1. Emotet zaprasza Ci\u0119 na \u201ez\u0142o\u015bliwe\u201d przyj\u0119cie \u015bwi\u0105teczne<\/strong> <\/h2>\n\n\nZbli\u017caj\u0105 si\u0119 \u015bwi\u0119ta. Z g\u0142o\u015bnik\u00f3w wydobywa si\u0119 \u201eLast Christmas\u201d George’a Michael’a, sklepowe witryny przyci\u0105gaj\u0105 uwag\u0119 pi\u0119knym wygl\u0105dem. Tymczasem przest\u0119pcy maj\u0105 nadziej\u0119, \u017ce zatracimy si\u0119 w ca\u0142ym tym przed\u015bwi\u0105tecznym szale\u0144stwie i du\u017co \u0142atwiej padniemy ofiar\u0105 ich dzia\u0142a\u0144.<\/p>\n\n\n\n
Z pewno\u015bci\u0105 wielu t\u0119 strategi\u0119 wypr\u00f3bowa\u0142o. Jednak ma\u0142o kto jest w stanie przeprowadzi\u0107 kampani\u0119 malspam, jak grupa odpowiedzialna za trojana Emotet. Tym razem przest\u0119pcy przygotowali wiadomo\u015b\u0107 udaj\u0105c\u0105 zaproszenie na przyj\u0119cie \u015bwi\u0105teczne. Warto doda\u0107, \u017ce zosta\u0142a one bardzo zgrabnie napisana. Zaczynaj\u0105c od dobrze wybranego tytu\u0142u – \u201ePrzyj\u0119cie \u015bwi\u0105teczne<\/em>\u201d \u2013 informacji o zbi\u00f3rce na choink\u0119, a ko\u0144cz\u0105c na \u017cartobliwym wymogu ubrania si\u0119 w mo\u017cliwie najbrzydszy \u015bwi\u0105teczny sweter. Mail posiada tak\u017ce za\u0142\u0105cznik \u201e\u015awi\u0105teczne menu.doc\u201d. Jego otwarcie i w\u0142\u0105czenie edytowania inicjuje uruchomienie z\u0142o\u015bliwych makr, kt\u00f3re z kolei instaluj\u0105 na urz\u0105dzaniu Emotet. Co dzieje si\u0119 w dalszych krokach? Komputer ofiary pos\u0142u\u017cy oczywi\u015bcie do rozsy\u0142ania dalszego spamu. Jednak poza tym na urz\u0105dzeniu zostanie zainstalowany TrickBot, kt\u00f3rego rola jest bardzo prosta \u2013 wykrada dane. Nale\u017cy si\u0119 tak\u017ce liczy\u0107 z faktem, \u017ce w ostatnim etapie infekcji przest\u0119pcy wpuszcz\u0105 na urz\u0105dzenie jeszcze ransomware.<\/p>\n\n\n\nJedn\u0105 z ostatnich ofiar Emotet jest… Frankfurt. Tak, chodzi dok\u0142adnie o jedno z najwi\u0119kszych centr\u00f3w finansowych na \u015bwiecie i siedzib\u0119 Europejskiego Banku Centralnego. Aby usun\u0105\u0107 zagro\u017cenie i zapobiec mo\u017cliwemu atakowi ransomware, miasto zdecydowa\u0142o si\u0119 wy\u0142\u0105czy\u0107 sie\u0107 IT. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: <\/strong>1<\/a> | 2<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Z\u0142ota Malina w kategorii Najgorsze has\u0142o roku 2019 trafia do\u2026<\/strong> <\/h2>\n\n\nCo mo\u017cna zrobi\u0107, je\u015bli dysponuje si\u0119 \u201elist\u0105\u201d 500 mln hase\u0142 pochodz\u0105cych z r\u00f3\u017cnych wyciek\u00f3w jakie mia\u0142y miejsce w bie\u017c\u0105cym roku? Mo\u017cna na przyk\u0142ad w ramach podsumowa\u0144 przygotowa\u0107 list\u0119 200 najpopularniejszych hase\u0142 (proponujemy z niej jednak nie korzysta\u0107).<\/p>\n\n\n\n
S\u0142abe has\u0142a, kt\u00f3re \u0142atwo zapami\u0119ta\u0107, do tego wykorzystywane w wielu us\u0142ugach online – to recepta na katastrof\u0119. Po raz kolejny to w\u0142a\u015bnie z\u0142e nawyki samych u\u017cytkownik\u00f3w, nara\u017caj\u0105 ich na przej\u0119cie konta lub utrat\u0119 danych.<\/p>\n\n\n\n
