Cyber Blog

InvisiMole – spyware doskonały?

Badacze z ESET wykryli na kilkudziesięciu komputerach rosyjskich i ukraińskich użytkowników złożony, modułowy spyware – InvisiMole. Działał on prawdopodobnie od 2013 roku. InvisiMole – 2 dopasowane moduły Malware posiada dwa główne moduły. Każdy z nich ma inne funkcje, które wzajemnie się uzupełniają. Pierwszy z nich – RC2FM – zawiera 15 komend, w tym uruchamianie kamery […]

Coinrail – południowokoreańska giełda kryptowalut zhakowana

Południowokoreańska giełda kryptowalut Coinrail ogłosiła, że stała się celem ataku. W jego wyniku została skradziona duża ilość tokenów ICO (Initial Coin Offerings) dla walut Pundi X, NPER i Aston. Giełda operuje również bardziej popularnymi kryptowalutami jak Bitcoin czy Ethereum. Na szczęście dla ich użytkowników nie były one głównym źródłem obrotów tego podmiotu. Coinrail chce zamrozić […]

Amerykańskie RODO a może rodeo z Echo Alexa?

Obecnie w związku z RODO, tematy przetwarzania danych osobowych są bardzo na czasie. Jak wiemy RODO nie obejmuje swoim zakresem krajów poza Europą. Choć zapewne byłoby to mocno wskazane chociażby w Stanach Zjednoczonych. Potwierdza to przypadek pewnej rodziny amerykańskiej, która korzysta z Echo Alexa. To smart-głośnik zarządzający urządzeniami w domu, z którymi jest zintegrowany. Okazuje […]

VPNFilter – malware, który może zagrozić 500 000 urządzeniom

Badaczez Cisco Talos odkryli złośliwe oprogramowanie, które nazwali VPNFilter. Pozwala ono na infekcje routerów SOHO. Na ten moment ujawniono, że problem dotyczy urządzeń takich firm jak: Linksys, Mikrotik, Netgear, Qnap oraz Tp-Link.  Szczególną aktywności złośliwego oprogramowania zaobserwowano na Ukrainie. Jednak szacuje się, że na całym świecie narażonych jest około 500 000 urządzeń. Nowe sposób działania VPNFilter […]

RODO – pierwsze próby jego obejścia

25 Maja 2018 wchodzi wżycie ustawa RODO. Jeszcze na dobre nowa ustawa nie weszła w życie, a dużo serwisów internetowych już znalazło sposób by ją obejść. Wiele serwisów, przy pierwszych odwiedzinach strony wyświetla komunikat, że w związku z ustawą RODO, proponują nam możliwość, by te serwisy zbierały o nas informacje, jednak na to musimy sami się jawnie zgodzić. Bez […]

Antivirus Evasion – obfuskacja msiexec

Na forum SANS ISC InfoSec opisano kolejny przypadek infekcji, która była wykryta przez jedynie przez kilka antywirusów. Z perspektywy atakującego jest to bardzo dobry wynik. Tym bardziej że wg. VirusTotal-a oprogramowanie, które wykryło złośliwy plik, nie pochodziło od najbardziej znanych producentów. Niestety nie ma informacji, jakie silniki pierwsze zidentyfikowały złośliwy kod. Obfuskacja marko w instalatorze […]

Meksykański botnet w natarciu

Na blogu Trend Micro opublikowano informacje o nowym botnecie podobnym do Mirai. Jego aktywność została zauważona w Meksyku. Jak działa botnet Botnet skanuje domowe rutery korzystające ze standardu GPON (ang. Gigabit Passive Optical Network), do których można uzyskać dostęp za pomocą defaultowych danych uwierzytelniających. Ale nie tylko one są w kręgu zainteresowania botnetu. Celem były […]

Pliki SYLK jak sposób dystrybucji malware-u

Na forum SANS ISC InfoSec opisano ciekawe wykorzystanie plików z rozszerzeniem .slk. Jest to jeden ze sposobów na ominięcie detekcji przez rozwiązania antywirusowe. Czym jest plik SYLK Plik SYmbolik LinK, inaczej nazywany SYLK (z rozszerzeniem .slk) jest formatem Microsoftowym wykorzystywanym do wymiany danych pomiędzy aplikacjami. Najczęściej używają go arkusze kalkulacyjne. Ikonka pliku bardzo przypomina ikonę Excel-ową. […]

CCleaner – historia 2 mln infekcji, aby dotrzeć do 40 komputerów

Pół roku temu pojawiła się informacja o ataku na firmę Pirform, producenta popularnego programu CCleaner. Atak wzbudził duże zainteresowanie z dwóch powodów. Po pierwsze – atak odbył się z wykorzystaniem oficjalnego procesu aktualizacji oprogramowania. Użytkownicy pobierając – wydawać się by mogło – standardową aktualizację, wpuszczali atakujących na swoje komputery. Po drugie – aktualizacja została pobrana […]

