1. W sieci w\u0142a\u015bnie pojawi\u0142o si\u0119 500 tys. hase\u0142 urz\u0105dze\u0144 IoT<\/h2>\n\n\n
W mediach co chwila bombarduj\u0105 nas kolejne sztampowe has\u0142a promuj\u0105ce super produkt. Co my\u015blicie o \u201ePrzepisie na botnet doskona\u0142y\u201d lub \u201eBotnet w kilka minut\u201d? Absurdalne? Tak, ale niekt\u00f3rzy naprawd\u0119 pomagaj\u0105 przest\u0119pcom niejako odnie\u015b\u0107 sukces. Niespe\u0142na tydzie\u0144 temu mieli\u015bmy na to kolejny dow\u00f3d. W internecie ujawniono list\u0119 danych uwierzytelniaj\u0105cych zawieraj\u0105c\u0105 ponad 515 tys. rekord\u00f3w. Wyp\u0142yn\u0119\u0142y dane serwer\u00f3w, domowych routerow oraz urz\u0105dze\u0144 Internetu Rzeczy.<\/p>\n\n\n\n
Lista zwiera adres IP urz\u0105dzenia wraz z loginem i has\u0142em do us\u0142ugi Telnet. Czy to kolejny przyk\u0142ad wycieku danych? Tym razem nie. Baza powsta\u0142a w oparciu o skan internetu w poszukiwaniu urz\u0105dze\u0144 z niezabezpieczonym portem Telnet. W momencie gdy przest\u0119pca natrafi\u0142 na takie urz\u0105dzenie w pierwszej kolejno\u015bci sprawdza\u0142 czy pasuj\u0105 dane uwierzytelniaj\u0105ce nadane jeszcze przez producenta, a je\u015bli nie \u2013 wpisywa\u0142 kolejno proste do odgadni\u0119cia kombinacje hase\u0142.<\/p>\n\n\n\n
W ten prosty spos\u00f3b powsta\u0142a lista bot\u00f3w. Przest\u0119pcy zwykle jednak nie maj\u0105 w zwyczaju upublicznia\u0107 takich baz. Dziennikach z serwisu ZDnet dotar\u0142 do jej autora i dowiedzia\u0142 si\u0119, \u017ce ten zmienia model prowadzenia operacji. Zrezygnowa\u0142 z urz\u0105dze\u0144 IoT. Od teraz b\u0119dzie wynajmowa\u0107 serwery – o du\u017co wi\u0119kszej wydajno\u015bci – od dostawc\u00f3w us\u0142ug chmurowych. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowa wersja trojana TrickBot jest zagro\u017ceniem dla baz Active Directory przechowywanych na przej\u0119tych kontrolerach domeny Windows. <\/p>\n\n\n\n TrickBot to nie pocz\u0105tek problem\u00f3w. Zagro\u017cenie jest instalowane na komputerze poprzez inny malware. W wi\u0119kszo\u015bci przypadk\u00f3w jest to Emotet, dystrybuowany za pomoc\u0105 z\u0142o\u015bliwych plik\u00f3w MS Office.<\/p>\n\n\n\n Po zako\u0144czeniu instalacji TrickBot zbiera z urz\u0105dzenia wszystkie interesuj\u0105ce dla przest\u0119pc\u00f3w dane oraz rozprzestrzenia si\u0119 w ramach firmowej sieci\u2026 i zbiera kolejne informacje. Jest to mo\u017cliwe poniewa\u017c trojan pobiera dodatkowe modu\u0142y, kt\u00f3re odpowiadaj\u0105 za wykonywanie konkretnych akcji – kradzie\u017c plik\u00f3w cookies, wykradanie danych przegl\u0105darki, kluczy OpenSSH itd. Nowo odkryty modu\u0142 o nazwie ADll umo\u017cliwia wykradanie baz Windows Active Directory.