Kategoria: Bez kategorii

Analiza techniczna trojana bankowego Cerberus

Data publikacji: 31/10/2019, CERT Polska

W ostatnim czasie obserwowaliśmy kolejną kampanię złośliwego oprogramowania wymierzoną w użytkowników urządzeń mobilnych z systemem Android. Szkodliwa aplikacja, podszywająca się pod produkt marki InPost, okazała się być trojanem bankowym rozpoznanym jako Cerberus.

Dystrybucja złośliwego kodu opierała się o wysyłkę wiadomości SMS z informacją o śledzeniu przesyłki za pomocą aplikacji mobilnej, wraz z linkiem do jej pobrania. Jedną z podstawowych funkcji bota było wykradanie danych logowania do wybranych aplikacji. Na celowniku znalazły się m.in. produkty do obsługi bankowości internetowej i poczty. Złośliwe oprogramowanie po udzieleniu mu zezwolenia na korzystanie z usług ułatwień dostępu (ang. accessibility services) dokonywało samodzielnego podniesienia własnych uprawnień. Trojan przyznawał sobie m.in. możliwość odczytywania listy kontaktów, inicjowania wywołań USSD, stawał się administratorem urządzenia oraz domyślną aplikacją do obsługi SMS.

 


Rys. 1 – Witryna phishingowa zachęcająca do pobrania złośliwej aplikacji

 

Podstawowe informacje

Cerberus to po trojanach takich jak GMBot, Marcher, czy Anubis kolejna odmiana złośliwego oprogramowania atakującego użytkowników telefonów z systemem Android. Udostępniany w modelu malware-as-a-service trojan jest silnie promowany w mediach społecznościowych. Cerberus posiada swój profil na Twitterze (@AndroidCerberus), gdzie publikowane są informacje o nowościach, ale również wiadomości kierowane do analityków bezpieczeństwa np. Lukasa Stefanko czy Trend Micro Research. W zamyśle autorów trojan miał pozwalać np. na wyłączenie Google Play Protect, przechwytywanie komunikacji SMS, uruchamianie i usuwanie zainstalowanych aplikacji, otwieranie adresów URL, wyświetlanie fałszywych powiadomień z aplikacji bankowych, unikanie analizy poprzez stosowanie technik anty-emulacji, a w niektórych wypadkach także wykradanie danych przy użyciu keyloggera. W analizowanej próbce zaobserwowano aktywne użycie tylko części funkcji.

Poniżej zrzut ekranu przedstawiający panel zarządzania Cerberusa, opublikowany na oficjalnym Twitterze autorów:


Rys. 2 – Panel Cerberusa służący do zarządzania botami [źródło: @AndroidCerberus]

 

Sposób działania

Aby zainstalować złośliwe oprogramowanie użytkownik musi pobrać plik z linka w SMS-ie oraz wyłączyć blokadę instalacji aplikacji spoza oficjalnego sklepu Google Play. Próbka trojana analizowana w środowisku Android 7.0 (API 24) nie domaga się przydzielania dodatkowych uprawnień na etapie instalacji. Może to spowodować uśpienie czujności użytkownika. Dopiero pierwsze uruchomienie skutkuje pojawieniem się okna, które w natarczywy sposób domaga się wyrażenia zgody na korzystanie z usług ułatwień dostępu (ang. accessibility services).

 


Rys. 3 – Ekran Cerberusa po uruchomieniu

Rys. 4 – Moment przydzielania uprawnień dostępności

 

Ułatwienia dostępu, mające z założenia wspomagać obsługę systemu osobom niepełnosprawnym zostają, w przypadku Cerberusa, użyte do przejęcia kontroli nad urządzeniem. Jedną z możliwości jakie dają Accessibility Services jest odczytywanie zawartości wyświetlanych okien i wchodzenie z nimi w interakcję. Jeżeli użytkownik zgodzi się, aby złośliwe oprogramowanie korzystało z tej funkcjonalności, może ono samodzielnie pozyskiwać dalsze uprawnienia.

 

Uprawnienia żądane przez aplikację obejmują m.in:

  • android.permission.BIND_ACCESSIBILITY_SERVICE – ułatwienia dostępu (pobieranie zawartości okien i samodzielne nadawanie uprawnień).
  • android.permission.READ_SMS – odczytywanie SMS.
  • android.permission.RECEIVE_SMS – odbiór wiadomości tekstowych.
  • android.permission.SEND_SMS – wysyłanie wiadomości SMS.
  • android.permission.INTERNET – dostęp do internetu.
  • android.permission.CALL_PHONE – wykonywanie połączeń.
  • android.permission.READ_CONTACTS – odczytywanie kontaktów.
  • android.permission.READ_PHONE_STATE – odczytywanie informacji o stanie urządzenia (m.in. numer telefonu użytkownika, status połączeń telefonicznych, dane dot. sieci komórkowej, lista kont korzystających z menedżera połączeń).
  • android.permission.BIND_DEVICE_ADMIN – przydzielenie uprawnień administratora urządzenia.

 

Poniżej zrzuty ekranu samodzielnie nadanych uprawnień:


Rys. 5 – Cerberus ustanowił się domyślną aplikacją do obsługi SMS’ów.

Rys. 6 – Cerberus z nadanymi uprawnieniami administratora urządzenia.

