky, jako jsou tyto. " Velikost útoku není největší, kdo někdy viděl, jako 300 gigabitů za sekundu (ve špičce) DDoS byla zaměřena proti SpamHaus v loňském roce, a teprve nedávno Cloudflare odhalil jejich infrastruktura, které byly podrobeny jednomu dosažení 400 gigabitů za sekundu. Nicméně, DDoS útoky jsou stále vážnou obtíž, zejména proto, že útočníci začali využívat zranitelné servery NTP namontovat masivní reflexe útoků. To je ještě známo, zda servery NameCheap je byly hit s tímto konkrétním typu DDoS - ". nový typ útoku" Kirkendall a Russell jen řekl, že je Vzhledem k tomu, že NTP reflexe útoky nejsou tak nové a neznámé, Zajímalo by mě, jestli byli svědky další, dosud (do značné míry), neznámý a nepoužívaný typ útoku.


300000 směrovače ohrožena v DNS únos kampaně
10.3.2014 Incidenty | Počítačový útok

Některé 300.000 potvrdila - ale s největší pravděpodobností mnohem více - se malá kancelář / domácí kanceláře (SOHO) routery byly ohroženy a jejich nastavení DNS změnil používat dvě IP adresy v Londýně, účinně umožňuje dosud neznámé útočníci provádět Man-in-the-middle útoky . "K dnešnímu dni jsme identifikovali více než 300.000 přístrojů, převážně v Evropě a Asii, které věříme, že byly zneužity v rámci této kampaně, ten, který sahá až do nejméně poloviny prosince roku 2013," hlásil výzkumníky Team Cymru, kteří zahlédl několik postižené TP-Link Wi-Fi routery v lednu začala vyšetřovat záležitost.

"Směrovače oba malé kanceláře / domácí kanceláře (SOHO), třídy zařízení, která uvedené Wi-Fi připojení, místní DNS, DHCP a služby zákazníkům, a nebyly s použitím výchozích hesel," poukázali. , ale některé z nich byly spuštěny verze firmware zranitelné Cross-Site Request padělání útoky, a alespoň jeden běhu firmware sportovní nedávno objevil . chybu, která umožňuje útočníkům ke stažení konfiguračního souboru přístroje, které, samozřejmě, obsahuje pověření pro správu Dotčené routery pocházejí od různých výrobců - výše uvedené TP-Link, D-Link, Micronet, a jiní - a oni jsou převážně nacházejí ve Vietnamu, Indii, Itálii, Thajsku, a Kolumbie, ale také v Srbsku, Ukrajině a Bosně a Hercegovině. Zajímavostí této kampaně je, že Zdá se, že v současné době jsou DNS dotazy zaslané těchto dvou IP adresy jsou předávány na legitimní servery. "Pokusy o přihlášení do místních bankovních webových stránek v postižených zemích, a stáhnout aktualizace softwaru od společnosti Adobe a další vše se zdá fungovat normálně, i když mnoho požadavků vyřešit nápadně pomalu nebo se nepodařilo dokončit. Webové stránky jsme testovali také se objevil na normálního zobrazení reklamy pomocí těchto DNS serverů, "výzkumníci zjistili. Takže buď to hmotnost ohrožena je příprava pro pozdější neplechu, nebo škoda již byla provedena. Vědci Team Cymru si všimli jisté podobnosti mezi touto kampaní a ještě jedna, která byla většinou omezena na cílení zákazníků z několika polských bank, ale k závěru, že "jemné rozdíly v tradecraft zaměstnaných je pravděpodobné, že [se] dodržují buď samostatné kampaně do stejné skupiny, nebo více aktérů s využitím stejné techniky pro různé účely. " Oni také dodal, že nevěří, že také nedávno objevil Měsíc červ cílení kampaně Linksys routery se montuje stejným útočníky. Vědci oznámily orgány o této kampani, a také výrobci z dotčených zařízení. Team Cymru mluvčí Steve Santorelli sdílet s PC Pro , že dvě IP adresy, které jsou DNS dotazy jsou přesměrovány jsou umístěny na strojích v Nizozemsku, ale jsou registrovány UK-založená společnost 3NT řešení. IP rozsahy této společnosti již dříve a opakovaně byl spojován s spamování stránkách. Vědci mají společné užitečné techniky pro zmírnění tohoto typu útoku v whitepaper . "Jako bar je stále aktivována pro ohrožení koncových stanic, počítačoví zločinci se obracejí na nové metody pro dosažení jejich požadovaných cílů, bez přístupu k počítačům obětí přímo. Kampaň je uvedeno v této zprávě je poslední v rostoucím trendu Team Cymru je pozorován kybernetických zločinců zaměřených SOHO routery, "oni poznamenal. Není divu, že zločinci jsou jít po těchto zařízení, za předpokladu, že jsou notoricky plné využitelnosti bezpečnostních děr, a uživatelé jsou laxní, pokud jde o změnu hesla výchozí správce?


GnuTLS knihovna chyba otevírá cestu pro MITM útoky
10.3.2014 Zranitelnosti | Počítačový útok

Kritická kryptografický chyba podobná té, nedávno objevené v iOS a OS X byla odhalena existovat v knihovně kódů GnuTLS, široce používán v open source software a linuxových distribucí. "GnuTLS knihovna poskytuje podporu pro kryptografických algoritmů a protokolů jako Transport Layer Security (TLS). Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření, "bezpečnostní tým Red Hat je vysvětleno v bezpečí poradenství oznámil vydání aktualizace, která řeší problém. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem (CVE-2014-0092) místě." chyba byla objevena Nikos Mavrogiannopoulos z Red Hat Security Technologies Tým, v průběhu auditu GnuTLS pro Red Hat. Další chyba byla nalezena v cestě GnuTLS ovládal verze 1 X.509 certifikáty, které by mohly umožnit útočníkovi podařilo získat takový certifikát od důvěryhodné certifikační autority pro vydávání certifikátů pro jiné weby, které by být přijata GnuTLS jako platné (CVE-2009-5138). mají chyby byly opraveny a uživatelé GnuTLS se doporučuje přejít na aktualizovaných balíčků a restartovat všechny aplikace spojené s knihovnou GnuTLS, aby se změna projeví. Ostatní Projekty se přestěhovali opravit chybu v této knihovně, včetně Debian a Ubuntu , ale stovky dalších aplikací a operačních systémů používají to jsou ještě k tomu. vývojáři GnuTLS také poskytuje novou verzi knihovny, která řeší problém, a jak Alternativou k tomu, náplast, která dočasně zmírňuje ji. chyba je dost vážné, protože to by mohlo umožnit útočníkovi vydávat se za jinou webovou stránku a zachytit a dekódovat všechny šifrované provoz, který jde od koncového uživatele k serveru a zpět. příčinou chyba je, jako ve výše uvedeném případě Apple, zdánlivě jednoduchá a velmi snadno přehlédnout v zběžné kontroly - pár "goto vyčištění" volá na špatném místě, a škoda byla dělána. A zřejmě to bylo děláno lety - v roce 2005, nebo ještě dříve. Toto zjevení a podobnost mezi dvěma crypto nedostatky již způsobit, že některé on-line komentátoři spekulovat, že obě byly vloženy úmyslně zpravodajské komunity USA. To je, samozřejmě, jen teorie. Co je určitě známo, že knihovna GnuTLS je tak široce používané, že to bude trvat nějaký čas pro každý projekt použitím provést nezbytná bezpečnostní opravy.


Triple Handshake Cookie Cutter
4.3.2014 Počítačový útok

Výzkumy vydali dokument popisující několik chyb v protokolu TLS (Transport Layer Security). Některé útoky jsou známy již nějakou dobu, ale papír v sobě spojuje a vysvětluje jim pěkně, a také přidává několik opravdu chytrých nových nápadů. Triky se spoléhají na řezání zasedání vypnout a znovu-spuštění je tak, že klient a server skončit s jiným (bezpečnostním) stavu. Plná výzkum je k dispozici zde https://secure-resumption.com/ . Dobrou zprávou je, že (a) hlavní dopad je zřejmě omezena na připojení, které používají na straně klienta, certifikátů, což je vzácné, a (b) se vědci informovali dodavatele prohlížeče brzy, a některé prohlížeče a TLS knihovny jsou již záplatovaný .


Buffer overflow v "Typ bezpečí" jazyk?
3.3.2014 Počítačový útok

Zadejte Bezpečné jazyky a přetečení zásobníku

Tam jsou ty z nás, které si většina z vývoje našeho softwaru do "Typ bezpečných" jazyků jako je Python, Ruby a. NET. Někdy jsme smuggly dívat se dolů na jazyky, jako je C, C + + a shromáždění, které nejsou typově bezpečné a neposkytují ochranu paměti. Víte, typ bezpečné programovací jazyky jsou "imunní" na otravné problémy, jako např. nárazníkové-offerflows.

Umožňuje porovnat zdrojový kód jednoduchého C a Python program, který přiřadí a vytisknout řetězec. Za prvé je zde Python zdrojový kód. >>> mystring = "Toto je můj řetězec" >>> print MyString Toto je můj řetězec můžete vidět, že v Pythonu nemusíte deklarovat typ proměnné. Nemusíte se určit, jak velká je vaše řetězec bude. Vše, co udělat, je přiřadit řetězec do proměnné a jazyk Python se postará o zbytek za vás. Nyní se podívejme na C verze tohoto kódu. char MyString [20]; mystring = "Toto je můj řetězec"; printf ("% s", mystring), S C první řádek říká kompilátoru, že "MyString" proměnná bude mít 20 znaků. Další řádek přiřadí proměnné MyString hodnotu "Toto je můj řetězec". Programátor je zodpovědný za definování jak co proměnnou bude ukládat a co velikost proměnné v paměti bude. Pokud programátor udělá chybu a pouze přidělí 20 bajtů paměti se pak pokusí uložit 30 bajtů stav vyrovnávací paměti přetečení. Od základní jazyk Python se postará o všechny správy paměti a variabilní psaní pro vás, to je "imunní" na tyto typy problémů. Tak typu použití typově bezpečné jazyky a všechno bude v pořádku. Je to tak?
 

Minulý týden zneužít byl vyslán, aby pastebin.com, že zneužil podmínku přetečení vyrovnávací paměti ve funkci Pythons socket.recvfrom_into (). Tato funkce byla zavedena v Pythonu 2.5 a je stále zranitelná v Pythonu 3. Každý program Python tam, že používá tuto funkci je totiž potenciálně zranitelný vůči vzdálenému vykořisťování. A využívat je pro tento vulnerabilty ditributed ve volné přírodě. Ale jak je to možné? Je to typ bezpečné jazyk! Všechny typ bezpečné jazyky se nabídnout nějakou ochranu proti paměťových manipluation útoky, ale nakonec se všechny tyto jazyky volat na nativních knihovnách. Takže zatímco vývojáři softwaru v typově bezpečné jazyky jsou obvykle méně pravděpodobné, že k rozvoji kód náchylnější k přetečení vyrovnávací paměti to využít slouží jako silný připomínka, než všechny jazyky jsou zneužíváni. Bezpečnostní pracovník se vždy spolehnout na obranu do hloubky. chyba byla oprava na nejnovější verzi 3.3.4 Python interpret. Aktualizujte svůj tlumočníka brzy. Verions 2.7 tlumočníci jsou trochu složitější. Lastest interpret je 2.7.6 a neobsahuje patch pro vydání # 20246. Oprava je k dispozici na webových stránkách, ale není kompilován do k nejnovější verzi ještě. V tomto případě prevence není možné, takže detekce a sledování je nezbytné. Dávejte pozor na webových stránkách Pythonu a dívat se na nejnovější aktualizace. Existuje několik šancí zaregistrujte se SANS Python programovacím kurzu. Připojte se mi Python pro penetraci testerů v Reston VA březnu 17-21 nebo SANSFire v Baltimore června 23-27.
 

Python chyba report: http://bugs.python.org/issue20246

http://www.sans.org/event/northern-virginia-2014/course/python-for-pen-testers
http://www.sans.org/event/sansfire-2014/course/python-for-pen-testers


NameCheap DNS hit server s "novým typem" DDoS
28.2.2014 Počítačový útok
Populární registrátor domén a webhostingové služby si Vaši byl potíže s nečekaným DDoS útoku zaměřeného na 300 nebo tak domén na dvou svých svých DNS nameservery.

"Samotná velikost útoku zahlceni mnoha našich DNS serverů za následek nedostupnost a pomalý výkon. Naše původní odhady ukazují, že velikost útok na více než 100Gbps, dělat to jeden z největších útoků někdo viděl, nebo se týkají. A to je Nový typ útoku, který jsme my a naše hardwarové a síťové partneři dosud nesetkal, "si Vaši generální ředitel Richard Kirkendall a Vice President Matt Russell sdílené v příspěvku . útok začal kolem 15,55 GMT / 11.55 EST ve čtvrtek, a byl plně zmírnit o tři hodiny později, ale to trvalo nějakou dobu pro všechny DNS služby společnosti vrátit zpět do normálu. "Náš DNS platforma je nadbytečný, globální platforma se šíří přes 3 kontinentech a 5 zemí, které zpracovává DNS pro mnoho našich zákazníků. To je platforma pečlivě udržovány a běžel, a platforma, která úspěšně odrazí další DDoS útoky na téměř denně, "vysvětlil dva, ale dodal, že se stále snažil udržet své služby k dispozici zákazníkům. "Trvalo nám asi 3 hodin, aby plně zmírnění útoku, úzce spolupracuje s naším hardware a sítě dodavatelů, "oni dále sdílet, a oznamuje zlepšení, aby k podobným útokům v budoucnu:" Jsme předkládání klíčovou infrastrukturu programu vylepšení DNS, který bude vidět nás masivně rozšířit Velikost naší infrastruktury DNS a naši schopnost absorbovat a odrazit útoky, jako jsou tyto. " Velikost útoku není největší, kdo někdy viděl, jako 300 gigabitů za sekundu (ve špičce) DDoS byla zaměřena proti SpamHaus v loňském roce, a teprve nedávno Cloudflare odhalil jejich infrastruktura, které byly podrobeny jednomu dosažení 400 gigabitů za sekundu. Nicméně, DDoS útoky jsou stále vážnou obtíž, zejména proto, že útočníci začali využívat zranitelné servery NTP namontovat masivní reflexe útoků. To je ještě známo, zda servery NameCheap je byly hit s tímto konkrétním typu DDoS - ". nový typ útoku" Kirkendall a Russell jen řekl, že je Vzhledem k tomu, že NTP reflexe útoky nejsou tak nové a neznámé, Zajímalo by mě, jestli byli svědky další, dosud (do značné míry), neznámý a nepoužívaný typ útoku.


DDoS a BCP 38

27.2.2014 Počítačový útok

Docela často se v mnoha seznamech budeme slyšet termín Best Current Practice (BCP) 38 roznášeno a další doporučení k realizaci [1] [2] [3] [4] (viz nanog Mailing archiv seznam). Někteří budou říkat "to pomůže při zmírňování DDoS" a dokonce i ostatní budou ještě stát "Všichni poskytovatelé internetových služeb (ISP) by měla provádět toto." Teď před filozofické diskuse následovat v komentářích, mohlo by to být dobrý nápad, aby diskutovali, technicky , co to je? A možná to, co to může dělat?

BCP 38 AKA RFC 2267 [5] je metodika nejlepší praxe kolem vniknutím filtrování provozu. Specifický účel, jak je uvedeno v RFC abstraktně "zakázat DoS útoky, které používají padělané IP adresy, které mají být šířeny z" za "poskytovatele služeb Internetu je (ISP), agregace bodu". [5]

BCP 38 vymezuje pojem "omezení tranzitní dopravy", která pochází z "downstream sítě vědět, a vnitřně inzerované předpony" [5, str.4]. V příliš zjednodušené schéma (Můj výklad RFC, komentáře a opravách vítejte), znamená to, že ISP říká:

Dejte nám vědět, pokud užíváte nebo jste realizovány BCP38? Doporučujeme ji a pocit, že má technický význam a mohou pomoci snížit riziko!

Odkazy:

[1] https://isc.sans.edu/diary/A+Chargen-based+DDoS% 3F + chargen + je + stále + + věc% 3F/15647

[2] https://isc.sans.edu/diary/Disaster+Preparedness+-+Are+We+Shaken+or+Stirred% 3F/11431

[3] https://isc.sans.edu/forums/diary/Where+Were+You+During+the+Great+DDoS+Cybergeddon+of+2013+/15496

[4] https://isc.sans.edu/podcastdetail.html?id=3260

[5] http://tools.ietf.org/html/bcp38


Probíhající NTP amplifikace Útoky
26.2.2014 Počítačový útok

Brett, který nás upozornil na začátku tohoto měsíce, pokud jde o hmotnost využít proti Linksys zařízení se vynořil aktuální problém, že se směrem s probíhajícími zesílení útoků NTP. Dobrý US-CERT shrnutí útoku je zde: https://www.us-cert.gov/ncas/alerts/TA14-013A . Brett znamená, že:

"Jsme svědky masivní útoky na naše servery NTP, pokouší se zneužít zesílení provozu zranitelnosti oznámené minulý měsíc Naše IP adresy jsou zjišťovány adresu v Nizozemsku, a pár z nich -., Ve kterém byly unpatched servery objeveny - jsou byl zasažen asi 3 miliony zfalšovaných paketů za hodinu. (My jsme od opravenou a firewallem zranitelné servery, ale pakety stále přicházejí.) Falešná pakety jsou vyrobeny tak, že se zdají být původní převážně z portu 53 a 80, ale občas mají jiné čísla portů, například 3074 (Xbox) a 6667 (IRC). Jedná se o velmi závažný útok na nás, a já bych ocenil nějakou pomoc při upozorní lidi na to. "

On také poslal po 8 sekund zachycování paketů, které jsem vizualizací, jak je vidět níže.

NTP zesílení útoku

NTP zesílení útoku

Podle Bretta, budou lidé dostávají podobnou návštěvnost vidět mnoho "monitor" dotazy z zfalšovaných zdrojových adres a portů. Jeho ISP je příjem zhruba 3 miliony těchto paketů každou hodinu, zaměřený na 3 IP adresy, které patřily k FreeBSD serverech, které byly ohroženy v jejich výchozích sestav, serverů, které byly nyní záplaty a firewallem. Připomíná nám, že i když byla použita Projekt FreeBSD patch, zranitelný server bude i nadále reagovat na dotazy se stejným počtem odmítnutí paketů. Zatímco oprava eliminuje zesílení provozu, provoz je stále opakoval, a jeho původ je dále zakryta.
Brettův ISP je také vidět sondy jejich IP hledají další zranitelné servery pocházející z IP adresy 93.174.95.119 (NL) ", které mohou být Server řízen osobou (osobami) za napadení. Sondy vyniknout, protože jsou hlášeny tcpdump jako NTPv2, zatímco většina ostatních dopravy je NTPv3 nebo NTPv4. Úroveň 3 byl zřejmě problémy s přetížením včera a dnes, a to může být důvod, proč. "


DDoS útok nástrojů zjednodušuje spuštění velkých reflexe útoků
22.2.2014 Počítačový útok
Prolexic Technologies vydala vysoké pohotovosti DDoS útok hrozeb poradenství na DNS Flooder v1.1 toolkit. Toolkit umožňuje rychlejší a jednodušší pro zlomyslné herci zahájit ochromující reflexe útoků a bude pravděpodobně široce přijata na trhu DDoS-as-a-Service, případně zvýšení počtu útoků.

