Lansare publică a serviciului ctrlProdefence

ctrlProdefence – O platformă ce este gestionată de Prodefence, din anul 2019, pentru a veni în sprijinul clienților săi, exclusiv ca o completare a testelor de penetrare (audit de securitate).

Datorită situațiilor critice în care se află sistemele informaționale din Romania, dar și a evoluției atacurilor cibernetice, am hotărât să alocăm resursele necesare pentru extinderea acestei platforme, mărind capacitatea de stocare și transfer de date. Astfel am ajuns la stadiul în care putem susține un număr mare de clienți ce doresc să iși protejeze datele și reputația Instituției sau Firmei pe care o administrează.

Platforma vine în sprijinul tuturor administratorilor IT&C, responsabili pentru anumite active (pagini web, aplicații web, servere, rețele, magazine online), transformând un numar mare de informații, intr-un raport cu date esențiale despre vulnerabilitațile nou apărute, care le-ar putea afecta sistemele informaționale.

În imaginea de mai sus, se poate observa prezența vulnerabilităților (vulnerabilități noi adaugate în funcție de sistemele scanate) de la prima scanare a unor active (IP retea), până la ultima scanare din această lună. La introducera, lor în luna Martie 2020, vulnerabilitățile ce ar fi putut afecta rețelele erau în număr foarte mare, datorită faptului că unele sisteme nu aveau actualizări la zi și nici nu erau administrate corespunzător.
După trimiterea primului raport către Directorii instituțiilor/ firmelor și în urma discuțiilor explicative, aceștia au înțeles gravitatea situației și necesitatea alocării de buget pentru protejarea sistemelor informaționale.

Ce conține ctrlProdefence

  • Aplicații de top dezvoltate pentru descoperirea de vulnerabilități;
  • Automatizare pentru majoritatea funcțiilor incluse;
  • Posibilitatea de a programa frecvența scanărilor;
  • Calcularea și catalogarea riscurilor, în funcție de sistem și vulnerabilități;
  • Raportarea riscurilor critice la nivel de alertă;
  • Sistem de urmărire a evoluției vulnerabilităților;
  • Panou de control cu permisiuni la cerere (administrator, manager).

Variante de folosire a platformei.
Includerea în platformă se poate face după efectuarea unui audit de securitate (test de penetrare) asupra activelor, iar platforma să fie destinată monitorizării sistemelor informaționale. Un audit de securitate poate descoperi cele mai ascunse vulnerabilități, deoarece se aplică teste bazate pe intuiția și interpretarea auditorului.
Dar în aceiași măsură există și varianta de menținere a securității sistemelor prin eliminarea vulnerabilităților raportate de platformă, deoarece aplicațiile integrate sunt actualizate și folosesc metode inteligente de descoperire a vulnerabilităților.

Din experiență, știm că banii sunt un factor decisiv când vine vorba despre investiții!
Dar aceasta nu este o investiție! Securitatea cibernetică este un element esențial în protejarea infrastructurii Instituției sau a Firmei pe care o administrați!
Protejarea datelor confidențiale, protejarea integrității și a reputației este responsabilitatea conducerii, în primul rând!
În fiecare an trebuie alocat buget pentru menținerea sistemelor informaționale la un nivel cel puțin acceptabil, din punct de vedere al securității cibernetice!

Prețul pentru integrarea in platforma ctrlProdefence se stabilește în funcție de marimea Instituției/ Firmei, nivelul de confidențialitate a datelor stocate și numarul activelor (ip, retea, web).

În concluzie, vizitați pagina cu informațiile platformei și rămâne să discutăm detaliile care vă interesează, încât să vă putem personaliza o ofertă de preț!

/de

Divulgarea de informații prin imprudență – Transmitere – Colectare – Exploatare

Se poate spune că informația se constituie intr-o reprezentare a realității, dar și a reflecției și proiecției – care sunt operații tipice intelectului uman – prin intermediul unui set bine precizat și structurat de simboluri – de regulă accesibile simțurilor și rațiunii umane, dar și unora dintre dispozitive, precum cele de calcul automat (calculatoare). Informatia nu este nici conținut (ci stările unui sistem pot fi asimilate cu acesta), nici agent (ci semnalele transmise printr-un canal pot fi asimilate cu acesta), nici proprietate, nici instructiune, nici proces și nici metoda, ci informația se constituie într-o categorie de sine stătătoare, având o existență abstractă și subtilă – adică nematerială – categorie care este reflectată de stări, semnale etc. și constituie un element esențial în procesul cunoașterii.” – Wikipedia

Informația a fost și este o armă, o poartă de acces, un flux infinit de date.
Te poate ajuta, împiedica sau distruge.
Totul depinde de context, importanță și exploatare.

Subiectul prezentei analize sunt informațiile ce ajung în spațiul public prin intermediul Internetului.

Regulamentul General de Protecție a Datelor și procedurile de Securitate Cibernetică ajută la protejarea informațiilor, indiferent de natura acestora (personale, confidențiale, secrete..), dar cu toate acestea, dintr-un motiv sau altul, unele informații ajung să fie publice. Vom enumera câteva cauze, dar ne vom concentra pe una singură!

  • Setări greșite,
  • Transport – transmitere – stocare,
  • Lipsă pregătire/ educație,
  • Indiferență,
  • Interese personale.

Transmiterea informației, nu este limitată la ceea cunoaștem standard, ca fiind o modalitate de a trimite informația către altcineva.
Acest proces, la nivel de infrastructură informatică, include mai mulți factori: dispozitiv personal/ corporativ, rețea, vpn, baze de date, aplicații; acestea nefiind tot timpul în aceiași ecuație.

Și totuși acesta este doar introducerea pentru ceea ce urmează!

