Articole

Ministerul Afacerilor Externe (MAE) – Ținta unui atac cibernetic în desfășurare

Așa cum am menționat în articole anterioare, infractorii cibernetici au ca scop comun obținerea de câștiguri financiare, direct sau indirect. Am scris infractori, deoarece atacurile cibernetice lansate de aceștia se aseamănă cu infracțiunile cunoscute în viața de zi cu zi.
Atacului cibernetic asupra Ministerului Afacerilor Externe nu îi putem atribui o astfel de descriere, pentru că în acest caz nu mai putem discuta despre infracțiune financiară, scopul atacatorilor fiind foarte definit… și anume accesul în infrastructura Ministerului.

Documentul conține informațiile și analiza atacului cibernetic.

Phishing Ministerul Afacerilor Externe RomaniaDescarcă
/de

Phishing-ul bancar – Propuneri de soluții pentru diminuarea numărului de victime

Odată cu extinderea semnificativă a spațiului virtual, utilizatorii din mediul online își împărtășesc din ce în ce mai multe informații personale și drept urmare, o cantitate enormă de date legate de identificare sau tranzacții financiare sunt expuse agresorilor cibernetici. Phishing-ul este unul dintre exemplele de criminalitate prin intermediul căruia infractorii își înșală victimele, cu scopul de a exploata ulterior elementele exfiltrate. De la primul atac raportat în 1990, metoda a evoluat, vectorii de livrare devenind deosebit de sofisticați. Articolul își propune evaluarea acestor acțiunii, identificarea și revizuirea tehnicilor existente.

Sectorul financiar este una dintre principale ținte ale infractorilor cibernetici, care folosesc deseori atacurile de phishing pentru a ocoli protocoalele de securitate ale băncilor, cu scopul de a-și atrage victime și de a le convinge de legitimitatea e-mailului falsificat. Aceștia apelează la diverse trucuri de inginerie socială prin crearea de scenarii (actualizare falsă a contului, upgrade de securitate etc.) și tehnici specifice (imitarea imaginilor, logo-urilor și identității instituțiilor bancare etc.).

Descarcă documentul: https://dnsc.ro/vezi/document/phishing-ul-bancar

Concluzii

Deși educația cibernetică reprezintă una dintre cele mai eficiente bariere de apărare împotriva phishing-ului, această amenințare va fi dificil de eliminat complet datorită complexității în continuă creștere, a rafinamentului atacurilor, a elementelor de inginerie socială și a instrumentelor tehnice în continuă dezvoltare. Se poate observa o repoziționarea a agresorilor care trec de la e-mailurile tradiționale, la phishing-ul bazat pe rețelele sociale, înregistrându-se un permanent decalaj între atacurile de phishing sofisticate și contramăsurile implementate.

Campaniile de conștientizare cu privire la phishing trebuie să fie promovate nu doar clienților și angajaților băncilor, ci și personalului responsabil de aplicarea legii, care este în măsură să investigheze infracțiunile economico – financiare online. Clienții trebuie să cunoască nivelul potențialului impact financiar rezultat în urma unui atac cibernetic reușit. Băncile trebuie să încerce să combată capabilitățile în continuă schimbare ale atacatorilor cibernetici prin crearea de aplicații online adaptate, mai sigure, cu potențial de a recunoaște mai rapid schemele infracționale de tip phishing. Angajații care transferă fonduri în mod regulat, care gestionează date sensibile, sau care participă la activități cu risc operațional ridicat au nevoie de instruire suplimentară despre cum să detecteze și să evite capcanele phishing mai sofisticate. Persoanele cu rol de aplicare a legii trebuie de asemenea să fie familiarizate cu instrumentele utilizate în atacurile de tip phishing și să înțeleagă modul în care acestea funcționează, pentru a atribui corect atacurile făptuitorilor și pentru a propune contramăsuri mai eficiente.

Formarea continuă privind riscurile de securitate cibernetică poate fi cheia pentru a evita pierderile și pentru a reduce impactul. În acest articol s-a dorit evidențierea importanței dezvoltării mai multor tehnici anti-phishing, cu rol de detectare și blocare a atacurilor, precum și o taxonomie clară pentru a înțelege cât mai mult din ciclul de viață al phishing-ului.