Kradzież danych z komputerów klasy TEMPEST

Izraelscy badacze znaleźli sposób na wydobycie danych z odizolowanych komputerów. I nie chodzi wcale „zwykłe” komputery, które działają w wydzielonej sieci. Ale o komputery specjalnego przeznaczenia klasy TEMPEST (z ang. Transient Electromagnetic Pulse Emanation Standard). Czym jest standard TEMPEST Każde urządzenie podłączone do linii zasilającej i włączone, generuje promieniowanie elektromagnetyczne. Dzięki określonym technologiom można je przechwycić […]

Kradzież przez termometr, czyli o bezpieczeństwie Internetu Rzeczy

Wiele się mówi, jak dużo w naszym życiu zmieni Internet Rzeczy czyli IoT (z ang. Internet of Things). IoT już teraz towarzyszy nam w codziennym życiu. Jak każda technologia, ma on ciemne strony. Urządzenia te np. „wiedzą”, co się dzieje w naszym otoczeniu, kiedy wychodzimy lub wracamy do domu itp. Gromadząc tego typu informacje można […]

Luka w Drupal – zaktualizuj CMS swojej strony

Krytyczna podatność nie jest końcem świata, jeżeli odpowiednio podejdzie się do problemu. Tak też robił zespół bezpieczeństwa Drupal – systemu zarządzania treścią (ang. CMS – Content Management System). 2 tygodnie temu odkryli poważną lukę bezpieczeństwa Drupalgeddon2. Jednak zanim informacja o tym przedostała się do Internetu, odpowiednia poprawka została już przygotowana i udostępniona. Atakować nieprzygotowanych 11 […]

Cyberbezpieczeństwo pokonane przez kawę

Czytając opisy różnych ataków wykierowanych w cyberbezpieczeństwo, bardziej skupiamy się na ich efekcie i użytych tam narzędziach. Dzięki temu słowa jak DDoS, malware, czy ransomware weszły już do codziennego słownika. Ale często ciekawszy jest wektor ataku czyli droga, jaką go przeprowadzono. Niecały miesiąc temu został opisany ciekawy przykład potwierdzający tą tezę. Atakujący często idą po […]

Microsoft Outlook – niepełne łatanie luki bezpieczeństwa

W ostatni ‘Patch Tuesday’ (dzień, w którym już tradycyjnie – bo od 2003 roku – Microsoft publikacji aktualizacji bezpieczeństwa) pojawiły się łatki m.in. dla produktów Microsoft w tym MS Outlook. Wśród nich dwie opisane jako: CVE-2018-0950 (Microsoft Office Information Disclosure Vulnerability) Vulnerability Note VU#974272. Powyższe podatność zgłosił i opisał Will Dormann z amerykańskiego CERT Coordination […]

PUBG ransomware – zagraj w grę a odzyskasz pliki

Podatność w Cisco IOS i Cisco IOS XE przyczyną problemu w Iranie

W oprogramowaniu Cisco IOS i Cisco IOS XE występuje podatność na usłudze Smart Install (CVE-2018-0171). Umożliwia ona przepełnienie bufora a następnie wykonanie dowolnego kodu na zaatakowanym urządzeniu. Podatność w Cisco przyczyną ataku w Iranie Wiele niezależnych źródeł podaje już, że podatności zaczyna być mocno wykorzystywana przez cyberprzestępców. Ostatni dostępny przykład wykorzystania tej luki do przeprowadzenia ataku pochodzi […]

Facebook – 2,2 miliarda kłopotów

Kolejna rewelacja z największej sieci społecznościowej. Okazuje się, że Facebook wypłynęło 2,2 miliarda danych o użytkowników. Mark Zuckerberg twierdzi, że to robota złych ludzi, który znaleźli sposób na wykorzystanie narzędzia wyszukiwania do wyciągania danych z serwerów. To już kolejny akt dramatu, jaki jest udziałem Facebooka. Najpierw skandal z Cambridge Analytica (50 milionów osób sprzedanych), potem […]

Każdy Windows ma wbudowany dropper. Wystarczy go użyć

Jeden z podstawowych schematów ataku zakłada, że ofiara ściągnie i uruchomi dropper (oprogramowanie umożliwiające instalowanie dodatkowego oprogramowania bez ingerencji ze strony użytkownika). Ten z kolei pobierze właściwy złośliwy kod. Okazuje się, że w standardowych instalacjach Windows znajduje się już wbudowane narzędzie certutil.exe, które skutecznie i bez zbędnych śladów może zostać wykorzystane jako dropper. Przewidzianą funkcjonalnością […]

Przywódca Carabank/Cobalt zatrzymany

Lider grup przestępczych Carabank oraz Cobalt został zatrzymany przez hiszpańską policę. Prowadzona przez niego grupa specjalizowała się w rozprowadzaniu złośliwego oprogramowania, którego głównym celem były instytucje finansowe. Zatrzymanie było możliwe dzięki współpracy z Europolem, US FBI, władzami Rumunii, Białorusi, Tajwanu oraz kilku przedstawicieli prywatnych firm zajmujących się cyberbezpieczeństwem. Zatrzymany działał od 2013 roku. Jego pierwszą większą […]