 

Korzystając z techniki przysłaniania ekranu za pomocą nakładek (ang. overlay), złośliwe narzędzie wykrada dane logowania do popularnych aplikacji. Overlay’e są pobierane z zewnętrznego serwera w trakcie działania trojana – warunek stanowi zainstalowana na urządzeniu aplikacja, na którą przestępcy posiadają przygotowaną nakładkę.

 

Rys. 7 – Przykłady używanych przez Cerberusa nakładek, wykradających dane logowania.

 

Złośliwe oprogramowanie posiada funkcjonalność dynamicznego ładowania modułów kodu, co utrudnia analizę i ewentualne wykrycie złośliwych działań – można zaobserwować to w pliku AndroidManifest.xml, zawierającym opis ładowanych klas (np. linia 20 – adult.weapon.shop…), których nie widać w dostarczonej próbce (drzewo po lewej stronie).


Rys. 8 – AndroidManifest.xml (widoczne definicje klas nieobecnych w drzewie aplikacji).

Pozostała część kodu znajduje się w zasobach aplikacji, podszywając się pod plik JSON. Moduł szyfrowany jest przy użyciu RC4, stałym kluczem o wartości: PUPn.


Rys. 9- Zaszyfrowany moduł DEX

Ładowanie osadzonego w aplikacji kodu następuje po odszyfrowaniu za pomocą funkcji trophyalone() widocznej na poniższym zrzucie ekranu:


Rys. 10 – Funkcja służąca do dynamicznego ładowania aplikacji.

Fragment zdekompilowanego modułu po odszyfrowaniu:


Rys. 11 – Odszyfrowany moduł DEX

Załadowany moduł dodatkowo szyfruje łańcuchy znakowe. Pierwotnie są one przechowywane w postaci {12-znakowy-klucz-RC4}{Base64}. Base64 jest odkodowywany, a wynik jest deszyfrowany pierwszymi 12 znakami stanowiącymi wartość klucza.


Rys. 12 – Łańcuchy znakowe w załadowanym dynamicznie module

Przykładowe wartości łańcuchów po odszyfrowaniu:

statMails
activeDevice
timeWorking
statDownloadModule
lockDevice
offSound
keylogger
activeInjection
timeInject
timeCC
timeMails
dataKeylogger
autoClick
key
display_width
display_height
checkProtect
goOffProtect
timeProtect
packageName
packageNameActivityInject
logsContacts
logsApplications
logsSavedSMS
locale
batteryLevel
ojsghOSFogewghdgsg
android.provider.Telephony.SMS_RECEIVED
android.permission.READ_PHONE_STATE
timestop
package:
>> 
POST
Content-Length

Cerberus poza kodem “ukrytym” w aplikacji, pobiera dodatkowy moduł z serwera dostawców oprogramowania. Ponownie, część programu jest szyfrowana za pomocą algorytmu RC4 (tym razem kluczem o wartości: ojsghOSFogewghdgsg widocznym powyżej). Interesującym faktem jest, że klucz jest osadzony pomiędzy łańcuchami znakowymi wykorzystywanymi przez złośliwe oprogramowanie i mogącymi wskazywać na jego potencjalne funkcjonalności.

Fragment modułu pobranego z sieci publikujemy na zrzucie ekranu poniżej:


Rys.13 – Łańcuchy znakowe w module pobranym z serwera C&C

Komunikacja z C&C

Aplikacja komunikuje się z serwerem zarządzającym pod adresem badabinglalaland[.]com. Początkowa wymiana danych to rejestracja w botnecie. Dalsza komunikacja przebiega cyklicznie i złośliwe oprogramowanie przesyła dane identyfikujące ofiarę: wygenerowany identyfikator, numer telefonu (jeśli uda się go pozyskać), nazwę operatora GSM, model telefonu, wersję systemu Android, listę zainstalowanych aplikacji, kraj oraz wykradzione loginy i hasła.

Poufność danych płynących do serwerów przestępców jest gwarantowana przez algorytm RC4, który korzysta z tej samej wartości klucza (ojsghOSFogewghdgsg), która była wykorzystana przy pobieraniu z sieci dodatkowego modułu.

Rys. 14 – Przykładowe zapytanie wysyłane do serwera C&C przez zainfekowane urządzenie

Po odszyfrowaniu, bot przesyłał następujące dane w postaci JSON:

{„id”:”CERTPL”,”idSettings”:”CERTPL”,”number”:”+48CERTPL”,”statAdmin”:”1″,”statProtect”:”0″,”statScreen”:”0″,”statAccessibilty”:”1″,”statSMS”:”0″,”statCards”:”0″,”statBanks”:”1″,”statMails”:”1″,”activeDevice”:”0″,”timeWorking”:”688″,”statDownloadModule”:”1″,”batteryLevel”:”100″,”locale”:”pl”}

Podczas analizy aplikacji, nie została zaobserwowana komunikacja sieciowa dotycząca wykradania SMS-ów, kontaktów oraz działania keyloggera.

 

Zapobieganie infekcji

Aplikacja, z uwagi na sposób dystrybucji poza sklepem Google, domyślnie nie powinna zainstalować się na urządzeniu. Standardowe polityki bezpieczeństwa w systemie Android nie zezwalają na instalację pakietów pochodzących z niezaufanych źródeł. Użytkownik może świadomie zrezygnować z tego mechanizmu, stanowczo jednak odradzamy takiego rozwiązania.