<\/p>\n\n\n Zanim przejdziemy do samej kradzie\u017cy, zatrzymajmy si\u0119 na chwil\u0119 przy pliku ntds.dit. W momencie gdy serwer staje si\u0119 kontrolerem domeny, w lokalizacji C:\\Windows\\NTDS zostaje zapisana baza AD. Wewn\u0105trz folderu NTDS znajduje si\u0119 plik ntds.dit, kt\u00f3ry zawiera wszystkie informacje o us\u0142udze Active Directory – u\u017cytkownicy, has\u0142a, grupy, komputery itd. Windows szyfruje te dane za pomoc\u0105 BootKey przechowywanego w rejestrze systemu. Poniewa\u017c ntds.dit jest zawsze u\u017cywanene przez kontrolera domeny aby administrator by\u0142 w stanie wprowadza\u0107 zmiany w bazie, korzysta on z narz\u0119dzia o nazwie ntdsutil i jego podpolecenia ifm. Install from Media s\u0142u\u017cy do tworzenia no\u015bnik\u00f3w instalacyjnych, kt\u00f3re pozwalaj\u0105 na szybk\u0105 konfiguracj\u0119 nowego kontrolera domeny, bez konieczno\u015bci replikacji us\u0142ugi Active Directory.<\/p>\n\n\n\n Wr\u00f3\u0107my do TrickBot. Wspomniany wcze\u015bniej modu\u0142 ADll wykorzystuje polecenie Install from Media do tego aby wrzuci\u0107 baz\u0119 AD oraz liczne RegistryHive do %Temp% folder. Nast\u0119pnie pliki zostaj\u0105 skompresowane i przes\u0142ane na serwery C&C atakuj\u0105cych. Kiedy przest\u0119pcy dysponuj\u0105 ju\u017c danymi, nic nie stoi na przeszkodzie aby przej\u015b\u0107 do finalnego stadium ataku, czyli wpuszczenia programu szyfruj\u0105cego. W wi\u0119kszo\u015bci przypadk\u00f3w jest to owiany z\u0142\u0105 s\u0142aw\u0105 ransomware Ryuk. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Wsp\u00f3\u0142pracuj\u0105ce \u015bci\u015ble z FBI, Internet Crime Complaint Center (IC3) ostrzega przed nowym typem oszustw. Przest\u0119pcy wykorzystuj\u0105 nieprawdziwe og\u0142oszenia o prac\u0119 do wykradania danych – osobowych oraz finansowych. S\u0105 r\u00f3wnie\u017c w stanie [o dziwo] nak\u0142oni\u0107 swoje ofiary do przesy\u0142ania im znacznych sum pieni\u0119dzy.<\/p>\n\n\n\n Tego typu przekr\u0119ty nie s\u0105 niczym nowym. Jednak w ostatnim czasie mechanizm w oparciu o kt\u00f3ry dzia\u0142aj\u0105 przest\u0119pcy znacz\u0105co ewoluowa\u0142. Dlaczego oferty pracy? Z jednej strony dla zwi\u0119kszenia wiarygodno\u015bci w oczach ofiary. Z drugiej, poniewa\u017c w ten spos\u00f3b atakuj\u0105cy docieraj\u0105 do bardzo zr\u00f3\u017cnicowanej grupy os\u00f3b, z r\u00f3\u017cnym poziomem umiej\u0119tno\u015bci oraz\u2026 zarobk\u00f3w.<\/p>\n\n\n\n Ile mo\u017cna straci\u0107?<\/strong> Jak si\u0119 okazuje, bardzo du\u017co. \u015arednio na jednym oszustwie przest\u0119pcy s\u0105 w stanie zyska\u0107 nawet 3000 USD. Dodatkowo przej\u0119te zostaj\u0105 dane kart kredytowych oraz PII, czyli informacje umo\u017cliwiaj\u0105ce identyfikacj\u0119 osoby.