Wyniki s\u0105 bardzo zbli\u017cone do tych, kt\u00f3re w ostatnich latach publikowa\u0142o SplashData. Poni\u017cej publikujemy Top25 z 200 najpopularniejszych i najniebezpieczniejszych hase\u0142 2019:<\/p>\n\n\n\n
12345, 123456, 123456789, test1, password, 12345678, zinch, g_czechout, asdf, qwerty, 1234567890, 1234567, Aa123456., Iloveyou, 1234, abc123, 111111, 123123, dubsmash, test, princess, qwertyuiop, sunshine, BvtTest123, 11111.<\/p>\n\n\n\n
Prze\u0142om roku to tak\u017ce okres stawiania sobie nowych cel\u00f3w i noworocznych postanowie\u0144. Mo\u017ce wi\u0119c w ramach rachunku sumienia warto zmieni\u0107 podej\u015bcie do cyberbezpiecze\u0144stwa? Nie masz pomys\u0142u na w\u0142asne to-do-list? Przygotowali\u015bmy je za ciebie:<\/p>\n\n\n\n
- Wykasuj konta w serwisach i portalach z kt\u00f3rych ju\u017c si\u0119 nie korzystasz. <\/li>
- Sprawd\u017a za pomoc\u0105 haveibeenpawned.com, czy Tw\u00f3j adres e-mail nie kr\u0105\u017cy ju\u017c po internecie. <\/li>
- Zmie\u0144 wszystkie swoje has\u0142a \u2013 postaraj si\u0119, \u017ceby ka\u017cda us\u0142uga posiada\u0142a unikalne i silne has\u0142o logowania.<\/li>
- Zacznij korzysta\u0107 z 2FA.<\/li>
- Zacznij korzysta\u0107 z password managera. <\/li><\/ul>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Zeppelin, czyli nowy ransomware na wynajem<\/strong> <\/h2>\n\n\nPierwsze pr\u00f3bki nowego ransomware pojawi\u0142y si\u0119 okolicy 6 listopada. Przest\u0119pcy obrali sobie za cel specjalnie wyselekcjonowane firmy z sektor\u00f3w IT oraz medycznego z Europy i USA. Binaria Zeppelina zaprojektowano w taki spos\u00f3b, aby zagro\u017cenie zaprzesta\u0142o dzia\u0142a\u0144 je\u015bli urz\u0105dzenie znajduje si\u0119 na terenie Rosji lub kraj\u00f3w wchodz\u0105cych w sk\u0142ad dawnego ZSSR.<\/p>\n\n\n\n
Pocz\u0105tkowo specjali\u015bci nie byli pewni w jaki spos\u00f3b nowy ransowmare jest dok\u0142adnie dystrybuowany. Podejrzewano wykorzystanie rozwi\u0105za\u0144 typu remote control. Dzi\u015b ju\u017c mamy tego potwierdzenie. Atakuj\u0105cy pos\u0142uguj\u0105 si\u0119 m.in. MSC ScreenConnect (obecnie ConnectWise Control).<\/p>\n\n\n\n
ConnectWise Control to oprogramowanie do zdalnego zarz\u0105dzania. Jest ono powszechnie u\u017cywane przez MSP i specjalist\u00f3w IT w celu wykonania zdalnego po\u0142\u0105czenia z komputerem klienta. Atakuj\u0105cy instaluj\u0105 na zainfekowanej stacji roboczej klienta ScreenConnect. Po jej zako\u0144czeniu uruchamia si\u0119 us\u0142uga ScreenConnect.ClientService.exe, kt\u00f3ra przez ca\u0142y czas pracuje w tle oczekuj\u0105c na zdalne po\u0142\u0105czenie. Z pomoc\u0105 ScreenConnect hackerzy s\u0105 w stanie eksfiltrowa\u0107 dane z kopii zapasowych, pobra\u0107 malware oraz dodatkowe narz\u0119dzi typu post-exploitation, a tak\u017ce zainstalowa\u0107 trojana, kt\u00f3ry umo\u017cliwia kradzie\u017c danych. Dopiero na sam koniec przest\u0119pcy wpuszczaj\u0105 do firmowej sieci Zeppelin\u2019a.<\/p>\n\n\n\n