Tato nová sada nástrojů umožňuje škodlivé činitele na nákup, nastavit a používat své vlastní DNS servery, aby zahájily odraz útoky bez nutnosti najít otevřené a zranitelné DNS servery na internetu. To urychluje dostupnost DNS botnet, což škodlivé činitele, aby zahájily rozsáhlé kybernetické útoky, aniž by museli trávit značné množství času a zdrojů, budování armády botů přes malware infekce. "Jako DNS Flooder toolkit používá odraz a zesílení techniky, mohou útočníci anonymně spustit výkonné DDoS útoky s jen několik serverů, "řekl Stuart Scholly, prezident Prolexic. "Široké využití na trhu DDoS-as-a-Service je pravděpodobné a bezpečnostní komunita si musí být vědom a pozorně sleduje vznikající hrozby." Prolexic zaznamenala DNS Flooder toolkitu v několika DDoS útok kampaní proti své globální základnu klienta přes Posledních šest měsíců. V některých případech, kampaně měli zesílení faktory 50 násobku šířky pásma původu. DNS Flooder toolkit používá proces multi-krok zahájit DDoS útoky:

Toolkit spoofs IP adresu zamýšleného cíle a vytvoří žádost o DNS, který je zaslán na útočníkův DNS botnet.
Útočníka DNS botnet vysílá rozšířený DNS (EDNS) odpověď zpět. Reakce EDNS obsahuje více dat, než žádost o DNS (zesílení). Vzhledem k tomu, IP adresa, v žádosti bylo falešné, odpověď se odrazí zpět k cíli útočníka.
Toolkit smyčky vícekrát, což odráží a zesiluje odpověď na cíl po každém cyklu.


NTP reflexe útoky
18.2.2014 Počítačový útok

Jak jsme zde diskutovali v lednu, došlo k výraznému nárůstu velkých Network Time Protocol (NTP) reflexe DDoS útoky. V takovém útoku, útočník odešle vytvořený paket, který vyžaduje velké množství dat, které je nakonec odeslána na falešnou hostitele.

V našem předchozím příspěvku [1], jsme diskutovali v detailu příkazu "monlist", ale není to jen "monlist", které mohou být zneužity, ale mnoho level-6 a level-7 příkazy jako "showpeer", "sysstats", "vrstevníky "," listpeers ".

Chcete-li uzamknout serveru NTP, prosím, sledujte náš předchozí příspěvek a upgrade verzi NTP, jak je uvedeno US-Cert zde [2].

Navíc, jak FYI, nedávný americký Cert upozornění [3] identifikovat další možné zdroje zesílení útoků UDP a je doporučeno zkontrolovat.

Pro ty, kteří si, dobře, že se to nestane, aby mě nebo "Koho to zajímá, DDoS útoky byly děje od roku 1999" v letošním roce již prokázala nadměrný počet veřejných útoků pomocí NTP, vytváří zničující záplavu provozu komukoliv bez vrcholu zmírnění zářez * opatření postavili. A my jsme až v únoru.

Web Brian Krebsova je, reportér, že psát o kybernetické bezpečnosti příběhy, byl zasažen 200Gbps NTP provozu v průběhu minulého týdne [4]. Brian zprávy, jak a kým zahájila útok na detail příběhu, který je dobře stojí za to číst. Není to jen malé cíle, od začátku roku 2014, jak je zde uvedena, mnoho on-line webové stránky herních byly zaměřeny pomocí těchto reflexe typu útoků se útočníci přičemž na Twitter oznamuje blížící se záchvat a později slunit na slávě. Nejnovější Arbor zpráva [5] hovoří o tom v dalším podrobněji zmiňuje útoky až 309Gbps ​​a jména příslušné Twitter ID tweeting o DDOS. Cloudflare uvedla, že útok viděli na začátku tohoto týdne bylo 400Gbps. Samotná velikost těchto útoků znamenat, že prostě nemají rozbít cíl, ale významné oblasti Internetu, tj. velké vedlejší škody.

Pokud vidíte NTP reflexe útoky jsou zaměřeny směrem k vám, standardní nejlepší praxe vyplývá -

• Naneste ACL do obvodové síti a pokud možno proti proudu

• Práce s vaším ISP (y), aby učinili totéž [6]

• Uzamkněte své vlastní NTP servery a další UDP-naslouchání servery

• Pokud zjistíte otevřené NTP servery, hlásit je do projektu Otevřená NTP [7]

Pro ty, kteří hledají šikovné DDoS stručná referenční příručka vysvětluje různé DDoS útok http://www.us-cert.gov/sites/default/files/publications/DDoS% 20Quick% 20Guide.pdf

* Pro většinu podniků DDoS zmírnění má finanční náklady spojené s tím, že zvyšuje směrem nahoru pro zvýšení ochrany

[1] https://isc.sans.edu/diary/NTP+reflection+attack/17300
[2] https://www.us-cert.gov/ncas/alerts/TA14-013A
[3] https://www.us-cert.gov/ncas/alerts/TA14-017A
[4] http://krebsonsecurity.com/2014/02/the-new-normal-200-400-gbps-ddos-attacks/
[5] http://www.arbornetworks.com/asert/2014/02/ntp-attacks-welcome-to-the-hockey-stick-era/
[6] http://www.ietf.org/rfc/rfc3704.txt
[7] http://openntpproject.org/


400Gbps NTP bázi DDoS útok zasáhne Cloudflare
12.2.2014 Počítačový útok
Matthew Prince, generální ředitel Obsah dodávky sítě Cloudflare, se potvrdil na Twitteru v pondělí, že jeden z jeho zákazníků byl určen s velmi velkým Network Time Protocol (NTP) reflexe útoku - "větší, že Spamhaus útok z minulého roku. "
 

Neměl jméno zákazníka, ale má společné, že útok dosáhl úrovně více než 400 gigabitů za sekundu, to je pravděpodobně způsobeno dopravní zácpy na některých peering burzách (především v Evropě), který (na základě údajů vzorku) je zneužita jen více než 4500 nesprávně nakonfigurovaných serverů NTP, a že zákazník původně chtěl zaplatit ukradenou kreditní kartou. Navzdory doporučení vydané US-CERT o aktualizaci veřejných směřující NTP servery na ntpd verzi, která neumožňuje útočníci je použít pro NTP zesílení útoků, stále existuje mnoho zranitelných tam. "Útok se opírá o využívání" monlist "funkci NTP, jak je popsáno v CVE-2013-5211, která je ve výchozím nastavení povolena na starších NTP-schopné zařízení. Tato příkaz způsobí, seznam posledních 600 IP adres, které připojených k NTP serveru, který bude odeslán na oběti, "vysvětluje US-CERT. "Vzhledem k tomu, falešnou zdrojovou adresu, když NTP server odešle odpověď je poslán místo toho oběť. Protože velikost odezvy je obvykle podstatně větší než žádost, útočník je schopen zesilovat objem dopravy zaměřené na oběti. Navíc, protože odpovědi jsou legitimní data přicházející z platných serverů, je obzvláště obtížné blokovat Tyto typy útoků. " oběť je skutečně hit s velkým DDoS útoku . Správci serveru mohou buď zakázat "monlist" v rámci NTP serveru nebo upgrade na nejnovější verzi NTP (4.2.7), který dělá to samé. Pokud chcete vědět, zda váš server (y) jsou zranitelné, můžete použít tento jednoduchý on-line nástroj . Pro ​​více informací o tom, jak NTP-založené DDoS útoky funguje, podívejte se na Cloudflare v blogu od začátku tohoto roku.


DDoS útoky používané k ovlivnění cen akcií
12.2.2014 Počítačový útok
Prolexic Technologies sdílí analýzu téměř tuctu globálních útoků DDoS , které označuje počítačoví útočníci se pomocí DDoS útoků ve snaze ovlivnit tržní hodnoty a zasahovat do výměny platformy.

"Typicky, DDoS útoky jsou zahájeny na pohonné hmoty veřejnou diskusi, nebo po pomstě, vydírání a vydírání - ale to se mění,". Řekl Stuart Scholly, prezident Prolexic "Během několika posledních let zejména DDoS útok kampaně představuje významný hrozbu pro odvětví finančních služeb, jakož i jiných veřejně obchodovaných firem a obchodních platforem. Jako součást našich DDoS útok forenzní, jsme odhalili znepokojivý trend: Mnoho z těchto zákeřných útoků se jeví záměr na snížení u cíle cenu akcií nebo měn, nebo dokonce dočasně zabránit obchodů od odehrává, "dodal Scholly. veřejný obraz globální obchodní nebo finanční služby, je úzce spojena s jeho kybernetickém přítomností. Užívání veřejně obchodované firmy nebo platforma pro výměnu v režimu offline - a šíří zvěsti, že vyvolávají otázky o jeho schopnosti podnikat on-line - může vytvářet falešné nebo zavádějící vystoupení. To je znakem manipulace s trhem. "Několik specifických Cyber-teroristické skupiny jsou zodpovědné za většinu z těchto útoků. Zatím nebyli úspěšní v přinášení se celý velký trh, "vysvětlil Scholly. "Ale DDoS útoky, aby stále větší, silnější, delší a složitější, takže nemůžeme usnout na vavřínech. A co víc, je riziko přesahuje skutečnou výpadku - sociální média tlachání a mediální pokrytí může zesílit vnímaný efekt, narušení a poškození způsobené kybernetický útok kampani ".


Podezření Mass Exploit Against Linksys E1000 / E1200 routery
12.2.2014 Počítačový útok

Brett, který provozuje ISP ve Wyomingu, oznámila nám, že měl počet zákazníků s compromissed Linksys routery těchto posledních dnech. Směrovače, jakmile compromissed, skenování portů 80 a 8080 tak rychle, jak oni mohou (nasycení šířku pásma k dispozici).

Není jasné, které zranitelnost je využívána, ale Brett odstraněny slabá hesla. E1200 routery s nejnovější firmware (2.0.06) se zdají být imunní proti působení exploit používané. E1000 routery jsou na konci životnosti, a nezdá se, že se imunitní firmware k dispozici.

Jako ukazatelů, podívejte se na E1000/1200 routery, které skenovat IP adresy postupně na portu 80/8080. Některé routery mohou být změněna nastavení DNS poukázat na DNS serveru Google (8.8.8.8 nebo 8.8.4.4).

Pokud máte nějaké poznatky, dejte nám prosím vědět.


VPN pass útok možný i na Android Kitkat
7.2.2014 Počítačový útok | Mobil
Bezpečnostní výzkumníci na Ben Gurion University v Izraeli jsou na roli, pokud jde o zjištění Android bezpečnostní nedostatky, a odhalil existenci kritické chyby v nejnovější verzi mobilního operačního systému.

Na konci prosince, publikovali svá zjištění týkající se chyby zabezpečení, které zpočátku věřil být v Samsung Knox architektuře, ale ukázalo se, že Android 4.3 chyba, která dovolila útočníkovi provést útok typu man-in-the-Middle obcházet konfigurace VPN zachytit údaje . V pondělí, sdíleli, že Android 4.4 ("KitKat"), je citlivý na stejný útok (s určitými úpravami). "Zpočátku jsme se nemohli rozmnožovat ji s původním kódem zranitelnosti od KitKat má upravenou implementaci zabezpečení," Výzkumníci uvedeno v blogu . "Po komplikované vyšetřování jsme byli schopni reprodukovat stejnou chybu, kdy škodlivý aplikace může obejít aktivní konfiguraci VPN (bez ROOT oprávnění potřebná) a přesměrovat zabezpečené datové komunikace na jinou adresu sítě. Tyto komunikace jsou zachyceny v CLEAR TEXT (bez šifrování), přičemž tyto informace zcela vystaven. Tento přesměrování může konat při odchodu uživatele zcela lhostejný, věřit, že data jsou šifrována a bezpečné. " Google má, samozřejmě, byl oznámen v obou případech, a výzkumníci pochopitelně jsi 't jít do konkrétní informace o jejich využití nebo zranitelnosti, a že informace nebude sdílet, dokud chyba je opravena. Oni nezmínil, pokud se domnívají, že chyba je využíván ve volné přírodě se zlými úmysly útočníků, takže je to bezpečné předpokládat, nevědí. Samozřejmě, že to neznamená, že tam nejsou.


DDoS útok zasáhl české weby

5.2.2014 Počítačový útok
Někteří tuzemští uživatelé se ve středu dopoledne potýkali se zpomalením internetového připojení. Důvodem byl útok typu Distributed Denial of Service (DDoS) na jednoho z největších telekomunikačních poskytovatelů v Česku – společnost GTS Czech. O útoku informoval server Lupa.
„Ve středu jsme zaznamenali útok na naše DNS servery. Probíhal od 8.45 hod. zhruba dvě hodiny,“ řekla Novinkám Lucie Řeřichová, mluvčí společnosti GTS Czech. DNS servery překládají webové adresy na číselné adresy fyzických počítačů (IP adresy).

„DNS platformy byly tímto útokem zpomaleny, nikoli vyřazeny z provozu, a docházelo ke zpoždění v rámci poskytovaných odpovědí na DNS dotazy. Intenzivně pracujeme na řešení problému a implementaci obranných opatření,“ podotkla Řeřichová s tím, že doposud si na problémy stěžovaly dvě desítky zákazníků.

Kybernetickým útokům typu DDoS čelily začátkem března loňského roku také některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, poté na portál Seznam.cz, servery bank a telefonních operátorů. Bezpečnostní experti v této souvislosti hovořili o největším útoku v historii českého internetu.


Blackholing efekt snižuje riziko kybernetický útok na regulovaném dat
5.2.2014 Počítačový útok
FireHost oznámila, trendy útoků je blokován z webových aplikací svých klientů ve 4. čtvrtletí 2013. Bezpečnostní experti si všimli, že nejnovější údaje Troj společnosti na pokus o kybernetických útoků by mohla poskytnout důkaz o "blackholing" efektu. Ve skutečnosti, blackholing efekt přispěl k celkovému počtu útoků filtrovat podle FireHost pádu z více než 17 m ve 3. čtvrtletí 2013 na méně než 9 m ve 4. čtvrtletí 2013.


"Pro každého, kdo se kybernetické bezpečnosti a detekce hrozeb nový, musí blackholing jev znít neuvěřitelně abstraktní," přiznává FireHost CEO Chris Drake. "Naštěstí, je to vlastně docela jednoduché a naše nejnovější statistiky jistě kvantifikovat pozitivní přínosy tento účinek má, pokud jde o ochranu regulovaných údajů." Jak blackholing účinek se projevuje ve virtualizované infrastruktuře se komplexních bezpečnostních vrstev, většina škodlivého provozu vidět a blokován pochází z zlovolných sítí a botnety. IP pověst filtr zachytí webového provozu na obvodové vrstvy a rozpozná, kdy rádoby útočník byl černý ho. To znamená, že, když zločinci spuštění webových útoků nebo provádět průzkum na velké kusy internetu od známých "špatných" IP adres, filtr IP pověst může zabránit jim v připojení k chráněné síti prostoru bez důvodu nebo reakci. Postupem času, černá díra je chráněná IP neviditelné útočníků. Jako výsledek, tyto webové aplikace jsou vystaveni méně a méně útoku provozu, zlepšení efektivity paměti a procesoru, stejně jako snížení dopravního zatížení sítě, abychom jmenovali alespoň některé výhody. Ze stejného důvodu, objem spamu a všeho ostatního associated s nelegitimních zdrojů také sníží. "V oblasti konfliktu, nepřátelé nemají střílet na stromy na off-šance, že je neuvěřitelně dobře maskované jednotky pěchoty okolí," vysvětlil výkonný ředitel společnosti FireHost , Chris Drake. "To je více či méně princip černé díry efektu. Pokud je automatizovaný útok zjistí mrtvého adresy, je pravděpodobné, že ji dále zkoumat. To se jednoduše přesunout na jiný, nový zranitelné cíle, a spustit stejný útok tam. " Hackeři přednost osvědčené Podle Chrise Hinkley, vedoucí bezpečnostní inženýr v FireHost, na skutečnost, že údaje za 4. čtvrtletí a 3. čtvrtletí 2013 byl tak Podobný vlastně říká hodně o současné kybernetické krajiny. A sice, že útočníci jsou v současné době méně nakloněn, a méně motivováni k vývoji nových metod útoku, nebo přinejmenším nejsou vytvářet nové škodlivé nástroje ve velkém měřítku. "Útočníci se stále používá relativně staré metody útoku, a to je snadné pochopit, proč, tam je velmi málo odpor ze strany potenciálních obětí a bezpečnostního průmyslu se snaží držet krok. Zatímco nové nástroje a metody doručení jsou vytvořeny pravidelně, nedávné narušení bezpečnosti osobních údajů, jako jsou likes utrpěl SnapChat a Target nesou důkaz, že staré-hat je stále dost dobrý. Bezpečnostní opatření a protiopatření nejsou postupuje rychlým tempem dost přinutit útočníky být neuvěřitelně inovativní. Existuje ještě mnoho potenciálních obětí náchylné k útoku za použití stejných starých využije a nástroje. "Dokud informační útočníci se snaží řádně chráněna, a my jsme se vymanili z status quo, bude vetřelci držet jejich příznivých útoky a to i jimi."


DDoS útoky staly chytřejší, rychlejší a přísnější
5.2.2014 Počítačový útok
DDoS útoky budou i nadále vážným problémem v roce 2014 - jako útočníci stále více agilní a jejich nástroje staly sofistikovanější, podle Radware. Jejich zpráva byla zpracována s využitím údajů z více než 300 případů a výkonný průzkum sestávající z osobních rozhovorů s 15 vysoce postavených bezpečnostních manažerů.

V roce 2013, stále více rozšířené DDoS útoky vedly ke škodlivým výpadky služby a degradace služby, kriticky narážejícího příjmů, spokojenost zákazníků a vnímání značky. . Útočníci se staly rychlejší porazit nově nasazené nástroje snižování Avi Chesla, CTO ve společnosti Radware řekl: "Osmdesát sedm procent našich respondentů se setkal problémy na úrovni služby z těchto stylem útoků. . Negativní dopad výpadku služby je již znám, ale i malé případy degradace služby mohou mít škodlivé a trvalé dopady na image značky organizace, spokojenosti zákazníků a nakonec i jeho spodním řádku " Klíčové závěry z této zprávy jsou: zhoršování Service je dost k přerušení podnikání. Šedesát procent respondentů uvedlo, že zažili degradaci služby kvůli útokům v roce 2013. I když to nemusí zdát tak škodlivé jako úplné vypnutí, studie ukazují, že 57 procent z on-line spotřebitelé budou opustit místo po uplynutí tři sekundy na stránku načíst a 80 procent z těch lidí, se už nevrátí. Pro servisní organizace založené, může to mít za následek okamžitou ztrátu příjmů. útočníci (rychle) oplatit. Útočníci se stále přizpůsobuje a porážet nové obranné protokoly realizované organizací s využitím nových vektorů útoku. Použití HTTP povodní útoky a nástroje, jako je "Kill 'em All", útočníci se dramaticky zkracuje cyklus zmírnění - někdy až několika hodin po zdroji byly nasazeny. DoS / DDoS útoky nechat cestu ničení. Zatímco silné útoky došlo v roce 2011 a 2012, celková intenzita útoků a procento těchto útoků s vysokým rizikem se zvýšila během posledních několika let. DDoS útoky na závažnosti vzrostl o 20 procent v roce 2013, v souladu s DoS / DDoS posouzení rizik skóre RadWare je. průmysl "Hit List" se rozpíná. Odvětví finančních služeb se připojí vládní organizace jako odvětví s nejvyšším rizikem útoků. Riziko pro finanční služby se zvýšily v důsledku hacktivist skupin provedení DDoS útoky - jako pokračování operace Ababil a ty na několika burzách Bitcoin - nejen pro destruktivní účely, ale také zároveň maskovat jiné vniknutí vedoucí k podvodné činnosti. Rizika útoků na web hosting společnosti a poskytovatelé internetových služeb také zvýšil v roce 2013. Nové útoky, jeden nebezpečný obecnosti. Výsledky průzkumu ukázaly, že útoky DNS jsou nyní druhý nejčastější způsob útoku organizace bojují, za DoS / DDoS. Jedná se o atraktivní pro útočníky díky jejich schopnosti generovat masivní provoz s omezenými zdroji a vícevrstvé architektury, která umožňuje sledování útočníky téměř nemožné. Kromě útoků DNS, ostatní útoku, také ukázal se jako významné otázky pro organizace. Šifrované útoky aplikací na bázi tvoří 50 procent všech internetových útoků. Web aplikace přihlašovací stránky byly hit na denní bázi, pro 15 procent organizací. "Útoky v roce 2014, nejsou zpomaluje. Ve skutečnosti, organizace, je třeba přijmout opatření nyní připravit své sítě - zejména ve finančních a vládního sektoru, "dodal Chesla. "Výsledky této zprávy jsou výzva k akci, a nejlepší způsob, jak bojovat proti kybernetickým útokům je třeba připravit a zapojit podporu odborníků kybernetické bezpečnosti." RadWare je ERT doporučuje následující opatření v zájmu předvídání a zmírňování následků útoků:

Zrychlete čas zmírnění. Organizace musí zajistit, že dokáže detekovat útoky a nasadit řešení zmírnění v nejkratším možném čase.
Připravte si deku pokrytí. S multi-vektorové DoS / DDoS útoky stále častější, organizace musí investovat do širší pokrytí útoku, který dokáže detekovat a chránit proti útokům všech typů a velikostí.
Zřídit jediné kontaktní místo. S buď interní bezpečnostní tým zaměstnaný s odborníky DoS / DDoS nebo externí tým, havarijní, který vám pomůže vybrat správné možnosti zmírnění má zásadní význam pro organizace, které v případě útoku.
DDoS přehled tipy

E-mailová adresa

Světlomet

Policie ransomware: mnohamilionové podnikání

Publikováno dne 5. února 2014. | Zločinci používají skutečné vymáhání práva agentura loga půjčovat oprávnění k jejich zprávy a donutit oběti na zaplacení výkupného, ​​aby odhalili jejich počítačů.