<\/p>\n\n\n\n Jak nawigowa\u0107 w g\u0105szczu ofert, aby nie da\u0107 si\u0119 z\u0142apa\u0107 na haczyk<\/strong>? IC3 namawia do kierowania si\u0119 zdrowym sceptycyzmem. Zawsze warto sprawdzi\u0107 w sieci informacje nt. potencjalnego pracodawcy (przydadz\u0105 si\u0119 podczas rozmowy kwalifikacyjnej!). Je\u015bli po wpisaniu nazwy w wynikach otrzymujemy kilka r\u00f3\u017cnych domen (abccompany.com, abccompanyllc.com itd.) warto zachowa\u0107 ostro\u017cno\u015b\u0107. Pami\u0119tajmy r\u00f3wnie\u017c o tym, \u017ce przest\u0119pcy celowo podmieniaj\u0105 litery w nazwach aby m\u00f3c zarejestrowa\u0107 domen\u0119 w formie jak najbardziej zbli\u017conej do orygina\u0142u. Nasz m\u00f3zg bardzo cz\u0119sto nie dostrzega r\u00f3\u017cnicy w por\u0119. Nie powinno si\u0119 r\u00f3wnie\u017c podawa\u0107 wra\u017cliwych danych jak PESEL, PII czy informacji o zarobkach na etapie rekrutacji. Kolejna wskaz\u00f3wka przemawiaj\u0105ca za tym, \u017ce dana oferta mo\u017ce by\u0107 nieprawdziwa jest fakt, \u017ce pomimo tego i\u017c znajduje si\u0119 ona w serwisach internetowych nie ma o niej wzmianki na stronie firmy \u201eposzukuj\u0105cej\u201d pracownika.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Microsoft przyzna\u0142 si\u0119 do wycieku bazy danych swojego Customer Support. Skala tego incydentu to oko\u0142o 250 milion\u00f3w rekord\u00f3w. <\/p>\n\n\n\n Do sieci przedosta\u0142y si\u0119 logi rozm\u00f3w dzia\u0142u supportu z u\u017cytkownikami z okresu…14 lat! A dok\u0142adnie od 2005 roku do grudnia 2019. <\/p>\n\n\n\n W\u015br\u00f3d upublicznionych informacji znalaz\u0142y si\u0119 adresy e-mail u\u017cytkownik\u00f3w i przedstawicieli Microsoft, numery spraw, rozwi\u0105zania oraz uwagi i poufne wewn\u0119trzne notatki. <\/p>\n\n\n\n Microsoft pracowa\u0142 nad za\u0142ataniem luki od Sylwestra. Niedawno szczeg\u00f3\u0142y dotycz\u0105ce incydentu udost\u0119pni\u0142y osoby na najwy\u017cszych stanowiskach, w tym General Manager Microsoft Security Response Center. Jak przyznali, baza ta nie by\u0142a w odpowiedni spos\u00f3b zabezpieczona. Jednocze\u015bnie deklarowali, \u017ce incydent dotyczy\u0142 wy\u0142\u0105cznie wewn\u0119trznej bazy danych wykorzystywanej w celach analitycznych i nie ujawni\u0142 szczeg\u00f3\u0142\u00f3w dotycz\u0105cych komercyjnych us\u0142ug cloudowych. <\/p>\n\n\n\n Jednocze\u015bnie wyja\u015bnili, \u017ce w bazie mog\u0142y znajdowa\u0107 si\u0119 niekt\u00f3re dane osobowe (np. \u017ale sformatowane adresy e-mail) i obiecali poinformowa\u0107 osoby, kt\u00f3rych problem dotyczy. <\/p>\n\n\n\n To jak, dosta\u0142e\u015b ju\u017c maila od Microsoftu? <\/p>\n\n\n\n![\"Pobierz](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/01\/miniatura-raport-2020.png\")
<\/a><\/figure><\/div>\n\n\n\n2. TrickBot wykrada dane uwierzytelniaj\u0105ce Active Directory<\/strong><\/h2>\n\n\n
W jaki spos\u00f3b TrickBot kradnie dane Active Directory<\/strong> <\/h6>\n\n\n
3. Cyber-przekr\u0119t na ofert\u0119 pracy<\/strong><\/h2>\n\n\n
4. Wyciek Microsoft – 14 lat z \u017cycia dzia\u0142u supportu dost\u0119pnych online<\/strong><\/h2>\n\n\n