MonkeyRocket autorstwa NSA – fake VPN pod bitcoin

Od dawna chodziły pogłoski, że NSA inwigilowała internet również w kontekście kryptowalut takich jak bitcoin. Po opublikowanych ostatnio przez Edwarda Snowdena tajnych dokumentach wychodzi, że inwigilacja NSA mogła sięgać dalej niż podejrzewano. Bitcoin zapewnia anonimowość? W przypadku kryptowalut znane są metody śledzenia transakcji. Dzięki temu można się dowiedzieć skąd i dokąd trafiły środki wewnątrz sieci (lub gdzie nie […]

Mapa Darknetu autorstwa Hyperion Gray

Grupa badaczy z grupy Hyperion Gray opublikowała wyniki swoich badań dotyczących Darknetu. Ich efektem jest mapa dostępnych stron w tej sieci. Do swoich prac wykorzystali projekt MEMEX stworzony w ramach Darpa (badawczy oddział Pentagonu w USA). Pozwala on tworzyć mapy przestrzeni wirtualnej. Mapa Hyperion Gray Naukowcy posiadali listę ponad 60,000 adresów z końcówką .onion. W styczniu 2018 te strony […]

VPN nie zawsze zapewnia anonimowość w sieci

Wiele milionów ludzi korzysta z usługi VPN, aby zapewnić sobie anonimowość w sieci. Dzięki temu rozwiązaniu możliwe jest ukrywanie swojego prawdziwego adresu IP i szyfrowanie transmisji danych. Okazuje się, że 3 dostawców tego typu usług takich jak HotSpot Shield, PureVPN i Zenmate ma z tym pewien kłopot. A to może przekładać się na miliony ich […]

Paloalto – analiza aktywności eksploit-kit RIG

​Jak donosi Paloalto, badacze z grupy Unit42 opublikowali raport dotyczący zmian w aktywności eksploit-kitu RIG w przeciągu ostatniego roku. Jeśli chodzi o docelowy typ złośliwego oprogramowania, którym infekowany jest komputer ofiary, zarejestrowano istotny spadek aktywności ransomware. Wzrosła natomiast aktywność malware typu crypto-miner. RIG mniej aktywny, ale malware kryptowalutowy wzrósł o 2700% Raport wskazuje na blisko […]

Czy DNS w twojej sieci jest szczelny?

Zespół badawczy firmy Fidelis (Threat Research) odkrył rosnącą tendencje kradzieży danych poprzez wykorzystanie protokoły DNS. Autorzy artykułu zwracają uwagę, że większość analizatorów ruchu nie sprawdza dokładnie ruchu tego typu. Patrzą one tylko na reputacje nazwy serwera domenowego i zwrotnego adresu IP. Czy to może oznaczać problem? Dla firm, które nie wiedzą o problemie z pewnością […]

Deep Fake Video wśród nowych trendów

Problem dezinformacji jest coraz szerzej poruszany zarówno w mediach, w świecie osób zajmujących się bezpieczeństwem IT oraz wśród polityków. Dawne “farmy trolli” przestają koncentrować się tylko na “hejtowaniu” (wpisywaniu negatywnych komentarzy pod publikacjami). Obecnie zaczynają destrukcyjnie wpływać na całe mechanizmy społeczne działające w przestrzeni wirtualnej. Do tych celów wykorzystuje się np. zmodyfikowane zdjęcia, lub też treści ilustruje się […]

Podliczanie strat po NotPetya

Atak NotPetya w czerwcu 2017 jest określany jako najdroższy cyberatak w historii. Warto zaznaczyć, że Stany Zjednoczone, Wielka Brytania i Australia jednoznacznie wskazały już kraj, z którego atak pochodził. Niektóre z zaatakowanych podmiotów wprost podawało wielkość strat związanych z tym atakiem. W przypadku niektórych w nich świat IT praktycznie na bieżąco obserwował zmagania dotyczące odtwarzania działalności. Zmagania […]

Poważna podatność w Exim

E​xim – bardzo popularny serwer pocztowy – kilka miesięcy temu poinformował o luce umożliwiającej 1-bajtowy atak Buffer Overflow dotyczący dekodowania base64. Luka ta doczekała się exploita i jest masowo wykorzystywana przez przestępców. Ocenia się, że podatnych było ok. 400 000 sewerów. Dlaczego aż tyle? Znaczna część administratorów nie potraktowała poważnie zagrożenia 1-bajtowym przepełnieniem i nie wykonała […]

Raport FTC – Mobile Security Updates: Understanding the Issues

A​merykańska Federalna Komisja Handlu (ang. Federal Trade Commission – FTC) opublikowała raport Mobile Security Updates: Understanding the Issues. Podsumowuje on to, co wiadomo o bezpieczeństwie telefonów komórkowych. Dokument porusza problemy niezałatanych luk, długich czasów oczekiwania na łatki bezpieczeństwa, niejasne zasady wsparcia, techniczna trudność podczas aktualizacji i wiele, wiele więcej. Raport FTC nie zostawia suchej nitki zarówno na producentach, jak […]

Weryfikacja haseł z HaveIBeenPwned

Serwis HaveIBeenPwned został wzbogacony o nową funkcjonalność. Do tej pory można było z niego korzystać do weryfikacji pojedynczych adresów e-mail na obecność w bazie danych. Można też było ściągnąć bazy SHA1 ujawnionych haseł i zweryfikować, czy wygenerowane przez nas hasło jest „znane” – czy było wcześniej wykorzystywane przez kogoś, kto je utracił. Od kilku dni istnieje nowa możliwość […]