Szczeg\u00f3lnie interesuj\u0105cy wydaje si\u0119 fakt, \u017ce to w\u0142a\u015bnie atakuj\u0105cy wdro\u017cyli na przej\u0119tych urz\u0105dzeniach oprogramowanie ScreenConnect. Zazwyczaj w takich sytuacjach mamy do czynienia ze zhackowaniem service provider\u2019a i dopiero na dalszym etapie zainfekowania jego klient\u00f3w.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: <\/strong>1<\/a> <\/a>| 2<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. B\u0142\u0105d routera TP-Link umo\u017cliwia atakuj\u0105cym logowanie si\u0119 bez has\u0142a<\/strong> <\/h2>\n\n\nTP-Link za\u0142ata\u0142 krytyczn\u0105 luk\u0119 (CVE-2019-7405) wp\u0142ywaj\u0105c\u0105 na niekt\u00f3re routery Archer. Mog\u0142aby umo\u017cliwi\u0107 atakuj\u0105cym uniewa\u017cnienie hase\u0142 administratora, zdalne przej\u0119cie kontroli nad konfiguracj\u0105 routera za po\u015brednictwem Telnet w sieci lokalnej (LAN) oraz po\u0142\u0105czy\u0107 si\u0119 z serwerem FTP przez serwer LAN i sie\u0107 WAN. <\/p>\n\n\n\n
Niewa\u017cne has\u0142o. <\/strong>Aby wykorzysta\u0107 t\u0119 luk\u0119, atakuj\u0105cy musz\u0105 wys\u0142a\u0107 \u017c\u0105danie HTTP zawieraj\u0105ce ci\u0105g znak\u00f3w d\u0142u\u017cszy ni\u017c dozwolona liczba bajt\u00f3w, w wyniku czego has\u0142o u\u017cytkownika jest ca\u0142kowicie uniewa\u017cnione i zast\u0105pione pust\u0105 warto\u015bci\u0105.<\/p>\n\n\n\nCo ciekawe, dzia\u0142a to pomimo weryfikacji poprawno\u015bci, poniewa\u017c sprawdzane s\u0105 wy\u0142\u0105cznie nag\u0142\u00f3wki HTTP strony odsy\u0142aj\u0105cej. Pozwala to atakuj\u0105cemu oszuka\u0107 us\u0142ug\u0119 httpd routera i u\u017cy\u0107 zakodowan\u0105 warto\u015b\u0107 tplinkwifi.net., aby \u017c\u0105danie zosta\u0142o rozpoznane jako prawid\u0142owe.<\/p>\n\n\n\n
Poniewa\u017c jedynym typem u\u017cytkownik\u00f3w na tych routerach jest administrator z pe\u0142nymi uprawnieniami, omini\u0119cie procesu uwierzytelniania automatycznie daje przest\u0119pcom dost\u0119p do jego uprawnie\u0144 oraz mo\u017cliwo\u015b\u0107 przej\u0119cia urz\u0105dzenia. <\/p>\n\n\n\n
Pierwotni u\u017cytkownicy mog\u0105 zosta\u0107 zablokowani i nie b\u0119d\u0105 mogli d\u0142u\u017cej logowa\u0107 si\u0119 do swoich us\u0142ug przez interface poniewa\u017c strona nie b\u0119dzie akceptowa\u0142a \u017cadnych hase\u0142 (o czym u\u017cytkownik nie b\u0119dzie wiedzia\u0142). W takim przypadku ofiara mo\u017ce utraci\u0107 dost\u0119p do konsoli, a nawet pow\u0142oki, a tym samym nie b\u0119dzie w stanie przywr\u00f3ci\u0107 nowego has\u0142a. <\/p>\n\n\n\n
Co gorsza, nawet je\u015bli w\u0142a\u015bciciel routera ustawi nowe has\u0142o na urz\u0105dzeniu, osoby atakuj\u0105ce mog\u0105 ponownie uniewa\u017cni\u0107 je innym \u017c\u0105daniem LAN \/ WAN \/ CGI, pozostawiaj\u0105c po\u0142\u0105czenia USB z wbudowanym serwerem FTP jako jedyny spos\u00f3b dost\u0119pu. Klucze szyfrowania RSA r\u00f3wnie\u017c automatycznie zawiod\u0105, poniewa\u017c nie b\u0119d\u0105 dzia\u0142a\u0107 z pustymi has\u0142ami.<\/p>\n\n\n\n