Denní strávit

Přihlášením do našeho ranního zpravodajského aktualizace, obdržíte denní výtah nejnovější bezpečnostní zprávy zveřejněné na Help Net Security.

Týdenní newsletter

s více než 500 otázek, tak daleko, čtení náš newsletter každé pondělí ráno vás udrží v up-to-data s bezpečnostní rizika tam.

Doporučené zdroje:
Zabezpečovací systémy detekce s Snort IDS: Pokročilé techniky Využití Snort, Apache, MySQL, PHP a kyselina
Chraňte svou síť pomocí Snort: vysoce výkonné, open source IDS. Snort dává správcům sítě otevřený systém detekce narušení zdroj, který překonává proprietární alternativy. >>
Open Space Security ™ Network Protection
Podívejte se, jak Kaspersky Lab nabízí novou flexibilitu pro zabezpečení sítě tím, že rozšíří mimo tradiční pracoviště pro ochranu stále distribuované pracovní síly. >>


Při útoku není útok
3.2.2014 Počítačový útok

Myslím, že jsem viděl, že odkazoval se na jako "X-Files Effect". Právě jste nainstalovali nový firewall nebo IDS, je to stále všechno nové a lesklé a protokoly jsou stále svěží a zajímavý. Při pohledu na protokolech, začne svítat na vás: "Jsou tam dostat mě!". Zatímco mnoho z těchto útoků jsou útoky, tam jsou také docela málo falešně pozitivních, které se obvykle zobrazují v protokolech. V tomto bodě, umožňuje rychle definovat falešné poplachy: Jedná se o benigní provoz, který je mylně považován za útok, nebo útok, který prostě nemá vliv na vás (Famous SQL Slammer útok proti hostiteli Linux).

Podívejme se na několik příkladů jsme narazili v poslední době:

abcd je neustále posílá DoS ACK odpovědi na mé síti, chtěl bych nahlásit tomuto zneužívání a naučit se, jak nahlásit zneužití v budoucnu snadněji v budoucnu, protože tento druh věcí se děje po celou dobu.

Děkujeme, že jste si udělali čas na čtení to. Níže je log za incident.

[DoS útok: ACK Scan] od zdroje: abcd, port 80, čtvrtek ledna 30,2014 14:10:02

To je e-mail jsme obdrželi přibližně jednou za měsíc. Ve většině případů je zdroj zaneprázdněn webový server, někdy CDN (Content Delivery Network) jako Akamai. Důvodem těchto záznamů je, že většina firewallů zváží připojení uzavřen, pokud není aktivita byla vidět na chvíli. Nicméně, v tomto případě, spojení je stále otevřený a webový server bude nakonec poslat další datový paket, který je následně odmítnut. To není výsledkem SYN flood útok (více o tom později) a nejsem si jistý, proč to útok DoS tento konkrétní přístroj popisky.

Pokud někdo oklamat vaši IP adresu, a používat to, aby zahájily útok DoS, pak byste měli vidět SYN ACK pakety, ne ACK pakety. Například mírně zkrácené iptables přihlášení:

SRC = abcd DST = vxyz LEN = 60 TOS = 0x00 PREC = 0x20 TTL = 49 ID = 0 DF PROTO = TCP SPT = 80 DPT = 62547 WINDOW = 2896 RES = 0x00 ACK SYN URGP = 0

Typické pro tyto protokoly: zdroj je dobře známý port serveru (80). Mohl by také být 443, 6667 či jiné porty. Cílový port je "náhodný" dočasných portů.

Ale není to jen firewally. IDS samozřejmě rádi na nás obtěžují falešných poplachů, aby nás prosit, aby správně nakonfigurovat. Ale my ne, protože IDS se všemi pravidly je možná nabídek povolených je tak mnohem bezpečnější! (Sarkasmus, pokud jste si všimnout toho ...)

Snort například má velmi elegantní funkci, plugin "citlivé údaje". To může odhalit citlivé údaje, jako jsou e-mailové adresy nebo čísla sociálního zabezpečení jsou zaslaných jasné. Zde je příklad upozornění:

[138:5:1] SENSITIVE-DATA e-mailové adresy [Klasifikace: Citlivá data] [Priorita: 2] {TCP} abcd: 80 -> vxyz: 63715

E-mailová adresa byla přijata z portu 80. Takže jinými slovy: máte přístup na webovou stránku, která obsahovala e-mailovou adresu. Asi ne, co bych uvažovat o "leak", a to zejména v případě, že webový server byl umístěn mimo mou kontrolu. Viděl jsem tento podpis vyvolat hodně na FTP a samozřejmě SMTP komunikace. Pravděpodobně stále dobrá připomínka není jistý starší protokol jako přehledným textovým ftp.

Ale podívejme se na složitější jeden:

Obnovit mimo okno [Klasifikace: Potenciálně Bad Dopravní] [Priorita: 2] {TCP} 23.202.88.93:80 -> 70.91.145.11:59867

Provoz, který vyvolal toto upozornění:

a.80> b59782: Vlajky [P.], seq 1886684918:1886685156, ack 659663868, vyhrát 7240, volby [nop, nop, TS val 1132895224, s. 605850989], délka 238
a.80> b.59782: Vlajky [F.], seq 1886685156, ack 659663869, vyhrát 7240, volby [nop, nop, TS val 1132895245, s. 605851009], délka 0
a.80> b.59782: Vlajky [R], seq 1886685157, vyhrát 0, délka 0

Jak můžete říct, pořadové číslo pro paket resetu je ve skutečnosti přímo na. To bylo opět spíše vypršelo spojení. V tomto případě, webový server byl Akamai a zdá se, že chtěli poslat další restart, pravděpodobně se ujistit, že spojení je dole a ušetřete jim některé zdroje. Připojení sama byla spuštěna "kontrola aktualizací" AV nástroje.

Což mě dostává k další oblíbené firewall falešně pozitivní:

SRC = vxyz DST = abcd LEN = 40 TOS = 0x00 PREC = 0x00 TTL = 63 ID = 49424 DF PROTO = TCP SPT = 80 DPT = 52968 WINDOW = 14600 RES = 0x00 ACK FIN URGP = 0

"FIN-ACK" je blokován přichází v tomto případě z mého webového serveru na (platnou) klienta. iptables miluje blokovat konečné FIN-ack, jak to považuje za připojení již uzavřena.

Každý dobrý falešně pozitivních pořád běží do?


Explozivní růst pokročilých útoků a škodlivého provozu

26.1.2014 Počítačový útok | Hacking

Výroční zpráva Bezpečnostní Cisco 2014, dnes zveřejnila, ukazuje, že hrozby, jejichž účelem je využít důvěry uživatelů v systémech, aplikacích a osobních sítí dosáhly překvapivé úrovně. Podle zprávy, celosvětový nedostatek téměř milion kvalifikovaných odborníků zabezpečení je vliv schopnosti organizací pro sledování a bezpečné sítě, zatímco celkové zranitelnosti a hrozby dosáhly nejvyšší úrovně od roku 2000.

Zjištění ve zprávě nabízejí živý obraz rychle se vyvíjejících bezpečnostních výzev, kterým čelí podniky, IT oddělení a jednotlivců. Metody útočník patří sociálně inženýrství krádežím hesel a přihlašovacích údajů, skrývají-in-plain-pohled infiltrace a využívání důvěry potřebné pro ekonomické transakce, vládních služeb a sociálních interakcí. Zpráva uvádí nedostatek více než milion bezpečnostních profesionálů po celém zeměkoule v roce 2014. Propracovanost technologie a taktiky používané pro on-line zločinci-a jejich nonstop pokusy porušení sítí a krást data, které předčilo schopnost IT a bezpečnostních profesionálů k řešení těchto hrozeb. Většina organizací nemají lidé nebo systémy, které průběžně sledovat rozšířen sítě a detekci infiltrace, a pak použít ochranu, včas a účinným způsobem. Sto procent vzorku 30 největších světových nadnárodních podnikových sítí generované návštěvník návštěvnost webových stránek, které obsahují malware. Devadesát šest procent sítí přezkoumat sděleny provoz na unesených servery. Podobně 92 procent přenášeny návštěvnost webových stránek bez obsahu, který se obvykle hostit škodlivou činnost. DDoS útoky , které narušují provoz do az cílených internetových stránek a může paralyzovat ISP, jak v objemu a závažnosti se zvýšily. Některé DDoS útoky se snaží ukrýt před jinou zločinnou činnost, například podvodu drátu, během nebo po hlučném a rozptylující DDoS kampaně. Víceúčelové trojské koně počítá jako nejčastěji setkal web-doručena malware, 27 procent z celkových setkání v roce 2013. Škodlivé skripty, jako je využije a iframe, tvořil druhou nejčastěji setkali kategorii na 23 procent. krádeži dat trojské koně, jako jsou hesla zloděje a zadní vrátka tvořily 22 procent celkových web malware setkání. Stabilní pokles v jedinečné malware hostitele a IP adres-dolů 30 procent mezi lednem 2013 a zářím 2013, naznačuje, že malware je soustředěna v méně hostitelů a méně IP adres. Java nadále nejčastěji využíván programovací jazyk terčem on-line zločinci. Data z Sourcefire, nyní součástí Cisco, vyplývá, že Java využije tvoří převážnou většinu (91 procent) z ukazatelů kompromisu (IOCs). Devadesát devět procent všech mobilních malware cílových zařízení se systémem Android. Na 43,8 procenta, Andr / Qdplugin-byl nejčastěji setkali mobilní malware, obvykle prostřednictvím přeměněných kopie legitimních aplikací distribuovaných prostřednictvím neoficiálních tržištích. Specifické sektory, jako je farmaceutický a chemický průmysl a elektroniky zpracovatelského průmyslu, historicky Měl vysoké malware ceny setkat. V roce 2012 a 2013, tam byl významný nárůst malwaru setkání pro zemědělství a těžebního průmyslu, dříve sektoru relativně nízké riziko. Malware setkání také pokračoval růst v odvětví energetiky, ropy a zemního plynu. John N. Stewart, senior vice president, ČSÚ, Threat Response inteligence a rozvoj, Cisco, řekl: "I když Výroční zpráva Bezpečnostní Cisco maluje ponurý obraz proudu stav kybernetické bezpečnosti, existuje naděje na obnovení důvěry u lidí, institucí a technologií - a to začíná posílení obránce s real-svět znalosti o rozšíření útok povrchy. Chcete-li opravdu chránit proti všem těmto možným útokům, musí obránci pochopit útočníky, jejich motivace a jejich metody - před, během a po útoku "


Mobilní aplikace jsou používány k útokům DDoS
24.1.2014 Počítačový útok | Mobil

Prolexic Technologies oznámila, že mobilní aplikace jsou používány v DDoS útoků proti firemní zákazníky.

"Prevalence mobilních zařízení a rozšířená dostupnost stahovatelných aplikací, které mohou být použity pro DDoS je hra měnič," řekl Stuart Scholly, prezident Prolexic. "Škodlivé herci nyní nesou silný útok nástroj do dlaně svých rukou, což vyžaduje minimální dovednosti používat. Protože je to tak snadné pro uživatele mobilních zařízení k opt-in DDoS útok kampaní očekáváme značný nárůst v používání těchto útočných nástrojů v roce 2014. " získaných dat ve 4. čtvrtletí z útoků proti globální klientskou základnu Prolexic ukazuje, že mobilní zařízení se zúčastnil DDoS útok kampaně proti globální finanční služby firmy. Digitální forenzní a analýza útok podpis zjištěna použití AnDOSid, se systémem Android nástroje operačního systému, který provádí HTTP POST povodňové útok. "Mobilní zařízení přidat další vrstvu komplexnosti," vysvětlil Scholly. "Vzhledem k tomu, mobilní sítě používat super proxy, nelze jednoduše použít hardwarové zařízení k blokování zdroj IP adresy, jak to bude také blokovat legitimní provoz. Účinné zmírnění DDoS vyžaduje další úroveň snímání otisků prstů a lidské odborných znalostí, aby speciální blokující podpisy mohou být vyvinuty on-the-fly a aplikovat v reálném čase. " Prolexic věří, že vývojáři aplikací běžně používaných v DDoS útoků, jako je Low Orbit Ion Canon (LOIC ) bude stále více portů, aby mobilní platformy v roce 2014. "Tradičně bylo zapotřebí nějaký druh infekce nebo malware," řekl Scholly. "V případě mobilních aplikací, škodlivé subjekty mohou vybrat aktivně účastnit organizovaných DDoS útoku kampaní. Když si uvědomíte, kolik uživatelů mobilních telefonů zařízení existují ve světě, to představuje významnou DDoS hrozbu. " Největší DDoS útoku Prolexic zmírněna ve 4. čtvrtletí dosáhla vrcholu 179 Gb, což je největší DDoS útoku společnost čelila k dnešnímu dni. Velikosti útoku i nadále růst a v tomto čtvrtletí, Prolexic zmírnit několik útoků přes 100 Gbps. Stejně jako v předchozích čtvrtletích, škodlivé herci i nadále upřednostňovat spuštění Layer 3 a vrstvy 4 útoky na prvky infrastruktury. Útoky infrastruktury tvořily 76,76 procenta z celkových útoků během čtvrtletí s aplikační vrstvy útoků tvořících zbývajících 23,24 procenta. UDP (13.15 procenta), fragment UDP (17,11 procenta), DNS (9,58 procenta), SYN (14,56 procenta) a HTTP GET (19,91 procenta) povodně byly nejčastější typy útoků namířených proti klientům Prolexic. Protokol chargen, běžně používaný v reflexních útoků zvýšil 92,31 procenta v tomto čtvrtletí, což dokládá rostoucí popularitu tohoto typu útoku.


CyberRX: první v celém odvětví zdravotnictví kybernetický útok cvičení
21.1.2014 Počítačový útok | Kriminalita

HITRUST povede celém odvětví úsilí provádět cvičení k simulaci kybernetických útoků na zdravotnických organizací, s názvem CyberRX. Výsledky budou použity pro vyhodnocení odezvy a hrozeb připravenost průmyslu proti útokům a pokusům narušit americké zdravotnictví odvětví činnosti.

Tato cvičení bude probíhat ve spolupráci s americkým ministerstvem zdravotnictví a sociálních služeb (DHHS) a velkých průmyslových podniků zdravotnictví. První cvičení se uskuteční v průběhu dvou-denní lhůty na jaře roku 2014, a druhá se bude konat v létě 2014. CyberRX bude zahrnovat účast poskytovatelů, zdravotních plánů, vedoucích předpis dávek, lékáren a farmaceutických výrobců, a DHHS. Cvičení se bude zabývat jak široké a segmentu specifické scénáře zaměřené na informační systémy, zdravotnické prostředky a další nezbytné technologické zdroje na zdravotnictví. Zjištění budou analyzovány a použity k identifikaci oblastí pro zlepšení v koordinaci HITRUST Cyber ​​Threat Intelligence a koordinace Incident Center (C3), s programy reakce na bezpečnostní a incidentů;. a sdílení informací mezi zdravotnickými organizacemi, HITRUST a vládních agentur "Byli jsme koordinaci a spolupráci s HITRUST zvýšit dostupné zdroje pro zdravotnictví," řekl Kevin Charest, CISO , americké ministerstvo zdravotnictví a sociálních služeb. "Naším cílem cvičení je identifikovat další způsoby, které nám mohou pomoci průmyslu lépe připraveni pro a lépe reagovat na kybernetické útoky. . Toto cvičení bude generovat cenné informace, které lze použít ke zlepšení našeho společného připravenost " Kromě podpory organizacím při hodnocení své vlastní procesy, bude cvičení března zaměřit na následující cíle:

Rozvoj lepší pochopení kybernetické pohotové reakce hrozba zdravotnického průmyslu
Měření účinnosti HITRUST C3 v podpoře zdravotnického průmyslu a příležitosti pro zlepšení
Testování koordinaci s americkým ministerstvem zdravotnictví a sociálních služeb týkající se kybernetických hrozeb a reakci zdravotnictví
Dokumentace hrozeb a útoků scénáře hodnoty pro budoucí cvičení, která provozují další zdravotnictví průmyslové organizace a na podporu připravenosti průmyslu.
"Jako kybernetické hrozby nadále zvyšovat a počet útoků zaměřených na zdravotnické organizace roste, průmyslové organizace hledají užitečné a žalovatelné informace s pokyny, které vypuzovací jejich stávající informační bezpečnosti programů bez duplikace nebo komplikací," řekl Daniel Nutkis, generální ředitel, HITRUST .


DDoS botnet šíření na strojích Linux a Windows
18.1.2014 BotNet | Počítačový útok

Blended DDoS botnet se skládá z obou počítačích se systémem Windows a Linux byl zjištěn výzkumníky, kteří pracují s polským CERT. botnet je určen výhradně pro montáž DDoS útoky, zejména zesílení útoků DNS. "To znamená, že útočníci měli zájem jen infikovat stroje, které mají významnou šířku pásma sítě, například servery, "oni poznamenal . "To je pravděpodobně také důvod, proč tam jsou dvě verze bot -. Operační systémy Linux jsou oblíbenou volbou pro serverové stroje" Co mohou říci, útočníci porušil postižených stroje Linux prostřednictvím úspěšného SSH slovníkový útok, pak se přihlásit na něj a stáhnout, instalovat a popraven bot. Linux verze bot se pokusí připojit k serveru C & C přes vysokou TCP portu. "Oba C & C IP a port jsou šifrované," vysvětlili v blogu. "Po spuštění, bot odešle informace o operačním systému (pomocí funkce uname), nešifrovaný a čeká na příkazy." Po analýze malware, došli k závěru, že lze spustit čtyři typy útoků DDoS. Také, že má funkce, které dosud nebyly realizovány. bot zaměřením na operační systém Windows funguje trochu jinak. Jakmile se na počítači, klesne spustitelný soubor a spustí jej, což má za následek trvalé službě Windows daboval DBProtectSupport být registrován a začal. bot také kontakty na serveru C & C také vysokou TCP portů, ale to musí nejprve odeslat dotaz DNS na 8.8.8.8 serveru, aby byl informován o jeho IP adresy. To pak "informuje" server detailů cílového systému po sestavení a odeslání textový soubor. "Tento textový soubor, spolu s faktem, že stejná C & C IP byl použit v obou vzorků malwaru aby nám věřit, že to bylo vytvořeno stejnou skupina, "výzkumníci k závěru. Ale zatímco uživatelé Linuxu mohou zabezpečit své stroje z tohoto útoku výběrem lepší SSH heslo, které jste nezmínil, jak se systém Windows ohrožena na prvním místě


Rozsáhlé net dopravní misdirections a MITM útoky detekovány
24.11.2013 Počítačový útok

Man-in-the-Middle BGP cesta k ovládnutí útoky se stávají pravidelnými výskyty, ale je to stále nemožné říci, kdo je za nimi, a jaká je jejich konečným cílem je, varuje Jim Cowie, spoluzakladatel a technický ředitel společnosti Internet inteligence společnosti Renesys.

