Artykuły dotyczące tematu: cyberatak

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 22.03.2013 | tagi: , ,

Załoga „TeamSpy” atakuje – TeamViewer wykorzystywany do cyberszpiegostwa

0

20 marca 2013 r. laboratorium CrySyS Lab, wraz z węgierskim Urzędem Bezpieczeństwa Narodowego (w skr. NBF), opublikowało doniesienia o ataku ukierunkowanym na wysokiej rangi cele na Węgrzech. Szczegóły dotyczące dokładnych celów ataków nie są znane, a sam incydent pozostaje tajny. Biorąc pod uwagę konsekwencje takiego ataku, Globalny Zespół ds. Badań i Analiz z Kaspersky Lab (w skr. GReAT) przeprowadził techniczną analizę trwającej kampanii i związanych z nią próbek złośliwego oprogramowania. Krótki FAQ dotyczący ataku na węgierskie cele znajduje się poniżej. Na końcu tego artykułu znajduje się również odnośnik do pełnego raportu z naszej analizy (raport dostępny jest w języku angielskim).

Czym jest ta kampania?

„TeamSpy” to operacja cyberszpiegowska skierowana na wysokiej rangi cele obejmujące działaczy politycznych i obrońców praw człowieka z krajów Wspólnoty Niepodległych Państw i narodów Europy Wschodniej. Wśród ofiar znajdują się zarówno członkowie agencji rządowych, jak i pracownicy prywatnych firm. Ataki trwają od prawie dekady, a wzmianka o nich pojawiła się w roku 2012 w publikacji aktywistów białoruskich.

Dlaczego kampania nazywa się „TeamSpy”?

Napastnicy zdalnie kontrolują komputery ofiar za pomocą legalnego narzędzia zdalnej administracji, zwanego TeamViewer. Aplikacja jest podpisana legalnymi certyfikatami cyfrowymi i jest używana przez ponad 100 milionów użytkowników na całym świecie. Aby uniknąć powiadamiania użytkownika, że ​​ktoś go szpieguje, napastnicy dynamicznie patche’ują TeamViewera w pamięci, aby usunąć wszelkie ślady jego aktywności.

Co robi szkodliwe oprogramowanie?

Jest to operacja nadzorcza / rozpoznawcza, skoncentrowana na kradzieży danych. Kradzione dane obejmują:

  • „Sekretną” zawartość, tajne / prywatne klucze szyfrujące, hasła.
  • Historię urządzeń Apple z systemem iOS (informacje te są wykradane z aplikacji iTunes).
  • Szczegółowe informacje o systemie operacyjnym i BIOS-ie.
  • Dzienniki i zrzuty ekranu zapisywane przez keyloggery.

    Liczba infekcji zanotowanych w poszczególnych krajach przez technologię Kaspersky Security Network, marzec 2013 r.

    Liczba infekcji zanotowanych w poszczególnych krajach przez technologię Kaspersky Security Network, marzec 2013 r.

Co dokładnie zostało skradzione?

Napastników interesują dokumenty i pliki biurowe (np. *.doc, *.rtf, *.xls, *.mdb), pliki PDF (*.pdf), obrazy dysku (np. *.tc, *.vmdk), jak również pliki, które potencjalnie mogą zawierać bardzo poufne informacje, takie jak klucze szyfrujące (np. *.pgp, *.p12) i hasła (np. *pass*, *secret*, *saidumlo*, *Секрет* i *парол*).

Co oznacza „saidumlo”?

„Saidumlo” to po gruzińsku „sekret”. „Секрет” to rosyjski „sekret”, natomiast „парол” oznacza „hasło”.

W jaki sposób organizacje mogą ochronić się przed tym szczególnym atakiem?

  • Przeskanować maszyny w poszukiwaniu procesu „teamviewer.exe”.
  • Zablokować dostęp do witryn centrum kontroli i adresów IP (domeny i adresy IP znajdują się w naszym raporcie z analizy).
  • Wdrożyć w całej organizacji politykę centralnego zarządzania poprawkami i aplikacjami na komputerach użytkowników. Operacja „TeamSpy” uwzględnia wykorzystanie popularnych zestawów eksploiów, które biorą za cel znane podatności w aplikacjach i systemach operacyjnych.

Więcej szczegółów znajduje się w raporcie z analizy ataków „TeamSpy”. Raport dostępny jest w języku angielskim.

dodany: 20.03.2013 | tagi: , ,

Zmasowane cyberataki w Korei Południowej

0

Dzisiaj (środa, 21 marca br.) w odnotowano wiele cyberataków, które miały miejsce w Korei Południowej.  Ofiarami są banki, a także stacje telewizyjne. Ataki rozpoczęły się około godziny 14 tamtejszego czasu. Wśród zaatakowanych banków są Shinhan oraz Nonghyu. Nękane broadcastowe TV to  KBS, MBC i YTN.