TP-Link wyda\u0142 ju\u017c \u0142atki, kt\u00f3re pomagaj\u0105 klientom chroni\u0107 ich routery przed atakami z wykorzystaniem tej luki. Zalecamy piln\u0105 aktualizacj\u0119 router\u00f3w. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n5. Dane 267 mln u\u017cytkownik\u00f3w Facebooka dost\u0119pne dla ka\u017cdego<\/strong> <\/h2>\n\n\nFacebook czy Intel – ci\u0119\u017cko powiedzie\u0107 kt\u00f3ra z tych firm zaliczy\u0142a wi\u0119cej cyber-wpadek. W tym tygodniu badacz bezpiecze\u0144stwa Bob Diachenko wraz z firm\u0105 Comparitech ujawnili wyciek danych ponad 267 milion\u00f3w u\u017cytkownik\u00f3w Facebooka – numer\u00f3w telefon\u00f3w, nazwisk i profili spo\u0142eczno\u015bciowych. Baza, w kt\u00f3rej by\u0142y przechowywane dane by\u0142a dost\u0119pna na forum przez oko\u0142o dwa tygodnie. Co wi\u0119cej nie by\u0142a chroniona has\u0142em.<\/p>\n\n\n\n
Badacze nie s\u0105 pewni, w jaki spos\u00f3b powsta\u0142a ta baza. Mog\u0142a zosta\u0107 nielegalnie skompilowana za pomoc\u0105 procesu zwanego scrapingiem, w kt\u00f3rym publicznie dost\u0119pne informacje s\u0105 automatycznie kopiowane z internetu – w tym przypadku z profili na Facebooku. Mog\u0142o to r\u00f3wnie\u017c wynika\u0107 z nadu\u017cycia interfejsu API Facebooka. Ten jednak przesta\u0142 zapewnia\u0107 dost\u0119p do numer\u00f3w telefon\u00f3w przed 2018 rokiem. Podejrzewa si\u0119, \u017ce baza mog\u0142a powsta\u0107 przed tym momentem. <\/p>\n\n\n\n
Za operacj\u0105 sta\u0142a najprawdopodobniej organizacja przest\u0119pcza z Wietnamu. <\/p>\n\n\n\n
Zagro\u017cenie? <\/strong>Ujawnione dane mog\u0105 zosta\u0107 wykorzystane przez podmioty atakuj\u0105ce do prowadzenia spamu i kampanii phishingowych na du\u017c\u0105 skal\u0119.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\nTeraz przechodzimy do tematu zamykaj\u0105cego ostatnie wydanie Centrum Bezpiecze\u0144stwa w roku 2019 – steganografia. <\/p>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n6. Botnet kopi\u0105cy kryptowaluty ukrywa z\u0142o\u015bliwy plik EXE w zdj\u0119ciu Taylor Swift<\/strong> (steganografia)<\/h2>\n\n\nOperatorzy botnetu MyKingz (Smominru\/DarkCloud\/Hexmen) kopi\u0105cego kryptowaluty u\u017cyli zdj\u0119cia piosenkarki pop, Taylor Swift, aby ukry\u0107 \u0142adunki z\u0142o\u015bliwego oprogramowania wysy\u0142ane na zainfekowane komputery. <\/p>\n\n\n\n
MyKingz<\/strong> (Smominru, DarkCloud lub Hexmen) zosta\u0142 po raz pierwszy zauwa\u017cony pod koniec 2017 roku. Od tego czasu jest przyk\u0142adem jednego z najbardziej gro\u017anych botnet\u00f3w do kopania kryptowalut na rynku. Posiada jeden z bardziej zr\u00f3\u017cnicowanych mechanizm\u00f3w skanowania i infekcji oraz jest wysoce stargetowany – od MySQL do MS-SQL, od Telnetu do SSH, od RDP do rzadszych IPC czy WMI. <\/p>\n\n\n\nPrzez to te\u017c niezwykle szybki. W pierwszych miesi\u0105cach zainfekowa\u0142 ponad 0,5 mln system\u00f3w Windows zarabiaj\u0105c r\u00f3wnowarto\u015b\u0107 2,3 mln dolar\u00f3w w Monero (XMR). Szacuje si\u0119, \u017ce infekuje 4700 nowych system\u00f3w dziennie. <\/p>\n\n\n\n
W tym miesi\u0105cu Sophos odkry\u0142 najnowszy modus operandi tego botnetu. Nie jest to jaka\u015b radykalna zmiana, ale warto jej si\u0119 przyjrze\u0107.<\/p>\n\n\n
Steganografia w r\u0119kach przest\u0119pc\u00f3w<\/h6>\n\n\n