"Po celá léta, jsme pozorovali, že tam byl potenciál pro někoho vyzbrojení klasické Pákistán-a-Youtube stylu trasy únos. Proč se spokojit s jednoduchým odmítnutí služby, když můžete místo toho krást provoz oběti, trvat několik milisekund při kontrole nebo ji upravit, a pak ji předat do zamýšleného příjemce? "On poznamenává . "Letos, že potenciál stal realitou . Jsme skutečně pozorovány živé man-in-the-Middle unese na více než 60 dní, takže v tomto roce. Asi 1500 individuálních IP bloky byly unesli, na akcích, které trvají minuty až dny, útočníci pracují z různých zemí. " Společnost je schopna sledovat BGP připojení (Border Gateway Protocol) v reálném čase od "stovky nezávislých BGP vyhlídkami," a to je, jak se objevili několik případů, v nichž provoz, které by prošly až na pár docela jednoduchých chmele odešla po celém světě a zpátky. "V únoru 2013 jsme pozorovali sled událostí, trvající od několika minut do několika hodin v délce, v němž globální provoz byl přesměrován na běloruské ISP GlobalOneBel. Tato přesměrování se konala téměř denně v průběhu února se sadou obětí sítí měnící denně. Oběti, jejichž provoz byl odkloněn měnit den, a součástí velké finanční instituce, vlády a poskytovatele síťových služeb. Postižené země včetně USA, Jižní Korea, Německo, Česká republika, Litva, Libye a Írán, "Cowie vypráví. "příjemce, možná sedí doma v příjemném Virginie předměstí pil ranní kávu, nemá ani tušení, že někdo v Minsk má možnost sledovat ho surfovat na webu. I když běžel svůj vlastní traceroute k ověření připojení k světu, cesty, že by vidět by ty obvyklé. Reverzní cesta, nesoucí obsah zády k němu z celého světa, byl neviditelně manipulováno. " Tyto dopravní přesměrování zastavil v březnu řekl Cowie, ale restartuje krátce v květnu. Prakticky současně, nový a velmi krátká (několik minut) BGP únos přišel z malého islandského poskytovatele. pár měsíců později, jiný islandský poskytovatel začal vyhlášením se původu trasy pro 597 IP sítí ve vlastnictví velkého poskytovatele US VoIP. V měsících, které následovaly, počet islandské společnosti začal dělat to samé, a provoz byl přesměrován přes vrstevníky islandský telekomunikační Siminn v Londýně. Když kontaktovala, společnost tvrdila (a stále dělá), že přesměrování byly způsobeny na dálku zneužitelná chyba v softwaru, dodavatele, které se od té doby oprava, a že nevěří, že to byla zneužita škodlivým herci. "Tento druh útoku by se nemělo stát," říká Cowie. "Nemůžete provádět tento druh únosu bez zanechání trvalé, viditelné stopy v globální směrování, které poukazují zpátky k věci odposlechů. Věříme, že lidé jsou stále pokoušet, protože se domnívají, že (správně, ve většině případů), že nikdo se nedívá. " V těchto konkrétních případech, někdo byl. Renesys bylo monitorování situace, a oznámí dotčené strany: finanční instituce, poskytovatelé VoIP a světové vlády, mezi mnoha jinými.


Typhoon Haiyan: Spammeři Strike s DHA útok

21.11.2013 Počítačový útok | Spam

Tacloban, nový Ground Zero vytvořen Haiyan, je raison d'être pro velký útok Directory Harvest (DHA) zahájila spammery dnes.

DHA útok zahájen zkontrolovat platnost e-mailové adresáře nebo e-maily týkající se cílené e-mailový server. Cílem je shromáždit inteligenci a připravit platformu pro spuštění velkého spam kampaň na daném místě, jakmile databáze je kladen na místě. Zamítnuté e-maily vrátí jako odraz nebo nedoručení zprávy / doručení (NDR) a zbytek je uzavřena jako legitimní, zatímco platná e-maily budou brzy bombardováni s řadou spamu, Phish a malware naložené e-mailových útoků.

Útok je zahájen, se spammer prohlašovat, že je od renomovaných médií a komunikace společnosti na velmi velké internetové stránky a poskytovatele služeb, pouze za účelem sklizně a ověření e-mailové adresy.

Struktura e-mailu je velmi jednoduché. Záhlaví a obsah orgánem uvedeného útoku jsou převzaty z novinový článek o údajný zpravodajský kanál, který byl zveřejněn kolem 14.listopadu 2013. Alias ​​ve tvaru linie a předmět obsahuje randomizaci na konci, aby se zabránilo byl chycen detekce spam filtr.

Předmět: Typhoon: Po bitvě o přežití, boj žít 26488 Od: "Typhoon: Po bitvě o přežití, boj žít 26488" [e-mailová adresa]

Figure1_4.png

Obr. 1 nevyžádaných e-mailů o Typhoon Haiyan z útoku DHA

Symantec radí uživatelům konfigurovat adresář sklizně uznání útok na ochranu svých webových stránek životního prostředí a aktualizovat jejich spam filtr algoritmy odrazit takové útoky.


Jsou rozsáhlé muže ve středních útoky probíhají?

21.11.2013 Počítačový útok

Renesys hlásí dva samostatné případy, kdy se pozorované provoz na 1500 IP bloky jsou přesměrovány na delší dobu. Pozorovali přesměrování provozu po dobu delší než 2 měsíce za poslední rok. Vypadá to neobvyklé pro internetové komunikaci mezi Ashburn Virginia (63.218.44.78) a Washington DC (63.234.113.110) jít přes Rusko do Běloruska? To je přesně to, co pozorovat. Po dopravní toky přes vaše směrovače existuje nespočet příležitostí, jak zachytit a upravit provoz s klasickými MITM útoky. Podle mého skromného názoru bychom si měli dát velmi malé zásoby v oblasti bezpečnosti provozu SSL, jak to teče přes ně. Útoky, jako je například SSL zločinu útoku, Oracle polstrováním útoků, Bestie a jiné ukázaly, SSL být nedůvěryhodný v případech, jako je tento.

Reklama falešné BGP cesty na vliv na plynulost provozu není nic nového. Možná si pamatujete, když Pákistán "náhodou" sundal Youtube pro malou část z internetu, když oni pokoušeli se blackhole webové stránky v rámci své země. (Možná, že věděl, že "twerking" móda se blíží), ale je to výborný článek, který dokumentuje dva případy, kdy se to stalo po delší dobu.

http://www.renesys.com/2013/11/mitm-internet-hijacking/

Nestyda vlastní propagace:

Vytvořte si vlastní penetrační testování backdoor, který se vyhýbá antivirový program! Napište svůj vlastní SQL Injection, heslo útok nástroje a další. Chcete kód své vlastní nástroje v Pythonu? Podívejte se na SEC573 Python pro penetraci testery. Učím ji v Reston VA 17.března! Klikněte ZDE pro více informací


Hesla GitHub resetuje Uživatelé 'Po útok hrubou silou
20.11.2013 Počítačový útok
Web hosting vývojové pracoviště GitHub obnovit řadu uživatelských hesel a odvolává zabil oprávnění zabezpečení uživatelů v tomto týdnu po vlně brute-force útoky.

Podle blogu prostřednictvím bezpečnostního GitHub manažer Davenport Shawn včera, incident zahrnoval pokusů o přihlášení z téměř 40.000 různých IP adres a byl pomalý, společné úsilí proniknout do uživatelských účtů pomocí více hesel.

Není přesně známo, kolik účtů bylo ohroženo, ale uživatelé se slabými hesly a dokonce v některých případech ty se silnějšími hesel měli hesla vymazána a všechny své žetony, OAuth povolení a SSH klíče odvolány. Postižení uživatelé byl zaslán e-mail včera žádosti vytvářejí silnější hesla, zkoumat jejich účet "podezřelé aktivity" a nutit je nastavit dvoufaktorovou autentizaci.

Společnosti jako Apple , Dropbox , Twitter a Evernote mají všichni se přidali dvoufaktorová autentizace schémata kde uživatelé zadat číselný kód, spolu s uživatelským jménem a heslem k jejich výrobkům v uplynulém roce nebo tak posílit zabezpečení.

GitHub tvrdí, že se dívá do útoku, ale do té doby se pracuje na zavedení ještě více akutní limitujícím opatření k omezení útoku hrubou silou do budoucna.

"Kromě toho, nebudete již moci přihlásit do GitHub.com s běžně používanými slabých hesel," Davenport poznámky.

Davenport také vzal příležitost připomenout GitHub uživatele, že stránky běží zabezpečení historie stránku pro každého svého uživatele, který se přihlásí důležité události. Byl zahájen v říjnu funkce umožňuje uživatelům zobrazit seznam aktivních relací s možností dálkově zrušení.


JBoss útoků od roku Exploit vyzrazení kódu
20.11.2013 Počítačový útok

Útočníci zneužívají dva-rok-starý zabezpečení v aplikačních serverů JBoss, který umožňuje hackerovi na dálku do shellu na zranitelné webserver. Počet infekcí stoupla od roku kód zneužití je tzv. pwn.jsp byl zveřejněn 4.října.

Výzkumníci Imperva řekl, že počet státních a vzdělávání stránkách byly ohroženy, jak je uvedeno údajů shromážděných prostřednictvím společnosti lákadla. Útočník s dálkovým přístupu na shell mohou aplikovat injekce kódu do webové stránky běží na serveru nebo lovu a pusinkou souborů uložených na počítači a extrahovat.

Chyba zabezpečení ve službě Vyvolávač HTTP, která poskytuje RMI / HTTP přístup k Enterprise Java Beans, byl objeven v roce 2011 a prezentovány na řadě bezpečnostních událostí v tomto roce.

"Tato chyba zabezpečení umožňuje útočníkovi zneužít rozhraní pro správu na JBoss AS s cílem zavést další funkce do webového serveru," řekl Imperva je Barry Shteiman. "Jakmile útočníci implementovat tuto další funkce, získají plnou kontrolu nad využívané infrastruktury JBoss, a proto site powered tímto aplikačním serverem."

Na 16 září, National Vulnerability Database vydal poradní varování vzdálené spuštění kódu chyby ovlivňující HP ProCurve Manager, software pro správu sítí. Zranitelnost byla dána NVD je nejvyšší kritičnosti pořadí 10. Od té doby, jiné produkty běží postiženou JBoss Application Server byl identifikován, včetně některých bezpečnostního softwaru.

Za tři týdny byl přidán do exploit zneužít-db , který úspěšně získal shell proti produktu běží JBoss 4.0.5.

"Hned poté jsme byli svědky prudkého růstu hacking JBoss, která se projevila v škodlivého provozu pocházející z infikovaných serverů a pozorované v honeypot pole Imperva je," řekl Shteiman.

Podle analýzy Imperva je, zranitelnost spočívá v Vyvolávač služby, která působí na úrovni umožňující vzdálenou správu aplikací pro přístup k serveru. Vyvolávač nesprávně vystavuje rozhraní pro správu, Shteiman řekl.

Skládání problému je to, že kromě pwn.jsp skořápky, Shteiman řekl, že je jiný sofistikovanější shell k dispozici útočníky.

"V těchto případech, útočníci použil JspSpy web shell, který obsahuje bohatší uživatelské rozhraní, které umožňují útočníkům jednoduše procházet infikovaných souborů a databází, spojit s dálkovým velení a řízení serveru a další moderní malware schopnosti," řekl .

Imperva také řekl, že počet webových serverů běží JBoss software ztrojnásobil od počáteční chyba výzkum byl zveřejněn.


Sytémy GCHQ hacky GRX poskytovatelé připojit MITM útoky na smartphone uživatelů

15.11.2013 Počítačový útok | Mobil

Nová zpráva německého časopisu Der Spiegel bylo zjištěno, že vláda komunikační ústředí (GCHQ), což je ekvivalent ve Spojeném království USA NSA, čímž ohrozila řadu globální roaming poskytovatelů Exchange (GRX).

Existuje pouze několik desítek GRXs na celém světě, a oni se chovají jako center pro GPRS spojení z cestujících uživatelů. Ty, které Der Spiegel tvrdí, mohla být porušována jsou Comfone, Mach a Belgacom International Carrier Services (BICS) . Konečným cílem těchto útoků je pro zpravodajskou službou, aby mohli přistupovat jako centrální společností roaming směrovačů, které proces mezinárodní dopravy , aby mohli nakonec připojit Man-in-the-middle útoky na smartphone uživatelů a thusly ohrozit zařízení, které slouží jejich vlastní cíle (tj. skrytou dohled). ohrozit systémy a sítě těchto GRXs, agentura nejprve zkoumal inženýry , IT pracovníci a správci sítě, kteří pracují pro ně. Po objevení hodně o svých osobních a digitální životy, by vytvářet falešnou verze stránek, které často navštěvoval (např. jejich LinkedIn profilu a Slashdot), ve které by se vložit backdoor otevření malware, a pak bude používat technologie přezdívaná "Quantum Insert" sloužit jim ty stránky, místo na legitimních, což by mělo za následek jejich systémů vybavovány výše uvedeného malware. Známý IT bezpečnostní expert a cryptographer Bruce Schneier nedávno vysvětlil, jak se technologie používané NSA, a které končí :

Jako součást zmatku systému NSA klade tajné servery s kódovým označením Quantum, na klíčových místech na páteři internetu. Toto umístění je zajištěno, že mohou reagovat rychleji než jiné webové stránky může. Využitím že rozdíl rychlosti, lze tyto servery vydávat navštívené webové stránky na cíle před legitimní webové stránky mohou reagovat, a tím podvádět u cíle prohlížeč navštívit Foxacid serveru ... Jsou to těžké pro všechny organizace kromě NSA spolehlivě provést, protože vyžaduje, aby útočník má výsadní postavení na páteři internetu, a využívat "spor" mezi serverem NSA a legitimní webové stránky ... NSA používá tyto rychlé Quantum serverů vykonat packet injection útoku, který tajně přesměruje cíl FoxAcid serveru ... FoxAcid je kódové označení pro to, co NSA NSA nazývá "exploit Orchestrator," internet-enabled systém schopný napadat cílové počítače v mnoha různými způsoby.

Není známo, zda GCHQ používá NSA infrastruktury nebo jejich vlastní. Der Spiegel také stručně zmiňuje další GCHQ provoz přezdívaná "Wylekey", který zřejmě úspěšně ohrožena několika mezinárodních mobilních fakturační zúčtovacím střediskům.


Bitcoin výzkumník říká, že je "hloupost" Ignorovat nový útok
9.11.2013 Hacking | Počítačový útok | Kriminalita

Autor článku, který popisuje nový útok na Bitcoin protokol říká, že kritika článku jsou zavádějící a že existují vážné problémy s Bitcoin, které je třeba řešit.

Ermin Gun Sirer, profesor na Cornellově univerzitě, publikoval článek minulý týden spolu s jeho spoluautor Ittay Eyal, av něm vědci popisují útok, ve které bazén horníků Bitcoin by vytěžit své vlastní bloky a udržet je v tajnosti a pouze publikovat své řetěz, když je delší než jeden veřejný, které tvoří jejich autoritativní člověk. Tento tzv. "sobecký" těžební situace by pak teoreticky sněhová koule a přilákat více horníků do bazénu v naději na získání další odměny.

Kritici říkají, že práce se opírá o chybném předpokladu, že horníci by se jednat v nejlepším zájmu tohoto nového "sobeckého" těžební skupiny, spíše než v jejich vlastním zájmu, což by mohlo vést k jejich poskakování tam a zpět mezi sobeckým těžební skupiny a hlavní bazén horníků. Jiní, včetně vedoucího vývojáře Bitcoin, bagatelizoval útok s tím, že to není hlavní problém v reálném světě.

"Velmi časté reakce na bezpečnostní chyby je pro oddaných stoupenců, aby se minimalizovalo problém. Připomínky, které jsem viděl z rozumní lidé uznávají, že se jedná o závažný problém, ale že útok pravděpodobně nebude mít úspěch přes noc, a proto tam bude čas na oblast lidských měřítek, reagovat na problém. Doufáme, a podezření, že je to pravda, protože chceme Bitcoin být životaschopná měna, "řekl Sirer e-mailem.

"Ale to by bylo pošetilé ignorovat problém, nebo se spolehnout na manuální zásah jednat s automatických, mechanických útoku. Distribuované systémy jsou robustní, do té míry, že jejich silné a slabé stránky jsou dobře popsány. A Bitcoin silných byly nadhodnocené do našich zjištění.

"A měnové systémy jsou robustní, do té míry, že poskytují správné peněžní pobídky účastníků. V současné době Bitcoin se zdá být v území, kde je to spoléhat na laskavost cizích lidí. "

Myšlenka skupiny horníků získává dostatek energie, aby se nad systémem Bitcoin není nová, ale útok navržena sirer a Eyal závisí na mnohem menší bazén horníků splnit úkol, jedna třetina všech uživatelů . Je-li takový útok se stalo, nebo se pokračuje se v této věci, snaží se zjistit, kdo tito horníci by se mohla stát jednou z priorit. Sirer řekl, že je jasné, zda je to možné právě teď.

"Selfish horníci mohou mít sítě podpis, kde se zdá, že nabízejí bloky souběžně s ostatními. A pokud členství v sobecké bazénu je otevřen všem, mohou být infiltrovány. Avšak v každé opatření, jsou protiopatření. Například by mohly být sobecké horníci schovávat za jedno použití adres, které omezují množství informací, které odhalí účastníkům, atd. Identifikace sobecké horníků a vyškrtávali je ze sítě je nepravděpodobné, že bude snadné, "řekl Sirer.


Vědci Debata Hodnota nový útok Bitcoin

7.11.2013 Počítačový útok

V návaznosti na zveřejnění nového akademického papíru, který říká, že je zásadní chyba v protokolu Bitcoin, která by mohla malá kartel účastníků, aby se stal dost silný, že by mohl převzít těžební proces a získat neúměrné množství hodnoty v systému, vědci debatují o potenciální hodnotu útoku a zda je to opravdu praktické v reálném světě. Papír, publikoval tento týden vědci na Cornellově univerzitě, tvrdí, že Bitcoin je rozbité, ale kritici říkají, že je základním chyba v novinách tvrzení.

Bitcoin je decentralizovaný cryptocurrency, který závisí na poctivosti svým uživatelům publikovat na každém ze svých obchodů v centru, veřejné knihy. Papír Cornell, napsaný Ittay Eyal a Emin Gun sirer, říká, že pokud skupina ovládá jednu třetinu těžby zdrojů Bitcoin, může pak začít těžbu "sobecky" moje bloky a držet je v tajnosti před zbytkem horníků. Pak, když řetěz, který tato skupina těží je delší než jeden veřejný, může publikovat své řetězce a mají autoritativní jedno, protože Bitcoin vždy ignorovat kratší blok řetězce, když je vidlice.