Referințe:

Directoratul Național de Securitate Cibernetică – https://dnsc.ro/vezi/document/phishing-ul-bancar
Siguranța Online – https://sigurantaonline.ro/phishing-ul-bancar/
ResearchGate – https://www.researchgate.net/publication/360393165_Phishing-ul_bancar_Propuneri_de_solutii_pentru_diminuarea_numarului_de_victime_ale_atacurilor_cibernetice_de_tip_phishing

/de

Atacurile DDOS din România – Trezirea la realitate

Atacul DDOS

Atacul DDOS este o formă de atac cibernetic realizat prin trimiterea excesivă de date către serverul țintă. Pentru realizarea atacului nu este obligatoriu ca atacatorul să fie hacker și să aibă cunoștințe tehnice deosebite, dar impactul asupra țintei va depinde de anumite criterii esențiale.

Este considerat un atac cibernetic deoarece poate produce pagube în toate industriile și mai ales infrasctructurilor serviciilor esențiale.

Atunci când se lansează un astfel de atac trebuie să existe:

  • O țintă clară (nu introduci un IP la nimereală),
  • Un scop clar (faimă, mesaj, daune),
  • Buget(platformă ddos, zombi, echipament, proxy).
  • Sacrificiu (dispozitive/ Ip-uri care devin inutile)

Primele două sunt ușor de înțeles, așa că vom insista doar pe buget și sacrificiu.

Buget.

DDOS-as-a-Service
Realizarea atacurilor DDOS se poate face prin intermediul platformelor care oferă servicii de acest gen. Ca și preț pentru 1 oră de DDOS asupra unui IP vorbim de 10-35$. Un ”atacator” va plăti în funcție de ceea ce dorește ca platforma să facă pentru el (tip, timp, putere). În timpul atacului acesta va accesa o altă platformă de control a funcționalității IP, va copia adresa raportului și se va lăuda cu ”atacul hacking” asupra țintei X.

Servere compromise.
O altă metodă de atac este folosirea serverelor compromise(de aceea se insistă pe securizarea infrastructurilor administrate). Hackerii compromit servere vulnerabile sau prin intermediul verigilor slabe(angajați) și introduc o serie de scripturi pentru persistența accesului, dar și pentru folosirea infrastructurii în desfășurarea unor tipuri de atacuri(ddos, distribuire de malware, campanii phishing etc). De cele mai multe ori aceștia vând accesul la aceste scripturi sau le folosesc pentru platformele mai sus menționate. Dar revenind la subiectul principal, vom sublinia faptul că doritorii de DDOD vor cumpăra accesul la aceste scripturi și le vor folosi după bunul plac.

Zombi
Exact! Ca în filmele cu acei oameni care făceau anumite lucruri fără a exista consimțământ. Așa și în cazul nostru, doar că sunt folosite dispozitivele oamenilor(și aici iar amintesc de necesitatea securizării, dar pentru dispozitivele noastre: pc, telefon, tabletă, router, tv, frigider smart etc). Atacatorii lansează campanii de distribuire a virușilor, iar dispozitivele infectate vor aștepta comenzile hackerului. Aici nu doar timpul de atac este foarte mare, ci și bugetul necesar pentru menținerea accesului.

Echipament/ Proxy
Aplicațiile pentru atacul DDOS nu sunt ceva super complicat și se pot obține ușor, fie fiind cumpărate, fie folosindu-se aplicații piratate/ sparte. Aici factorii importanți sunt lista de IP-uri folosită sau nodurile de redirecționare. De obicei, IP-urile folosite în atacuri cibernetice intră în diferite liste negre și vor fi respinse de mecanismele de apărare dispozitivelor sau infrastructurilor(antivirus, firewall etc), drept urmare, pentru a realiza un atac trebuie ca atacatorul să cumpere liste care să conțină IP-uri bune.

Sacrificiu

Sacrificiul este legat ceea ce am descris la Buget.
Atunci când este efectuat un astfel de atac, Toate IP-urile sunt preluate de mecanismele de apărare și introduse în lista neagră, această listă ajunge să fie folosită de mai multe mecanisme anti hacking și astfel devin inutile.
Sacrificiul vine atunci când se inițiază un astfel de atac.. știind că acele dispozitive sau IP-uri folosite nu vor mai fi bune pentru alte atacuri.

