Arhiva tag-ul pentru: securitate

Colaborare, Buget, Implicare | Ransomware – Cobalt Strike

Așa cum se obișnuiește, în urma unui atac cibernetic, apăr articole despre incident și despre ce se putea face, pentru a nu ajunge în această situație.
Aceiași reacție avem și acum, în urma atacului Ransomware de la Colonial Pipeline. Au apărut soluții și idei, se aruncă vina din stânga în dreapta…

Dar ce se întâmplă cu articolele apărute înainte de incident? Deoarece, în cazul exploatării cu Cobalt Strike au fost suficiente indicii ale serverelor posibil compromise, semnături și metode de descoperire a acestora, la nivel mondial, toate postate de specialiști în securitate cibernetică.

Este foarte simplu!
– Acolo unde există sisteme de prevenție și echipe de securitate cibernetică, se colectează informațiile din mediul online,
– CERT-urile naționale trimit alerte către cei vizați, atunci cănd au informațiile necesare,
– Specialiștii în securitate cibernetică avertizează administratorii de sisteme, prin intermediul articolelor sau în mod direct!

Informația se blochează sau este procesată greu acolo unde nu există: buget, specialiști angajați, conducere responsabilă, implicare.
Mai concret, blocajele apar acolo unde:
– IT-istul este plătit dintr-un buget mic mic, care a fost alocat pe ultima foaie, dar trebuie să facă munca a 2-3 persoane.
– Poziția de specialist IT a fost ocupată de un nepot, sau un cumătru care are competențe in… PDF, iar acesta trimite alertele… în Spam.
– Infrastructura este veche, iar IT-stul este limitat în acțiuni sau trebuie sa aloce foarte mult timp pentru implementare….etc

Revenim la Cobalt Strike. Revenim la Ransomware. Revenim la alerte care pot preveni un incident major.

12 Aprilie. O parte din informatii deja ajung la CERT-RO.

21 Aprilie 2021. Este ”doar o postare”, un mic text și o imagine cu câteva informații. Câteva tag-uri: educatiecibernetica #prodefence #malware #romania #cobaltstrike #audit #pentesting #infrastructura #implicare (ajută la apariția articolului în feed-ul persoanelor interesate de aceste tag-uri) și 2 pagini etichetate CERT-ROProDefence (CERT-RO este etichetată atunci când deja informația a ajuns la ei, iar ProDefence pentru că … noi)

În spatele acestei postări aparent simple, a fost consumat foarte mult timp pentru găsirea unei soluții de descoperire a serverelor care au sau au avut legătură cu Cobalt Strike.
– Căutare informații publicate de alți specialiști,
– Încercare metode noi de căutare, adaptarea unor metode mai vechi la ceea ce căutam,
– Gasire semnături malware din publicații, din platforme analiza malware, analiză malware,
– Testarea și găsirea unei formule adecvate pentru descoperirea serverelor,
– Centralizarea informațiilor găsite.

Am menționat CERT-RO, deoarece la ei ajung informațiile care au legătura cu infrastructura IT din România.
Fără a mai menționa ce ajunge la ei zilnic, am trimis și un pachet cu 322 IP-uri din România, care au cel putin una din cele 4 semnaturi(inițial 3) Cobalt Strike.
Îl voi menționa pe Ovidiu Mogoșan, omul de la CERT-RO, care este asaltat zilnic de rapoartele Prodefence! Nu știu cum reușește să le rezolve pe toate, dar îi mulțumesc pentru profesionalismul și implicarea de care dă dovadă!
Da… multe informații de prelucrat! De aici și dorința domnului Director Dan Cîmpean, de a înființa DNSCDirectoratul Național de Securitate Cibernetică. Mai mulți specialiști, alt buget, tehnologie, licente…. mda.. visul specialiștilor din orice domeniu: BUGET!

Mai departe!

23 Aprilie 2021. 2 avertizări despre servere compromise, care pot fi exploatate de hackeri. ”Doar” căteva sute de IP-uri din România, care au sau avut legătura cu cei 2 agenți de exploatare.
Deci, plus 1042 IP-uri pentru echipa CERT-RO!