"Ittay Eyal a nastíním o útok, při němž menšinová skupina horníků mohou získat příjmy, než je jejich spravedlivý podíl a růst v řadě, dokud nedosáhnou většinu. Po dosažení tohoto bodu, se Bitcoin hodnotu propozice hroutí: měna je pod kontrolou jediného subjektu, je již decentralizované, ovládající osoba může určit, kdo se podílí na těžbě a které transakce se zavázali, a může dokonce vrátit zpět transakce dle libosti. Tato sněhová scénář nevyžaduje špatně míněný Bond-styl darebáka ke spuštění, ale může probíhat jako důsledek spolupráce lidí se snaží vydělat trochu více peněz pro své těžební činnosti, "píší vědci ve svém blogu na svém papíře .

"Konvenční moudrost již dlouho tvrdil, že Bitcoin je zabezpečen proti skupinám spolčení horníků tak dlouho, dokud se většina horníků jsou čestní (podle upřímný, máme na mysli, že poslušně poslouchat protokol, jak předepsal pseudonymní Nakamoto). Naše práce ukazuje, že toto tvrzení je nesprávné. Ukážeme, že v okamžiku, kdy bude nějaká skupina uzlů, které zaměstnávají naše útok podaří výdělku nad jejich spravedlivý podíl. Jsme také ukázat nový vázaný, který znehodnocuje poctivé většiny tvrzení: V nejlepším případě, přinejmenším 2/3rds zúčastněných uzlů být upřímný k ochraně proti našemu útoku. Ale k dosažení tohoto cíle 2/3 spojený se bude v praxi obtížné. "

Myšlenka většiny horníků Bitcoin spojí ovládat systém není nic nového, ale Cornell výzkumníci říkají, že menší bazén jedné třetiny horníků mohla dosáhnout stejného výsledku, a že jakmile budou mít, tam by efekt sněhové koule s dalšími horníky vstupu do této kartelové dohody ke zvýšení své vlastní kus koláče. Nicméně, jiní výzkumníci vzali problém s touto analýzou, říká, že to nebude držet pohromadě v reálném světě.

"Nejvážnější chybou, snad je to, že na rozdíl od svých nároků, koalice ES-horníků [sobecké horníků] by být stabilní, protože členové koalice bude mít motivaci podvádět na svých koaličních partnerů, a to pomocí strategie, která Zavolám fair-počasí těžbu, "Ed Felten, profesor počítačových věd a veřejných záležitostí na Princetonské univerzitě a ředitel Centra pro politiku informačních technologií, napsal v analýze papíru .

"Připomeňme, že v ES útoku tým ES-horníků je závodění proti týmu obyčejných horníků, aby zjistili, kdo může vytvořit delší blok řetězce. Nepohody horník předstírá, že je součástí koalice Es-horníků, ale ve skutečnosti tajně do jiného týmu, takže dolů na ES těžby týmu li, že tým je dopředu v závodě, a to doly na běžné těžby týmu jinak . Ukazuje se, že každý blok, který nepohody horník vytváří je zaručeno, že skončí na vítězné řetězce. Takže nepohody horník na tom lépe (tj. dostane lepší odměnu), než by mohla získat tím, že hraje pouze na jeden tým. "

Nicméně, mnoho horníků Bitcoin spolupracovat v bazénech nebo spolky, které sdílejí zdroje a odměny. Tyto skupiny se někdy vyžadují, aby jejich uživatelé produkují jedny z práce, kterou jsem udělal, aby dokázal, že oni jsou vlastně podílí na těžbě a měl by získat některé z případných Bitcoin odměny. To by mohlo zmírnit Kontrola integrity proti potenciálním vznikem fair-počasí horníků.

Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University, řekl, že je papír Cornell vyvolává některé zajímavé body, ale že je těžké vědět, jak v reálném světě Bitcoin uživatelé by se jednat, pokud takový kartel vůbec objevil.

"Ed si bere na mušku tomuto závěru poukazem na to, že tato koalice nebude stabilní. V reálném životě, budou sobecké individuální horníci hop tam a zpět mezi sobeckým a čestný těžby tak, aby vyhovovaly jejich vlastní účely. To poskakování působí jako nárazník proti dalšímu koulování, "řekl Green e-mailem.

"Jsem moc těší se na odpověď autorů. Myslím, že oba mají dobré body, ale oni oba pracovali se zjednodušenými modely reálného světa. Co budu říkat, že Bitcoin není tak snadné modelu. Pro jednu věc, není to sbírka racionálních uzlů pracujících ve svém vlastním zájmu. Ve skutečnosti je Bitcoin dnes do značné míry řídí lidé přispívají volné pracovní síly bez náhrady - uložení bloku řetěz, směrování transakcí, atd. skutečně vlastní zájem kolekce uzlů by působit jinak. Takže tyto výsledky jsou pravděpodobně mnoho znamenat dnes. "

Nakonec řekl Green, další analýzy, je třeba systému Bitcoin a potenciální zranitelnosti, které mohou ležet v něm.

"Myslím, že je to fantastické, že vědci konečně analyzuje Bitcoin jako systém. To neznamená, že jsme pravděpodobně vidět praktické útoky v dohledné době, "řekl Green. "Skutečnost, že Bitcoin funguje, je úžasná. Neměli bychom být překvapeni, pokud existuje několik Kinks fungovat. "

Ačkoli technologie základní Bitcoin je životně důležité, existuje celá řada dalších faktorů, které by mohly přispět k problémům se systémem.

"Stejně jako u všech ostatních vědeckých výzkum, jeden z údajného Bitcoin vady musí být přezkoumány a analyzovány komunity. Ale již vidíme, že povaha tohoto "zranitelnosti" se nachází v oblasti ekonomie, spíše než výpočetní techniky. I když některé skupiny lidí (nebo spíše, silný vládní jednotky s téměř nekonečnou výpočetní výkon) by mohl získat určitou kontrolu nad Bitcoin zpracovávají důlní by to nutně znamenat zánik a pád digitální měně, "řekl Sergey Lozhkin, Senior Security výzkumný pracovník společnosti Kaspersky Lab.


Microsoft varuje před útoky kyberzločinců

7.11.2013 Bezpečnost | Hacking | Počítačový útok
Internetoví útočníci by podle Microsoftu mohli zneužít zranitelnosti v operačním systému Windows k získání kontroly nad uživatelskými počítači.

Pro získání přístupu do uživatelského zařízení by podle společnosti stačilo, aby si oběť zobrazila nebo otevřela speciálně upravený e-mail či webový obsah.

Problém se týká operačních systémů Windows Vista, Windows Server 2008, a produktů Microsoft Office 2003 – 2010 a Microsoft Lync. Uživatelé novějších verzí zmíněných produktů tak mohou zůstat v klidu.

Chyba, kterou by útočníci mohli potenciálně zneužít, se nachází v grafické komponentě. Kompletní a podrobný seznam všech ohrožených programů je na oficiálních stránkách Microsoftu.

Microsoft prý již pracuje na odstranění zranitelnosti. Pravděpodobným řešením je prý zahrnutí potřebné opravy do měsíčních aktualizací nebo vydání bezpečnostní aktualizace mimo tento systém. Do té doby však společnost uživatelům radí, aby provedli takové úpravy v nastavení ohrožených produktů, které sice chybu zcela neeliminují, ale pomůžou zabránit případným útokům.

Chyba je podle Microsoftu ve způsobu, jakým grafické komponenty nakládají se soubory ve formátu TIFF (Tagged Image File Format). K zneužití této zranitelnosti je prý ale potřeba přimět oběť k provedení určitých kroků. V praxi to znamená, že by uživatelé neměli otevírat zprávy s podezřelými příponami, ani by si neměli zobrazovat jejich náhled.

Útok je teoreticky možné vést i prostřednictvím falešných webových stránek. Pokud by se operace zdařila, získal by útočník stejná práva k napadenému zařízení jako má jeho skutečný majitel.


Útoky na New Microsoft Zero Day Použití vícestupňových malware

6.11.2013 Počítačový útok | Viry

Útočníci vykořisťovat Microsoft Windows a Office nula den odhalil včera používáte exploit, který obsahuje škodlivý soubor RAR, stejně jako falešný dokument Office jako návnadu, a instalujete širokou škálu škodlivých komponent na nově infikovaných systémů. Útoky vidět tak daleko jsou zaměřeny hlavně v Pákistánu.

CVE-2013-3906 zranitelnost zveřejněna úterý Microsoft, je vzdálené spuštění kódu chyba, která se týká způsobu, jakým systém Windows a Office zvládnout některé TIFF soubory. Microsoft uvedl, že útočníci, kteří jsou schopni zneužít chybu by měl být schopen spustit libovolný kód v napadených počítačů. V cílených útoků vidět výzkumníky tak daleko, útočníci se pomocí ROP technik tuto chybu zabezpečení zneužít a pak instalaci downloader, který táhne dolů některé další součásti, včetně dokumentu sady Office, který je zobrazen uživateli jako rozptýlení od toho, co se děje v pozadí.

Výzkumníci analyzovali AlienVault exploit a malware používán v cílených útoků a zjistil, že poté, co útočníci ohrožena stroj, ale také stáhnout soubor RAR, který obsahuje komponenty, které volá zpátky na velení a řízení serveru a stáhne počet škodlivých komponent. Malware nainstaluje keylogger, vzdálené backdoor a část, která krade různé typy souborů, včetně XLS, DOC, PPT a PDF soubory.

CVE-2013-3906 chyba zabezpečení se týká Windows Vista a Office 2003-2010 a Microsoft doporučuje, aby uživatelé se systémem zranitelné verze nainstalovat nástroj Fixit oni pustili úterý, což pomáhá zabránit vykořisťování. Instalace Emet nástrojů lze také chránit uživatele proti útokům na této chyby zabezpečení.

Většina IP připojují k C & Cs používané v těchto útoků, jsou zasílány z Pákistánu, AlienVault vědci. Výzkumníci společnosti Kaspersky Lab analyzoval malware a jeho chování a našel nějaké zajímavé chování.

"Tohle není první chyba ve formátu TIFF. Notoricky známý CVE-2010-0188 (na základě TIFF taky) je široce používán v PDF využije i nyní. Nový 0den používá chybně TIFF údajů obsažených v dokumentech sady Office, aby se spustit shell kód pomocí haldy sprej a ROP techniky. Již jsme zkoumali některé shellcodes - vykonávají společné akce (pro shellcodes): Vyhledat API funkcí, stáhněte a spusťte náklad. Vzali jsme si pohled na stažené nákladem - zadní vrátka a trojských-špioni. Naše AEP technologie zabraňuje spuštění jakéhokoli spustitelného souboru využívaných aplikací. V tomto případě je naše AEP chránit a nadále chrání uživatele příliš, "řekl Vjačeslav Zakorzhevsky, vedoucí skupiny zranitelnosti výzkumu v Kaspersky.


Microsoft varuje před cílených útoků na Windows 0-Day
6.11.2013 Hacking | Počítačový útok | Zranitelnosti

Microsoft varuje uživatele o cílených útoků proti nové zranitelnosti v několika verzích Windows a Office, která by mohla útočníkovi umožnit převzít v počítači uživatele. Chyba, která ještě není oprava, je používán jako součást cílených útoků škodlivých e-mailových příloh, zejména na Středním východě av Asii.

V nepřítomnosti záplatou, Microsoft vydala fixit nástroj pro zranitelnosti, což zabraňuje zneužití proti zranitelnosti pracovat. Chyba ovlivňuje Windows Vista, Windows Server 2008 a Microsoft Office 2003 přes 2010.

"Exploit vyžaduje zásah uživatele, jako je útok se tváří jako e-mail žádající potenciálních cílů k otevření speciálně vytvořeného Word přílohu. Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení pomocí chybně grafiku vložené do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.

Tato chyba zabezpečení nemá vliv na aktuální verze systému Windows, uvedla firma, a uživatelé, kteří používají potenciálně ohrožené produkty, může trvat několik opatření, aby se ochránili. Instalace fixit nástroj pomůže zabránit vykořisťování, jak bude nasazení Enhanced Mitigation Experience Toolkit (EMET), který pomáhá zmírnit využije proti některým tříd chyb.

"Tato chyba zabezpečení je vzdálené spuštění kódu, který existuje ve způsobu, jakým postižené součásti zvládnout speciálně vytvořené obrazy TIFF. Útočník by mohl zneužít tuto chybu zabezpečení tím, že by uživatele přesvědčil k náhledu nebo otevření speciálně vytvořenou e-mailovou zprávu, otevřete speciálně vytvořený soubor, nebo procházet speciálně vytvořený webový obsah. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako aktuálního uživatele. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli méně uživatelských práv v systému, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce <'Microsoft úředníků řekl.


Apple Zapíná útok BEAST Safari zmírnění ve výchozím nastavení v OS X Mavericks
6.11.2013 Počítačový útok | OS | Zabezpečení

Apple umožnil funkci ve svém nedávném OS X Mavericks aktualizaci kastrované na útoky BEAST kryptografické . BEAST je dva-rok-starý útok nástroj, který zneužívá chybu zabezpečení v protokolu TLS 1.0 a SSL 3.0 a může vést k útočníkovi krást cookies, HTTPS nebo únos prohlížeče sezení.

Apple prohlížeč Safari byl osamocený protahování mezi hlavními prohlížeči povolit implicitně 1/n-1 rozdělení, které by zmírnily útoky, další přední prohlížeče obrátil ji ve výchozím nastavení od začátku roku 2012. Kód mezitím působí od předchozího OS X Lion Mountain verzi ale nebyl zapnutý, dokud OS X 10.9 Mavericks.

Rozdělení 1/1-n technika zastaví útočníkům být schopni odhadnout, které bloky inicializační vektor bude použita k zamaskování holého data před jejich jsou zakódovány. Ivan Ristic, ředitel aplikačního výzkumu na Qualys, řekl Threatpost v září, že man-in-the-middle útok by usnadnilo schopnost předvídat tyto bloky a vliv, co jsou zakódovány. Vzdělaný Útočník s dostatkem odhady pravděpodobně přistane na správném bloku Ristic řekl.

On zapsal blogpost v době, kdy BEAST útok by pomohla získat malé datové fragmenty, které by dal útočník nějaké pokyny.

"To nemusí znít velmi užitečné, ale máme mnoho velmi cenné fragmenty celé: HTTP session cookies, přihlašovací údaje (mnoho protokolů, nejen HTTP), založené na adrese URL relace známky, a tak dále," řekl Ristic. "Proto, BEAST je vážný problém."

S vydáním Mavericks však Ristic řekl, v první chvíli si nemyslel, že rozdělení 1/1-n byl ve výchozím nastavení povolena. Safari jsem TLS podporují 1,2, což Ristic označil za důležitý update, ale to samo o sobě ani zmírnit bestie útoků, protože se zaměřili na TLS 1.0 a dřívějších protokolů.

"Klient-side podpora TLS 1.2 v současné době není dostačující, protože (1) jen asi 20 procent serverů podporu této verze protokolu a (2), všechny hlavní prohlížeče jsou náchylné k útokům protokolu downgrade, které mohou být prováděny aktivní MITM útočníci, "řekl psal minulý týden.

Ristic udělal trochu lov a kopání mimo poznámkách vydání aktualizace zabezpečení pro individualisty a podíval se na některé z Apple Zdrojový kód je uvolněn jako open source a zjistil, že rozdělení 1/1-n byla skutečně zapnutý.

"Díky tomu můžeme konečně konstatovat, že bestie dostatečně zmírněny na straně klienta, a jít dál," řekl Ristic.

BEAST nástroj byl propuštěn v září 2011 výzkumníky Juliano Rizzo a thajské Duong na Ekoparty konferenci. Útočník pomocí BEAST mohl dešifrovat TLS 1.0 a SSL 3.0 relace na mouchy a do žádného šifrované relace, čímž on-line bankovnictví, nebo e-commerce transakcí v ohrožení.

BEAST ohýbá jeho svaly konkrétně proti algoritmu AES šifrování, které se postaví TLS / SSL. Jakmile man-in-the-middle pozice je založena a oběť surfuje na jejich bankovní stránek, dřevo-in a obdrží cookie by BEAST kód poté aplikovat do prohlížeče přes iFrame nebo nakládací BEAST javascript do prohlížeče. Malware pak čichá síťový provoz hledají připojení TLS a je schopen dešifrovat HTTPS cookie, v podstatě zotavuje verzi holého textu údajů a dává útočníkovi dálkový ovladač v aktuální relaci.

Rizzo a Duong řekl, že BEAST využívá zranitelnost sahá až do první inkarnaci SSL, bug, který byl do značné míry považován za non-zneužitelné.

BEAST útoky jsou ideální pro použití v cílených útoků proti konkrétním osobám, protože útočníci by musela být v man-in-the-middle pozici, BEAST nelze provést na jakémkoliv měřítku, Ristic řekl. Také byl zdrojový kód pro BEAST nikdy propuštěn Rizzo a Duong.


Nové triky, které mohou přinést DNS spoofing zpět, nebo: "Proč by měl umožnit DNSSEC i když je bolest dělat"

05.11.2013 Počítačový útok | Hacking

V poslední době, dva dokumenty independently nastínil nové útoky proti DNS, což podkopává některé z bezpečnostních prvků chránících nás falšování DNS.

Jak Dan Kaminsky ukázal [1], 16 bit ID dotazu jsou nedostatečná ochrana proti podvržení DNS. Jako výsledek, DNS servery začal náhodně zdrojový port DNS dotazů, aby DNS spoofing těžší. To nikdy neměla "opravit" DNS spoofing, ale fungoval dobře dost pro DNSSEC musí být odsunuto znovu.

Celkově se úspěšně spoof DNS, musí útočník překonat různé problémy:

odpovědět dříve, než přijde odpověď platí: To lze snadno provést začíná povodňových odpovědí ještě předtím, než byl poslán dotaz.
Hádej Query DNS ID a zdrojový port dotazu: V současné době je tento problém považován za hlavní kámen úrazu.
Jakmile je platný dotaz přijde, je útočník "uzamčen" z pokusu další pokus o falšování, dokud TTL záznamu vyprší (Dan Kaminsky ukázaly, jak to lze překonat tím, že žádá o neexistující záznamy)
Mezi další útoky používáte dvě modernější DNS vlastnosti:

Odpovědět Omezení rychlosti (RRL)

DNS spoofing není jediný problém DNS musíme bránit. DNS servery mohou být zneužity jako reflektory v odmítnutí útoků služby (DoS). I když DNS server je pouze zodpovídání dotazů, pro které je autoritativní, může ještě být zneužit tím, že žádá pro záznamy, pro které je směrodatné pro. Moderní DNS servery (např. BIND 9), kterou funkci pro omezení, kolik odpovědí DNS server bude odesílat. Pokud je dosaženo limitu, server DNS buď nereagují vůbec, nebo odpovědět s prázdným zkrácený odpověď. Prázdný zkrácen odpověď bude nutit zdroj dotazu vrátit přes TCP. Pokud dotaz spoofed, pak se to nestane. BIND ve výchozím nastavení přeskočí každý druhý odpověď v tomto scénáři.

Problém arrises pokud útočník zaplaví autoritativní DNS server, aby mu zabránil odeslání odpovědi. To poskytne více času posílat podvržené odpovědi zpět. Výzkumníci ukázali, že to může vést k podvržení DNS. Ale to vyžaduje hodně paketů (100 Mbit za 8 hodin), aby byla úspěšná jako Query ID a zdrojový port potřebuje být brute vynutit. [2]

Na obranu proti tomuto útoku, při zachování RRL, stačí upravit skluzu hodnotu, která určuje, jak často DNS server bude přeskakovat odpověď DNS, zatímco v nouzi. Skluzu hodnota "1" nevynechá žádné odpovědi.

Roztříštěné EDNS0 odpovědi

Původně byly DNS odpovědi omezena na 512 bajtů, aby se zabránilo fragmentaci. Jakékoliv větší reakce musela být požadováno přes TCP. Nicméně, TCP vyžaduje značné vyšší zatížení a dotaz musí být odeslána dvakrát. Moderní DNS tendenci používat větší odpovědi s IPv6 a DNSSEC záznamů, jakož i využívání DNS pro vyrovnávání zatížení. V reakci na to byl představen nový systém, který EDNS0,. Pokud je povoleno, může server DNS signalizovat maximální odezvy velikost, která je větší než 512 bajtů. Typická hodnota je 4096 bajtů. V důsledku toho, jsou tyto reakce často roztříštěné.