Memcached UDP DDoS – opis i rekomendacje

Specjaliści z Arbor Networks opublikowali opis i rekomendację na temat ataku DDoS typu UDP reflection/amplification przeprowadzanego z wykorzystaniem serwerów z uruchomionym systemem cache’owania Memcached. Specyfika tego rozwiązania (brak wbudowanych zabezpieczeń) powoduje dużą podatność na ataki wolumetryczne. Dlatego ten konkretny system nie powinien być wystawione do sieci publicznej. Przekonali się tym administratorzy GitHuba, którzy musieli zmierzyć […]

Kopiujesz adres swojego konta – Evrial je kradnie

Grupa badaczy ElevenPaths wykryła nowe, bardzo groźne złośliwe oprogramowanie o roboczej nazwie „Evrial”. Gdy już znajdzie się na naszym komputerze, może posłużyć do kradzieży naszych pieniędzy wykorzystując naszą nieuwagę. Jak działa Evrial Jeżeli przestępcom uda się zainstalować ten program na naszym komputerze, to w tle zaczyna działać  proces „567.exe” opisany jako „Technical Support Enivroment”… a […]

OMG – Mirai z funkcją proxy

Specjaliści z FortiGuard Labs (Fortinet) zamieścili na blogu analizę nowego wariantu słynnego Mirai (użytego m.in. do ataków DDoS), który otrzymał nazwę OMG. Ich duże podobieństwo zostało ustalone poprzez porównanie obecnych w tej wersji kodu ciągów “/bin/busybox OOMGA” i”OOMGA: applet not found.” do oryginalnego “bin/busybox MIRAI” i “MIRAI: applet not found”. To nie pierwsza mutacja tego […]

Departament Energii USA powołuje CESER

Rząd USA powołuje nowe biuro w Departamencie Energi ds. Bezpieczeństwa Cybernetycznego, Bezpieczeństwa Energetycznego i Reagowania w sytuacjach kryzysowych CESER (Office of Cybersecurity, Energy Security, and Emergency Response). Krok ten jest wynikiem coraz większego zagrożenia atakiem cybernetycznym. Władze USA od maja 2017 roku ostrzegają przed możliwością jego wystąpienia. Co więcej – uważa się, że sieci energetyczne […]

Raport o grupie APT37 (Reaper)

FireEye opublikował ciekawy raport dotyczący działalności grupy APT37 (Reaper), prawdopodobnie związanej z władzami Korei Północnej. Przeprowadzona analiza aktywności tej organizacji wskazuje, że działalność tej grupy stale się rozszerza. Wykorzystuje ona luki w zabezpieczeniach typu zero-day CVE-2018-4878 czy ataki z wykorzystaniem wiper malware (rodzaj szkodliwego oprogramowania nakierowany na wymazywanie zawartości np. dysków twardych). Raport wskazuje także, iż grupa prowadziła […]

Czy darmowy VPN od Facebook zadba o Twoją prywatność

Facebook zaczął rozpowszechniać i zachęcać do korzystania z darmowego VPN. Jego twórcą była izraelska firma Onavo, od 2013 roku część tego potentata społecznościowego. Twórcy zachęcają do korzystania z tej konkretnej aplikacji. Według opisu ruch generowany przez użytkownika do Internetu będzie szyfrowany. To zapewni użytkownikowi większą prywatność. Ruch VPN przez serwery Facebook Korporacja nie wspomina, że […]

Blokowanie reklam po nowemu w przeglądarce Chrome

Począwszy od 15 lutego Google uruchomił nową funkcjonalność w przeglądarce Chrome. Polega ona na blokowaniu reklam, które zostały zaklasyfikowane do jednej z 12 kategorii uznanych przez specjalnie powołane stowarzyszenie ‘Coalition for Better Ads’ jako niepożądane i nieakceptowane przez użytkowników Internetu. W przypadku, gdy Chrome będzie skierowany na stronę nie spełniającą standardów ‘dobrej reklamy’, wtedy wszystkie […]

Urządzenia Apple zagrożone – litery mogą je ‘zabić’

​Okazuje się, że jedna litera z alfabetu Telugu używanego w Indiach, może spowodować poważne problemy w urządzeniach firmy Apple. Próba wyświetlenia specyficznego znaku powoduje,że iPhone, iPad czy Mac podczas jego wyświetlenia w różnych aplikacjach (włącznie z iMessage, sms, WhatsUp, Gmail, Facebook Messenger) restartują w nieskończoność urządzenie w całości lub tylko daną aplikację. Restart aplikacji jest […]

0-day RCE w protokole P2P Bitmessage

Twórcy protokołu P2P Bitmessage poinformowali o odkryciu krytycznej luki w PyBitmessage w wersji 0.6.2 dla systemów Linux, Mac i Windows. Podatność umożliwia atakującemu zdalne wykonanie kodu skryptu lub otwarcie reverse shella i dostęp do wszystkich plików, w tym do portfeli kryptowalut. Również Peter Šurda – core developer tego protokołu – padł ofiarą ataku, o czym poinformował na Twitterze. Rekomendacja […]