Ceea ce vreau să subliniez, este faptul că uneori informațiile există, avem posibilitatea de a preveni incidentele majore sau mai putin majore.

Ceea ce am prezentat mai sus, este doar o mică mică parte din ceea ce se întâmplă, doar că tot acest proces de analiză și centralizare a informațiilor costă timp și bani! Mai ales că toate aceste servere pot ajunge în situația celor de la Pipline!
Specialiști sunt, dar trebuiesc motivați financiar și ”înarmați” cu sisteme care să suporte lupta în războiul cibernetic!

Care este rezolvarea acestei situații?

  • Colaborare / Implicare- Când apare o informație nouă, aceasta trebuie exploatată la maxim! Cauți, întrebi, ceri informații suplimentare de la cei care au creat avertizarea.
  • Actualizarea sistemelor de protecție cu noile informații apărute și blocarea exploatării serverelor administrate.
  • BUGET – Salarii, infrastructură, licențe…

Cu respect,

Alexandru Angheluș

Lansare publică a serviciului ctrlProdefence

ctrlProdefence – O platformă ce este gestionată de Prodefence, din anul 2019, pentru a veni în sprijinul clienților săi, exclusiv ca o completare a testelor de penetrare (audit de securitate).

Datorită situațiilor critice în care se află sistemele informaționale din Romania, dar și a evoluției atacurilor cibernetice, am hotărât să alocăm resursele necesare pentru extinderea acestei platforme, mărind capacitatea de stocare și transfer de date. Astfel am ajuns la stadiul în care putem susține un număr mare de clienți ce doresc să iși protejeze datele și reputația Instituției sau Firmei pe care o administrează.

Platforma vine în sprijinul tuturor administratorilor IT&C, responsabili pentru anumite active (pagini web, aplicații web, servere, rețele, magazine online), transformând un numar mare de informații, intr-un raport cu date esențiale despre vulnerabilitațile nou apărute, care le-ar putea afecta sistemele informaționale.

În imaginea de mai sus, se poate observa prezența vulnerabilităților (vulnerabilități noi adaugate în funcție de sistemele scanate) de la prima scanare a unor active (IP retea), până la ultima scanare din această lună. La introducera, lor în luna Martie 2020, vulnerabilitățile ce ar fi putut afecta rețelele erau în număr foarte mare, datorită faptului că unele sisteme nu aveau actualizări la zi și nici nu erau administrate corespunzător.
După trimiterea primului raport către Directorii instituțiilor/ firmelor și în urma discuțiilor explicative, aceștia au înțeles gravitatea situației și necesitatea alocării de buget pentru protejarea sistemelor informaționale.

Ce conține ctrlProdefence

  • Aplicații de top dezvoltate pentru descoperirea de vulnerabilități;
  • Automatizare pentru majoritatea funcțiilor incluse;
  • Posibilitatea de a programa frecvența scanărilor;
  • Calcularea și catalogarea riscurilor, în funcție de sistem și vulnerabilități;
  • Raportarea riscurilor critice la nivel de alertă;
  • Sistem de urmărire a evoluției vulnerabilităților;
  • Panou de control cu permisiuni la cerere (administrator, manager).

Variante de folosire a platformei.
Includerea în platformă se poate face după efectuarea unui audit de securitate (test de penetrare) asupra activelor, iar platforma să fie destinată monitorizării sistemelor informaționale. Un audit de securitate poate descoperi cele mai ascunse vulnerabilități, deoarece se aplică teste bazate pe intuiția și interpretarea auditorului.
Dar în aceiași măsură există și varianta de menținere a securității sistemelor prin eliminarea vulnerabilităților raportate de platformă, deoarece aplicațiile integrate sunt actualizate și folosesc metode inteligente de descoperire a vulnerabilităților.

Din experiență, știm că banii sunt un factor decisiv când vine vorba despre investiții!
Dar aceasta nu este o investiție! Securitatea cibernetică este un element esențial în protejarea infrastructurii Instituției sau a Firmei pe care o administrați!
Protejarea datelor confidențiale, protejarea integrității și a reputației este responsabilitatea conducerii, în primul rând!
În fiecare an trebuie alocat buget pentru menținerea sistemelor informaționale la un nivel cel puțin acceptabil, din punct de vedere al securității cibernetice!

