Update11 31.1.2019

Novinka

PBWCZ.CZ

News - Nové grafické zpracování a rozpracování jednotlivých částí.

Knihovna

Knihy + Přidány nové knihy:

"CYBERSECURITY", JAN KOLOUCH A KOL.Kniha CyberSecurity se primárně věnuje problematice kybernetické bezpečnosti. Prezentovány jsou základní principy, které by každá osoba, která využívá informační a komunikační technologie, měla respektovat a případně si je měla modifikovat v závislosti na činnosti či účelu, za kterým tyto technologie využívá. Zároveň však kniha obsahuje i dílčí výklad některých právních norem, které s problematikou kybernetické bezpečnosti bezprostředně souvisejí. Relativně samostatnou část knihy představuje komentář k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).

CZ.NIC

Stažení
"PERL PRO ZELENÁČE (3. VYDÁNÍ)", PAVEL SATRAPAProgramovací jazyk Perl je silný, elegantní a trochu nebezpečný. Cílem knihy je uvést čtenáře do jeho zajímavého světa. Začíná zlehka od základních konstrukcí a postupně se přes nejcennější klenoty, jako jsou regulární výrazy či asociativní pole, propracuje až k obecnějším tématům. Perl totiž má co nabídnout i pro objektově orientované a funkcionální programování, práci s databázemi nebo aplikace pro web. Text je doprovázen četnými příklady a cvičeními, na kterých si může čtenář prověřit své schopnosti.

CZ.NIC

Stažení

Slovníčky

- Nyní na hlavní stránce.

Report

+ Udělat jednotlivé sekce

Ransom

+ Rozděleny podle roků.

+ Jak útočí - Aktualizováni

Sady exploitůprotecting_against_exploits.pngÚtočníci vyvíjejí takzvané sady exploitů. Tyto sady obsahují předem připravený kód, jenž zneužívá chyby zabezpečení popsané výše, jako je EternalBlue. Tento druh ransomwaru dokáže infikovat jakýkoli síťový počítač se zastaralým softwarem. Jednoho dne zapnete počítač a světe, div se! Všechny vaše soubory jsou uzamčené.
Sociální inženýrstvíanti-phishing_avast.pngDalší druhy malwaru se snaží váš počítač infikovat metodou pokusu a omylu. Útoky využívající sociální inženýrství (nebo phishing) se vás snaží přimět, abyste si ransomware stáhli jako soubor v příloze nebo přes webový odkaz. Tyto útoky obvykle mívají formu e-mailu od zdánlivě spolehlivého odesílatele a v příloze obsahují něco, co na první pohled vypadá jako objednávka, účtenka, faktura či důležité upozornění, případně obsahují podobně se tvářící odkaz. Soubory v příloze mohou vypadat jako soubor PDF či dokument aplikace Excel nebo Word, ale ve skutečnosti se jedná o zamaskované spustitelné soubory. Uživatel si stáhne soubor, klikne na něj a začnou se dít nekalé věci. (Někdy se zpočátku neděje vůbec nic. Určité druhy ransomwaru se totiž v počítači na nějakou dobu ukryjí, aby nebylo možné přesně určit, kdy a jak k nim uživatel přišel.)
Škodlivé reklamymalvertising_ransomware.pngŠkodlivé reklamy, taktéž malvertising, jsou dalším způsobem šíření malwaru – tentokrát prostřednictvím reklamních sítí. Falešné reklamy se mohou zobrazovat dokonce na důvěryhodných webových stránkách. A když na ně uživatel klikne, stáhne si do počítače ransomware.

Phishingové e-maily

Petya, ransomware napadá MBR a šifruje tabulku MFT

Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti.

Protokol vzdálené plochy

Petya, ransomware napadá MBR a šifruje tabulku MFT

Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup.

Drive-By ke stažení z kompromitované webové stránky

Petya, ransomware napadá MBR a šifruje tabulku MFT

Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky.

Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory.

Drive-By ke stažení z kompromitované webové stránky

Petya, ransomware napadá MBR a šifruje tabulku MFT

Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem.

Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno.

+ Techniky - Aktualizováni

Phishingové e-maily

Petya, ransomware napadá MBR a šifruje tabulku MFT

Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti.

Protokol vzdálené plochy

Petya, ransomware napadá MBR a šifruje tabulku MFT

Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup.

Drive-By ke stažení z kompromitované webové stránky

Petya, ransomware napadá MBR a šifruje tabulku MFT

Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky.

Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory.

USB

Petya, ransomware napadá MBR a šifruje tabulku MFT

Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem.

Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno.

Techniky šifrování

Pouze symetrické šifrovací ransomware

Petya, ransomware napadá MBR a šifruje tabulku MFT

Symetrické šifrovací algoritmy, jako je AES, mohou být použity k šifrování souborů s velkou rychlostí. Na tomto přístupu bude ransomware používat pouze tento šifrovací mechanismus. Zašifruje všechny uživatelské soubory algoritmem AES a uloží na disk klíče používané k šifrování každého souboru. Takže když infikovaný vyplácí výkupné, dešifrovací soubor otevře klíčem a začne dešifrovat soubory. Tento naivní přístup umožní výzkumníkům najít tento soubor a protože není šifrovaný, udělejte nějaký nástroj pro dešifrování souborů pomocí klíče.