Dar… acest lucru este valabil NUMAI atunci când infrastructurile folosesc mecanisme de apărare împotriva atacurilor cibernetice!!!

Impactul atacurilor DDOS

Trebuie să înțelegem că impactul unui atac DDOS diferă de la infrastructură la infrastructură, depinde de timpul de atac și de mecanismele de apărare.

Impactul asupra unei pagini de prezentare nu se aseamănă cu atacul asupra unui magazin online, deoarece blocarea temporară a accesului la pagina web poate afecta imaginea și corespondența, în schimb magazinul online nu va putea vinde produse în timpul atacului cibernetic.

Infrastructurile cu soluții de apărare implementate vor fi afectate mai puțin sau chiar deloc vizibil, deoarece unele IP-uri vor fi blocate foarte repede, iar unele vor fi direcționate spre ”găurile negre” pregătite pentru astfel de situații.

Ce se poate face pentru evitarea/ stoparea incidentelor.

Exista o serie de măsuri care se pot aplica pentru diminuarea impactului, iar administratorii de rețele pot apela oricând la prietenul Google pentru implementare.

Dar… vom pune în articol câteva idei.

  1. In funcție de buget, se pot achiziționa echipamente anti DDOS sau servicii anti DDOS(traficul va trece prin serverele acestora, iar administratorul doar va fi notificat că a exista un atac, fără a fi afectată infrastructura),
  2. Setarea corectă a permisiunilor și a accesului la infrastructură(white/ black lists),
  3. În funcție de funcționalitatea infrastructurii se pot aplica restricții/ limitări pe timpul nopții,
  4. Dacă activitatea este dedicată utilizatorilor din România, o restricție pe IP este o soluție bună(asta dacă atacatorul nu are IP-uri curate de România),
  5. .. mai completăm dacă ne mai vin idei(încă sunt la jumătatea ceștii de cafea…)

Măsura cea mai interesantă și eficientă este cea ofensivă, dar nu o punem în listă, deoarece x, y, z. Un mecanism de apărare ofensiv ar prelua, în timp real, toate IP-urile folosite în atac și ar trimite către acestea un flux de date care să ducă la blocarea serverelor/ dispozitivelor folosite în atac. În acest caz, atacatorii și dispozitivele acestora vor deveni victime ale propriilor acțiuni, iar țintele acestora nu vor avea de suferit.
Desigur, vor exista victime colaterale, dispozitivele și infrastructurile compromise(folosite de atacatori) fiind afectate pe termen scurt, dar…

Pentru a înțelege mai bine situația, vom folosi un scenariu foarte legat de realitate.

Un magazin online poate funcționa pe un server pe care îl împarte cu alți chiriași sau unul dedicat. Indiferent de situație, acel server face parte dintr-o infrastructură și este echipat cu mecanisme automate de apărare/ protejare.
Pentru face un calcul al impactului și stabilirea unor restricții.. de exemplu pe IP, încât după anumite ore sau pe toată durata acestei perioade doar clienții din România să poată accesa magazinul, trebuie să existe o imagine clară a clienților, pentru a vedea câți clienți sunt din afara țării. În funcție de procentul acestora (5 -10 -15%) și raportat la 30 de zile puteți face o un calcul al sumei pierdute dacă blocați accesul.
Restul de 85%, care provin din România, nu îi vom raporta la 30 de zile, ci la 1-2 zile în care magazinul nu ar mai fi funcțional.
De ce 1-2 zile? Deoarece în cazul unui atac de tip DDOS mecanismele de apărare ale infrastructurii din care face parte serverul magazinului se va proteja și va suspenda întregul server, pentru a nu fi afectate și alte componente ale acestuia.
Mai exact, dimineață veți observa ca magazinul este offline, urmează un schimb de mesaje/ telefoane cu administratorul, acesta discută cu echipa tehnica a infrastructurii și până la urmă magazinul revine la normal, doar că în tot acest timp clienții nu l-au putut accesa și au căutat în altă parte.

Fiind o perioadă dificilă și luând în considerare creșterea numărului de atacuri cibernetice suntem obligați să luăm măsuri mai drastice. Să calculăm posibilele pierderi în cazul unui atac cibernetic și să implementăm măsuri de diminuare a impactului.
Măsuri adaptate la serviciile oferite, posibile pierderi, impact, imagine…buget etc.