Nie można wykluczyć prób umieszczania tego typu złośliwych aplikacji w oficjalnych kanałach dystrybucji. W związku z tym, pobierając i instalując aplikacje warto zachować ostrożność i weryfikować, czy nie wymagają od użytkownika przydzielenia niebezpiecznych lub nieadekwatnych uprawnień. Również natarczywe domaganie się przydzielenia któregoś z dostępów powinno być odebrane jako sygnał alarmowy.

IoC

  • Nazwa aplikacji: InPost (verify.ship.observe)
  • SHA256 aplikacji: 8332b45100044db8c4d94b8414b4aa8e9b3c204b5e05c2230a480b41fd6c6a57
  • SHA256 certyfikatu użytego do podpisania aplikacji: a40da80a59d170caa950cf15c18c454d47a39b26989d8b640ecd745ba71bf5dc
  • Adres witryny dystrybuującej aplikację: inpost24[.]tk/inpost
  • Serwer C&C: badabinglalaland[.]com (47.74.219.29)

 

 

 

 

Wyniki krajowych kwalifikacji do European Cyber Security Challenge 2019

Data publikacji: 20/08/2019, Mateusz Szymaniec

Od 24 do 28 czerwca odbywały się krajowe kwalifikacje do European Cyber Security Challenge 2019, za których organizację odpowiada zespół CERT Polska. W tym roku uczestnicy zmagali się z 17 zadaniami związanymi z bezpieczeństwem teleinformatycznym w kategoriach bezpieczeństwa aplikacji internetowych, inżynierii wstecznej, kryptografii i wykorzystywania podatności w aplikacjach. Zwycięzcom gratulujemy i życzymy powodzenia na tegorocznych finałach europejskich w Bukareszcie!

Czytaj więcej

FaceApp – analiza aplikacji oraz rekomendacje dotyczące zachowania prywatności

Data publikacji: 22/07/2019, Michał Leszczyński

W ostatnim czasie opinię publiczną w Internecie rozpalił temat aplikacji FaceApp. Pojawiły się doniesienia, że producent aplikacji może naruszać prywatność użytkowników, którzy zdecydowali się ją zainstalować. Jako zespół CERT Polska przeanalizowaliśmy to oprogramowanie, aby sprawdzić, czy faktycznie umożliwia ono “kradzież” danych.Czytaj więcej

Udostępniamy n6 Portal dla obecnych i nowych użytkowników

Data publikacji: 18/06/2019, Krzysztof Rydz

n6

Od niedawna można przeszukiwać zasoby systemu n6 poprzez graficzny interfejs w przeglądarce. Liczymy na to, że w ten sposób ułatwimy korzystanie z informacji o zagrożeniach, które udostępniamy w systemie.

Dotychczas dostęp do danych odbywał się poprzez API REST. Nowy interfejs posiada podobne funkcje, w tym możliwość filtrowania danych po dowolnych kryteriach, czy eksport do plików w formacie JSON i CSV. Wyniki wyświetlane są w formie tabeli, której wygląd można dostosować do własnych potrzeb. W niedalekiej przyszłości planujemy rozbudowę portalu o nowe funkcje, o czym będziemy informować w kolejnych postach.

Platforma jest dostępna pod adresem https://n6portal.cert.pl. Zarówno do portalu jak i API uwierzytelnianie odbywa się poprzez ten sam certyfikat kliencki X.509. Certyfikat wcześniej należy przekonwertować do formatu PKCS #12, a następnie zaimportować do przeglądarki. Do tego celu można skorzystać z narzędzia openssl:

$ openssl pkcs12 -export -out certificate.p12 -inkey privatekey.pem -in signedcertificate.pem

Ponadto w tym miesiącu opublikowaliśmy wiele innych ulepszeń n6, przede wszystkim dotyczących zarządzenia własną instancją systemu. Kod projektu jest dostępny w serwisie Github.

Przypominamy, że każda organizacja w Polsce może bezpłatnie uzyskać dostęp do danych, które dotyczą jej sieci. Szczegóły znajdują się na stronie projektu: https://n6.cert.pl/

Rozwój systemu n6 jest współfinansowany z programu CEF, numer akcji: 2016-PL-IA-0127.

 

 

 

 

 

 

 

Przejęcie domen .pl związanych z atakiem BadWPAD

Data publikacji: 14/06/2019, Paweł Srokosz

Pod koniec maja 2019 roku CERT Polska przejął domenę wpad.pl, a także zarejestrował na rzecz NASK zbiór domen regionalnych i funkcjonalnych wpad.*.pl. Przejęcie domen związane było z przeciwdziałaniem atakom BadWPAD, wykorzystujących błędną konfigurację sufiksów DNS na podatnych maszynach. Umożliwiało to potencjalnym atakującym na przekierowanie dowolnych żądań HTTP poprzez podstawienie własnych reguł konfiguracji proxy w postaci pliku PAC, pobieranego automatycznie przez mechanizm Web Proxy Auto-Discovery Protocol (WPAD).

    Czym jest Web Proxy Auto-Discovery Protocol?