Dane osobowe dzieci na Dream Market

Na darknetowym forum Dream Market (jedno z większych Torowych targowisk), pojawiły się na sprzedaż dane osobowe wielu dzieci. W ramach oferty sprzedający oferuje takie informacje jak: numer ubezpieczenia społecznego dzieci (SSN – Social Security numer), datę urodzin wraz z nazwiskiem panieńskim matki. W artykule nie podano ilu osób dotyczy ten wyciek ani w jakim wieku są […]

AutoSploit – nowe zagrożenie dla IoT

AutoSploit to narzędzie, które automatyzuje ekspoloitację usług udostępnionych w Internecie. Jest to skrypt napisany w Pythonie, który z wykorzystaniem API Shodana oraz Metasploit. Może być wykorzystany przez niedoświadczonych “badaczy” bezpieczeństwa do testowania błędów w oprogramowaniu urządzeń podłączonych do sieci Internet. Jak działa AutoSploit W skrócie narzędzie to wyszukuje za pomocą Shodana podatne usługi, a następnie […]

0-day w popularnym komunikatorze Telegram

Telegram to jeden najpopularniejszych i najlepszych komunikatorów na świecie. Lista zalet jest długa: darmowy, dostępny na wszystkich platformach (w tym Windows 8),  praktyczna synchronizacja, ale również bezpieczeństwo. Telegram posiada tryb „secret chat”, podczas którego wiadomości nie są szyfrowane przez serwer a bezpośrednio przez rozmawiających (end-to end). Ten komunikator często wskazywany jest jako jedyna realna konkurencja […]

Cyber zniszczenia na olimpiadzie w Pyeongchang

Olimpiada w Pyeongchang zaczyna przypominać cyberigrzyska. Wiadomo już, że awaria systemów w trakcie ceremonii otwarcia, była spowodowana wrogimi działaniami cyberprzestępców. Uniemożliwiła ona prawidłowe zweryfikowanie wejściówek znacznej liczbie gości. Przywracanie systemów do pełnej sprawności zajęło 12 godzin. Organizatorzy twierdzą, że udało im się zidentyfikować sprawców. Niemniej zdecydowano się nie ujawniać ich tożsamości… choć Rosja kategorycznie zaprzeczyła […]

Błędy pamięci w p7zip pozwalają na zdalne wykonanie kodu

Ujawniono podatności w oprogramowaniu p7zip i 7zip. Pozwalają one na zdalne wykonanie kodu przez otwarcie specjalnie przygotowanego archiwum rar lub zip. Podatność polega na przepełnieniu pamięci procesu tzw. sterty (ang. heap overflow). Jest to możliwe, gdyż brakuje sprawdzania
długości kopiowanego buforu w jednej z wew. funkcji aplikacji. W konsekwencji to może doprowadzić do wykonania kodu na […]

Przeglądarka www oknem do Twoich danych

Dla bezpieczeństwa większość firm blokuje niestandardowe porty. Jednocześnie pozwala swoim pracownikom łączyć się z internetem za pośrednictwem tylko niezbędnych i typowych programów takich jak np.: przeglądarka czy klient poczty. Niestety założenie, że przeglądarka stron www służy tylko do przeglądania stron www było dobre …. kilkanaście lat temu. Dzisiaj jest to uniwersalne narzędzie pozwalające na praktycznie każde działanie i […]

Nowa darmowa wersja deasemblera IDA

​Firma Hex-Rays udostępniła do bezpłatnego pobrania niekomercyjną wersję deasemblera IDA 7.0 . Wersja ta nie posiada wsparcia dla wielu procesorów i formatów. Jednak najbardziej popularne binarki 32 lub 64-bitowe na procesorach Intel będzie przy można z użyciem tego narzędzia jak najbardziej analizować. Porównanie wersji komercyjnej IDA, nie mającej już takich ograniczeń jak wersja darmowa, z […]

Zbrodnia doskonała, czyli przemyt w ruchu X.509

Od tysięcy lat ludzie udoskonalają techniki przemytu. W XXI w., gdy informacja jest cenniejsza od złota, techniki jej przemycenia również wzrosły na znaczeniu. Specjaliści z Fidelisa odkryli nowy kanał przemytu informacji w certyfikatach TLS X.509, która nie pozostawia żadnych śladów. Sekret tkwi w tym, że specjaliści od bezpieczeństwa analizują ruch sieciowy. Co jednak, jeżeli do […]

0-day w Adobe Flash Player

Specjaliści z Koreańskiego CERT-u opublikowali podatności (CVE-2018-4878) w Adobe Flash Player dotyczące wszystkich wersji, w tym najnowszej 28.0.0.137 (wydana w styczniu 2018). Exploit może być zawarty w Microsoft Office lub stronie internetowej i może umożliwić przejęcie systemu przez atakującego. Obecnie nie ma poprawki, prawdopodobnie pojawi w tym tygodniu. Jednym z zaleceń jest wyłączenie lub odinstalowanie aplikacji. […]