/de

500,000 conturi Fortigate VPN – Rolul avertizărilor timpurii din partea specialiștilor în securitate cibernetică.

Septembrie 2021.

Fortigate VPN leak. Lista a 500.000 de servere a fost făcută publică zilele și toată lumea a început să reacționeze, să încerce remedierea vulnerabilităților care le expuneau datele de acces.

Sursă: CERT-RO – 2021/09/09

Ceea ce trebuie să înțeles, este faptul că vulnerabilitatea a devenit publică cu mult înainte, deci… aceasta a fost exploatată o perioadă bună de timp de câteva grupuri restrânse, iar după publicare a fost exploatată de toți cei interesați și pricepuți la astfel de activități. Acum, la expunerea totală a datelor de acces, serverele vulnerabile sunt exploatate de oricine.

Februarie 2021

Am aflat și căutat informații despre vulnerabilitate, am testat impactul asupra severului de VPN.
Am început analizarea infrastructurii din România, pentru a găsi potențiale servere, asupra cărora ar putea avea impact vulnerabilitatea.
Într-un mod subtil am lansat o avertizare și pe social media, știind că cei interesați vor cere informații despre vulnerabilitate.

Martie 2021.


Am adunat informațiile despre serverele din România care rulează acest serviciu și am trimis avertizarea către Centrul National de Răspuns la Incidente Cibernetice (CERT-RO) , devenit DNSC – Directoratul National de Securitate Cibernetică.

Echipa de răspuns la incidente a preluat informațiile și în regim de urgență s-a trecut la găsirea deținătorilor și implicit avertizarea acestora, cu privire la vulnerabilitatea care afișează datele de logare a utilizatorilor de VPN.

Cei afectați aparțineau sectorului public, dar și privat. Instituții, distribuitori echipamente medicale, agentie turism,  telecomunicații, lanț farmaceutic… plus IP-uri ale căror deținători nu am avut timp să le analizăm, dar echipa CERT-RO s-a ocupat în detaliu.

Un număr impresionant de servere care erau deja exploatate sau urmau să fie, luând în calcul rapiditatea răspândirii informațiilor despre vulnerabilitate și apariția tutorialelor de exploatare.

Revenim la Septembrie 2021.

O listă impresionantă apare public. Lista conține toate serverele care au fost vulnerabile de la apariția publică a CVE-ului, dar și toate datele de logare ale utilizatorilor.

De fapt, știrea apărută pe toate canalele vorbește despre o listă apărută și în mod clar, incă nu o avea toată lumea. Cert este că, mai nou o aveau cei care frecventează anumite platforme hacking, aceștia fiind analiști/ cercetători în securitate cibernetică și desigur, cei care sunt implicați în activități cibernetice ilegale.

„nicxxx:[email protected]#”,./10443_/RO/136.x.x.x.txt”,”nicxxx:[email protected]#”, „ip”: „136.x.x.x”

 „uzexxx:12%asdxx”,./10443_/RO/86.x.x.x.txt”,”uzexxx:12%asdxx”, „ip”: „86.x.x.x”

 „delxxx:[email protected]”,./10443_/RO/5.x.x.x.txt”,”delxxx:[email protected]”, „ip”: „5.x.x.x”

 „pexxx:Opxx”,./10443_/RO/86.x.x.x.txt”,”pexxx:Opxx”, „ip”: „86.x.x.x”

 „sixxx:SDxx”,./10443_/RO/86.x.x.x.txt”,”sixxx:SDxx”, „ip”: „86.x.x.x”

 „tdxxx:diPxx”,./10443_/RO/5.x.x.x.txt”,”tdxxx:diPxx”, „ip”: „5.x.x.x”

Acesta a fost moment de panică pentru administratori, IT-iști, centre de Securitate cibernetică etc.
Dar nu și pentru noi… în mod sigur nici pentru DNSC România.

În ceea ce privește România, lista conține serverele trimise de noi catre DNSC..în  Martie 2021, dar și câteva noi.

Iar din auzite, unele entități și-au rezolvat rapid vulnerabilitatea, dar sunt sigur că nu s-au conformat toți!