    Web Proxy Auto-Discovery Protocol (WPAD) jest mechanizmem, który pozwala na automatyczną konfigurację hostów w danej sieci pod kątem wykorzystywanego serwera proxy do realizowania zapytań. Mechanizm jest powszechnie wspierany przez większość popularnych systemów operacyjnych i przeglądarek (m.in. Internet Explorer, Safari, Google Chrome, Firefox). Konfiguracja proxy (PAC) dostarczana jest przez serwer HTTP obecny w sieci, w postaci pliku /wpad.dat.

    Adres URL wskazujący na plik pozyskiwany jest przez komputery klienckie na kilka sposobów:

    • odpytywany jest serwer DHCP za pośrednictwem zapytania DHCPINFORM 252 (Proxy Autodiscovery), w odpowiedzi wysyłany jest adres URL pliku PAC,
    • w razie niepowodzenia: odpytywany jest lokalny DNS o rekord A dla nazwy „wpad” z uwzględnieniem sufiksów DNS.

    W przypadku, gdy adresu nie uda się pozyskać przy użyciu wyżej wymienionych metod, wykorzystywane są inne protokoły takie jak np. NetBIOS. W jedynej dokumentacji protokołu, którą można uznać za oficjalną (Internet Draft, wygasły w grudniu 1999 roku), powyższe protokoły są wymienione jako podstawowe, co znajduje odzwierciedlenie w różnych implementacjach WPAD.

    Plik PAC (Proxy Auto-Config) jest skryptem JavaScript, zawierającym funkcję FindProxyForURL(url, host). W momencie, gdy przeglądarka wchodzi pod dany adres URL, funkcja odpytywana jest o adres serwera proxy, który powinien obsłużyć dane zapytanie:

    function FindProxyForURL(url, host) {
        // If the protocol or URL matches, send direct.
        if (url.substring(0, 4)=="ftp:" ||
            shExpMatch(url, "http://abcdomain.com/folder/*"))
            return "DIRECT";
    
        // If the IP address of the local machine is within a defined
        // subnet, send to a specific proxy.
        if (isInNet(myIpAddress(), "10.10.5.0", "255.255.255.0"))
            return "PROXY 1.2.3.4:8080";
    
        // DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
        return "PROXY 4.5.6.7:8080; PROXY 7.8.9.10:8080";
    }
    

    W zależności od dopasowania adresu URL do wzorca zapytanie może być wykonane bezpośrednio lub za pośrednictwem wybranego serwera proxy. Skrypt może również zwrócić kilka serwerów zapasowych w przypadku niedostępności pierwszego z nich. Wykorzystanie języka skryptowego daje dużą dowolność w definiowaniu reguł. Oprócz wyrażeń regularnych wiele implementacji udostępnia również funkcje zwracające lokalny adres IP (myIpAddress), czy pozwalające sprawdzić przynależność adresu do wskazanej podsieci (isInNet). Mechanizm jest domyślnie włączony w systemie operacyjnym Windows również w najnowszych wydaniach systemu, wliczając w to Windows 10.

    20 lat BadWPAD!

    Mechanizm WPAD został po raz pierwszy wprowadzony w przeglądarce Internet Explorer 5.0 w 1999 roku. Już od pierwszych chwil funkcjonowania mechanizmu Microsoft dostrzegł podstawowy problem związany z BadWPAD (MS99-054, CVE-1999-0858), jakim jest wykorzystanie serwera DNS do odnajdowania konfiguracji w sieci, co niesie za sobą ryzyko odpytania publicznych serwerów DNS.

    Problem dostrzeżony przez Microsoft polegał na wadliwym algorytmie rekursywnego przeszukiwania domeny, do której należał komputer. Przykładowo, jeśli klient należał do domeny ad.clients.examplecorpo.com, przeglądarka Internet Explorer, szukając serwera WPAD, odcinała kolejne poziomy subdomen, odpytując następujące adresy:

    • wpad.ad.clients.examplecorpo.com
    • wpad.clients.examplecorpo.com
    • wpad.examplecorpo.com

    Przeszukiwanie kończyło się po zejściu do drugiego poziomu (examplecorpo.com). Często zdarzało się jednak, że drugi poziom domeny (2LD) nie był pod kontrolą danej firmy i stanowił domenę funkcjonalną, tak jak w przypadku domeny clients.examplecorpo.com.pl. Wtedy Internet Explorer nadal posługując się tym samym algorytmem, odpytywał DNS o domeny:

    • wpad.clients.examplecorpo.com.pl
    • wpad.examplecorpo.com.pl
    • wpad.com.pl

    Oznacza to, że przy tak skonfigurowanej domenie i braku serwera WPAD w Intranecie mechanizm WPAD odpytywał adres internetowy http://wpad.com.pl/wpad.dat. Po zarejestrowaniu publicznej domeny wpad.com.pl atakujący mógł przekierować zapytania o plik PAC na zewnętrzny serwer, znajdujący się poza siecią korporacji. Tak podstawiony serwer WPAD mógł dostarczać własną konfigurację i tym samym przekierować ruch na własny serwer pośredniczący, otwierając tym samym furtkę do całej gamy ataków klasy Man-in-the-Middle. W opisie podatności z 1999 roku technika została określona mianem WPAD Spoofingu.