Darmowy semi SIEM od RSA

Firma RSA udostępniła za darmo (do użytku domowego/nie komercyjnego) oprogramowanie RSA NetWitness Investigator Freeware. Jest to uproszczona (z innym GUI) wersja systemu SIEM (Security Information and Event Management) firmy RSA o nazwie Netwitness Suite. Umożliwia on zbieranie i analizę pakietów sieciowych  oraz istotnych dla bezpieczeństwa danych z logów, korelację zdarzeń oraz identyfikację wzorców zachowań i […]

Wycieki danych z gry Sonic na niezweryfikowane serwery

Badacze Pradeo Lab wykryli wyciek danych z gry Sonic firmy SEGA. Problem dotyczy aplikacji : Sonic Dash , Sonic the Hedgehog ™ Classic, Sonic Dash 2: Sonic Boom. Powyższe aplikację zbierają dane o glokalizacji  i urządzeniach użytkowników. Dane głównie są wysłane w celach marketingowych. Niepokoi jednak fakt, że powyższe aplikacje mają sporo luk bezpieczeństwa między […]

Encrypted Traffic Analytics – znajdź malware w szyfrowanym ruchu

Firma Cisco przedstawiła produkt Encrypted Traffic Analytics (ETA), który umożliwia identyfikowanie malweare-u w ruchu zaszyfrowanym przy pomocy protokołów SSL/TLS bez potrzeby jego odszyfrowania. W tym celu używano jak dotąd głównie serwerów, lub urządzeń pracujących w trybie proxy, które zastępowały oryginalne certyfikaty własnymi. Jednak ta metoda mogła wprowadzać pewne opóźnienia w ruchu oraz ingerowała w prywatność […]

Luka w oprogramowaniu Lenovo do zarządzania czytnikiem linii papilarnych

Lenovo wydało poprawki do laptopów ThinkPad, ThinkCentre i ThinkStation. Usuwającą podatność w Managerze danych logowania – odcisków palców. Problem dotyczy systemu Windows7, 8 i 8.1 oraz Managera linii papilarnych w wersji 8.01.86. Należy zaktualizować program Fingerprint Manager Pro do wersji 8.01.87 lub nowszej. Problem nie dotyczy Windowsa 10. W Windows 10 zarządzanie logowaniem za pomocą […]

Cisco ASA SSL VPN – zdalne wykonanie kodu bez autoryzacji

Cisco wydało aktualizację zabezpieczeń dla wszystkich wersji oprogramowania Cisco ASA (od 8.x do 9.x). Aktualizacja usuwa niedawno wykryty błąd opisany w CVE-2018-0101, który dotyczył podatności w funkcjonalności SSL VPN. Pozwalał on nieautoryzowanemu użytkownikowi poprzez wysłanie kodu XML na interfejs z uruchomioną usługa webvpn zdalne wykonanie dowolnego kodu, lub restart urządzenia. Podatność dotyczy oprogramowania Cisco ASA […]

Uwaga na prezenty/nagrody w postaci pendrivów

Pod koniec zeszłego roku Tajwańskie biuro śledcze zorganizowało konkurs z zakresu cyberbezpieczeństwa. Nagrodami były pendrivy, które jako dodatkowy niechciany bonus miały złośliwe oprogramowanie. Do zainfekowania pendrivów doszło prawdopodobnie podczas ich testowania w firmie dostarczającej nagrody. Zmodyfikowane pendrivy kradły poufne dane użytkowników, które były przesyłane na serwery w Polsce a następnie dalej przekazywane do kolejnych niezidentyfikowanych […]

Najbardziej zaawansowany malware na Androida

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy… a jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku […]

Duży wyciek danych brytyjskich firm do Dark Web’u

Kilkadziesiąt godzin temu, w poniedziałek 22 stycznia, odkryto wielki przeciek danych brytyjskich firm do Dark Netu. Badacze z firmy RepKnight, szacują, że wyciekły dane ponad 500 legalnych firm, tj. ponad 1 000 000 maili. Około 80% z nich wyciekło razem z hasłami. Większość wykradzionych haseł była  trzymana w zwykłych plikach tekstowych. Wyciek jest świeży, ale ponad […]

Niszcz, aby chronić – poliwęglan autodestrukcji

Ochrona informacji zwykle kojarzy się nam z bronieniem dostępu do niej, szyfrowaniem czy robieniem kopii zapasowych. Bywają jednak sytuacje, w których aby ustrzec sekret przed wpadnięciem w niepowołane ręce, musimy go zniszczyć. Jak wiadomo, najpewniejszym sposobem na pozbycie się danych cyfrowych jest fizyczna destrukcja nośnika, na którym się one znajdują. Można w tym celu wykorzystać […]

Kolejna kampania malware’u Zyklon

Na blogu FireEye pojawiła się informacja, że znany od 2016 roku Zyklon rozprzestrzenia się ponownie z wykorzystaniem co najmniej trzech podatności MS Office: CVE-2017-8759, CVE-2017-11882 oraz DDE. Wektorem infekcji jest mail – najczęściej spamowy – opatrzony spakowanym załącznikiem (ZIP) zawierającym złośliwy plik DOC. Według pozyskanych informacji atak kierowany jest głównie w firmy z sektora telekomunikacyjnego, […]