Klientské asymetrické šifrování

Petya, ransomware napadá MBR a šifruje tabulku MFT

Tímto přístupem bude ransomware generovat pár klíčů RSA, šifrovat všechny soubory veřejným klíčem a odeslat soukromý klíč serveru, který má být uložen. Tato metoda šifrování je poměrně pomalá, šifrování RSA bude trvat dlouhou dobu s velkými soubory a také ransomware musí poslat soukromý klíč na server, v tomto scénáři je infikovaný počítač připojen k internetu a server musí být on-line také. Pokud není některá ze dvou stran spojena, existuje problém. Buď ransomware musí zastavit jeho spuštění nebo bude šifrovat každý soubor veřejným klíčem a odstraní soukromý klíč bez možnosti dešifrování nebo musí uložit soukromý klíčdočasně na disku pro pozdější dešifrování. To není dobré řešení.

Asymetrické šifrování serveru

Petya, ransomware napadá MBR a šifruje tabulku MFT

V tomto schématu server vygeneruje pár klíčů, veřejný klíč bude hardcoded na ransomware a pro každý soubor bude zašifrovat soubor veřejným klíčem serveru a pouze se soukromým klíčem serveru , bude to schopen obnovit soubory, že? Jo, ale je zde logický problém, server pošle klientovi soukromý klíč a dešifruje soubory? Tímto přístupem mohou badatelé získat soukromý klíča šířit se všemi infikovanými, takže s jednou osobou, která zaplatí výkupné, každá infekce dostane své soubory dešifrované. Jiným způsobem, jak dešifrovat, je na infikovaný počítač odeslat na server všechny šifrované soubory, které mají být dešifrovány, jsou pomalé a neaktivní odesílání velkých šifrovaných souborů přes internet. Ať tak či onak, je to nepraktické.

Serverové a klientské asymetrické šifrování + symetrické šifrování

Petya, ransomware napadá MBR a šifruje tabulku MFT

Tato schéma je v současné době používána většinou ransomware, je to hybridní, protože používá jak symetrické, tak asymetrické šifrování a není potřeba připojení k internetu při šifrování pouze v dešifrování. Pomocí tohoto schématu vygeneruje ransomware i server svůj pár klíčů RSA. Budeme volat klienta klíče jako: Cpub.key pro klientské veřejným klíčem a Cpriv.key pro veřejný klíč Client , Spub.key pro server veřejný klíč a Spriv.key pro privátní klíč serveru . Zde je návod, jak to funguje: Pro každou infekci bude ransomware v pořádku generovat Cpub.key a Cpriv.key a také ransomware bude mít hardwarový kód Spub.key . Bude šifrovat Cpriv.key s Spub.key. Začne se rutina šifrování souborů, soubory budou zašifrovány s AES, po dokončení budou všechny klíče AES šifrovány pomocí Cpub.key.

+ Video -

+ Vývoj - Jak se vyvíjel čas ransomwaru

BotNet

+  Nová sekce obsahuje info o botnetech.

Zabezpečení

Druhy zabezpečení - Reverzní inženýrství

Prostředí a architektura

Zaměřena výhradně na 32bitové prostředí systému Windows XP podporující architekturu IA-321. Tato platforma a architektura je v dnešní době nejrozšířenější, je pro ni široké spektrum softwaru a také nástroj °u pro reverzní inženýrství.

Základní konstrukce v assembleru

Příklady jsou naprogramovány v jazyce C, přeloženy pomocí vývojového prostředí Microsoft Visual Studio .NET 2003 a výsledné programy disassemblované programem IDA Pro. V příkladech jsou pro zjednodušení a zpřehlednění uvedeny pouze relevantní části kódu v assembleru, kódy v jazyku C jsou uvedeny kompletní.

Ochrana proti reverznímu inženýrství

Jedná se o složitou problematiku, které se nelze v této práci věnovat z důvodu omezeného rozsahu. Ochrany a metody jejich obcházení se neustále mění, i když principy zustávají podobné. Na ochranu program°u existuje velké množství specializovaného softwaru a velké množství volně dostupného materiálu, ovšem tématem práce jsou základy reverzního inženýrství, ne obrana proti němu. Proto bude uveden pouze základní přehled problematiky ochrany.

Analýza malwaru

Analýza malwaru je jedním ze zásadních využití reverzního inženýrství. Společnosti zabývající se bojem proti malwaru většinou neanalyzují zlomyslné programy dopodrobna. Vzhledem k množství malwaru to ani není možné. Cílem jejich práce je ověření, zda se doopravdy jedná o malware, a nalezení jednoznačného otisku takového programu. Jednoznačný otisk bývá hash dostatečné velkého bloku kódu (popřípadě dat). Viry s tímto typem detekce často počítají a snaží se měnit svoji strukturu za běhu, aby je antivirový software nemohl detekovat. Proti takovým vir °um existuje také obrana

 

Změna

Database - Phishing - Nové grafické zpracování.

Několik změn

Oprava

Několik oprav

Aktualizace

Exploit
-Aktualizace
DoS&PoC