Początkowo sądzono, iż był to zmasowany atak DoS, ale po wstępnej analizie okazało się, że zastosowano złośliwe oprogramowanie typu Wiper. Malware ten powoduje zupełne wymazanie dysku – oto efekt działania na jednym z zaatakowanych komputerów należących do KBS:

kbs-staff-luke-cleary-hacked-laptop-620x465

Za atak podejrzewa się grupę WhoIs, która opublikowała wideo na przejętej domenie LG U+ (strona już funkcjonuje normalnie), z którego wynika, iż opisane działania to dopiero początek:

http://www.youtube.com/watch?feature=player_embedded&v=BAz0cQfr3F4

Podejrzenie powiązania wynika z faktu, że na części zaatakowanych komputerów przed „śmiercią” dysku użytkownicy zauważyli charakterystyczne czaszki, które są symbolem WhoIs.

Na forum pygments.org został zamieszczony kod używany do podmiany stron, w którym podano kilka adresów e-mail używanych przez atakujących:

Nie wiadomo jaki cel mają atakujący – być może działają na czyjejś zlecenie. To nie były pierwsze ataki tego typu na Koreę.

dodany: 31.01.2013 | tagi: , , ,

New York Times celem chińskich hakerów

0

W ciągu ostatnich czerech miesięcy wewnętrzna sieć New York Timesa była celem ataków chińskich hakerów.

Przez cały ten czas konta e-mail kilku reporterów, którzy zajmowali się artykułem na temat ukrytej fortuny rodziny chińskiego premiera Wen Jiabao, były infiltrowane.

25 października New York Times opublikował artykuł, w którym autorzy zarzucają premierowi Chin, że od kiedy rozpoczął on swoją kadencję, jego rodzina wzbogaciła się o aktywa warte prawie 9 miliardów złotych. W wyniku dziennikarskiego śledztwa NYT dowiedział się, że premier jest w posiadaniu udziałów w bankach, firmach telekomunikacyjnych, jubilerskich, turystyce oraz w projektach infrastrukturalnych. Część z firm, których udziały posiada premier, związane jest z firmami państwowymi (które są często nadzorowane przez samego Wena).

Poza infiltracją kont e-mail autorów powyższego artykułu, ukradzione zostały hasła wszystkich pracowników gazety. Jednak warto dodać, że hasła i dane żadnego z klientów nie zostały naruszone.

Zatrudnieni przez gazetę eksperci ds. bezpieczeństwa mieli za zadanie wykryć i zablokować jakiekolwiek ataki i zebrać cyfrowe dowody o metodach, jakich użyli chińscy hakerzy. Okazało się, że metody są bardzo podobne do tych, używanych przez chińską armię wobec kontrahentów rządowych i współpracujących firm.

Przed publikacją feralnego artykułu redakcja New York Timesa dostała ostrzeżenie, że jeśli opublikują kolejny artykuł, to będą musieli zmierzyć się z konsekwencjami.

Na podstawie dowodów znalezionych przez ekspertów ds. bezpieczeństwa ustalono, że infiltracja zaczęła się 13 września, kiedy zbieranie materiałów do raportu było już na ukończeniu. Napastnicy wykorzystali botnet stworzony ze skompromitowanych uniwersyteckich komputerów w USA, aby przesłonić źródło ataku. Później zainfekowali komputery gazety złośliwym oprogramowaniem, najprawdopodobniej zrobili to za pomocą ataków phishingowych.

Hakerzy najprawdopodobniej szukali nazwisk informatorów dziennikarzy pracujących nad tym artykułem.

Eksperci zamknęli tylne drzwi i zablokowali serwery użyte do ataku. Hasła wszystkich pracowników zostały zmienione, a firma zainstalowała dodatkowe zabezpieczenia wokół sieci.

dodany: 07.11.2012 | tagi: , ,

Aresztowano członka Anonymous?

0
Aresztowano członka Anonymous?

W Wielkiej Brytanii aresztowano 41 letniego hakera podejrzanego o cyberatak na oficjalną stronę Minister Spraw Wewnętrznych – Therese May. W aresztowaniu pomógł Scotland Yard oraz lokalna policja z Wedgewood Road. Na razie nie ujawniono danych aresztowanego – sam atak nastąpił w 2007 roku, kiedy to haker prawdopodobnie posłużył się metodą DDoS.

Haker, którego danych nie podano, został zatrzymany w miejscu swojego zamieszkania w Stoke-on-Trent. Z jego domu zarekwirowano komputery, telefony i wszelkie nośniki danych. Policja podejrzewa, iż jest on powiązany z grupą Anonymous. Podejrzenia wynikają z tego faktu, iż strona minister została zaatakowana już w tym roku przez członków Anonymous w ramach operacji Trial Ath Home, która miała na celu potępienie ekstradycji znanego brytyjskiego hakera Garry’ego McKinnona. Haker ten zinfiltrował m.in. wiele komputerów NASA, gdzie odkrył zdjęcia UFO oraz materiały dowodzące posiadania przez USA technologii antygrawitacji.