Odkryto wiele podatności w routerach Asus

Badacz z Polski odkrył serię podatności w serwerze http będącym częścią firmware routerów Asus serii RT-N65x (podatności dotyczą firmware do wersji 3.0.0.4.376.x). Wykryte podatności w routerach Asus Brak walidacji nagłówków http prowadzący do zdalnego wykonania kodu – nieuwierzytelniony użytkownik poprzez zmianę wartości niektórych nagłówków (np. Header) może nadpisać wywołanie SystemCmd które prowadzi do wykonanie polecenia […]

Złośliwe aplikacje w Sklepie Google wyświetlających „nieodpowiednie treści”

Badacze z ChackPointa wykryli w sklepie Google Play około 60 złośliwych aplikacji, które oprócz wyświetlania reklam dostarczały także „niewłaściwe obrazki”. Złośliwe oprogramowanie występowało w trzech wariantach: Wyświetlanie reklam, które bardzo często były „nieodpowiednimi treściami” problem polega na tym, że reklamy te pojawiały się w grach/programach których nazwa sugerowała, że mogą to być aplikacje przeznaczone dla […]

Protokół bezpieczeństwa WPA3 prawdopodobnie w 2018

​Na konferencji CES, Alliance Wi-Fi ogłosiło wprowadzenie 2018 nowego protokołu bezpieczeństwa Wi-Fi – WPA3. Szczegóły nie są do końca znane. Wiadomo, że będzie on zawierał cztery nowe funkcje podnoszące bezpieczeństwo Wi-Fi: Ochrona przed atakiem słownikowym na hasło dostępowe do sieci Wi-Fi. Pomimo ustawienia łatwego hasła uwierzytelniającego dostęp będzie odpowiednio chroniony. Łatwiejsze zabezpieczenie Internetu rzeczy nie […]

Kopanie kryptowalut w publicznych sieciach Wi-Fi

Aplikacja CofeeMiner umożliwia wyszukiwanie krypotwalut przy pomocy zasobów sprzętowych urządzeń podłączonych do wspólnej sieci Wi-Fi. Aby było to możliwe ruch sieciowy musi być wcześniej przekierowany na punkt dostępowy zarzadzany przez atakującego np. przy użyciu techniki typu ARPspoofing. Następnie do treści stron wykorzystujących protokół HTTP dodawany jest skrypt zmuszający urządzenie ofiary do kopania kryptowalut. Program nie ingeruje w strony zabezpieczone protokołem HTTPS, lub przez połączenia VPN. Źródło: https://nakedsecurity.sophos.com/2018/01/09/coffeeminer-project-lets-you-hack-public-wi-fi-to-mine-cryptocoins/

RansomCloud – nowe zagrożenie

Specjaliści z ElevenPaths – firmy zajmującej się cyberbezpieczeństwem przedstawili nowy rodzaj ransomware-u, tj. złośliwe oprogramowanie o nazwie ‘O365 RansomCloud’ szyfrujące wiadomości użytkownika przechowywane w chmurze. W ramach PoC wykorzystano usługę Microsoft Office 365 oraz Windows Live. Zastrzeżono jednak, że ten rodzaj ataku działa także na usługi innych tzw. IdPs (ang. Identity Providers) takich jak Twitter, […]

Pierwszy nowy malware na systemy macOS w 2018 roku

W piątek 12 stycznia 2018 roku Patrick Wardle opublikował raport o nieznanym złośliwym oprogramowaniu na macOs o nazwie roboczej MaMi. Nie jest znany sposób rozprzestrzeniania się złośliwego oprogramowania, ale znana jest jego działanie. Działalność malware jest subtelne, bezobjawowa i …  niezwykle groźne. Sprowadza się do podmienienia serwerów DNS na zarażonej stacji, tak by domyślnymi serwerami DNS […]

Zdalne wykonanie kodu w D-Link DNS-343 ShareCenter

D-Link DNS-343 jest urządzeniem klasy NAS (koszt ~520$), w którym ujawniono podatność pozwalającą na zdalne wykonanie kodu. DNS-343 ma możliwość udostępniania zasobów przez serwer www (goAhead Web Server) na którym odkryto w katalogu “maintenance” skrypt test_mail.asp. Analiza opisywanego skryptu wykazała, że dane przekazywane do niego w żaden sposób nie są walidowane, oraz wykonuje on bezpośrednio […]

Łatki bezpieczeństwa MS_2018_01_09

Najnowsze łatki bezpieczeństwa (23 szt.)  opublikowanie we wtorek 09.01.2018 zawierają poprawki dla Adobe Flash, MS Office, .Net. – Nie zawierają poprawek dla podatności Meltdown i Spectre. Zawartość poprawek Poprawki krytyczne usuwają luki w Adobe Flash , oraz lukę związaną z pamięcią w MS Word. Poprawki ważna usuwają  luki w .NET , zdalne wykonanie kodu w MS […]