Subiectul despre care vom discuta, este: Folosirea platformelor online pentru diferite activități aparent inofensive!

Platformele online oferă anumite servicii. Le vom enumera, iar dacă vă veți concentra pe cuvintele cheie… cred că dejă veți putea înțelege direcția în care vom merge!

  • Editare / trimitere fotografii,
  • Editare / trimitere / creare documente,
  • Scanare antivirus aplicații / documente,
  • Scanare antivirus email-uri,
  • Scanare adrese web (link-uri).

Dacă nu știați, sau nu erați siguri…. toate acestea au și o bază de date în spate, care stochează ceea ce am scris mai sus. În ceea ce privește confidențialitatea acestor informații, fiecare platformă are politicile ei, dar totodata au și diferite modalități de acces…. free, vip… Iar accesul la anumite date este la un clic distanță.

Pentru a înțelege mai bine, vom trece la câteva exemple.

Anumite aplicații scanează automat unele adrese (link-uri) și se folosesc de mai multe platforme pentru a găsi dacă acestea au fost raportate ca fiind cu probleme, la fel fac și unii utilizatori, atunci când le primesc prin mesaj, email etc.
Dar grijă la ce scanați… pentru că noi am găsit următoarele..

Trebuie să ințelegem că aplicațiile ce generează aceste documente online nu au vreo vină în acest caz, deoarece adresele spre acele documente sunt destul de greu de ghicit, sau ar trebui să poată fi accesate DOAR cu un cod unic transmis către client(SMS)! Dar acesta ar fi un alt subiect, pentru un alt moment! Problema ar fi scanarea adreselor ce au ajuns într-o bază de date ce este publică.
Informațiile pot fi folosite în diverse scenarii, iar infractorii cibernetici chiar sunt foarte inventivi!

Informații sensibile, dar din fericire invalide la momentul găsirii lor!

Este bine să fim precauți atunci când primim un email sau un fișier, dar scanarea lui pe platformele de recunoaștere a fișierelor infectate este soluția ideală?

Ceea ce scanați este la dispoziția celor ce au anumite privilegii pe aceste platforme!
În cazul în care documentul scanat conține date sensibile, acestea vor putea fi vazute de cel ce va analiza fișierul descărcat. Ce facem dacă este confidențial… sau secret?!?

Un alt exemplu interesant. Am căutat documente considerate a fi virusul Emotet, pentru că așa puteam găsi ușor o listă pentru acest articol, dar pe platformă sunt multe documente ”curate”. Ele rămân acolo și oricine le poate accesa pentru diverse analize… sau culegere de informații…

Pericolul divulgării de date este real!
În cazurile prezentate aici, dar și în multe alte scenarii asemănătoare, acțiunea are loc din dorința de protejare a infrastructurii, este o reacție normală la situația actuală din mediul online, DAR… totuși poate duce la un incident de securitate!
…un incident unde toată lumea a fost atentă, cei implicați au intenții bune, dar totusi s-a întâmplat!

Situații de acest fel putem avea și în ceea ce privește editarile online, completări de documente, transfer de documente(necriptate) etc.

În funcție de informații, cel ce le colectează, are suficiente scenarii de exploatare, iar în caz de succes, rezultatul nu poate fi favorabil pentru cei vizați!

Subiectul este unul destul de vast și discutabil, dar ne vom rezuma doar la informațiile afișate, cu speranța că am deschis subiect de discuție… destul de interesant!

Atenție la detalii!

/de

Atac EMOTET asupra CV19 România

Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail ([email protected]) un mesaj aparent inofensiv însă…alertele de securitate au explodat!

Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent.

S-a declanșat imediat procedura de Incident Response și am început investigația.

Haideți să ”vedem” factura”

La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului.

Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât!

Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică.

Înainte de a urma indicațiile expeditorului, vom încărca documentul pe platformele de detectare a fișierelor malware.

https://www.virustotal.com/gui/file/2a4501a9c916de2614ab790c698688048ac5c327c03fdb1910509f81f0f8b9ad/detection

După cum se poate observa, se raportează o detecție destul de mare (40/62) și prezența a 2 tag-uri: doc + executes-droped-file. La un raport atât de mare șansele de a fi un fișier infectat sunt ridicate, iar tag-urile probează ceva neobișnuit: Este un fișier .doc … dar …executabil (execută un fișier).

Am analizat puțin fluxul de operare al “facturii”

  1. Deschide winword.exe (Microsoft Office Word)
  2. La activare conținutului cerut se rulează un ”macro”
  3. Macro ce lansează un powershell
  4. Powershell ce se va contecta la mai multe site-uri pentru a descărca partea a 2-a a atacului
  1. Partea a 2-a. atacului fiind aceea care oferă control total atacatorului asupra stației de lucru.

Este clar că am primit un fișier malware, ce are ca scop infectarea dispozitivului nostru!

Totuși să încercăm identificarea dovezilor… prin alte metode… mai clasice!

Deschidem fișierul cu un tool de editat și putem observa că nu se pot distinge prea multe elemente. 

Din toate acestea, vom alege sa extragem partea secțiunea Powershell și Macro, incluse în fișier.

Ceea ce se vede mai sus este codare Base64 ce permite transmiterea de “caractere speciale” independente de protocolul de comunicare (în cazul de față http/https)

Decodarea șirului de caractere rezultă într-o serie de comenzi powershell ce urmează să permită conectarea la mai multe site-uri și să descarce partea a 2-a a atacului unde întâlnim un alt nume cu rezonanță din zilele noastre – Trickbot, malware-ul dejucat de curând de Microsoft.

Observam deja primele “Indicators Of Compromise” (IOS) cele 7 domenii care găzduiesc (în mod conștient sau nu) partea a 2-a a atacului.

Continuarea articolului pe CV19 Romania

/de