Je-li odpověď roztříštěné, všechny hodnoty použité pro "ověření" odpověď je v prvním fragmentu (dotaz id a UDP porty). Nyní je možné, aby útočník spoof další fragmenty. Všechny útočník uhodnout je fragment offset a fragment ID. Offset fragment je možné odhadnout, že za předpokladu, MTU je 1500 bajtů (nebo může být odvozeno z MSS-li paket TCP ze serveru DNS obdrží útočníkem). Fragment ID (nebo IP ID) je často zvýšen z paketu paket, takže jej lze snadno uhodnout. Je-li náhodné, je stále jen 16 bitů dlouhá. [3]

Neexistuje žádný slušný obranou proti útoku dosud. Zakázání EDNS0 může fungovat, ale bude to vést k problémům s DNSSEC, která vyžaduje EDNS0. Váš operační systém může umožnit náhodně dotazu ID a to by pravděpodobně minimální ochrana pro teď.

DNSSEC samozřejmě zůstává jedinou skutečnou ochranou proti těmto útokům.

[1] http://dankaminsky.com/2008/07/24/details/
[2]
http://u.cs.biu.ac.il/ ~ herzbea/security/13-03-frag.pdf


Internet široký DNS skenování

05.11.2013 Hacking | Počítačový útok

Obdrželi jsme žádost z výzkumné skupiny, aby všichni věděli, že budou provádět internetové širokou skenování serverů DNS. To je jejich žádost:

"Náš tým na síťových architektur a služby odbor (I8) TU München, Německo, zahájila DNS scan. To má podobné cíle jako prověřování, které jsme provedli pro SSL a SSH v uplynulých měsících. Opět platí, že Účelem je čistě vědecký. skenování Stroj je 131.159.14.42. jsme dotazování DNS servery k překladu názvů hostitelů. Nechceme žádným způsobem snaží ohrozit serverů. Kromě toho by se zatížení způsobené naší činností je velmi nízká na jednom serveru. Myšlenka našich dotazů je získat lepší pochopení vnitřního fungování DNS, jeden z nejvíce všudypřítomných protokolů internetu. bychom to ocenit to moc, pokud jste přidali komentář v databázi. Vezměte prosím na vědomí, že reagovat na každou stížnost, a jsou rádi, že blacklist systémy s otráveně adminy. "

Jejich účelem je vědecký výzkum. Zajímavý, říkám skenování bez svolení neetické a neslušné. Zde je to, co doporučuji, pokud nechcete být součástí výzkumu, který zablokovat všechny DNS dotazy z dané IP adresy. Oni provedli podobnou SSH a SSL prohlédnutí v minulosti z různých IP adres. Co si myslíte? Dejte nám vědět prostřednictvím našeho Kontaktujte nás stránky nebo v komentářích níže.

Buďme opatrní, tam venku!


Použití RRL zabránit DNS Amplification útoky
16.10.2013 Počítačový útok | Hacking

Jeden běžně používaný způsob Distributed Denial of Service (DDoS) útok je zesílení DNS útok. DNS Amplification využívá bez státní příslušnosti povahy DNS dotazů na vytvoření padělaných požadavky DNS prostřednictvím otevřených rekurzivních DNS serverů a směruje tyto žádosti k cíli útoku DDoS.

Pokud je poslední věta zdála kompletní blábol, to by mohlo pomoci dána příklad. Hactivist rozhodne, že má zášť proti svému rychlého občerstvení firmy clon, stačí pouze nabídnout své dýně Milkshake 2 měsíce v roce. Tento hacker ovládá botnet s 5000 uzly, které mohou zahájit 100 Mbit útok proti své webové stránky. To není dost, aby se vaše webové stránky, takže se nemusíte starat o to. Ale naše určena hactivist udělal svůj domácí úkol a identifikuje tisíce otevřených překladače. Otevřené resolver cache DNS server, který umožňuje komukoliv, aby se dotazy (pokud máte jeden byste opravdu měli zakázat).

Po identifikaci otevřené resolvery útočník pokyn její botnet poslat kované DNS dotazy na otevřené překladače s IP adresou vašeho webserveru jako kované původní šetření. Tak, teď, místo 100 Mbit útoku můžete být hit s 10 Gigabit trvalého útoku. Jak to funguje? Vytvořením velké odpovědi DNS. Zatímco útočník DNS dotazy jsou menší než 512k odpovědi může být podstatně větší. Například, pokud si poslat jakýkoliv dotaz společnosti Microsoft získáte 832k odpověď:

-Sh-3.2 $ dig microsoft.com ANY

; Zkrácený, opakování v režimu TCP.

; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> microsoft.com ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 42610
; Vlajky: qr aa rd žádost: 1, odpověď: 11, AUTHORITY: 5, DODATEČNÉ: 10

; OTÁZKA sekce:
; Microsoft.com. V každém

; ODPOVĚĎ sekce:
microsoft.com. 3600 IN TXT "v = spf1 patří: _SPF-a.microsoft.com patří: _SPF-b.microsoft.com patří: _SPF-c.microsoft.com patří: _SPF-SSG-a.microsoft.com patří: SPF- . hotmail.com IP4: 131.107.115.215 IP4: 131.107.115.214 IP4: 205.248.106.64 IP4: 205.248.106.30 IP4: 205.248.106.32 ~ all "
microsoft.com. 3600 IN TXT "FbUF6DbkE + Aw1/wi9xgDi8KVrIIZus5v8L6tbIQZkGrQ/rVQKJi8CjQbBtWtE64ey4NJJwj5J65PIggVYNabdQ =="
microsoft.com. 3600 IN MX 10 mail.messaging.microsoft.com.
microsoft.com. 3600 IN SOA ns1.msft.net. msnhst.microsoft.com. 2013081506 300 600 2419 200 3600
microsoft.com. 3600 IN A 65.55.58.201
microsoft.com. 3600 IN A 64.4.11.37
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
microsoft.com. 172799 IN NS ns5.msft.net.

; AUTHORITY sekce:
microsoft.com. 172799 IN NS ns5.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.

; DALŠÍ SEKCE:
ns1.msft.net. 3599 IN A 65.55.37.62
ns1.msft.net. 3599 IN AAAA 2a01: 111:2005 :: 01:01
ns2.msft.net. 3599 IN A 64.4.59.173
ns2.msft.net. 3599 IN AAAA 2a01: 111:2006:6 :: 01:01
ns3.msft.net. 3599 IN A 213.199.180.53
ns3.msft.net. 3599 IN AAAA 2a01: 111:2020 :: 01:01
ns4.msft.net. 3599 IN A 207.46.75.254
ns4.msft.net. 3599 IN AAAA 2404: f800: 2003 :: 01:01
ns5.msft.net. 3599 IN A 65.55.226.140
ns5.msft.net. 3599 IN AAAA 2a01: 111:200 f: 1 :: 01:01

; Dotaz: 1 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:12:53
; MSG SIZE rcvd: 893
Spuštění jakýkoliv dotaz proti DHS.GOV vrací 4453K odpověď:

-Sh-3.2 $ dig dhs.gov ANY
; Zkrácený, opakování v režimu TCP.

; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> dhs.gov ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 7097
; Vlajky: qr aa rd žádost: 1, odpověď: 35, AUTHORITY: 8, DODATEČNÉ: 7

; OTÁZKA sekce:
; Dhs.gov. V každém

; ODPOVĚĎ sekce:
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 35505 dhs.gov. HfARElBQz4seqIK0tXXq6SdESpsMpr3jOgmok9AZ0DPbGT3sjtGzZnrg yB + sTF5WeMCS2l85BvtIjdTqWUIt9R80VMBKGEKlN6max/vqQ8h09wqk q5rHod78qXVrqLM7QeN7Bo2BW5/wGpo1b/lMoJJ38xm8dob/WU7uDS7 / / M4 =
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 50970 dhs.gov. mL2E0vW6pY + g0w3qN7qEnDiCJpu2B1JoG/MMSog73CSPSJIddOy11XI3 n4i99oCH7mxW3zltMxjxGfo2RtF0Cw/y1JH3lzbIWqTSIO5bh5bKeTn2 iCv0192xImxa7jh4olQhKPUbxdiVryc3fgAx6pVtSmmkKPpZXefXfyzT Xe4 =
dhs.gov. 900 V TYPE51 \ # 11 0100000A06D74C53E10A09
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 6340 dhs.gov. phDh5VIA3LQMhxVyYSkh5zNjIRXrmut + ltLANu08vHzs5baK/NmW2I46 / / tjPWlxxRb/a7Uq6lrDV6vwdM9CH0nsTurPsX + gSBi1QA95wHAhC8et hFYHkMfKxpaZH8LOWyYANrs1Q1D8rqYoxIBle/kpB2Jx3hvh939j3 / / e n7zzVXAraumzxWvQSySueFxTzQWmRdFTSGPYhfw0HkJvax59HXEoBLqP C1Lfdps4pN8TNz6OiR7QRAh8dQNyqutWEErI6I2OaoErFrbZEHIadkMq ncEZ5McU2oV3LcfTlvdeCNR4w64SL0M0cq01JVJvsyvL12iFHTkIRAMe fQmTug ==
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 35505 dhs.gov. r/nZTNnJwYa0OijRKkRrpAcWjYGUnclIDa/zgV0IF1jeDm3acztxXyW3 HwmyZqqdF6i0kOsHOCQDaLTALow0OD8n0pJnICHji4L7PMYbo8HII8AG xpvsrGa2RcowKJmWfukoXUzxFDVvJF3eou + ObJBdpXPW1kBeFSDY4Ud / 0yg =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 50970 dhs.gov. UNDgPSVIg2iHJI3Up26xYfNF2S2Z6cxvKY79btL7W5iJ41jdm9XQl5g3 1uk/v/jL5 + + O9FipHy9e/th8 QpT8js3namWRvomZMbV2Auhl7u8bkw6T 6UYMwCzo5mM2n9aRKL6CIp6E5iZqUITqMwcx8NOYXiHo/bo9vCaaON/V 7C4 =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 55984 dhs.gov. dhQxhmXXejyIrZ2dk8T3phdJg2jQGvnEaibKeV3Q + kAB10rw7PiL03S0 F5Fg5MicoH3g8GLj4TfcF1AUOkwNJmY9/UmnqXOr1KeYLqWPvtBckSMO 6VG9S6flI/STH0w0aJ6HuOfbdX0/QmmYYf841sGpeERiWbqD/56/Z5KO A7b8Q4vW87HkLktveakHiRsUOQse0PGZ08R9CeLuWKyzGhNS2pO6Vebi 7h2NNMaMMJMmBgbOdc7RsGFJstkTQfICvOJateGkx5V161v/YpSs2iAk hFQk/VCIFqGcQI0jhBVTkF7 + FE0N6S 1 E5LXVGj4vKsgwbXYiCQZ + Hbd u6N + iQ ==
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdr5ZcOawyjc0khJmGCs3zuAXF9dkMIvbO/Td9hCNeRt4GDnfBCR IVnv9DPjMk1N8659bNxnu23n5c2lQWkqRoV9kg3f0GA + Ebw4oFbug0KI 32785v1DIl4i + + TGrPp7u64PIbablgilzkmH2NXH qLJLyzfm3A8fUW56 Nu2bjF67
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAdCPBJACeS7 + jhZV2p76YkyjtnL/395HFQLGoZhCSTmcjFbxZc4Y ZP9428VwE6ZjSi0m0UhWPqtRIpgIHP0mbWGfVz/OLDiI4bt3sHYmNjT1 bY9xxkUQEbfSTIaWgW7U6q7QjPVJ3lH3suT0kC70snNdWmWLkIbo74P4 SbxCXIzBYU + D/hfhC3pyFl63U8JFlWTBOi1hNmh0dXycUlRTkkxFv4V2 3okFI1 + kpFZFZ5O + + IJNzhuLPYpabFkpm5p0PvKN9 RZE/kKacrb372i7 NXQeU0LFEUmBBFHbOX5wI8pwEo1pXVwGVTgbmDX/QikbKvjMBiEHEz1M pccFjQ3qfis =
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAe2TaoLtHepWJ4MrICWbyzuipCC2Rit/F3ngUyTFF/tcmZfSjv7j DzACk78iG91unXqqZefS + + wqYoNBahITzuduzax j5QEPE9l2O4OyldT / lhPIcFmxe5n + H7BFuElwbRqmq1CF/Gq6auNaAlDTQSw35EQpJVrMw5o3 oXQtC + Fs7zDzvrMY + + I4Kd87Mg5aAp83c/Ju6QiRGMb5l3maLg ofbdTN KAYVEfPPqUxlYjpa + UDyjuEB1EeKcnpw4H02PHPZNN1k6GCTjkkjUvqS T + EEtpb / nWdJUf + t2xqnY6TzUgMtrAD2ryV8x2keSdShCNKp9QAjRmHB n5CBN15htQc =
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdqX4Bc6MQUoLVLjg5ZdPiJvRzgAfw1h3Rjdm8c67E8h0uegaeJC jR1piVN/yXIAksqMOsd4ExtQCcbAmc1p + yDdL/VIr9B8FDpCply3J/z5 7x2NMDqrtNwgrxmwETEvQtdUHVDs/bq6ntbuiedO4RM9D2smgOCfamf / kll4nKCj
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 35505 dhs.gov. hx8ipwMvRF2Rzi7E3HGVMPEffuq4W + U3Y8Dhw0kJ 3 vNpDCikWPbPcCh kQKVvJyIEwdcbubkedIul8bcO5/STnAyN + l61qGT/AOhFvTCBSVr7evf F0zdVU2W2DbSnivF3BR5GAjqm6lXL/mowiCjRq7KcCaofwWnlZujmwQS oso =
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 50970 dhs.gov. XdgjtPV4 11 HJVNkSSzblg/6rKaou7gmaCm3 + NW1aUhRM/eA9a0v/RUd 2KcznCghAPu4jcePMqs 4 BoqQbGVF5C7CZvZBizXQNBwOvM1i8iJlmJy R/GrnEX8w8uQ4CQyP5zqLcDCgpZhso/r7cSoF2wy6vH + mvSj2Um7UASv T5Y =
dhs.gov. 28800 IN MX 10 mail.us.messaging.microsoft.com.
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 35505 dhs.gov. yYbMLFPwR1TvX4sR8 + + DXNB8m25rKuH6ULZtnh4dBiVcHc5fwflTXIHqR KLOM77uPV0g2O4tLDxHZeCCxCO5qRlGPy1HMA6jxsM121xZyV6L8GcU egTr/G6G51GA0gK0/For8rScN33pPSn1f + 1 F5GkFORPIIwgq + qqBhnh ACU =
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 50970 dhs.gov. Es4oH8nJVt9IrM64FAeW6wmzNGvTUQpEFttwKOaCU1jicX70fkkWp8xM 3jJ90KBdaYV8wc5SYqnm3Dvdv0N6h6Zp7V + zZgAWYtxG0L25q05jmcZ7 KrVNVegupNSFRjlXx/I4bGjXDMGSUwCVvUJOxrDIdKDSqtl8ljjnfVjC Nx0 =
dhs.gov. 28800 IN SOA ns5.dhs.gov. dnssec1net.cbp.dhs.gov. 2008084610 10800 1080 604800 900
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 35505 dhs.gov. b4j8L1J8E4esATBT2naapjrSzAU1nYDfvI6GYCsMuLJf/dgI/s1tRnpA PZprb6Ia0XapPya8bFunq2oA0MNCmL1fYsvH05tSiSadRkdR765aFfV1 qEsa9UPK96uzYFuAen16tD4XjtaVpVBhKbnWW/eFMX4E9Ue1R8YAm4aj IKA =
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 50970 dhs.gov. NDN1xTmjgBvlwZsdUhzUgbAfsKqJsqoxjcKDV9msPt/W1MpTnRYpHAvu gGODPKD8P7/hkxMsO2nHkvTp0G0fz3et5lLfXLMpJLwu + s / fbKNl 9 Lh QxAFGa1PbyLh5R/etvxS3kqr6XJqZOWxEFaEuKsv8Q1qu3fNi3J/CAYB gqg =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 35505 dhs.gov. yt + pKyKjeLs5KCiMXPIPXbjHKzXwmZ2aZAAjAZeSdiGitZJBioIrIDER ozRW5H1o4Bt1RL3b3CS4fSBb8A8Ip5iqXKISWlKkCnbzag/Qwokf3ao9 e3pi41sRgjiPyYojCh4 + + xvgC5GUP5YxXI iqdpSp7nyoJGHPQ7K4mwXY INW =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 50970 dhs.gov. itIc6xp9Bi0JNqMRFwJKwTUzWdEOJM9JfKRima/pHzebqytyYoHjgWdO eJsbx0CpOunBJv1mbQMA5kD19JrriTIkryrgNuotHswJFWsLC6RqiVMj qE1c/LfZqflOsEpI6Bd4VdhWHe7A96lPxjaK5rTTxUsP2AjpIYrmRki0 1Q8 =
dhs.gov. 900 IN A 173.252.133.166
dhs.gov. 3600 IN RRSIG DS 7 2 3600 20130821100026 20130816100026 58219 gov. KZTyE5CWJARJiY/h2O0y6mH1BzwsuDQUMyzlM3TNA/50iMs9zE1LQhZw kViqgHttxZr + + Ct23FdwStfamCMP9KVCCau2gs xW/6P764GWnzyqcy9R 1KohrdxySvsozG + + + VbiCbkSKZ7 CO8trJHRVFyInC5y4W + vKavpv/m6Q 49RW8VBMUDpPXVxA3ZqaXMrV8A0jSEbMvf 9 Xuzd2KBL7awuL + clIvd4 atcxywlToOrG99VPj9zataYkdB/buYmEI9vT7MW/wYKJOPDdvmMxeLUX g15R8c6CqW45837oGIzV6sPmC9RIMH4sE35q9WVcNY + iO3KV5FhWWLrO qW8c7Q ==
dhs.gov. 3600 IN DS 6340 8 2 28CE7678822B31AA9CCCBF1B27F795BE02BE1355AB6C892C35D11C68 758F75FB
dhs.gov. 3600 IN DS 55984 8 1 79494AAC6BA3A4C1A7749E48443D7150477DEE6E
dhs.gov. 3600 IN DS 55984 8 2 5C3A89A0E66C52C15CE4FA578CB5AF390A42A706B02E9F8105558539 F8216C7B
dhs.gov. 3600 IN DS 6340 8 1 FF3933AE3D8FD8C4DF64A203F72B86B668AC3677
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS asia3.akam.net.

; AUTHORITY sekce:
dhs.gov. 28800 IN NS asia3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.

; DALŠÍ SEKCE:
eur2.akam.net. 58651 IN A 2.16.40.64
usc2.akam.net. 90000 IN A 69.31.59.199
use1.akam.net. 86294 IN A 72.246.46.2
use3.akam.net. 90000 IN A 204.2.179.179
usw3.akam.net. 90000 IN A 69.31.59.199
asia2.akam.net. 67094 IN A 195.10.36.47
asia3.akam.net. 12225 IN A 222.122.64.134

; Doba: 2 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:20:58
; MSG SIZE rcvd: 4453

Jak můžete vidět, kováním správné dotaz útočník může způsobit značné škody proti hostiteli, a to i s poměrně skromným botnetu. Další výhodou útoku amplifikační DNS je to, že je prakticky nezjistitelné. Útoky Zdá se, že pochází z DNS serverů po celém internetu, které jsou s největší pravděpodobností nebude přihlášení požadavky - takže tam není ani stopa zpět do botnetu členy, natož náš koktejl milující hacker.

