Arhiva tag-ul pentru: prodefence

În data de 8.10.2020, a avut loc o sesiune video de informare și avertizare, dedicată Spitalelor și Clinicilor din Romania.

Invitația a fost trmisă de către Centrul Național de Raspuns la Incidente de Securitate Cibernetică – CERT-RO, împreună cu grupul de specialiști voluntari, din cadrul CV19 Romania.

Întâlnirea virtuală, cu ajutorul CERT-RO, a deschis drumul comunicării între specialiștii în securitate cibernetică și responsabilii instituțiilor medicale, în vederea îmbunătățirii sistemelor informaționale, din punct de vedere al securității acestora.

Sistemul medical este de o valoare incontestabilă și trebuie protejat!
Responsabilitatea este una comună: management, IT, specialiști în securitate cibernetică și nu numai!
Necesități: Infrastructură adecvată – Proceduri esențiale – Educație

Toți suntem responsabili, toți suntem vulnerabili, iar unii dintre noi pot deveni veriga slabă a întregului proces!
Cum poți dăuna sistemului? Simplu!
– Dacă ești factor decizional, poate că nu dai importanța cuvenită infrastructurii IT și a oamenilor ce se ocupă de ea.
– Dacă ești IT-stul unei astfel de Instituții, ar trebui să nu ignori avertizările cibernetice, iar dacă undeva ai nevoie de ajutor…. NU EZITA să îl ceri! Nu este o rușine!
– Dacă te consideri ”un simplu angajat”, afla ca nu ești! Faci parte dintr-o familie, în care fiecare membru are rolul său. Un click greșit…poate ”răni” un întreg sistem!

Personal, în discuțiile purtate(nu apar în înregistrare), am insistat pe schimbarea mentalității în comunicare. Nu putem fi toți specialiști în toate, de aceea trebuie să comunicăm, să cerem sfaturi, să aducem în discuții idei ce pot fi dezbatute în grup. Insist că nu este o rusine să ceri ajutor pentru o problemă cu care te confrunți.
Trebuie să fim o echipă! O simplă idee poate deveni proiect! O simplă întrebare poate aduce o soluție salvatoare!

Vă propun să urmăriți înregistrarea!

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!

Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Așa cum am menționat și in articolele precedente, a deține o pagină web aduce de la sine o responsabilitate.
Timpurile paginilor ce erau …sparte și hackerul înlocuia index-ul pentru a se mândri cu isprava sa… au cam trecut.

O pagina vulnerabilă înseamnă încă un magazin deschis pentru hackeri. Vor folosi pagina pentru a raspândi fișiere infectate, redirecționări spre alte pagini, stocare de fișiere malware/ date și astfel deținătorul de pagină devine un susținător al activităților ilegale, fără a cunoaște acest lucru.

În urma cautărilor zilnice (activitate standard a celor din domeniul securității cibernetice..), echipa a descoperit legături intre virusul bancar și domeniile din Romania.
Drept urmare, in continuare vom detalia puțin informațiile gasite și speră să fie înțeleasă gravitatea situației.

Vom face o analiză simplă, fără a fi nevoie de cunoștințe aprofundate în analiză malware.

ICEID (BOKBOT)
Virus bancar descoperit de analiști prin Septembrie 2017.
Este răspândit catre victime cu ajutorul paginilor web prin injectarea alterarea acestora, sau prin intermediul mesajelor trimise prin email, cărora le sunt atașate anumite fișiere capcană.

În cazul de fața virusul a fost plasat către victime prin email.
De înțeles faptul că emailul poate conține texte prin care atacatorul manipulează victima, invocând diverse scenarii, încât acesta să descarce documentul din atașament.
Acest document poate avea diverse denumiri, în funcție de ținta atacatorului. În unele cazuri, când ținta este foarte clară, acesta va folosi exact ce ar avea credibilitate pentru victimă.

Exemple:
Pentru firme: Factura, Instiintare, Avertisment, Cerere, Raspuns la cerere, Ordin de plata etc;
Pentru persoane: Factura, Cupon, Reducere, Avertizare etc.
Scopul este foarte clar: Convingerea petențialei victime să descarce și să deschidă documentul atașat!

Emailul în cauză are un document atașat și îl vom denumi Factura.doc.
La deschiderea documentului textul era ascuns sub pretextul că nu este activă o anumită funcție și se cere activarea ei.
* Nu este nevoie să îl deschideți, vreau doar să vedeți cum arată!