Wed\u0142ug Sophos, grupa od MyKingz eksperymentuje teraz ze steganografi\u0105 (pisali\u015bmy o tej technice np tutaj<\/a> lub tutaj<\/a>), kt\u00f3ra pozwala jej ukrywa\u0107 z\u0142o\u015bliwe \u0142adunki w legalnych plikach. W tym przypadku z\u0142o\u015bliwy plik EXE zosta\u0142 umieszony w obrazie JPEG piosenkarki pop, Taylor Swift. Celem tej techniki jest oszukanie oprogramowania zabezpieczaj\u0105cego dzia\u0142aj\u0105cego w firmowych sieciach, kt\u00f3re ma my\u015ble\u0107, \u017ce pobiera niegro\u017any plik JPEG, podczas gdy za nim kryje si\u0119 z\u0142o\u015bliwy EXE. <\/p>\n\n\n\n![\"Steganografia](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/12\/myk-jpeg-faux-768.png\")
\u0179r\u00f3d\u0142o: Sophos Labs<\/a>.<\/figcaption><\/figure><\/div>\n\n\n\nTo nie pierwszy raz, kiedy steganografia jest broni\u0105 w r\u0119kach przest\u0119pc\u00f3w. W ubieg\u0142ym roku wykorzystano zdj\u0119cie aktorki Scarlett Johansson do wdro\u017cenia z\u0142o\u015bliwego oprogramowania na zhakowanych bazach danych PostgreSQL. Przest\u0119pcy nie ograniczaj\u0105 si\u0119 jednak wy\u0142\u0105cznie do zdj\u0119\u0107. Eksperymentuj\u0105 r\u00f3wnie\u017c z innymi formatami plik\u00f3w, m.in. audio WAV. <\/p>\n\n\n
Steganografia w Centrum Bezpiecze\u0144stwa<\/h6>\n\n\n
artyku\u0142 #1<\/a> | artyku\u0142 #2<\/a> | artyku\u0142 #3<\/a> | artyku\u0142 #4<\/a> | artyku\u0142 #5<\/a><\/p>\n\n\n\n
Jedn\u0105 z ostatnich ofiar Emotet jest… Frankfurt. Tak, chodzi dok\u0142adnie o jedno z najwi\u0119kszych centr\u00f3w finansowych na \u015bwiecie i siedzib\u0119 Europejskiego Banku Centralnego. Aby usun\u0105\u0107 zagro\u017cenie i zapobiec mo\u017cliwemu atakowi ransomware, miasto zdecydowa\u0142o si\u0119 wy\u0142\u0105czy\u0107 sie\u0107 IT. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: <\/strong>1<\/a> | 2<\/a><\/p>\n\n\n\n Co mo\u017cna zrobi\u0107, je\u015bli dysponuje si\u0119 \u201elist\u0105\u201d 500 mln hase\u0142 pochodz\u0105cych z r\u00f3\u017cnych wyciek\u00f3w jakie mia\u0142y miejsce w bie\u017c\u0105cym roku? Mo\u017cna na przyk\u0142ad w ramach podsumowa\u0144 przygotowa\u0107 list\u0119 200 najpopularniejszych hase\u0142 (proponujemy z niej jednak nie korzysta\u0107).<\/p>\n\n\n\n S\u0142abe has\u0142a, kt\u00f3re \u0142atwo zapami\u0119ta\u0107, do tego wykorzystywane w wielu us\u0142ugach online – to recepta na katastrof\u0119. Po raz kolejny to w\u0142a\u015bnie z\u0142e nawyki samych u\u017cytkownik\u00f3w, nara\u017caj\u0105 ich na przej\u0119cie konta lub utrat\u0119 danych.<\/p>\n\n\n\n Wyniki s\u0105 bardzo zbli\u017cone do tych, kt\u00f3re w ostatnich latach publikowa\u0142o SplashData. Poni\u017cej publikujemy Top25 z 200 najpopularniejszych i najniebezpieczniejszych hase\u0142 2019:<\/p>\n\n\n\n 12345, 123456, 123456789, test1, password, 12345678, zinch, g_czechout, asdf, qwerty, 1234567890, 1234567, Aa123456., Iloveyou, 1234, abc123, 111111, 123123, dubsmash, test, princess, qwertyuiop, sunshine, BvtTest123, 11111.