Prețul pentru integrarea in platforma ctrlProdefence se stabilește în funcție de marimea Instituției/ Firmei, nivelul de confidențialitate a datelor stocate și numarul activelor (ip, retea, web).

În concluzie, vizitați pagina cu informațiile platformei și rămâne să discutăm detaliile care vă interesează, încât să vă putem personaliza o ofertă de preț!

CERT-RO & CV19.ro: Sesiune de informare/avertizare cu spitalele din Romania

În data de 8.10.2020, a avut loc o sesiune video de informare și avertizare, dedicată Spitalelor și Clinicilor din Romania.

Invitația a fost trmisă de către Centrul Național de Raspuns la Incidente de Securitate Cibernetică – CERT-RO, împreună cu grupul de specialiști voluntari, din cadrul CV19 Romania.

Întâlnirea virtuală, cu ajutorul CERT-RO, a deschis drumul comunicării între specialiștii în securitate cibernetică și responsabilii instituțiilor medicale, în vederea îmbunătățirii sistemelor informaționale, din punct de vedere al securității acestora.

Sistemul medical este de o valoare incontestabilă și trebuie protejat!
Responsabilitatea este una comună: management, IT, specialiști în securitate cibernetică și nu numai!
Necesități: Infrastructură adecvată – Proceduri esențiale – Educație

Toți suntem responsabili, toți suntem vulnerabili, iar unii dintre noi pot deveni veriga slabă a întregului proces!
Cum poți dăuna sistemului? Simplu!
– Dacă ești factor decizional, poate că nu dai importanța cuvenită infrastructurii IT și a oamenilor ce se ocupă de ea.
– Dacă ești IT-stul unei astfel de Instituții, ar trebui să nu ignori avertizările cibernetice, iar dacă undeva ai nevoie de ajutor…. NU EZITA să îl ceri! Nu este o rușine!
– Dacă te consideri ”un simplu angajat”, afla ca nu ești! Faci parte dintr-o familie, în care fiecare membru are rolul său. Un click greșit…poate ”răni” un întreg sistem!

Personal, în discuțiile purtate(nu apar în înregistrare), am insistat pe schimbarea mentalității în comunicare. Nu putem fi toți specialiști în toate, de aceea trebuie să comunicăm, să cerem sfaturi, să aducem în discuții idei ce pot fi dezbatute în grup. Insist că nu este o rusine să ceri ajutor pentru o problemă cu care te confrunți.
Trebuie să fim o echipă! O simplă idee poate deveni proiect! O simplă întrebare poate aduce o soluție salvatoare!

Vă propun să urmăriți înregistrarea!

Bănci din Romania pe lista creatorilor de virus bancar – Codul sursă Cerberus v2

Codul sursă al virusului bancar Cerberus, versiunea 2, a fost facută publică. Nu cunosc amănuntele apariției în spațiul public, dar conținutul este destul de interesant.
În principiu fotografia atașată este destul de explicită, deci nu are rost să mai detaliez conținutul.

Subiectul de astăzi este folderul ”injects”, deoarece conține țintele principale ale aplicației.
Acestea ar fi cam toate platformele social media, bănci, platforme pentru cripto monezi, aplicații de comunicare, platforme de transferat bani, email etc

Am scos în evidență ceea ce are legătură cu Romania.
Mai pe înțelesul tuturor, clienții bancilor sau platformelor în cauză, sunt vizați prin campaniile de răspândire a virusului.
Fișierele .html sunt create încât să imite varianta oficială de logare în contul bancar.

După cum se poate observa, paginile de logare sunt făcute pentru aplicatiile mobile ale bancilor.
În mod clar, în momentul infectării dispozitivului mobil, acest virus bancar înlocuiește varianta originală cu această variantă falsă, ce ulterior va fura datele introduse.

virus bancar


Nu putem spune că este o surpriză, dar când vezi lucrurile și din alt unghi, parcă se conturează ideea generală legată de malware, banci, hacking.
..și oarecum devenim mai respnsabili, mai atenți și poate mai interesați de siguranța noastră online(SPER…)!