Din punctul nostru de vedere, situația este următoarea.
Vulnerabilitatea este exploatată de mult timp, deci administratorii nu ar fi putut face ceva, dar, cel puțin din Martie 2021 puteau da curs avertizării inițiate de echipa CERT-RO, pentru a evita compromiterea sau o nouă compromitele, care din acel moment putea veni din partea oricărui doritor de exploatare a serverelor.

Ceea ce nu este foarte discutat, este faptul că toată lumea s-a concentrat pe eliminarea vulnerabilității, dar nimeni nu vorbește despre serverele deja exploatate.
Cu ce au fost infectate? Ce comenzi au fost executate?
Interesant, nu?

În concluzie, atragem atenția asupra importanței comunicării și a conformării, atunci cănd avertizați sau informați despre anumite vulnerabilități. Cei care s-au conformat in Martie, nu au avut motive de panică în Septembrie.

Mulțumesc echipei de răspuns la incidente din cadrul Directoratului Național de Securitate Cibernetică, pentru promptitudinea și seriozitatea de care dau dovadă la fiecare avertizare/ informare trimisă de către echipa Prodefence!!!

/de

Mirai Botnet – România – Implicare – Detecție

Botnet-ul Mirai, pare a nu mai fi un super subiect, deși exploatează o gamă largă de dispozitive aflate online.

Ce face Mirai Botnet? Simplu! Am mai discutat despre el!
https://www.prodefence.ro/mirai-botnet-berbew-backdoor-ip-urile-de-iot-din-romania-folosite-in-activitati-ilegale/

De asemenea, au existat și alte avertizări!


Execută comenzile hackerilor, indiferent care ar fi acestea: scanarea altor dispozitive, furt de date, forțarea datelor de acces, distribuire de malware …etc.
Dar, principala utilizare a fost integrarea acestora într-o armată digitală, deservind la atacuri în masă a altor rețele, cunoscutele atacuri DDOS.
Simplicat la maxim… face ca dispozitivul infectat să devină un sclav al dorințelor hackerilor.

Sursă: imperva.com

Partea interesantă este că botnet-ul se instalează în dispozitive mai puțin securizate și mai puțin verificate de deținători: routere, console gaming, dispozitive smart folosite în locuințe etc, astfel fiind mai greu de detectat activitățile acestuia.

Detecție

Sursă:https://threatmap.checkpoint.com/

Detecția botnet-ului este simțită deseori de deținători, dar ignorată.. din lipsă de educație cibernetică și este trecută la categoria ”..iar face figuri net-ul..”

Când este sesizabilă acțiunea unui botnet?
Atunci când primește comanda de scanare a altor dispozitive sau în cazul unui atac de tip DDOS, deoarece folosește foarte mult trafic.
Dar dacă este setat să acționeze în intervale de timp bazate pe fusul orar, cel mai probabil va folosi traficul atunci când noi suntem la somn sau în afara orelor de muncă.

Avem și 2 variante mai bune de detecție.

Varianta de contractare a unui specialist sau instalarea unei aplicații de monitorizare/ alertare.
Monitorizarea traficului, analizarea acestuia și descoperirea dispozitivului/ lor compromise.
*Această variantă este pentru Instituții, firme private sau persoane care vor sa stie ce se întâmplă cu dispozitivele lor.

Sau folosirea platformelor online, în speranța că IP-ul folosit a fost interceptat ca având activități suspicioase.

Un astfel de tool este Mirai tracker!
Arată ultima activitate stocată și o serie de alte platforme, care sunt sursa tracker-ului.

De exemplu, pentru a găsi IP-urile de România, se adaugă ”RO” în căsuța de Search.

Iar adresa finală va fi: https://mirai.security.gives/index.php?search=RO

*la fel poate fi folosit pentru orice altă țară!

O altă platformă foarte folosită este GreyNoise.

Rezultatele sunt destul de clare. 370 de Ip-uri au sau avut legătură cu semnatura botnet-ului Mirai.

De asemenea, se poate folosi Google search. Se adaugă IP-ul dorit, iar rezultatele vă vor indica prezența acestuia pe anumite platforme.