<\/p>\n\n\n\n Prze\u0142om roku to tak\u017ce okres stawiania sobie nowych cel\u00f3w i noworocznych postanowie\u0144. Mo\u017ce wi\u0119c w ramach rachunku sumienia warto zmieni\u0107 podej\u015bcie do cyberbezpiecze\u0144stwa? Nie masz pomys\u0142u na w\u0142asne to-do-list? Przygotowali\u015bmy je za ciebie:<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Pierwsze pr\u00f3bki nowego ransomware pojawi\u0142y si\u0119 okolicy 6 listopada. Przest\u0119pcy obrali sobie za cel specjalnie wyselekcjonowane firmy z sektor\u00f3w IT oraz medycznego z Europy i USA. Binaria Zeppelina zaprojektowano w taki spos\u00f3b, aby zagro\u017cenie zaprzesta\u0142o dzia\u0142a\u0144 je\u015bli urz\u0105dzenie znajduje si\u0119 na terenie Rosji lub kraj\u00f3w wchodz\u0105cych w sk\u0142ad dawnego ZSSR.<\/p>\n\n\n\n Pocz\u0105tkowo specjali\u015bci nie byli pewni w jaki spos\u00f3b nowy ransowmare jest dok\u0142adnie dystrybuowany. Podejrzewano wykorzystanie rozwi\u0105za\u0144 typu remote control. Dzi\u015b ju\u017c mamy tego potwierdzenie. Atakuj\u0105cy pos\u0142uguj\u0105 si\u0119 m.in. MSC ScreenConnect (obecnie ConnectWise Control).<\/p>\n\n\n\n ConnectWise Control to oprogramowanie do zdalnego zarz\u0105dzania. Jest ono powszechnie u\u017cywane przez MSP i specjalist\u00f3w IT w celu wykonania zdalnego po\u0142\u0105czenia z komputerem klienta. Atakuj\u0105cy instaluj\u0105 na zainfekowanej stacji roboczej klienta ScreenConnect. Po jej zako\u0144czeniu uruchamia si\u0119 us\u0142uga ScreenConnect.ClientService.exe, kt\u00f3ra przez ca\u0142y czas pracuje w tle oczekuj\u0105c na zdalne po\u0142\u0105czenie. Z pomoc\u0105 ScreenConnect hackerzy s\u0105 w stanie eksfiltrowa\u0107 dane z kopii zapasowych, pobra\u0107 malware oraz dodatkowe narz\u0119dzi typu post-exploitation, a tak\u017ce zainstalowa\u0107 trojana, kt\u00f3ry umo\u017cliwia kradzie\u017c danych. Dopiero na sam koniec przest\u0119pcy wpuszczaj\u0105 do firmowej sieci Zeppelin\u2019a.<\/p>\n\n\n\n Szczeg\u00f3lnie interesuj\u0105cy wydaje si\u0119 fakt, \u017ce to w\u0142a\u015bnie atakuj\u0105cy wdro\u017cyli na przej\u0119tych urz\u0105dzeniach oprogramowanie ScreenConnect. Zazwyczaj w takich sytuacjach mamy do czynienia ze zhackowaniem service provider\u2019a i dopiero na dalszym etapie zainfekowania jego klient\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: <\/strong>1<\/a> <\/a>| 2<\/a><\/p>\n\n\n\n TP-Link za\u0142ata\u0142 krytyczn\u0105 luk\u0119 (CVE-2019-7405) wp\u0142ywaj\u0105c\u0105 na niekt\u00f3re routery Archer. Mog\u0142aby umo\u017cliwi\u0107 atakuj\u0105cym uniewa\u017cnienie hase\u0142 administratora, zdalne przej\u0119cie kontroli nad konfiguracj\u0105 routera za po\u015brednictwem Telnet w sieci lokalnej (LAN) oraz po\u0142\u0105czy\u0107 si\u0119 z serwerem FTP przez serwer LAN i sie\u0107 WAN. <\/p>\n\n\n\n Niewa\u017cne has\u0142o. <\/strong>Aby wykorzysta\u0107 t\u0119 luk\u0119, atakuj\u0105cy musz\u0105 wys\u0142a\u0107 \u017c\u0105danie HTTP zawieraj\u0105ce ci\u0105g znak\u00f3w d\u0142u\u017cszy ni\u017c dozwolona liczba bajt\u00f3w, w wyniku czego has\u0142o u\u017cytkownika jest ca\u0142kowicie uniewa\u017cnione i zast\u0105pione pust\u0105 warto\u015bci\u0105.