Ok. Punem documentul pe VirusTotal.com, să vedem ce informații poate să ne ofere.


Ok, hai să vedem ce informații avem despre acest document și ce putem găsi noi! Link VirusTotal
Detecție 37/63. Adica, 37 din cele 63 de soluții antivirus ne spun că este un virus!
Toate acele cuvinte cheie vă vor arata da explicații despre document folosind Google search: docx, email-pattern, enum-windows, exe-pattern, handle-file, obfuscated, open-file, run-dll, url-pattern, write-file.
Pentru a ușura căutările vă ajut cu cele ce atrag atenția:
macros (functie de automatizare a documentului sau un șir de comenzi vizibile sau invizibile) – interesant nu?
obfuscated (metodă de ascundere a unui funcții, cod sursă, comenzi…)
url-pattern (ce este url-ul? o adresă http(s): ….., deci posibil să existe un url în document)
Încercați Google search pentru a găsi informații!

Încă nu sunteți convinși de existența virusului și documentul este foarte … important?!?
OK!
Mergem la pagina detalii: Detalii VirusTotal

În aceasă pagină gasim multe informații despre documentul scanat!

Hmmm… din limbile declarate sau găsite, cam ne dăm seama de unde provine documentul…
Aplicația clară Microsoft Word,
Ținta de bază este un script… unde apare și o pagină web românească
Documentul a fost creat: 27.02.2020
Și Название = Nume… :)

Mergem mai departe…
Relațiile/ conectările documentului cu alte surse: Link

A fost scanat pe VirusTotal in data de 07.03.2020, detectie 5/72 și era in legătură directă cu pagina românească.
Restul sunt scanări ale documentului, având ca sursă alte pagini web.

Comportamentul documentului în calculator, la activare.

Detaliile continuă și puteți vedea comportamentul documentului.
Aici se clarifică și relația dintre virus și pagina românească.
Pagina este folosită pentru ca documentul să descarce virusul de pe adresa sa.
Hackerul a încărcat virusul: /wp-content/uploads/2020/02/0303/ginndoe.jp

Avem și comenzile executateZXTRTU.exe

Aici lucrurile sunt deja clare:
– Documentul este deschis cu Microsoft Word, este activată acea funcție de editare/ vizualizare a conținutului.
-Se executa comanda de descărcare a documentului ginndoe.jp de pe pagina web.
-Documentul ginndoe.jp aruncă virusul în C cu denumirea ZXTRTU.exe( vezi foto 2 unde apare execuția)
Powershell-ul cere o pauza de 4 secunde (powershell -C Sleep -s 4) după care îi dă fișierului ZXTRTU.exe comanda de start (Saps C:\DiskDrive\1\Volume\BackFiles\ZXTRTU.exe)

Informații bune putem primi și de la comunitatea VirusTotal! Link detalii

Da… chiar foarte utile!
Se pare că același virus are legătură și cu o altă pagină românească!
Acolo a fost încarcat fișier .doc, deci nu virusul așa cum am văzut pe celălalt domeniu .ro.

Hai să găsim ceva informații despre domeniile .ro găsite.

Ambele găzduite pe Romarg, domenii .ro, Ip-uri diferite
Cataclean Eroare 404 – Nu îl gasește,
Ventilatoar-aer – În construcție
Posibil ca deținătorii s[ fi fost anunțați și au luat măsuri imediat!

În concluzie, nu trebuie să fie cineva expert pentru a putea verifica un document suspect, un email venit „urgent”.
Așa cum am spus și în postări anterioare, mai ales pe Facebook: La tot ce vedeți, trebuie să puneți semnul întrebării!!!
Chiar este email de la un prienten?
Dece mi-a trimis șeful ordinul de plată prin email?
etc…

Informațiile prezentate au surse publice:
https://www.malware-traffic-analysis.net/2020/03/03/index2.html
https://www.virustotal.com/gui/file/3b9c6e35c90a3ef5f90cbecd6ad257d4d296832b00ef7dff00ecfabae4206559/detection

Ca și bonus o să postez și scanarea botnet-ului: ZXTRTU.exe

Relația cu aceste domenii poate fi de trimitere/ descărcare date.

Atenție la detalii!!!