    Do biuletynu bezpieczeństwa MS99-054 dołączony był FAQ, który objaśnia szczegóły znalezionej wówczas podatności – można go odnaleźć w zasobach archive.org. Z opisu można wywnioskować, że w wydaniu IE 5.01 firma Microsoft ograniczyła w pewien sposób odpytywanie publicznych serwerów DNS. Nie zdradzono jednak żadnych szczegółów technicznych na temat naniesionej poprawki.

    How does IE 5.01 eliminate the vulnerability?
    
    IE 5.01 has a more robust search algorithm that does not blindly search third-level domains. 
    Instead, it searches third-level domains only when appropriate.
    

    Mimo problemów dostrzeżonych już na samym początku, mechanizm WPAD upowszechnił się jako standard. Już w 2000 roku pojawiły się pierwsze pomysły wprowadzenia wsparcia dla WPAD w przeglądarce Mozilla.

    Mechanizm w 1999 roku nie został jednak naprawiony całkowicie. Błędy odkryte w pierwszej implementacji niedługo później powróciły, tym razem pod postacią mechanizmu DNS Devolution.

    Błędna konfiguracja sufiksów DNS, czyli jak działa DNS Devolution

    Jednym z elementów systemu DNS jest lista przeszukiwania sufiksów DNS. Lista ta stosowana jest przy rozwiązywaniu nazw o pojedynczej etykiecie (ang. single-label domain), co pozwala uzyskać zestaw określonych nazw kwalifikowanych (FQDN). Mechanizm WPAD w nowszych wersjach systemu Windows odpytywał jednoetykietową nazwę wpad.

    Na systemach Windows listę sufiksów można podejrzeć poleceniem ipconfig /all:

    Lista przedstawiona na obrazku zawiera cztery sufiksy globalne i jeden dla konkretnego połączenia. Oznacza to, że przy próbie rozwiązania nazwy wpad lokalny DNS zostanie odpytany o następujące FQDN:

    • wpad.workdns.um.warszawa.pl.
    • wpad.cert.pl.
    • wpad.um.warszawa.pl.
    • wpad.warszawa.pl.

    System Windows pozwala na ustawienie listy przeszukiwania na kilka sposobów. Najczęściej spotykaną jest lista dla konkretnego połączenia (ang. connection specific DNS suffix). która zazwyczaj pobierana jest z DHCP i wykorzystywana wyłącznie dla połączeń za pośrednictwem konkretnego interfejsu sieciowego.

    Ustawienia sufiksów DNS można odnaleźć w systemie, wchodząc we właściwości interfejsu sieciowego. Po wybraniu składnika Protokół internetowy (TCP/IP) i wejściu we Właściwości ukaże się okno pozwalające skonfigurować ustawienia sieciowe dla interfejsu. Wybierając Zaawansowane i przechodząc do zakładki DNS, możemy podejrzeć ustawienia sufiksów DNS.

    Kwalifikowana nazwa domenowa może również zostać ustawiona dla komputera. W takim wypadku aktywowany jest mechanizm DNS Devolution, który generuje listę sufiksów, opierając się na tzw. podstawowym sufiksie DNS. Włączany jest on automatycznie, co warunkowane jest m.in. aktywnym checkboxem Dołącz sufiksy nadrzędne podstawowego sufiksu DNS. Opcja ta jest domyślnie włączona we wszystkich systemach Windows.

    Szybko okazało się, że Microsoft powtórzył błąd z przeszłości, rozwijając domyślnie sufiksy nadrzędne do drugiego poziomu domeny. Oznacza to, że ponownie dla nazwy komputera john.clients.examplecorpo.com.pl i braku obecności serwera WPAD na kolejnych poziomach domeny odpytywany był adres wpad.com.pl. Problem został ponownie dostrzeżony w 2009 roku, czego następstwem było wydanie poprawki KB957579 i związanymi z nią zaleceniami bezpieczeństwa. Odnaleziona podatność dotyczyła wszystkich systemów starszych niż Windows 7.

    Zgodnie z opisem poprawka wprowadzała możliwość ustawienia maksymalnego poziomu, do którego rozwiązywane są domeny (Devolution Level), a także automatyczne określanie tego poziomu m.in. na podstawie ustawień FRD (Forest Root Domain). Parametry DNS Devolution można ustawić za pośrednictwem Rejestru Windows i Zasad grupy (GPO).

    Poniżej zaprezentowano listę sufiksów uzyskaną na podstawie nazwy domenowej komputera frexp-1d21fea3e.workdns.um.warszawa.pl w systemie Windows XP (bez zainstalowanych poprawek):

    i po instalacji KB957579:

    BadWPAD obecnie

    Mechanizm WPAD stał się standardem, w wielu implementacjach dziedzicząc problemy związane z rozwiązywaniem sufiksów DNS. W 2016 roku na konferencji BlackHat Maxim Goncharov opublikował wyniki eksperymentów, które ukazały skalę problemu. 6% z uzyskanych zapytań WPAD kierowanych na publiczne serwery DNS pochodziło z Polski. W tym samym roku US-CERT opublikował alert TA16-144A – WPAD Name Collision Vulnerability, w którym ostrzegał przed możliwością wycieku zapytań związanych z WPAD do publicznych serwerów DNS m.in. w związku z wprowadzeniem gTLD (ang. generic top-level domain).