<\/p>\n\n\n\n Co ciekawe, dzia\u0142a to pomimo weryfikacji poprawno\u015bci, poniewa\u017c sprawdzane s\u0105 wy\u0142\u0105cznie nag\u0142\u00f3wki HTTP strony odsy\u0142aj\u0105cej. Pozwala to atakuj\u0105cemu oszuka\u0107 us\u0142ug\u0119 httpd routera i u\u017cy\u0107 zakodowan\u0105 warto\u015b\u0107 tplinkwifi.net., aby \u017c\u0105danie zosta\u0142o rozpoznane jako prawid\u0142owe.<\/p>\n\n\n\n Poniewa\u017c jedynym typem u\u017cytkownik\u00f3w na tych routerach jest administrator z pe\u0142nymi uprawnieniami, omini\u0119cie procesu uwierzytelniania automatycznie daje przest\u0119pcom dost\u0119p do jego uprawnie\u0144 oraz mo\u017cliwo\u015b\u0107 przej\u0119cia urz\u0105dzenia. <\/p>\n\n\n\n Pierwotni u\u017cytkownicy mog\u0105 zosta\u0107 zablokowani i nie b\u0119d\u0105 mogli d\u0142u\u017cej logowa\u0107 si\u0119 do swoich us\u0142ug przez interface poniewa\u017c strona nie b\u0119dzie akceptowa\u0142a \u017cadnych hase\u0142 (o czym u\u017cytkownik nie b\u0119dzie wiedzia\u0142). W takim przypadku ofiara mo\u017ce utraci\u0107 dost\u0119p do konsoli, a nawet pow\u0142oki, a tym samym nie b\u0119dzie w stanie przywr\u00f3ci\u0107 nowego has\u0142a. <\/p>\n\n\n\n Co gorsza, nawet je\u015bli w\u0142a\u015bciciel routera ustawi nowe has\u0142o na urz\u0105dzeniu, osoby atakuj\u0105ce mog\u0105 ponownie uniewa\u017cni\u0107 je innym \u017c\u0105daniem LAN \/ WAN \/ CGI, pozostawiaj\u0105c po\u0142\u0105czenia USB z wbudowanym serwerem FTP jako jedyny spos\u00f3b dost\u0119pu. Klucze szyfrowania RSA r\u00f3wnie\u017c automatycznie zawiod\u0105, poniewa\u017c nie b\u0119d\u0105 dzia\u0142a\u0107 z pustymi has\u0142ami.<\/p>\n\n\n\n TP-Link wyda\u0142 ju\u017c \u0142atki, kt\u00f3re pomagaj\u0105 klientom chroni\u0107 ich routery przed atakami z wykorzystaniem tej luki. Zalecamy piln\u0105 aktualizacj\u0119 router\u00f3w. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Facebook czy Intel – ci\u0119\u017cko powiedzie\u0107 kt\u00f3ra z tych firm zaliczy\u0142a wi\u0119cej cyber-wpadek. W tym tygodniu badacz bezpiecze\u0144stwa Bob Diachenko wraz z firm\u0105 Comparitech ujawnili wyciek danych ponad 267 milion\u00f3w u\u017cytkownik\u00f3w Facebooka – numer\u00f3w telefon\u00f3w, nazwisk i profili spo\u0142eczno\u015bciowych. Baza, w kt\u00f3rej by\u0142y przechowywane dane by\u0142a dost\u0119pna na forum przez oko\u0142o dwa tygodnie. Co wi\u0119cej nie by\u0142a chroniona has\u0142em.<\/p>\n\n\n\n Badacze nie s\u0105 pewni, w jaki spos\u00f3b powsta\u0142a ta baza. Mog\u0142a zosta\u0107 nielegalnie skompilowana za pomoc\u0105 procesu zwanego scrapingiem, w kt\u00f3rym publicznie dost\u0119pne informacje s\u0105 automatycznie kopiowane z internetu – w tym przypadku z profili na Facebooku. Mog\u0142o to r\u00f3wnie\u017c wynika\u0107 z nadu\u017cycia interfejsu API Facebooka. Ten jednak przesta\u0142 zapewnia\u0107 dost\u0119p do numer\u00f3w telefon\u00f3w przed 2018 rokiem. Podejrzewa si\u0119, \u017ce baza mog\u0142a powsta\u0107 przed tym momentem. <\/p>\n\n\n\n Za operacj\u0105 sta\u0142a najprawdopodobniej organizacja przest\u0119pcza z Wietnamu. <\/p>\n\n\n\n Zagro\u017cenie? <\/strong>Ujawnione dane mog\u0105 zosta\u0107 wykorzystane przez podmioty atakuj\u0105ce do prowadzenia spamu i kampanii phishingowych na du\u017c\u0105 skal\u0119.