Anonymous żądało jego uwolnienia z uwagi na to, iż u hakera zdiagnozowano zespół Aspergera, co mogłoby się przyczynić do popełnienia przez niego samobójstwa w amerykańskim więzieniu – i udało się, gdyż Theresa May wstrzymała postępowanie wobec chorego. Niestety mniej szczęścia miał drugi Brytyjczyk, za którym również się wstawiono – Richard O’Dwyer – obecnie 24 letni założyciel serwisu TVShack, który stał się pierwszą ofiarą międzynarodowego antypirackiego prawa ACTA. May pozwoliła na ekstradycję studenta do USA, mimo mocnej dezaprobaty internatów. O’Dwyer zarabiał na reklamach na swoim darmowym serwisie, gdzie publikował linki do komercyjnych wideo. Serwer znajdował się w Holandii.

 

dodany: 25.09.2012 | tagi: , , , ,

Grupa islamistów ostrzega przed nowymi cyberatakami na amerykańskie banki

0

We wtorek grupa islamistów poinformowała, że będą przeprowadzone nowe cyberataki, których celem będą amerykańskie banki. Według Grupy Wywiadowczej SITE wcześniejsze ataki były spowodowane jako odpowiedź na opublikowany w zeszłym tygodniu antyislamski film.

W oświadczeniu grupa hakerów nazywających siebie „Cyber Fighters of Izz al-Din al-Qassam” napisała, że planują atak na stronę internetową banku Wells Fargo we wtorek, US Bank w środę i PNC Bank w czwartek”.

W ubiegłym tygodniu na stronach internetowych amerykańskich banków  Chase oraz Bank of America przeprowadzono atak poprzedzony groźbami przez powyższą grupę.

„Operacja Ababil rozpoczęła się atakiem na Bank of America, drugim etapem był atak na największy bank w USA- Chase. Ta seria ataków będzie trwać dopóki ten haniebny film nie zniknie z Internetu” można przeczytać w komunikacie podpisany przez grupę i opublikowanym na stronie Pastebin.com.

W najnowszym oświadczeniu grupa stwierdziła, że ataki były odwetem za wydanie kontrowersyjnego filmu „Innocence of Muslims”, co doprowadziło do masowych protestów w całym świecie muzułmańskim.

Oświadczenie ostrzega, że „operacja może ostatecznie zostać skierowana na izraelskie, francuskie i brytyjskie instytucje finansowe” o czym mówi SITE.

dodany: 16.08.2012 | tagi: , ,

Saudyjska spółka naftowa odizolowana od dostępu do sieci po cyberataku

1

Saudi Aramco, państwowa i największa na świecie spółka petrochemiczna potwierdziła, że padła ofiarą ataku cybernetycznego, w wyniku którego złośliwym oprogramowaniem zostały zainfekowane stacje robocze pracowników. Inne części sieci w zakładach pozostały nienaruszone.

„W środę, 15 sierpnia 2012, Saudi Aramco potwierdza, że firma odizolowała wszystkie systemy elektroniczne od zewnętrznego dostępu jako wczesny środek zapobiegawczy, który został powzięty po nagłych zakłóceniach, które dotknęły niektóre sektory naszej sieci elektronicznej. Zakłócenie jest prawdopodobnie wynikiem działania wirusa, który zakaził pracownicze stacje robocze bez wpływu na podstawowe elementy sieci” – czytamy w oświadczeniu spółki.

Światowy potentat nie chciał skomentować ataku czy też podawać, kto za nim stał, ale zapewnia, że główne operacje nie zostały zakłócone w wyniku naruszenia bezpieczeństwa.

„Saudi Aramco chciałaby potwierdzić, że cała sieć zarządzająca swoimi działaniami jest w dalszym ciągu integralna oraz że zakłócenie, które miało miejsce, nie miało żadnego wpływu na którekolwiek z działań produkcyjnych spółki. Firma zaimplementowała szereg zabezpieczających procedur oraz wiele systemów redundantnych w swoim zaawansowanym i złożonym systemie działania, które są wykorzystywane do ochrony swoich systemów operacyjnych i baz danych”.

Na koniec spółka dodała, że jej zespół IT przewiduje szybki powrót do bycia „online”.

Jest to kolejny atak na spółki petrochemiczne w rejonie Bliskiego Wschodu. W kwietniu przeprowadzony został atak na systemy Krajowej Spójki Petrochemicznej w Iranie. W odpowiedzi na powtarzające się cyberataki na ich sieć oraz urządzenia, Iran zapowiedział odłączenie od publicznego Internetu swoich najważniejszych ministerstw i organów państwowych w celu ich ochrony.