Nejprve navrhoval Paul vixie a Vernon Schryver v dubnu 2012 DNS Hodnotit Réponse Omezení (RRL) je metoda pro zabránění ukládání do mezipaměti serveru byla využívána v útoku Amplification DNS udržuje informace o typech dotazů, které byly provedeny. Takže to nemění povahu DNS namísto samotný server udržuje sleduje typy a počty provedených dotazů a omezuje počet odpovědí, že se vrátí. Doporučuji čtení plnou technickou poznámku pro všechny detaily, ale to scvrkává, že v BIND správce může nyní vytvářet omezení založených na oblastech, jako jsou odpovědí za sekundu, chyby za sekundu, netblocks, na které odpovědi jsou odesílány a další. RRL schopnost je implmented v BIND 9.9.4, doufejme, že ostatní DNS implementace následovat.

ISC , organizace, která udržuje BIND zdrojový kód nabízí bezplatný webinář o tom, jak implementovat DNS rll dne Středa 21 srpen, pokud se chcete dozvědět více o této schopnosti.


Google Malajsie Site unesených
11.10.2013 Hacking | Počítačový útok

Domény Google pro Malajsii byl unesen ve čtvrtek v noci, přesměrování návštěvníků na stránku, která řekl skupina volala Madleets z Pákistánu hrál útok. Doména byla obnovena hned, ale jmenné servery pro doménu se změnila na páru řízené útočníky.

MYNIC, společnost, která spravuje zemi TLD pro Malajsii, potvrdil útok v prohlášení vydaném v pátek ráno s tím, že jeho vnitřní reakce na incidenty tým vyřešil problém během krátké doby se dozvěděl o útoku.

"Můžeme potvrdit, došlo k neoprávněnému přesměrování www.google.com.my a www.google.my na jinou adresu IP ze skupiny, která se nazývá tým MADLEETS," prohlášení říká.

"Problém byl varován v časných ranních hodinách a MYNIC Computer Security Incident Response Team (CSIRT), začal okamžitě problém vyřešit. Doménové jméno www.google.com.my byla obnovena do své správné informace ve 07:10 dnes a www.google.my stále řešení. "

Útok zjeví se byli DNS cache otrava útok, takže spíše než najít normální Google domovskou stránku v Malajsii, návštěvníci byli přesměrováni na stránky hostované v Kanadě. Oba google.com.my a google.my byla unesena během útoku. Integricity, společnost, která spravuje domény Googlu v Malajsii, řekl, že útok trval několik hodin, začíná po půlnoci místního času.

"Těsně po půlnoci dne 11. října 2013 naše FatServers bylo operační středisko oznámeno neoprávněnému aktualizace do jedné z domén, které jsou v naší péči - google.com.my, " prohlášení říká.

"Okamžitě jsme se pokusil přihlásit do MYNIC prodejce systému na kontrolu stavu, ale byl neschopný dělat tak. Servery DNS pro tuto doménu byly změněny, a to způsobilo na adresu URL odkázán na stránku, která zobrazuje stránky byly napadeny hackery. "


Quarian Group Cíle obětem Spearphishing Útoky
9.10.2013 Počítačový útok

Současná generace cílených útoků jsou stále sofistikovanější a vyhýbavá. Tyto útoky zaměstnávají média zdatné příběhy v jejich sociálního inženýrství témat nalákat nic netušící uživatele.
Viděli jsme zvýšenou aktivitu jedné ze skupin, daboval Quarian. To je věřil být zaměření vládních agentur a velvyslanectví po celém světě včetně Spojených států . Quarian je známo, že zaměstnat spearphishing útoky, které používají soubory PDF a DOC soubory jako návnadu.
Existují nejméně tři Exploit-obtěžkané doc soubory v poslední vlny:
Velvyslanectví Indie v Kábulu, telefonní seznam
Chystáte se do postele pozdě dělá ty tlustý
Stíny za syrské otázce
Doc soubory využít dříve známý a oprava zranitelnosti (CVE-2012-0158), v Microsoft Office. Po otevření škodlivý soubor DOC v citlivém prostředí, spadne backdoor složku spolu s návnadou soubor, který v sobě skrývá škodlivý záměr útočníka.
01102013-attacktheme3
Jakmile jste uvnitř sítě, útočníci jsou schopni komunikovat s infikovaný počítač pomocí vzdáleného prostředí shell a provádět příkazy. Malware také podporuje stahování dalších nástrojů, které mohou zvýšit oprávnění nebo provádět interní síťové průzkum. Také implementuje "SLEEP" funkce, která definuje prodlevu před tím, než spojení s řídícím serverem, mechanismus, aby se zabránilo podezření.
Backdoor přijímá několik příkazů z útočníka.

01102013-CC_Flowchart
0X1: Získejte hostitele informační verzi OS, název hostitele, IP adresu, uživatelské jméno
0X2: Výstupní funkce Control Server
0x3: Vypněte klientovi
0x4: Run updater.exe jak aktualizovat backdoor
0x5: Vytvořte položku registru HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
0x6: Remote Shell Používá se interaktivně spouštět příkazy.
0x7: Rozšířená funkce-FindFile, MoveFile, WriteFile, ReadFile, CreateProcess, DeleteFile
0x10: Napište "cf" soubor definovat doba spánku
Máme-li věřit kompilace časové razítko spustitelného záhlaví, byl binární generován na 25. srpna.
01102013-timestamp
Malware implementuje XOR smyčku, která po dešifrování zpřístupňuje ovládací server a jeho domény:
www.keep.ns3.name
andyothers.acmetoy.com
01102013 - olly
Keep.ns3.name rozhodl 216.244.81.141 ( IP info ) v době šetření, ale od té doby byla přijata dolů.
V naší nedávné konferenci FOCUS 2013 jsme oznámili McAfee Threat Defense Advanced (MATD) produktové řady. (MATD integruje Antimalwarový motor, Global Threat Intelligence a brány Antimalwarový motor minimalizovat dopad hrozeb na území síť. MATD má dvě detekční přístupy zaměřenými na chování (dynamické sandboxu) a Statická analýza kódu-odhalit dosud neznámé a dobře zamaskovaný hrozby). Následující obrázek ukazuje MATD správce pohled na chování stop a ASM kód.
01102013-static_dynamic
Zde je náhled na MATD zprávy o výsledku rozboru na tuto hrozbu rodinu. Backdoor složka je klasifikována jako nebezpečný po odpovídající statický kód proti známého škodlivého rodině. Pískoviště hlášeny také podezřelé chování po dynamickém provedení.
01102013-matdreport
McAfee bude nadále sledovat nové a podobné hrozby. Doporučujeme uživatele proti otevření podezřelé e-maily nebo odkazy a vždy přijmout vrstev ochrany pro komplexní ochranu.


Za jihokorejských vládních útoků DDoS

3.10.2013 Počítačový útok | Hacking
BERLIN -V posledních několika letech došlo k sérii DDoS útoky a průniky z vládních sítí v Jižní Koreji, které vedly ke ztrátě nesčetné množství dat. Čtyři útoky nebyly propojeny nebo připsat na stejné útočníky, ale tam jsou některé podobnosti v metodách a výsledcích, výzkumník řekl.

Útočníci na jihokorejských vládních míst a banky sahají alespoň červenci 2009 a vyběhnout po incidentu v červnu tohoto roku. Ne všichni z nich byli destruktivní, ale někteří zaměstnán malware, která zničila hlavní spouštěcí záznam infikovaných počítačů a způsobilo, že nepoužitelný. Jiní byli masivní DDoS útoky namířené proti DNS serverů nebo jednotlivých stránek.

V jednom z útoků v březnu 2011 byl škodlivý kapátko stáhnout do zařízení pomocí drive-by download. To kapátko měl časovanou bombu uvnitř ní, která jí dala pokyn zkontrolovat datum a čas a za předem stanovenou hodinu, stáhne a spustí kus malware. Tento aspekt by pak přepsat MBR infikovaný počítač. Existují dva různé vzorky stěračů malware zapojené do útoku, říká Christy Chung ze společnosti Fortinet, jeden pro počítačích se systémem Windows a další pro Unixových strojích. V obou případech byl vymazán MBR, čímž stroje nepoužitelný.

"Ti dva stěrače mají podobné chování," Chung řekl během rozhovoru na konferenci Virus Bulletin 2013 tady ve čtvrtek. "Po restartování zařízení, znamená to, že operační systém nelze najít, protože MBR byl přepsán."

Útoky, které se objevily na 25. června, 2013, používat jinou taktiku, zaměřují dva jmenné servery používané některými z hlavních jihokorejských vládní webové stránky. V tomto případě, malware, který infikoval počítače používají k útoku na jmenné servery přidané komponenty, které měl klíče registru a vytvořené služby, které umožnily, aby malware přežít restart počítače a zůstanou v systému, Chung řekl. Obě cílové DNS servery byly pevně do malwaru a na předem stanovenou dobu malware zahájila DDoS útok na servery. Účinek jako zničující.

"Mnoho z hlavních korejských vládních místech byly k dispozici na nějakou dobu," řekl Čang.

Ačkoli tam byly některé podobnosti v malware používané v útocích, Chung řekl, že je přesvědčen, že stejné útočníci byli za všechny z nich.

"Nechápu to," řekla.


Na motivy národní stát řízený kybernetických útoků
30. září 2013. Hacking | Počítačový útok | Zabezpečení
FireEye vydala zprávu, která popisuje jedinečné mezinárodní a místní charakteristiky útoku kampaní vedených kybernetických vládami po celém světě.

"Kybernetické zbraně jsou používány jako výhodu v reálném konfliktu," řekl Kenneth Geers, senior analytik celosvětovou hrozbu, FireEye. "Kraje mají vlastní sadu zbraní kybernetických, které se budou používat ke svému prospěchu, pokud jde o konflikt, nebo na pomoc své spojence. Svět je v kybernetické válce s útoky v každém směru a umístění. Cyber ​​záběry jsou vypalovány v době míru pro okamžité geopolitických konce, stejně jako připravit se na možné budoucí kinetických útoků. Vzhledem k tomu, útoky jsou lokalizované a výstřední, chápání geopolitiky každém regionu může pomoci v obraně kybernetické. " "Největší výzvou pro odstrašení, obrana proti, nebo odplata za kybernetických útoků je problém správně určit pachatele. Balistické rakety mají zpáteční adresy, "řekl profesor John Arquilla na Námořní postgraduální škole. "Ale počítačové viry, červy a popření servisních útoků často pocházejí od za závojem anonymity. Nejlepší šance prorazit tento závoj je dodáván s dovedné míchání forenzních "zpět" hackerských technik, s hlubokou znalostí strategických ostatních kultur a jejich geopolitických cílů. " Kybernetické útoky již osvědčily jako low-cost, high-výplatní cestě hájit národní suverenitu a promítat moc státu. Mezi klíčové charakteristiky pro některé regiony patří: . asijsko-tichomořské domovem pro velké a byrokratické hackerské skupiny, jako například "Komentář Crew", který sleduje cíle ve vysokofrekvenční, brute-force útoky. Rusko / Eastern Europe. Tyto kybernetické útoky jsou technicky vyspělejší a vysoce účinné, jak se vyhnout odhalení. Blízký východ. Tyto zločinci jsou dynamické, často používat kreativitu, podvod a sociální inženýrství, aby přimět uživatele k ohrožení své vlastní počítače. Spojené státy. Nejsložitější, cílené, a důsledně navržena cyber . zaútočit kampaně k dnešnímu dni Kromě toho zpráva spekuluje faktory, které by mohly změnit svět v počítačové oblasti bezpečnosti v blízké-až střednědobém horizontu, včetně:

Výpadek národní kritické infrastruktury, která je zničující dost vynutit hrozbou aktéři přehodnotit sílu kybernetických útoků.
Cyber ​​zbraních nemohou zastavit používání kybernetických útoků.
Ochrana osobních údajů obavy z hranolu lze omezit vládou dotovaných kybernetických útoků ve Spojených státech a po celém světě.
Noví aktéři na scéně Cyber, nejvíce pozoruhodně, Brazílie, Polska a Tchaj-wanu.
Větší důraz na rozvoj úniky metody, které obcházejí detekci.
"Kybernetický útok, při pohledu mimo jeho geopolitickém kontextu, umožňuje velmi malý manévrovací prostor pro právní bránící státu," profesor Thomas Wingfield z Marshall Center. "Falešnou vlajkou operace a samotná povaha internetu, aby taktické přiznání ztrácející hra. Nicméně, strategické uveďte autora - fusing všechny zdroje inteligence na potenciální hrozbu - umožňuje mnohem vyšší míru důvěry a více možností pro rozhodovatele. A strategické atribuce začíná a končí geopolitické analýzy. "


Amateur hacker za DDoS na Čínu?
26. září 2013. Počítačový útok | Hacking
Když na konci srpna, byla v Číně Domain Name Service zaměřen mohutným útoku DDoS , které v konečném důsledku vést k mnoha internetových stránkách, že je zcela nedostupné pro dobu, každý chtěl otázky odpověděl byly: kdo to udělal a proč?
Podle nejnovějších informací zveřejnil Wang Minghua, operátor s National Emergency počítačové sítě koordinační středisko v Číně (CNCERT / CC), útok se zdá k byli vázána na jediný, amatérský hacker z Čching-tao v provincii Šan-tung . útok nebyl proveden záměrně, říká, jak se hacker hledal DDoS herní server a má servery útoku vládních omylem. Úřady se podařilo ho vystopovat, protože nasedl útok z jeho vlastní IP adresu. Ale, jak Jižní Morning Čína Post poznámky , je to ještě možné, že podezřelý není skutečný útočník. Ve skutečnosti, ne před dvěma týdny, oficiální prohlášení od orgánů identifikovány útočníci jako skupina hackerů s obchodními zájmy, kteří používají velký botnet připojit útok. Proč ta náhlá změna postoje? To je těžké říct. Ale Shangai bázi kybernetické expert řekl, že měl své pochybnosti o "hacker" osamělého teorie říká, že útok byl prostě příliš drahé, aby zahájila pro náhodné, amatérské hackery.


Icefog APT: Příběh plášť a tři dýky
26.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok

Vznik malých skupin kybernetické žoldáků k dispozici k pronájmu provádět chirurgické operace hit a běh.
Svět pokročilých perzistentních hrozeb (apts) je dobře známá. Kvalifikovaní protivníci kompromisů vysoce postavených oběti a nepozorovaně exfiltrating cenná data v průběhu mnoha let. Tyto týmy někdy počítat desítky nebo dokonce stovky lidí, prochází TB nebo dokonce petabajty exfiltrated dat.

Ačkoli tam byl rostoucí zájem o přičítání a přesné zdroje těchto útoků, ne hodně je známý o nově vznikající trend: menší hit-and-run gangy, které se chystáte po dodavatelském řetězci a ohrožení cílů s chirurgickou přesností.

Od roku 2011 jsme sledovali sérii útoků, které jsme odkaz ohrožení herce s názvem "Icefog". Věříme, že je relativně malá skupina útočníky, kteří se jdou po v dodavatelském řetězci - zaměřit vládní instituce, vojenští dodavatelé, námořní a stavba lodí skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a sdělovací prostředky, zejména v Jižní Korea a Japonsko. To Icefog kampaně spoléhají na zakázku Cyber-špionáže nástrojů pro Microsoft Windows a Apple Mac OS X. útočníků přímo ovládat infikované stroje během útoků, kromě Icefog, všimli jsme si je pomocí jiné škodlivé nástrojů a zadní vrátka pro boční pohyb a Údaje exfiltrace.

Klíčové poznatky o Icefog útoky:

Útočníci se spoléhají na kopí-phishing a využívá k známých zranitelností (např. CVE-2012 až 0158, CVE-2012-1856 CVE-2013 až 0422 a CVE-2012-1723). Návnada dokumenty použité při útocích jsou specifické pro cílový zájem, například útok na mediální společnost v Japonsku používá následující návnadu:

Lure dokument zobrazený na oběti po úspěšném provedení exploitu

Na základě profilů známých cílů, útočníci Zdá se, že zájem těchto oblastech: vojenské, stavby lodí a námořní operace, výzkumné společnosti, telekomunikační operátory, satelitní operátoři, média a televize .
Výzkum ukazuje, že útočníci měli zájem o cílení dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost , lodní společnosti jako DSME Tech, Hanjin Heavy Industries nebo telekomunikační operátoři, jako je Korea Telecom .
Útočníci jsou únosy citlivých dokumentů a plánuje společnost, e-mailových účtů pověření a hesel pro přístup k různým zdrojů uvnitř i vně oběti síti.
Během operace, útočníci se pomocí "Icefog" backdoor sadu (také známý jako "Fucobha"). Kaspersky Lab identifikovány verze Icefog jak pro Microsoft Windows a Mac OS X .
Zatímco ve většině ostatních APT kampaní, oběti zůstává infikovaný po celé měsíce nebo dokonce roky a útočníků jsou průběžně exfiltrating dat Icefog operátoři zpracování oběti rychle a chirurgické způsobem - vyhledávání a kopírování pouze konkrétní a cílené informace. Jakmile je požadovaná informace je získána, ale opustit infekce a jít dál.
Ve většině případů se Icefog operátoři zřejmě již velmi dobře vědí, co je třeba z obětí. Vypadají konkrétní názvy souborů , které jsou označeny a převedeny do C & C.
Kaspersky Lab by rád poděkoval KISA (Korea Internet & Security Agency) a Interpolem za jejich podporu v tomto šetření.

Detailní dotazy na Icefog je k dispozici.

Můžete si přečíst celý náš Icefog zprávu zde:

[Klikněte pro stažení]


NSA vydával službě Google MITM útoky
16. září 2013. Počítačový útok | KyberSecurity
Po všech těch nedávných odhalení o NSA a jejich sledování a šifrování-zmaření aktivit, to by vás překvapí, že agentura nebo její britský protějšek GCHQ také vydával Google, Yahoo a Microsoft při útocích typu man-in-the-Middle zaměřených na zachycení Komunikace s uživateli?

Ryan Gallagher než na břidlicové byl první zprávu o zjevení pro anglicky mluvící veřejnosti kopání do hlášení brazilské televizní show Fantastico, jehož reportéři měli možnost projít souborem dokumentů unikly informátorů NSA Edward Snowdena na Guardian Glenn Greenwald novinář:

Nicméně, v některých případech GCHQ a NSA zřejmě nebere agresivnější a kontroverzní route-na přinejmenším jedna příležitost obcházet potřebu přistupovat přímo společnost Google provedením man-in-the-middle útok na Google vydávat bezpečnostní certifikáty. Jeden dokument vydaný Fantastico, zjevně převzatý z prezentace NSA, která obsahuje také některé GCHQ diapozitivy, popisuje, "jak se to dělá útok" se zřejmě odposlouchávat provozu SSL. Tento dokument ukazuje, s diagramem, jak jedna z agentur, zjeví se naboural do terčem internetového routeru a skrytě přesměrován cílený Google provoz pomocí falešného bezpečnostního certifikátu tak, aby mohl zachytit informace v nešifrované formátu. Dokumenty z GCHQ "sítě vykořisťování" unit přehlídky že pracuje program s názvem "Flying Pig", která byla zahájena v reakci na zvyšující se využívání SSL šifrování e-mailových poskytovatelů, jako je Yahoo, Google a Hotmail. Flying Pig systém vypadá, aby mohla identifikovat informace týkající se použití anonymitu prohlížeče Tor (má možnost dotazovat "Tor událostí"), a umožňuje rovněž vyzvědači shromažďovat informace o konkrétních SSL šifrování certifikátů. GCHQ síť využívání jednotka se může pochlubit v jednom dokumentu, který je schopen shromažďovat provoz nejen z cizí vládě sítě, ale ze strany leteckých společností, energetických společností a finančních organizací, taky.