Pentru evitarea unor situații, cel mai bine este să evitați folosirea unor dispozitive vechi sau care nu permit actualizarea.
Iar dacă totuși ”..iar face figuri net-ul..” prea des, este bine să anunțați firma de la care aveți internet, IT-istul Instituției unde lucrați sau un specialist care să vă îndrume.

Dacă vei alege varianta clasică: ”Nu are ce să îmi ia mie!” și vei ignora, nu faci decât să accepți faptul că ajuți la succesul ilegalităților cibernetice. Casa sau biroul tău, vor fi un punct de trecere deschis, pentru infractorii cibernetici.

În rest, totul ok!

/de

Pagini web compromise – Ransomware – România

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!

/de

Colaborare, Buget, Implicare | Ransomware – Cobalt Strike

Așa cum se obișnuiește, în urma unui atac cibernetic, apăr articole despre incident și despre ce se putea face, pentru a nu ajunge în această situație.
Aceiași reacție avem și acum, în urma atacului Ransomware de la Colonial Pipeline. Au apărut soluții și idei, se aruncă vina din stânga în dreapta…

Dar ce se întâmplă cu articolele apărute înainte de incident? Deoarece, în cazul exploatării cu Cobalt Strike au fost suficiente indicii ale serverelor posibil compromise, semnături și metode de descoperire a acestora, la nivel mondial, toate postate de specialiști în securitate cibernetică.

Este foarte simplu!
– Acolo unde există sisteme de prevenție și echipe de securitate cibernetică, se colectează informațiile din mediul online,
– CERT-urile naționale trimit alerte către cei vizați, atunci cănd au informațiile necesare,
– Specialiștii în securitate cibernetică avertizează administratorii de sisteme, prin intermediul articolelor sau în mod direct!

Informația se blochează sau este procesată greu acolo unde nu există: buget, specialiști angajați, conducere responsabilă, implicare.
Mai concret, blocajele apar acolo unde:
– IT-istul este plătit dintr-un buget mic mic, care a fost alocat pe ultima foaie, dar trebuie să facă munca a 2-3 persoane.
– Poziția de specialist IT a fost ocupată de un nepot, sau un cumătru care are competențe in… PDF, iar acesta trimite alertele… în Spam.
– Infrastructura este veche, iar IT-stul este limitat în acțiuni sau trebuie sa aloce foarte mult timp pentru implementare….etc

Revenim la Cobalt Strike. Revenim la Ransomware. Revenim la alerte care pot preveni un incident major.

12 Aprilie. O parte din informatii deja ajung la CERT-RO.

21 Aprilie 2021. Este ”doar o postare”, un mic text și o imagine cu câteva informații. Câteva tag-uri: educatiecibernetica #prodefence #malware #romania #cobaltstrike #audit #pentesting #infrastructura #implicare (ajută la apariția articolului în feed-ul persoanelor interesate de aceste tag-uri) și 2 pagini etichetate CERT-ROProDefence (CERT-RO este etichetată atunci când deja informația a ajuns la ei, iar ProDefence pentru că … noi)

În spatele acestei postări aparent simple, a fost consumat foarte mult timp pentru găsirea unei soluții de descoperire a serverelor care au sau au avut legătură cu Cobalt Strike.
– Căutare informații publicate de alți specialiști,
– Încercare metode noi de căutare, adaptarea unor metode mai vechi la ceea ce căutam,
– Gasire semnături malware din publicații, din platforme analiza malware, analiză malware,
– Testarea și găsirea unei formule adecvate pentru descoperirea serverelor,
– Centralizarea informațiilor găsite.

Am menționat CERT-RO, deoarece la ei ajung informațiile care au legătura cu infrastructura IT din România.
Fără a mai menționa ce ajunge la ei zilnic, am trimis și un pachet cu 322 IP-uri din România, care au cel putin una din cele 4 semnaturi(inițial 3) Cobalt Strike.
Îl voi menționa pe Ovidiu Mogoșan, omul de la CERT-RO, care este asaltat zilnic de rapoartele Prodefence! Nu știu cum reușește să le rezolve pe toate, dar îi mulțumesc pentru profesionalismul și implicarea de care dă dovadă!
Da… multe informații de prelucrat! De aici și dorința domnului Director Dan Cîmpean, de a înființa DNSCDirectoratul Național de Securitate Cibernetică. Mai mulți specialiști, alt buget, tehnologie, licente…. mda.. visul specialiștilor din orice domeniu: BUGET!