    W 2017 roku Google Project Zero ogłosił podatność o nazwie aPAColypse. Exploit wykorzystywał zestaw kilku podatności wbudowanego w system Windows silnika JScript, który wykorzystywany jest do wykonywania plików PAC, co prowadzi do zdalnego wykonania kodu z uprawnieniami SYSTEM.

    W 2019 roku Adam Ziaja opublikował serię artykułów na temat wykorzystania BadWPAD w domenie .pl. Zauważył, że od 2007 roku prywatna firma Q R Media Sp. z o.o. posiada zarejestrowany zbiór domen, w skład których wchodzą m.in. wpad.pl, wpad.com.pl, wpad.edu.pl itp. Serwer wskazywany przez domeny udostępniał plik wpad.dat, który przekierowywał wybrane adresy URL na serwer proxy 144.76.184.43:80.

    // WpadBlock.com project
    // Testing regular expressions
    function FindProxyForURL(url, host) {
    	if( ( shExpMatch(url, "*//s?clic??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*") ) || 
                ( shExpMatch(url, "*:/?e?or?.?w/*") && !shExpMatch(url, "*OZ?2?*") ) || 
                ( shExpMatch(url, "*t*p:*sh*u*.t*te*eg*st*r") && !shExpMatch(url, "*new*") && !shExpMatch(url, "*ac*ru*s*") ) || 
                ( shExpMatch(url, "h?t*/*w.b?*k?ng.c*m/*aid*") && !shExpMatch(url, "*3646?2*") && 
                  !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*gclid*") ) || 
                ( ( shExpMatch(url, "*ttp:/*w?pl*s5?0.*/") || 
                    shExpMatch(url, "ht*w?pl*s5?0.*/*id=*") ) ) || 
                ( shExpMatch(url, "*w?ce?*o.p?/C*ent*js*bun*e/b*/js*") ) || 
                ( shExpMatch(url, "*t*ff?l*.be*-*-ho*.c*/p*ss*/*.as*bta*a_*") && !shExpMatch(url, "*a_7?59?b*") ) || 
                ( shExpMatch(url, "*.?rs?c?m/??/") || shExpMatch(url, "*.?rs?d??we?3/") || shExpMatch(url, "*.?rs?c?m/we?3/") || 
                ( shExpMatch(url, "*.hr??*hot*?do*off*") && !shExpMatch(url, "*10?35?2?39*")) ) || 
                ( shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*") ) || 
                ( shExpMatch(url, "*p://af?.?pti*ar?.c??/*") && !shExpMatch(url, "*8?67*") ) || 
                ( shExpMatch(url, "*p:*/w*.co?p*ial?a*ann?r*p*ef*") && !shExpMatch(url, "*75?6*6*") ) ) 
                return "PROXY 144.76.184.43:80";
    	return "DIRECT";
    }
    

    Plik PAC na samym początku posiadał komentarz oznajmujący, że domeny zostały zarejestrowane w związku z projektem WPADblock.com. Adam Ziaja dokonał analizy zawartości pliku wpad.dat w poszczególnych latach na podstawie zaindeksowanej zawartości w archive.org. Okazało się, że reguły zawarte w pliku PAC przekierowywały linki z popularnych programów afiliacyjnych. Samo proxy przekierowywało żądania na link: hxxps://www.booking.com/index.html?aid=1300873.

    Właściciel domen wpad.*.pl dobrowolnie przekazał je pod kontrolę NASK, zaś pozostałe powiązane domeny zostały bezterminowo zarejestrowane na rzecz NASK. Umożliwiło to nam przekierowanie ich na sinkhole i ocenę skali zagrożenia. Domena wpad.pl obecnie nie dostarcza pliku PAC, lecz zwraca tekstową odpowiedź BADWPAD SINKHOLED BY CERT.PL.

    BadWPAD sinkholing – skala zagrożenia

    W okresie 15.05-22.05 sinkhole CERT Polska zarejestrował 6,5 mln żądań HTTP z ok. 40 tys. unikalnych adresów IP. Poniższa tabela przedstawia dziesięć systemów autonomicznych, dla których zebrano najwięcej adresów. Warto dodać, że odnotowana liczba adresów IP nie przekłada się bezpośrednio na liczbę źle skonfigurowanych hostów, ponieważ znaczna część adresów jest NAT-owana lub należy do dynamicznie przydzielanej puli.

    ASN Zarejestrowany jako Unikalne adresy IP
    6830 UPC 16148
    12741 Netia 10956
    21021 Multimedia 6544
    5617 Orange 1244
    35191 ASTA-NET S.A. 734
    35378 Sat Film Sp. z o.o. 580
    43118 East & West Sp. z o.o. 425
    30838 Jerzy Krempa „Telpol” PPMUE 402
    44061 Jacek Mruk „SAT-MONT-SERVICE Sp. J.” 363
    30923 Młodzieżowa Spółdzielnia Mieszkaniowa 279

    Poniżej przedstawiono udział poszczególnych wartości nagłówka Host.