Ale jak NSA dostat do rukou těchto falešných certifikátů? Známý odborník kryptografie Matthew Green zdůraznil , že NSA mohl snadno dostat svůj podpisový klíč z méně důvěryhodné certifikační autority, s cílem vytvořit a podepsat falešné certifikáty, které budou v MITM útoky. Podle cryptographer Bruce Schneier , jeden z uniklých snímků v prezentaci se zdá naznačovat, že NSA buď popraveni nebo využila nechvalně 2011 DigiNotar porušení , která vyústila ve vydání nepoctivých SSL certifikátů pro velký počet vysoce-profil oblastech, jako je Facebook, Yahoo!, Microsoft, Skype,


NetTraveler Is Back: The 'Red Star' APT se vrací s novým kouskům

3.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok

NetTraveler, které jsme popsali v hloubce v předchozím příspěvku, je APT, aby byly zavirované stovky vysokých profilových obětí ve více než 40 zemích. Známé cíle NetTraveler (také známý jako "Travnet" nebo "Netfile") patří tibetské / ujgurské aktivisty, podniky ropného průmyslu, vědeckých výzkumných center a ústavy, vysoké školy, soukromé společnosti, vlády a vládní instituce, velvyslanectví a vojenských dodavatelů.

V průběhu minulého týdne bylo několik kopí-phishing e-maily odeslané na více Ujgurů aktivistů. Zde je příklad:

Hrubý překlad:

"Mluvčí WUC učinil následující prohlášení o masakru v zemi Karghiliq. K laskavou pozornost každého. "

Obsahuje odkaz na stránku, údajně na World Ujgurů stránkách kongresu. Nicméně, skutečný stránku odkaz vede na známou NetTraveler související doméně "weststock [dot] org".

Zde je obsah stránky přitažené za vlasy z této URL:

Tento jednoduchý HTML načte a spustí Java applet s názvem "new.jar" ( c263b4a505d8dd11ef9d392372767633 ). "New.jar" je exploit pro CVE-2013-2465, velmi nedávné chyba ve verzích Java 5, 6 a 7, která byla stanovena Oracle v červnu 2013. Je detekován a blokován produktů Kaspersky druhově jako "HEUR: Exploit.Java.CVE-2013-2465.gen".

Užitečné zatížení exploitu je soubor s názvem "file.tmp" ( 15e8a1c4d5021e76f933cb1bc895b9c2 ), který je uložen v JAR. Jedná se o klasický NetTraveler backdoor kapátko (produkty Kaspersky zablokovat jako "Trojan-Dropper.Win32.Dorifel.adyb"), který sestavuje na "Pon 30.květen 2013 03:24:13", pokud máme věřit záhlaví PE časové razítko.

Tato varianta NetTraveler připojuje k dříve neznámé velení a řízení serveru při "hxxp :/ / worldmaprsh [dot] com / GZH / nettr / filetransfer [dot] asp", pořádané na IP 198.211.18.93. IP se nachází v USA, u "Multacom Corporation" a jsou použity výhradně hostit tuto C2:

Velení a řízení server je aktivní a provozu v době psaní tohoto blogu, přijímání kradených dat z obětí.

NetTraveler je Zalévání díry útok Kromě spearphishing e-maily, zalévání děr útoky se staly další populární způsob, jak zaútočit na nic netušící oběti, které APT operátorů. Není snad žádným překvapením, že NetTraveler útoky jsou nyní používá tuto metodu. Minulý měsíc jsme zachytili a zablokoval celou řadu infekčních pokusů od známého NetTraveler související domény na "weststock [dot] org". K přesměrování se objevily přijít z jiného Ujgurů související obsah www stránek patřících k "islámské asociace východní Turkestánu":

Rychlý pohled na webu HTML kódu ukazuje injekci iframe společné na nebezpečné webové servery:

HTML stránka, na "weststock [dot] org" odkazuje IFRAME obsahoval další škodlivý aplet s názvem "ie.jar".

Závěry Bezprostředně po ozáření obyvatelstva z NetTraveler operací , útočníci vypnutí všech známých C2S a přesunula na nové servery v Číně, Hongkongu a Tchaj-wanu. Nicméně, oni také pokračovaly útoky bez překážek, stejně jako současný případ ukazuje to.

Použití exploitu Java pro CVE-2013-2465 spolu s zalévání děr útoků je nové, dosud nepoznané vývoj pro skupinu NetTraveler. To má samozřejmě vyšší úspěšnost než dokumenty e-mailové CVE-2012-0158 Exploit sužovaných, což byl oblíbený způsob útoku až do současnosti. Odhadujeme, že novější využije budou integrovány a používány proti skupinových cílů.

Doporučení, jak zůstat v bezpečí z těchto útoků:

* Aktualizace Java na nejnovější verzi, nebo pokud nechcete použít Java, odinstalujte ho. * Aktualizace Microsoft Windows a Microsoft Office na nejnovější verze. * Aktualizace veškeré další software třetích stran, jako je například Adobe Reader. * Používejte bezpečný prohlížeč, jako Google Chrome, který má rychlejší rozvoj a slepování cyklus než Internet Explorer společnosti Microsoft. * Buďte opatrní při klikání na odkazy a otevírání příloh od neznámých osob. Zatím jsme nepozorovali použití na zero-day zranitelností Skupinou NetTraveler; bránit proti těm, ačkoli záplaty nepomohou, technologie, jako AEP (Automatic Exploit Prevention) a DefaultDeny může být docela účinné v boji proti Apts .


Zvýšení škodlivého provozu DNS dotaz

24. července 2013 Hacking | Počítačový útok | Kriminalita

S ohledem na OpUSA hacktivist kampaně Solutionary zjistil, že útočníci odpovědné za předchozí DDoS útoků na finanční sektor zadlužené různé techniky k provedení kampaně, včetně SQL Injection a XSS , kromě DDoS.

73 procent míst napadených během OpUSA byly hostované na serverech Microsoft IIS Web a že 17 procent z těchto platforem v použití se spuštěnou službou IIS verze 5.0 nebo 5.1, které jsou 10 let starší, než aktuální verze služby IIS (7.5) a už ne podporován Microsoft. Tento dohled vlevo jasné a zřejmé, otvory pro útočníky na využití. Za zmínku stojí uvést, že zatímco Spojené státy na špičce seznamu zemí s servery postižených, na 38 procent, pouze Čína stála od zbytku jako cíl této kampaně. PRISM NSA Projekt zpravodajství dominovala od The Guardian poprvé rozbil příběh. Reakce mezi bezpečnostní profesionály , průmyslovými členů a veřejnosti byl smíšený. NSA prohlášení tvrdí, částečně, že PRISM sbírá data přímo ze serverů poskytovatelů služeb v USA, včetně společností Microsoft, Yahoo!, Google, Facebook, AOL, Paltalk, Skype, YouTube a Apple, ovšem v této době, když Solutionary poznamenal, obavy o bezpečnost a soukromí informací, zejména z neamerických organizací, ale nezaznamenali vliv na klientských operací. Solutionary také shrnul výrazný nárůst škodlivých DNS dotazů a DoS činnosti. Opět platí, že USA a Čína jsou dva nejlepší země původu, registrace 57 procent a 30 procent, respektive, následované Francií a Ruskou federací. Zvýšení DDoS útoků je pravděpodobné, předpověď na základě zpravodajských informací získaných od pozorovaného průzkumných a těžebních kampaních soukromé a komerční poskytovatelé hostingu. "Pozorování Výzkumného Engineering Security Team (SERT) během posledních několika měsíců vedly k závěru, že hacktivist útoky jsou na vzestupu a že titulek řízené bezpečnostní obavy může často trvat pozornost od oprav, které mohou zlepšit defenzivní postoje, "řekl Rob Kraus, ředitel výzkumu, SERT. "Bezpečnost a riziko profesionálové čtení této zprávy, zjistíte, že existuje několik jednoduchých kroků, které mohou být lépe bránit proti zjištěným útoky."


DDoS útoky jsou stále větší, silnější a delší
18. července 2013. Počítačový útok | Incidenty
Prolexic technologií oznámeným že průměrná paketů za sekundu (pps) činila 47,4 Mp a průměrná šířka pásma dosáhla 49,24 Gb na základě údajů shromážděných v 2. čtvrtletí 2013 od DDoS útoky zahájených proti své globální klientskou základnu. Tyto metriky, což představuje nárůst o 1655 procent a 925 procent, respektive v porovnání s 2. čtvrtletím 2012.

Po sestupnou tendenci v roce 2011 a část roku 2012, průměrné trvání útoku se zvyšuje, stoupá od 17 hodin v 1. čtvrtletí 2012 a 34,5 hodiny v 1. čtvrtletí 2013 na 38 hodin v tomto čtvrtletí. "útok trvání se může zvýšit, protože pachatelé jsou méně zajímají o detekci a ochraně svých botnetů, "řekl Stuart Scholly, prezident na Prolexic. "Všeobecná dostupnost napadených webových serverů dělá to hodně snadnější pro zlomyslné herci doplnit, růst a přesměrování botnety. Tradičně, botnety byly postaveny z napadených klientů. To vyžaduje šíření škodlivého softwaru přes PC a virových infekcí, a vyžaduje mnoho času a úsilí. V důsledku toho, útočníci chtěli chránit jejich klient na bázi botnetů a byli strašnější detekce, takže jsme viděli útok kratší dobu trvání. " Proti 2. čtvrtletí 2012:
 

33 procent zvýšení celkového počtu útoků DDoS
23 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky
79 procent zvýšení celkového počtu použití (vrstva 7) napadá
123 procentní nárůst v útoku trvání: 38 hodin vs 17 hodin
925 procentní nárůst průměrné šířky pásma
1655 procentní nárůst průměrné paketů za sekundu (pps) sazby.
Ve srovnání s 1. čtvrtletím 2013:
20 procentní nárůst celkového počtu útoků DDoS
17 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky
28 procent zvýšení celkového počtu použití (vrstva 7) napadá
10 procent zvýšení útoku trvání: 38 hodin vs 34,50 hodin
2 procentní nárůst průměrné šířce pásma: 49.24 Gbps vs 48,25 Gbps
46 procent nárůst průměrné paketů za sekundu (pps) sazby
Čína udržuje svou pozici jako hlavní zdrojové země pro DDoS útoků.
Stejně jako v předchozích čtvrtletích, útočníci používají převážně infrastruktury směřovat útoky (Layer 3 a 4. vrstva), což představovalo 74,7 procenta všech útoků, s aplikační vrstvě útoky, které tvoří zbytek. SYN povodně útok typ volby, což představuje téměř třetinu všech útoků. Ve srovnání se stejným čtvrtletím před rokem, celkový počet DDoS útoků vzrostl 33,8 procenta. Kromě toho, celkový počet infrastruktury útoků vzrostl 23,2 procent, přičemž celkový počet aplikačních útoků (vrstva 7) se zvýšil o 79,4 procenta ve srovnání s jedním rokem. Zatímco rozdělení mezi celkovým počtem infrastruktury útoky i aplikační vrstva byla podobná dvě čtvrti, oba typy útoků zvýšil, když byly porovnány dvě čtvrtletí. Průměrný útok trvání značně vzrostly, stoupající od 17 hodin ve 2. čtvrtletí 2012 dosáhnout 38 hodin v tomto čtvrtletí, což představuje nárůst o 124 procent. Ve srovnání s 1. čtvrtletím roku 2013 se celkový počet útoků zvýšil o 20 procent. To odráží trvale vysoký stupeň popření servisního útoku aktivity po celém světě v průběhu posledních šesti měsíců. Celkové počty obou infrastruktury a aplikací útoků zvýšila 1. čtvrtletí 2013 (17,4 procenta a 28,9 procenta v tomto pořadí). Průměrný útok doba pokračoval zaškrtněte nahoru, stoupá z 34,5 hodiny za minulé čtvrtletí na 38 hodin ve 2. čtvrtletí 2013.


Útoky AaaS: Attack as a Service

Různé ilegální služby zahrnují například útoky na zadanou počítačovou infrastrukturu či přímý pronájem nebo koupi botnetů.

Hacking | Počítačový útok

Cloudové služby přinášejí možnost zjednodušit vlastní infrastrukturu a výrazně snížit náklady na její provoz. Tato možnost oslovuje každého, kdo rozhoduje o nějaké společnosti, bez ohledu na její velikost a segment, ve kterém působí.

Platí to i pro svět kriminálních organizací. Některé z nich zcela komercionalizovaly své služby a nabízejí něco, co se zcela vážně dá označit za AaaS, Attack-as-a-Service. Jde různé ilegální služby, například útoky na zadanou počítačovou infrastrukturu či přímý pronájem a koupi botnetů, které „zákazník“ dostane k dispozici a může sám řídit například útoky DDoS na adresy dle vlastní volby.

Posledním příkladem tohoto trendu je čínská skupina, která spustila službu IM DDOS, kde si zájemci mohou logovat a objednávat útoky DDoS. Podle bezpečnostní firmy Damballa využívá IM DDoS poměrně velký botnet, který může být vážnou hrozbou pro každý cíl, snad s výjimkou těch největších a nejodolnějších provozovatelů.

Obsahu webu IM DDoS je k dispozici pouze v mandarinské čínštině, což samo o sobě značně limituje potenciální návštěvníky a zájemce. Provozovatelé (alespoň formálně) tvrdí, že mezi možné cíle patří pouze nelegitimní www servery, jako jsou různé hazardní služby. DDoS útoky na ilegální cíle nejsou zcela běžné, ale dochází k nim. Podle některých spekulací si například filmová studia či jiní majitelé mediálního obsahu občas objednávají útoky na weby, které nelegálně nabízejí jejich majetek. Je to možná metoda, jak přinejmenším dočasně znepřístupnit takovou nabídku.

Jak se zdá, tak pronájem hackera či crackera je poměrně levná záležitost – může to stát méně než večeře v lepší restauraci. Některé weby nabízejí získání e-mailových hesel do 48 hodin za 150 až 400 dolarů. IM DDOS svým zákazníkům vychází vstříc a řadu jednodušších služeb nabízí zdarma v rámci svých „prémiových produktů.“

Zmiňovaný provozovatel AaaS funguje jako regulérní organizace, komunikace se zákazníky zahrnuje SLA (service level agreement), předplatné, množstevní slevy a dokonce i linku technické podpory pro VIP zákazníky. Ta je ovšem anonymní a tajná, podpora většinou probíhá prostřednictvím čínské služby pro instantní komunikaci QQ..

Podle firmy Damballa malware, který buduje botnet používaný organizací IM DDOS, není ničím zvláštní a jeho komunikaci lze poměrně snadno detekovat. a tedy bránit jeho šíření. Nicméně současná velikost – hrubá síla – botnetu je již znepokojivá a může způsobovat problémy i v případě, že jeho další růst bude zastaven.

Trend AaaS představuje vážnou záležitost, která ukazuje, do jaké míry se kriminální podsvětí profesionalizuje a organizuje kolem moderních technologií. Stejně tak je třeba si uvědomit, že v případě Internetu již nejsou různé gangy hrozbou pouze pro své bezprostřední okolí, vliv i těch nejmenších se doslova internacionalizoval a pokud se jim podaří vyvolat explozivní růst nějakého botnetu, mohou ohrozit v podstatě kohokoli a kdekoli.


Útok na klienty českých bank stále pokračuje, varuje CSIRT Národní bezpečnostní tým

Počítačový útok | Incidenty

 CSIRT varoval už minulý týden před spamovou kampaní, pomocí které se počítačoví piráti vydávají za zaměstnance tuzemských bank. Jak se ale nyní zdá, phishingové útoky pokračují i v tomto týdnu, upozornili v pondělí zástupci CSIRTu.

jsme obdrželi další vzorek phishingové zprávy, která cílí na zákazníky GE Money. Tato zpráva byla zaslána během dnešního dopoledne, lze tedy předpokládat, že phishingový útok z konce minulého týdne stále pokračuje,“ podotkl bezpečnostní analytik Pavel Bašta z CSIRTu.

V minulém týdnu se kromě zmiňovaného peněžního ústavu objevily také podvodné zprávy napodobující Českou spořitelnu a Raiffeisen Bank, jak Novinky informovaly.

Podvodná stránka napodobující GE Money Bank FOTO: CSIRT

Zprávy jsou zasílány na náhodné e-mailové adresy a na první pohled skutečně mohou budit dojem, že je jedná o zprávu banky. „V této zprávě se nachází odkaz ‚Přístup k účtu‘, který směřuje na stránky napodobující web banky,“ uvedl Bašta.

Podvodné zprávy jsou na rozdíl od jiných phishingových podvodů psány bez na první pohled viditelných pravopisných chyb. Uživatel ale přesto může odhalit falešnou stránku podle adresního řádku v internetovém prohlížeči. Z něj je na první pohled zřejmé, že se nenachází na legitimním webu banky.

Na podobné e-maily by klienti podle doporučení bank neměli vůbec reagovat.

Podvodná stránka napodobující Raiffeisen Bank


Několik samozřejmostí v boji proti útokům DDoS

Nejsou to jen banky, které nechtějí podlehnout útokům DDoS (distribuované odmítnutí služby). Útočníci jsou zákeřnější a lépe vybavení a je třeba se adekvátně připravovat.

Počítačové útoky | Incidenty

K útokům DDoS dochází v poslední době stále častěji. Jejich obětí jsou nejen zahraniční obři jako Bank of America, ale stále menší regionální cíle, na které prostě došla řada. Není za tím třeba hledat nějakou politickou či komerční motivaci, občas se prostě ocitly v hledáčku někoho, kdo má zrovna pod kontrolou nástroje vhodné pro podobný útok.

Vyvolává to zvýšený zájem o bezpečnostní stránku vlastního IT, ale řada manažerů zodpovědných za bezpečnost se na své pozici nacházejí poprvé, pokud rovnou taková pozice nebyla vytvořena docela nedávno, a zdaleka nemá otěže svého IT pevnou v rukou.

Zamlčování oslabuje obranné linie společnosti
Sdílení informací o proběhlých útocích by mělo být samozřejmostí. Útočníci si své poznatky často vyměňují a obránci by tak měli činit také. Minulým obětím to může pomoci jen při vylepšování jejich zabezpečení, ale naprosto klíčové je to pro oběti probíhajícího útoku, které mohou výrazně lépe reagovat, pokud budou včas vědět, jak útok bude probíhat, z jakých adres IP atd.

Připravte se na nebytnost reakcí v reálném čase
Opět, jak se ukázalo i během útoků na cíle v České republice, je třeba očekávat nejen jejich příchod z několika stran, různými metodami, ale také to, že se jejich taktika bude průběžně měnit. Pachatelé mohou sledovat, jak cíl reaguje, a volit, jak dále postupovat.

Monitorujte své aplikace
Útoky na specifické aplikace nemusí mít tak velký objem paketů, jsou lépe cílené a mnohem méně nápadné. Je vhodné, aby bezpečností nástroje ve vlastním datacentru zvládaly hlubokou inspekci paketů a poskytovaly přehled o tom, co se děje.

Obrana perimetru nestačí
Zkušenosti ukazují, že spoléhat se na klasické bezpečnostní prvky, které se nacházejí ve společnosti, nestačí. Firewally, systémy na detekci průniků, vyvažovače zátěže nebyly v minulosti schopny útoky zablokovat. Podobná zařízení jsou zranitelná stejně jako servery, které mají ochraňovat. Je třeba jít proti proudu dat a útok odrážet u poskytovatele služby či konektivity, který je ke zdroji útoku blíže. Pokud máte gigabitové připojení a snažíte se sami odrazit 10gigabitový útok, jsou vaše šance mizivé.

Připravte se na sekundární útok…
Bez ohledu na nepříjemnosti a viditelnost nemusí být ve skutečnosti útok DDoS vůbec podstatný. Může jít pouze o maskovací manévr, který má odvrátit pozornost od skutečného útoku, který nemá za úkol přímo škodit, ale sbírat cenná data.

A na závěr: vyplatí se obávat se. Nedávné útoky dokazují, že cílem a obětí se může stát skutečně jakákoli společnost, malá či velká.