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Teraz przechodzimy do tematu zamykaj\u0105cego ostatnie wydanie Centrum Bezpiecze\u0144stwa w roku 2019 – steganografia. <\/p>\n\n\n\n Operatorzy botnetu MyKingz (Smominru\/DarkCloud\/Hexmen) kopi\u0105cego kryptowaluty u\u017cyli zdj\u0119cia piosenkarki pop, Taylor Swift, aby ukry\u0107 \u0142adunki z\u0142o\u015bliwego oprogramowania wysy\u0142ane na zainfekowane komputery. <\/p>\n\n\n\n MyKingz<\/strong> (Smominru, DarkCloud lub Hexmen) zosta\u0142 po raz pierwszy zauwa\u017cony pod koniec 2017 roku. Od tego czasu jest przyk\u0142adem jednego z najbardziej gro\u017anych botnet\u00f3w do kopania kryptowalut na rynku. Posiada jeden z bardziej zr\u00f3\u017cnicowanych mechanizm\u00f3w skanowania i infekcji oraz jest wysoce stargetowany – od MySQL do MS-SQL, od Telnetu do SSH, od RDP do rzadszych IPC czy WMI. <\/p>\n\n\n\n Przez to te\u017c niezwykle szybki. W pierwszych miesi\u0105cach zainfekowa\u0142 ponad 0,5 mln system\u00f3w Windows zarabiaj\u0105c r\u00f3wnowarto\u015b\u0107 2,3 mln dolar\u00f3w w Monero (XMR). Szacuje si\u0119, \u017ce infekuje 4700 nowych system\u00f3w dziennie. <\/p>\n\n\n\n W tym miesi\u0105cu Sophos odkry\u0142 najnowszy modus operandi tego botnetu. Nie jest to jaka\u015b radykalna zmiana, ale warto jej si\u0119 przyjrze\u0107.<\/p>\n\n\n Wed\u0142ug Sophos, grupa od MyKingz eksperymentuje teraz ze steganografi\u0105 (pisali\u015bmy o tej technice np tutaj<\/a> lub tutaj<\/a>), kt\u00f3ra pozwala jej ukrywa\u0107 z\u0142o\u015bliwe \u0142adunki w legalnych plikach. W tym przypadku z\u0142o\u015bliwy plik EXE zosta\u0142 umieszony w obrazie JPEG piosenkarki pop, Taylor Swift. Celem tej techniki jest oszukanie oprogramowania zabezpieczaj\u0105cego dzia\u0142aj\u0105cego w firmowych sieciach, kt\u00f3re ma my\u015ble\u0107, \u017ce pobiera niegro\u017any plik JPEG, podczas gdy za nim kryje si\u0119 z\u0142o\u015bliwy EXE. <\/p>\n\n\n\n To nie pierwszy raz, kiedy steganografia jest broni\u0105 w r\u0119kach przest\u0119pc\u00f3w. W ubieg\u0142ym roku wykorzystano zdj\u0119cie aktorki Scarlett Johansson do wdro\u017cenia z\u0142o\u015bliwego oprogramowania na zhakowanych bazach danych PostgreSQL. Przest\u0119pcy nie ograniczaj\u0105 si\u0119 jednak wy\u0142\u0105cznie do zdj\u0119\u0107. Eksperymentuj\u0105 r\u00f3wnie\u017c z innymi formatami plik\u00f3w, m.in. audio WAV. <\/p>\n\n\n artyku\u0142 #1<\/a> | artyku\u0142 #2<\/a> | artyku\u0142 #3<\/a> | artyku\u0142 #4<\/a> | artyku\u0142 #5<\/a><\/p>\n\n\n\n2. Z\u0142ota Malina w kategorii Najgorsze has\u0142o roku 2019 trafia do\u2026<\/strong> <\/h2>\n\n\n
3. Zeppelin, czyli nowy ransomware na wynajem<\/strong> <\/h2>\n\n\n
4. B\u0142\u0105d routera TP-Link umo\u017cliwia atakuj\u0105cym logowanie si\u0119 bez has\u0142a<\/strong> <\/h2>\n\n\n
5. Dane 267 mln u\u017cytkownik\u00f3w Facebooka dost\u0119pne dla ka\u017cdego<\/strong> <\/h2>\n\n\n
6. Botnet kopi\u0105cy kryptowaluty ukrywa z\u0142o\u015bliwy plik EXE w zdj\u0119ciu Taylor Swift<\/strong> (steganografia)<\/h2>\n\n\n
Steganografia w r\u0119kach przest\u0119pc\u00f3w<\/h6>\n\n\n
Steganografia w Centrum Bezpiecze\u0144stwa<\/h6>\n\n\n