Acum, ca și recomandari…
– Specialiștii bancilor(și nu numai) ar trebui să analizeze în amanunt genul acesta de fișiere, pentru a cunoaște tehnicile hackerilor și astfel să iși poata crea o strategie de contracarare a atacurilor ce le vizează clienții.
– Bancile trebuie să desfășoare campanii de informare a clienților pentru a preveni infectarea lor.
– Nu cunosc dacă deja există acest sistem, dar sunt necesare metode de monitorizare comportamentală a tranzacțiilor, încât orice deviere de la standard să declanșeze o notificare/alertă, pentru a întârzia/anula tranzacția în cauză.

* Clienții
– SĂ NU MAI APESE PE ORICE LINK!
– SĂ NU MAI DESCHIDĂ ORICE DOCUMENT!
– SĂ CITEASCĂ DE 2-3 ORI MESAJUL/ TEXTUL… ÎNAINTE DE A APĂSA SAU DE A DA OK!

Și desigur, ceea ce scriem aproape de fiecare data: ATENȚIE LA DETALII!!!

Ip-urile din Romania parte din schemele de raspandire si control al virusului Emotet.

România, fiind în plină dezvoltare tehnologică, se confruntă zilnic cu astfel de situații, unele controlabile, altele greu accesibile prin intermediul administratorilor de hosting, rețea, ISP etc.

Așa cum am menționat și în alte articole, o serie de dispozitive conectate la internet sunt exploatate de hackeri, făcând parte din sistemele lor de răspândire și control al virușilor.

Articolul de astăzi îl vom trece la categoria ”notă explicativă”, pentru ca fiecare să poată vizualiza complexitatea răspândirii unui astfel de virus!

Un simplu document Word ”dezlânțuie” o serie de activități ascunse în interiorul calculatorului, printre care și descărcarea de alte fișiere, în mod neautorizat. Acestea sunt activate și la rândul lor se conectează la o serie de IP-uri/Domenii pentru a stabili o legătură, destul de compleză, cu panoul de comandă al hackerului. Odată stabilită legătura, hackerul poate trimite diverse comenzi calculatorului… de la sustragerea de date, până la comenzi de atac asupra altor sisteme informatice.
Și toate acestea… în decursul a câtorva minute!

Ceea ce este prezentat în imaginea de mai sus, se poate raporta la 2 feluri de victime.

1. O victimă umană, un utilizator ce primește un email infectat.
Dacă are un minim de cunoștințe, totul se v-a termina acolo. Ignoră email-ul.. s-au îl raportează specialistului, în cazul în care pare ceva important… dar suspect!
Dacă descarcă atașamentul și îl deschide… cursul activităților se vede mai sus!

2. Un sistem compromis.
Poate fi: server, router, cameră supraveghere, frigider smart, condolă gaming, TV, pc, telefon, tabletă, sisteme de comunicare interioare, bec smart, încuietoare smart… etc etc
Mai pe scurt, poate fi orice dispozitiv ce este conectat la internet!

Rezolvarea acestor probleme este la fel de complexă și depinde de mulți factori, dar…. un minim de educație în domeniu, un sfat de la un specialist și o minte deschisă…. pot diminua impactul negativ asupra internauților și al sistemelor informatice!

În principiu am vrut să postez doar pozele, dar chiar îmi doresc să înțeleagă toată lumea, de aceea am adaugat și 2-3 fraze!

Așa că… ATENȚIE LA DETALII!!!

Parolele reuniunilor tale de pe Zoom au fost vulnerabile în plină pandemie

Parolele reuniunilor tale de pe Zoom au fost vulnerabile în plină pandemie.
– Şedinţele pe Zoom din timpul izolării nu au fost sigure sută la sută.
– O vulnerabilitate a permis hackerilor să ghicească parola întâlnirilor de la care se cunoştea ID-ul.
– Specialistul în cybersecurity Alexandru Angheluş îţi explică cât de slabe au fost parolele întâlnirilor pe care le-ai avut.

Securitatea aplicaţiei Zoom a fost slabă tocmai în perioada de vârf a pandemiei, când toţi managerii au apelat la conferinţele online ca să-şi conducă afacerile.
De la 10 milioane de utilizatori pe zi, Zoom a ajuns în aprilie la 200 de miloane.
Tom Anthony, un programator britanic, a fost stârnit de o neglijenţă a premierului Boris Johnson. Acesta a postat în 31 martie, pe Twitter, o captură cu ecranul său din timpul unei reuniuni a cabinetului prin Zoom.
Anthony a putut să vadă ID-ul conferinţei şi de acolo a …
Continuarea pe MediaFax.ro

Atenţie la BadPower! Virusul care îţi „prăjeşte” telefonul

– Ultima ameninţare cibernetică se poate instala chiar în încărcătorul mobilului, prin intermediul unui malware.
– Cu ajutorul BadPower, un atacator poate modifica software-ul din încărcătoarele fast charge şi prin urmare şi tensiunea electrică.
– Recomandarea principală este să îţi păzeşti şi încărcătorul, nu doar mobilul, dar programul poate fi instalat şi de la distanţă, prin atacarea telefonului.
– Cel puţin 18 modele sunt vulnerabile la BadPower

Dacă aveai impresia că banalul obiect cu care îţi încarci bateria telefonului este inofensiv, iată că a apărut şi aici o vulnerabilitate de care trebuie să te fereşti. Încărcătoarele noi, de tip „fast charging”, care oferă o încărcare …..
Specialistul în securitate cibernetică, Alexandru Angheluş, îţi recomandă să te fereşti de staţiile publice de încărcare şi să ai grijă atunci când împrumuţi încărcătorul.
Continuarea pe Mediafax.ro

„Salut, sunt Hacker si cred ca am calcat gresit!”

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!
Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Domenii si servere din Romania folosite pentru activitati de criminalitate cibernetica – Securizarea paginilor web o necesitate.

Astăzi vom discuta despre un subiect ce devine tot mai intens: Dece să platesc pentru servicii de securitate cibernetică?

Ei bine, clienții sau potențialii clienți ai serviciilor de securitate cibernetică sunt de mai multe feluri: pricepuți, înțelegători, curioși, indiferenți, fără buget, cu buget, pricepuți, foste victime, prieteni ai unor victime etc.
Impactul unei breșe de securitate asupra acestora se diferențiază prin deciziile anterioare atacului: S-a facut ceva, orice… sau Nu s-a facut nimic!

Așa cum scrie si în titlul acestui articol, astazi vă vom prezenta câteva imagini despre servere/domenii din Romania, care sunt folosite pentru activități ilegale, prin intermediul cărora încercăm să atragem atenția asupra necesității implementării unor standarde de securitate cibernetică.


În principiu, majoritatea sunt folosite pentru gazduirea de pagini false (Paypal, DHL, LinkedIn, EMS, Banci, Emails, Eshops… etc), pentru gazduirea de fișiere virusate( acestea le vom prezenta într-un articol viitor), redirecționări către alte pagini … etc
Problema este că majoritatea deținătorilor de pagini web nu știu ce se petrece în spatele cortinei și de aceea este nevoie ca fiecare să conștientizeze impactul negativ asupra celorlalti utilizatori de internet, sau chiar rasupra lor!

Se poate observa că unele dintre paginile false au ca țintă utilizatori din China, ceea ce clarifică naționalitatea hackerilor, sau cel putin naționalitatea potențialelor victime.

Lista putea fi mai lungă, dar multe dintre domeniile gasite sunt deja remediate sau sunt în curs de remediere.

Trebuie să ne implicăm și să fim responsabili!

Pentru a încheia cu un răspuns la întrebarea de la începutul articolului trebuie ca toți să conștientizăm pericolul din spatele unui server/ domaniu compromis și faptul că involuntar am ajutat la furtul de date, furt de bani, furt de identitate etc.

Articolul conține informații publice!
Sursa: urlscan.io

Borr Malware – Acces in panoul de control

Citește mai mult