Łatwa droga do przejęcia bezpiecznego systemu poprzez Intel AMT

Ostatnio firma Intel nie ma dobrej passy. Po Meltdown i Spectre, specjaliści z F-Secure wykryli (nawet w lipcu 2017 a teraz tylko ogłosili) kolejny problem bezpieczeństwa w firmware Active Management Technology (AMT), która jest zainstalowana w ponad 100 milionach komputerów z procesorami Intela, głównie w korporacyjnych laptopach. Jak działa mechanizm Okazuje się, że wystarczy mieć […]

Kolejny botnet kopiący Monero na podatnych serwerach JBoss

​W połowie grudnia 2017 zaobserwowano kampanię skanowania serwerów JBOSS pod względem istnienia podatności CVE-2017-12149 dotyczące nieprawidłowej deserializacji danych przez Jbossa. Boty wysyłały żądanie http na url “/invoker/readonly” na 6 portów tcp używanych przez Jbossa i rejestrowały w serwerze C&C IP wszystkich komputerów, które w odpowiedzi zwracały kod błędu 500 z napisem “Jboss”/”jboss”. Przejmowane w ten […]

Przesyłanie szyfrowanych danych nie zapewnia poufności

Drony są wykorzystywane zarówno do celów typowo rozrywkowych jak i biznesowych. Czasami jednak mogą stanowić zagrożenie życia fizycznego lub ingerować w nasze życie wbrew naszej woli. Dlatego bardzo przydatne mogą być ostatnie eksperymenty specjalistów. Stwierdzili oni, że istnieje możliwość identyfikacji czy dron, który na bieżąco przekazuje obraz ze swojej kamery do stacji odbierającej rejestrował również […]

Backdoor w przełacznikach sieciowych firmy Lenovo

Podczas audytu inżynierowie Lenovo wykryli Backdoor w systemach ENOS (Enterprise Network Operating System) przełączników Lenovo, IBM RackSwitch i BlaCenter. Wykryta podatność to znany dobrze „Backdoor HP” (ominięcie uwierzytelniania), dotyczy zarządzania poprzez Telnet, Console (port typu Serial) i SSH. Firma twierdzi że „Backdoor” został dodany w 2004 kiedy ENOS należą firmy Nortel, na prośbę OEM BSSBU. Zalecane rozwiązanie […]

​Inwestorzy okradzeni na łączną kwotę 1 400 000 zł

BlackWallet.co jest jedną z najpopularniejszych na świecie aplikacji do wymiany pomiędzy kryptowalutami. 14 stycznia administratorzy strony  poinformowali o przechwyceniu przez nieznanych sprawców DNS-u strony. Mówiąc wprost umożliwiało to przestępcom bezkarne podszywanie się pod legalnie działającą stronę. Klienci wpisywali adres strony, logowali się i… tracili wszystkie oszczędności. Szacuje się, że przestępcy okradli ludzi na łączną kwotę […]

Grupowe rozmowy na Signal i WhatsApp możliwe do podsłuchania!

Naukowcy z politechniki Ruhr-Universität Bochum (RUB) opublikowali badania pokazujące możliwość podsłuchiwaniu grupowych rozmów w aplikacjach Threema, Signal i WhatsApp. Odkrycie jest wyjątkowe, ponieważ do tej pory komunikacja „end-to-end” była uznawana za w pełni bezpieczną. Co więcej – aplikacja Signal stała się wręcz niedoścignionym wzorem komunikatora zapewniającego prywatność. Z pracy naukowców wynika, że administrator serwera Signal/WhatsApp, […]

Podatność w „The Most Trusted WordPress LMS”

Hasłem reklamowym pluginu „Learn dash” jest „The Most Trusted WordPress LMS”. Dzisiaj możemy złośliwie dopowiedzieć do niego „…not anymore”. Właśnie odkryta podatność we wspomnianej wtyczce pozwala nieuprawnionych użytkownikiem przesyłanie plików na serwer.  Wystarczy spreparować zapytanie POST  aby przesłać „assig.php.” do folderu „/wp-content-uploads/assignments/” a następnie użyć go, aby przesłać skrypt shell-owy do folderu administratora strony i […]

Podatności w urządzeniach NAS serii WDMyCloud firmy Western Digital

Zespół badawczy z firmy Gultech wykrył kilka podatności w popularnych urządzeniach NAS serii WDMyCloud firmy Western Digital. Okazuje się, że wystarczy, że użytkownik podpięty do NAS i Internetu kliknie w link http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlin kBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/; , np. zawarty w obrazku na przeglądanej stronie internetowej a wtedy atakujący uzyska dostęp do urządzenia z prawami administratora. Inna podatność wynika […]

Windows Hello oszukane przez zdjęcie

Jak twierdzi Microsoft “They can guess your password – not your face”. Niestety wygodny dla użytkownika mechanizm rozpoznawania twarzy w celu odblokowania komputera – Windows Hello – jest zawodny. Badacze z niemieckiej firmy SySS udowodnili, że przy sprzyjającej konfiguracji programowo-sprzętowej wystarczy odpowiednio spreparowane zdjęcie użytkownika i komputer zostanie odblokowany. Atak jest skuteczny dla wszystkich wersji systemu […]