    Wartość nagłówka Host Unikalne adresy IP
    wpad.pl 27950
    wpad 27524
    148.81.111.104 21432
    wpad.com.pl 1166
    wpad.edu.pl 724
    wpad.malopolska.pl 64
    wpad.waw.pl 21
    wpad.net.pl 19
    wpad.bydgoszcz.pl 11
    wpad.localdomain 9

    Adres IP 148.81.111.104 jest adresem na który wskazują domeny wpad.*.pl czyli sinkhole CERT Polska. W zależności od implementacji: w nagłówku Host umieszczony jest rozwiązany adres IP, ciąg „wpad” lub pełna nazwa domenowa odpytywanego serwera WPAD. Wśród nazw domenowych widać jednak wyraźną przewagę zapytań kierowanych do wpad.pl. Jest to zaskakujące, biorąc pod uwagę, że już pierwsza implementacja WPAD z 1999 roku odpytywała maksymalnie drugi poziom domeny. W ramach przeprowadzonych eksperymentów przez zespół CERT Polska odpytanie wpad.pl przez WPAD udało się osiągnąć tylko w przypadku, gdy domena .pl była podana bezpośrednio na liście sufiksów DNS.

    Na większości urządzeń odpytujących domeny WPAD zainstalowany jest system operacyjny Windows, jednak część obserwowanych zapytań pochodzi również z systemu MacOS, na którym WPAD jest domyślnie wyłączony. System operacyjny można rozpoznać według wartości nagłówka User-Agent (np. charakterystyczny ciąg „CFNetwork”, który można odnaleźć w zapytaniach pochodzących z usług opartych na tym API).

    System operacyjny Unikalne adresy IP
    Windows

    35783
    MacOS 552
    nie sklasyfikowano 3255

    Obserwacje pokrywają się w dużej mierze ze statystykami zawartymi w artykule Adama Ziaji opartymi na logach z serwera „projektu WPADblock”.

    Czy jestem zagrożony?

    Połączenia do domen, które zostały sinholowane są na bieżąco zapisywane i udostępniane dla administratorów sieci za pośrednictwem platformy n6. Aby samodzielnie sprawdzić, czy mechanizm WPAD w systemie Windows jest włączony, należy wcisnąć kombinację Win+R, wpisać inetcpl.cpl i wcisnąć Enter, wchodząc tym samym w Opcje internetowe.

    Następnie należy przejść do zakładki Połączenia i wybrać przycisk Ustawienia sieci LAN. Jeśli opcja Automatycznie wykryj ustawienia jest zaznaczona, oznacza to, że mechanizm WPAD jest aktywny w systemie. Na komputerach przenośnych i domowych zalecane jest, aby opcja była wyłączona. Pozwala to zminimalizować ryzyko ataku typu Man-in-the-middle po podłączeniu komputera do potencjalnie niezaufanej sieci.

    Jeśli zaznaczona jest opcja Użyj skryptu automatycznej konfiguracji, a w polu Adres podany jest nieznany adres URL, może być to spowodowane infekcją złośliwym oprogramowaniem. W takiej sytuacji warto zgłosić incydent do CERT Polska, załączając podejrzany adres.

    Warto również zweryfikować listę sufiksów DNS, szczególną uwagę zwracając na sufiksy składające się wyłącznie z ciągu pl, com.pl, org.pl itp. Listę można zweryfikować wciskając Win+R, wpisując cmd i wciskając Enter. Następnie w Wierszu polecenia należy wprowadzić komendę ipconfig /all.

    Ustawienia WPAD można również zweryfikować, posługując się programem AUTOPROX (link do pobrania), który został załączony do jednego z artykułów na stronie Microsoft. Źródła programu znaleźć można w repozytorium na serwisie Github.

    Po wywołaniu programu poprzez podanie w Wierszu polecenia komendy autoprox -s program wywoła metodę DetectAutoProxyUrl z biblioteki WinInet i spróbuje pobrać plik wpad.dat. Jeżeli wywołanie programu nie zakończy się błędem i w oknie Wiersza polecenia pojawi się adres URL, mechanizm WPAD jest włączony i wykorzystuje dany serwer do pobrania konfiguracji.

    W razie zauważonych nieprawidłowości należy niezwłocznie skontaktować się ze swoim administratorem, a także zgłosić incydent do CERT Polska. Administratorom polecamy również zapoznanie się z zaleceniami Microsoft dotyczącymi ustawień DNS Devolution.

Ciekawe techniki wyłudzania danych w sieci

Data publikacji: 06/05/2019, CERT Polska

W ostatnim czasie zespół CERT Polska zaobserwował pojawienie się witryny hxxps://genialnykredyt[.]eu. Nasza analiza wykazała, że zarówno sama strona, jak i odsyłające do niej ogłoszenia publikowane w lokalnych tablicach, mogą stanowić element zorganizowanej kampanii, której celem są dane osobowe zainteresowanych pożyczką internautów. W poniższym artykule opisujemy również możliwości aplikacji mobilnej, która pojawia się w kontekście wskazanej nazwy.

Atakujący próbują oznaczać oraz wykorzystać do swoich celów coraz to nowsze obszary naszej cyfrowej aktywności. Przedstawiamy potencjalne konsekwencje przekazania niezaufanemu odbiorcy naszych danych, a także tłumaczymy co może wykonać na naszym urządzeniu aplikacja, którą zainstalowaliśmy w dobrej wierze.

