Nejpodivnější „chytré“ zařízení
Ve světě „chytrých” zařízení potkáte mnohem bizarnější věci než lednice, kartáčky na zuby a vysavače. Jednou z nich je i chytrý pás cudnosti pro muže. Výrobek čínské firmy Qiui určený jak pro předcházení nevěře, tak i pro neobvyklé hrátky, má jednu vlastnost, která z něj činí věru nebezpečnou hračku. Ovládá se pomocí chytré aplikace komunikující přes Bluetooth a nemá žádnou zálohu v podobě fyzického klíče, který by zařízení otevřel, pokud by došlo k selhání aplikace.
Nyní se na zařízení zaměřili bezpečnostní analytici britské firmy Pen Test Partners, aby v celém řešení našli několik bezpečnostních děr. Ta nejpikantnější spočívá v možnosti, kdy může potenciální útočník zabránit otevření zařízení a uživatele v pásu nechat trvale uzavřeného. K jeho otevření je pak potřeba použít úhlovou brusku nebo jiné dostatečně silné nářadí. Kromě toho našli i jiné zranitelnosti, které umožňují získat citlivá data uživatelů, jako jsou jméno, telefonní číslo, datum narození a geolokační data. To by potenciálnímu útočníkovi otevřelo cestu k vydírání nebo phishingu. Více najdete v originálním blogpostu.
Analýza phishingového kitu
Xavier Mertens, kyberbezpečnostní konzultant na volné noze, popisuje pro SANS ISC InfoSec phishingový kit, který nalezl minulý týden. Zůstal zapomenut útočníkem na jednom kompromitovaném serveru v ZIP souboru. Popisuje stromovou strukturu, která sestává ze 16 PHP skriptů, jednoho javascriptu a 17 obrázků a obsahuje formulář uživatelského jména a hesla v hezky vypadajícím designu.
Po falešném přihlášení je oběť vedena obrázkovým návodem, aby zadala bankovní kartu a správně opsala CVC kód. Všechny ukradené informace se pak posílají na dvojici e-mailů, založených u vysoce anonymních poskytovatelů yandex.com a protonmail.ch.
Xavier připojil celý obsah souboru blocker.php, který obsahuje číselníky nežádoucích IP rozsahů, User-Agentů a domén – aby stránka co nejdéle unikala pozornosti například cachi googlu, antivirovým společnostem a podobně.
Petr Výtržný má instagramový účet
Národní úřad pro kybernetickou a informační bezpečnost spustil edukativní instagramový účet s názvem @petr.vytrzny. Jedná se o oblíbenou postavu smyšleného komiksového influencera z populární vzdělávací aktivity Digitální stopa, který představuje fiktivní příběhy komiksových postav s tématikou internetové bezpečnosti. Jeho putování můžete sledovat také pod hashtagy #pribehyznetu #hotchallenge.
Soudní dvůr EU zakázal plošné „data retention”
Soudní dvůr Evropské unie vydal verdikt, který zakazuje ukládat operátorům všeobecné a necílené sbírání a ukládání metadat o chování uživatelů v jejich sítích a jejich předávání bezpečnostním složkám či tajným službám. To je u nás zakotveno v ustanovení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, které ukládá poskytovatelům povinnost uchovávat po dobu 6 měsíců provozní a lokalizační údaje (přesné znění), což je v rozporu s pravidly EU.
Nález Ústavního soudu však v květnu 2019 tento přístup schválil. Je tedy otázkou, jestli a případně, jak bude česká legislativa v budoucnu upravena. Detailnější články k této problematice vyšly na portálu Lupa.cz (#1 a #2).
IoT P2P botnet
Byl objeven nový IoT P2P botnet, který se šíří díky hádání hesel u služby telnet na portu 23 nebo 2323. Některé zdroje (pravděpodobně mylně) uvádí, že se jedná o SSH na portu 23/2323. Tento botnet v současné době neumí ani DDoS útoky, ani těžbu kryptoměn, ani manipulaci se síťovým provozem.
Ani jednu možnost však do budoucna nelze vyloučit, protože provozovatelé botnetu mají možnost spustit libovolný příkaz či jejich sadu. Jakožto „ultimátní“ možnost mají provozovatelé schopnost vymazat existující diskové oddíly na napadeném zařízení.
Vypusťte Krakena
Ve čtvrtek 17. září byl objeven nový útok jménem Kraken. Skrývá se před detekcí tak, že vkládá svůj kód do služby WER (Windows Error Reporting – WerFault.exe). Je založen na modifikovaném CactusTorch frameworku a obsahuje několik funkcí, které znesnadňují jeho detekci: kontrola přítomnosti debuggeru, detekce virtuálního stroje (zda neběží pod VmWare, nebo VirtualBoxem), kontrola NtGlobalFlag za účelem zjištění zda je debugován. Sám škodlivý kód je uložen na kompromitovaném serveru asia-kotoba.net.
Indikárory kompromitace (IoC) jsou následující:
Dokument se zákeřným kódem: 31368f805417eb7c7c905d0ed729eb1bb0fea33f6e358f7a11988a0d2366e942
Archiv (zip) obsahující dokument:
d68f21564567926288b49812f1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4
Download URL:
yourrighttocompensation[.]com/?rid=UNfxeHM
yourrighttocompensation[.]com/download/?key=15a50bfe99cfe29da475bac45fd16c50c60c85bff6b06e530cc91db5c710ac30&id=0
yourrighttocompensation[.]com/?rid=n6XThxD
yourrighttocompensation[.]com/?rid=AuCllLU
Download URL konečného zákeřného kódu:
asia-kotoba[.]net/favicon32.ico
Ve zkratce
- Bezplatný phishing training kit
- Zranitelnosti v antivirech dělají počítače zranitelnějšími
- QNAP vydal záplaty pro dvě kritické zranitelnosti
Pro pobavení
Ransomware on a coffee machine? Noooo! There are critical services that can't be disrupted! :) https://t.co/frxZC2jdjE pic.twitter.com/JuGoe6Wgue
— Xavier Mertens (@xme) September 29, 2020
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU