Na przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(more…)

1. W jaki sposób phishing znalazł się na Twoim komputerze (dla początkujących).
2. Jak rozpoznać phishing (dla początkujących).
3. Jak się ustrzec przed phishingiem (dla początkujących).
4. Analiza uploadu złośliwego oprogramowania do maszyny ofiary.

 
Ad 1. W jaki sposób phishing znalazł się na Twoim komputerze ?

Jak więc wygląda współczesny phishing i skąd się spodziewać ataku?
Zacznę od stwierdzenia, że użyte powyżej sformułowanie “namawiania ofiary” w przypadku ostatnio obserwowanych phishingów nie oddaje istoty zjawiska. Cały mechanizm bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu strony WWW. W tym momencie zapewne pojawia się pytanie, jak ofiara trafia na taką stronę i co to są za strony ? Przestępca nie próbuje wskazać adresu ofierze. Stara się za to dopisać złośliwy kod do jak największej liczby witryn. Oczywiście najlepiej gdyby była to popularna strona, odwiedzana przez dużą liczbę użytkowników (patrz nasz wcześniejszy artykuł Zagrożenie na www.pajacyk.pl – jednak malware, a nie reklama).

Mechanizm infekcji i podszywania się pod bank.
Jak wspomniałem, do kodu strony WWW zostaje dopisane “coś złośliwego”. Jest to zazwyczaj zaciemniony skrypt JavaScript. Z punktu widzenia użytkownika jest on niewidoczny. W przeglądarce nie pojawiają sią żadne dodatkowe obrazy czy tekst. Jednym słowem wszystko wydaje się być w porządku. W tle natomiast skrypt sprawdza kilka najpopularniejszych dziur np. w Internecie Explorerze, Firefoksie, Operze, Adobe Readerze czy kontrolkach ActiveX. Jeśli takową znajdzie, następuje załadowanie i uruchomienie za jej pośrednictwem złośliwego oprogramowania. Jest ono zazwyczaj ściągane z serwera zewnętrznego, bardzo często znajdującego się w Chinach czy Rosji. W następnej fazie złośliwe oprogramowanie ukrywa się w systemie i zaczyna nasłuchiwać połączeń do dedykowanych banków. Klient odwiedza stronę banku, podaje swój identyfikator i hasło do konta bankowego… Do tego momentu wszystko odbywa się prawidłowo. Jednak po kliknięciu w klawisz “zaloguj” pojawia się fałszywa strona z prośbą o podanie kilku kolejnych kodów jednorazowych. Po podaniu danych, są one wysyłane na serwer kontrolowany przez przestępcę. Ofierze zostaje zwrócona strona z komunikatem o niepoprawnym logowaniu.
Istnieje również wariant, w którym wyłudza się kody jednorazowe wysyłane za pośrednictwem sms’a (na razie wykorzystywany na niewielką skalę). Oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew, dochodzi do momentu kiedy prosi bank o przesłanie kodu sms’owego i tutaj złośliwe oprogramowanie przejmuje prośbę, uzupełnia ją swoimi danymi i wysyła do banku. Ofiara dostaje smsa, w którym jest potwierdzenie transakcji dokonanej przez przestępcę. Jeśli nie zwróci uwagi na jego treść potwierdzi nie swoją operacje.

(more…)

Specjaliści z SANS Internet Storm Center opisali niedawno bardzo interesujący proceder wykorzystywany przez internetowych przestępców. Dzięki niemu internauci odwiedzający skompromitowane strony www i spełniający określone kryteria mogą być przekierowani na dowolną stronę (zazwyczaj infekującą złośliwym oprogramowaniem).

Pomysłowi cyberprzestępcy wykorzystują mechanizm zwany RewriteEngine dostępny w serwerach www Apache. W wielkim skrócie mechanizm ten polega na automatycznym podmienianiu adresu URL na inny. W zamyśle twórców miał pomóc w podmienianiu długich i nieprzyjaznych człowiekowi URLi na krótsze i łatwiejsze do zapamiętania.

Pomysł polega na tym, że reguły mechanizmu RewriteEngine sprawdzają warunki, czy nagłówek HTTP “Referer” nie zawiera jakiś konkretnych adresów (w tym wypadku są to adresy najpopularniejszych wyszukiwarek internetowych). Jeżeli jakakolwiek reguła jest spełniona, to takowy użytkownik przekierowywany jest pod konkretny adres – z dużym prawdopodobieństwem będzie to złośliwa strona infekująca komputer internauty jakimś niebezpiecznym oprogramowaniem (tzw. malware).

Mechanizm RewriteEngine jest konfigurowany przez wpisy w pliku .htaccess. Przykładowa konfiguracja może wyglądać mniej więcej tak:

Taki plik jest umiejscawiany/podmieniany na zaatakowanym serwerze. Dostęp do serwerów atakujący uzyskują m.in. wykorzystując luki, lub poprzez skradzione hasła do konta FTP, albo w inny podobny sposób. Od tej chwili internauci odwiedzający zaatakowaną stronę wchodząc ze strony którejś z wyszukiwarek (kwestia ustawionego przez przeglądarkę internetową ofiary nagłówka „referer”), są przekierowywani na złośliwy URL.

Gdy internauta (albo automat szukający zainfekowanych stron) wejdzie bezpośrednio na zaatakowaną w ten sposób stronę, nie zostanie nigdzie przekierowany – strona będzie wyglądała na „zdrową”. Natomiast, gdy na stronę wejdzie klikając w wynik zapytania w wyszukiwarce internetowej (albo w mechanizm typu Google AdWords lub AdSense)… Voila! Zostaje skierowany do strony, która albo wykorzystując łatwowierność (względnie brak doświadczenia) użytkownika, albo luki w jego przeglądarce internetowej, instaluje w jego systemie złośliwe oprogramowanie. Wszystkie narzędzia poszukujące “skompromitowanych” stron, jeżeli nie ustawią odpowiednio nagłówka “referer”, nie wykryją niebezpieczeństwa.

Cały ten proceder został opisany przez SANS ISC w kontekście dystrybucji bardzo “popularnego” ostatnimi czasy fałszywego oprogramowania antywirusowego (które, co warto wspomnieć, działa wprost przeciwnie: zamiast chronić, infekuje).

Źródło:
http://isc.sans.org

lista domen docelowych, które serwują fałszywego antywirusa:
http://ddanchev.blogspot.com