Mai departe!

23 Aprilie 2021. 2 avertizări despre servere compromise, care pot fi exploatate de hackeri. ”Doar” căteva sute de IP-uri din România, care au sau avut legătura cu cei 2 agenți de exploatare.
Deci, plus 1042 IP-uri pentru echipa CERT-RO!

Ceea ce vreau să subliniez, este faptul că uneori informațiile există, avem posibilitatea de a preveni incidentele majore sau mai putin majore.

Ceea ce am prezentat mai sus, este doar o mică mică parte din ceea ce se întâmplă, doar că tot acest proces de analiză și centralizare a informațiilor costă timp și bani! Mai ales că toate aceste servere pot ajunge în situația celor de la Pipline!
Specialiști sunt, dar trebuiesc motivați financiar și ”înarmați” cu sisteme care să suporte lupta în războiul cibernetic!

Care este rezolvarea acestei situații?

  • Colaborare / Implicare- Când apare o informație nouă, aceasta trebuie exploatată la maxim! Cauți, întrebi, ceri informații suplimentare de la cei care au creat avertizarea.
  • Actualizarea sistemelor de protecție cu noile informații apărute și blocarea exploatării serverelor administrate.
  • BUGET – Salarii, infrastructură, licențe…

Cu respect,

Alexandru Angheluș

/de

Atac EMOTET asupra CV19 România

Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail ([email protected]) un mesaj aparent inofensiv însă…alertele de securitate au explodat!

Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent.

S-a declanșat imediat procedura de Incident Response și am început investigația.

Haideți să ”vedem” factura”

La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului.

Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât!

Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică.

Înainte de a urma indicațiile expeditorului, vom încărca documentul pe platformele de detectare a fișierelor malware.

https://www.virustotal.com/gui/file/2a4501a9c916de2614ab790c698688048ac5c327c03fdb1910509f81f0f8b9ad/detection

După cum se poate observa, se raportează o detecție destul de mare (40/62) și prezența a 2 tag-uri: doc + executes-droped-file. La un raport atât de mare șansele de a fi un fișier infectat sunt ridicate, iar tag-urile probează ceva neobișnuit: Este un fișier .doc … dar …executabil (execută un fișier).

Am analizat puțin fluxul de operare al “facturii”

  1. Deschide winword.exe (Microsoft Office Word)
  2. La activare conținutului cerut se rulează un ”macro”
  3. Macro ce lansează un powershell
  4. Powershell ce se va contecta la mai multe site-uri pentru a descărca partea a 2-a a atacului
  1. Partea a 2-a. atacului fiind aceea care oferă control total atacatorului asupra stației de lucru.

Este clar că am primit un fișier malware, ce are ca scop infectarea dispozitivului nostru!

Totuși să încercăm identificarea dovezilor… prin alte metode… mai clasice!

Deschidem fișierul cu un tool de editat și putem observa că nu se pot distinge prea multe elemente. 

Din toate acestea, vom alege sa extragem partea secțiunea Powershell și Macro, incluse în fișier.

Ceea ce se vede mai sus este codare Base64 ce permite transmiterea de “caractere speciale” independente de protocolul de comunicare (în cazul de față http/https)

Decodarea șirului de caractere rezultă într-o serie de comenzi powershell ce urmează să permită conectarea la mai multe site-uri și să descarce partea a 2-a a atacului unde întâlnim un alt nume cu rezonanță din zilele noastre – Trickbot, malware-ul dejucat de curând de Microsoft.

Observam deja primele “Indicators Of Compromise” (IOS) cele 7 domenii care găzduiesc (în mod conștient sau nu) partea a 2-a a atacului.

Continuarea articolului pe CV19 Romania

/de

CERT-RO & CV19.ro: Sesiune de informare/avertizare cu spitalele din Romania

În data de 8.10.2020, a avut loc o sesiune video de informare și avertizare, dedicată Spitalelor și Clinicilor din Romania.

Invitația a fost trmisă de către Centrul Național de Raspuns la Incidente de Securitate Cibernetică – CERT-RO, împreună cu grupul de specialiști voluntari, din cadrul CV19 Romania.

Întâlnirea virtuală, cu ajutorul CERT-RO, a deschis drumul comunicării între specialiștii în securitate cibernetică și responsabilii instituțiilor medicale, în vederea îmbunătățirii sistemelor informaționale, din punct de vedere al securității acestora.

Sistemul medical este de o valoare incontestabilă și trebuie protejat!
Responsabilitatea este una comună: management, IT, specialiști în securitate cibernetică și nu numai!
Necesități: Infrastructură adecvată – Proceduri esențiale – Educație

Toți suntem responsabili, toți suntem vulnerabili, iar unii dintre noi pot deveni veriga slabă a întregului proces!
Cum poți dăuna sistemului? Simplu!
– Dacă ești factor decizional, poate că nu dai importanța cuvenită infrastructurii IT și a oamenilor ce se ocupă de ea.
– Dacă ești IT-stul unei astfel de Instituții, ar trebui să nu ignori avertizările cibernetice, iar dacă undeva ai nevoie de ajutor…. NU EZITA să îl ceri! Nu este o rușine!
– Dacă te consideri ”un simplu angajat”, afla ca nu ești! Faci parte dintr-o familie, în care fiecare membru are rolul său. Un click greșit…poate ”răni” un întreg sistem!

Personal, în discuțiile purtate(nu apar în înregistrare), am insistat pe schimbarea mentalității în comunicare. Nu putem fi toți specialiști în toate, de aceea trebuie să comunicăm, să cerem sfaturi, să aducem în discuții idei ce pot fi dezbatute în grup. Insist că nu este o rusine să ceri ajutor pentru o problemă cu care te confrunți.
Trebuie să fim o echipă! O simplă idee poate deveni proiect! O simplă întrebare poate aduce o soluție salvatoare!

Vă propun să urmăriți înregistrarea!

/de

Bănci din Romania pe lista creatorilor de virus bancar – Codul sursă Cerberus v2

Codul sursă al virusului bancar Cerberus, versiunea 2, a fost facută publică. Nu cunosc amănuntele apariției în spațiul public, dar conținutul este destul de interesant.
În principiu fotografia atașată este destul de explicită, deci nu are rost să mai detaliez conținutul.

Subiectul de astăzi este folderul ”injects”, deoarece conține țintele principale ale aplicației.
Acestea ar fi cam toate platformele social media, bănci, platforme pentru cripto monezi, aplicații de comunicare, platforme de transferat bani, email etc

Am scos în evidență ceea ce are legătură cu Romania.
Mai pe înțelesul tuturor, clienții bancilor sau platformelor în cauză, sunt vizați prin campaniile de răspândire a virusului.
Fișierele .html sunt create încât să imite varianta oficială de logare în contul bancar.

După cum se poate observa, paginile de logare sunt făcute pentru aplicatiile mobile ale bancilor.
În mod clar, în momentul infectării dispozitivului mobil, acest virus bancar înlocuiește varianta originală cu această variantă falsă, ce ulterior va fura datele introduse.

virus bancar


Nu putem spune că este o surpriză, dar când vezi lucrurile și din alt unghi, parcă se conturează ideea generală legată de malware, banci, hacking.
..și oarecum devenim mai respnsabili, mai atenți și poate mai interesați de siguranța noastră online(SPER…)!

Acum, ca și recomandari…
– Specialiștii bancilor(și nu numai) ar trebui să analizeze în amanunt genul acesta de fișiere, pentru a cunoaște tehnicile hackerilor și astfel să iși poata crea o strategie de contracarare a atacurilor ce le vizează clienții.
– Bancile trebuie să desfășoare campanii de informare a clienților pentru a preveni infectarea lor.
– Nu cunosc dacă deja există acest sistem, dar sunt necesare metode de monitorizare comportamentală a tranzacțiilor, încât orice deviere de la standard să declanșeze o notificare/alertă, pentru a întârzia/anula tranzacția în cauză.

* Clienții
– SĂ NU MAI APESE PE ORICE LINK!
– SĂ NU MAI DESCHIDĂ ORICE DOCUMENT!
– SĂ CITEASCĂ DE 2-3 ORI MESAJUL/ TEXTUL… ÎNAINTE DE A APĂSA SAU DE A DA OK!

Și desigur, ceea ce scriem aproape de fiecare data: ATENȚIE LA DETALII!!!

/de