 

Okazyjne” pożyczki na portalach ogłoszeniowych

Na początku kwietnia w serwisie Gumtree pojawiło się następujące ogłoszenie:

Witam, chcielibyśmy zaproponować w imieniu naszej firmy, mozliwość wzięcia pożyczki nawet do 20000 PLN z minimalnym oprocentowaniem 2% na jeden miesiąc, np. pożyczając 20000 PLN na jeden miesiąc oddają Państwo 20400 i to są wszelkie koszta, nie sprawdzamy Bik, KRD, nie potrzebujemy żadnych zaswiadczeń o zarobkach. Proszę skladać wniosek na stronie https://genialnykredyt.eu ; pozytywne rozpatrzenie równoznaczne jest z otrzymaniem środków w ciągu 15 minut ( zależy to też w dużej mierze od Państwa banku ).

Genialnykredyt.eu

Dwa dni później niemal identyczna oferta opublikowana została na portalu ogłoszeniowym OLX:

Treść obu ogłoszeń oraz specyficzna interpunkcja, wskazują na przygotowanie ofert przy użyciu tego samego szablonu. Wątpliwości wzbudzają nieprofesjonalny język, literówki, a także publikacja treści przy użyciu różnych kont z odmiennych lokalizacji.

Analiza witryny

Po wejściu na podaną w treści ogłoszenia stronę https://genialnykredyt[.]eu, użytkownik odnosi wrażenie, że ma do czynienia z typowym serwisem umożliwiającym zaciągnięcie tzw. “chwilówki”. Wybór kwoty pożyczki oraz czasu kredytowania powoduje wyliczenie oprocentowania oraz całkowitego kosztu potencjalnego zobowiązania.

Nagłówek strony zawiera podstawowe dane adresowe: nazwę firmy, lokalizację oraz adres e-mail. Niepokoi natomiast brak informacji o numerze telefonu do kontaktu z usługodawcą.

 

Po przejściu do zakładki Jak to działa widzimy, że strona powołuje się na serwis pożyczkowy Kokos.pl. Wykorzystany szablon i układ treści usiłują wprowadzić w błąd odwiedzającego, sugerując że przebywa na stronie wiarygodnego serwisu lub zależnego usługodawcy.

 

 

Poniżej dla porównania publikujemy widok oficjalnej strony serwisu kokos.pl:

 

https://kokos.pl/jak-to-dziala

Mylące dla odwiedzającego może być posługiwanie się przez fałszywy serwis certyfikatem SSL, pochodzącym od tego samego wystawcy, z którego korzysta kokos.pl.

     

 

Pobieżna analiza treści na stronie ujawnia popełnione błędy językowe. Można odnieść wrażenie, że przegląda się witrynę tłumaczoną przy użyciu translatora. Jest to kolejny sygnał dla internauty, że może mieć do czynienia z phishingiem.

 

Wizyta w zakładce Wsparcie kieruje nas na pustą podstronę, co również nie wpływa pozytywnie na wiarygodność serwisu:

 

Regulamin serwisu powołuje się na spółkę Blue Media, krajowego dostawcę usług płatniczych, figurującego na stronie KNF także w charakterze pośrednika kredytowego. Uważna lektura pozwala jednak zauważyć, że dane spółki są niekompletne. Brakuje poprawnego adresu, numeru KRS, a także istotnego w przypadku instytucji pożyczkowych numeru RIP.

Tekst zawiera błędy w postaci literówek (np. ustawa z dnia 12 maja 20111 r.) i martwych linków, prowadzących do nieistniejących lokalizacji (hxxps://Genialnykredyt.eu/pliki-dopobrania/dokumenty). Fragmenty bloków tekstu wskazują, że został on skopiowany z serwisu kokos.pl, a następnie nieprofesjonalnie zmodyfikowany. Zdaje się to potwierdzać phishingowy charakter witryny genialnykredyt[.]eu.

W celu weryfikacji wiarygodności strony, skontaktowaliśmy się z usługodawcą, na którego powołuje się wątpliwy serwis. Odpowiedź od Pani Zuzanny Szybisty, ze współpracującej z Blue Media agencji Profeina potwierdziła, że Genialny Kredyt nie jest produktem Blue Media, oraz że spółka podjęła w związku z tym odpowiednie kroki prawne.

Również kontakt z działem bezpieczeństwa grupy OLX pozwolił ustalić, że kierujące do serwisu Genialny Kredyt ogłoszenie ofertowe zostało opublikowane przy użyciu przejętego konta użytkownika. W celu wzbudzenia u ofiary fałszywego poczucia bezpieczeństwa przejęto konto osoby obecnej na OLX od maja 2016 roku.

Wszystkie wyżej opisane elementy jednoznacznie wskazują, że organizator serwisu Genialny Kredyt skutecznie maskuje swoją tożsamość. Ponadto w sposób bezprawny, dla potrzeb uwiarygodnienia, używa wizerunku firm działających w tym obszarze. Każdy, kto zdecyduje się zawnioskować o tego typu pożyczkę, pozostawi zestaw swoich danych osobowych nieustalonemu podmiotowi.

 

Aplikacja mobilna powiązana z serwisem

Genialny Kredyt to także nazwa aplikacji, która została umieszczona w tzw. ”głębokim ukryciu”. Jest to aplikacja mobilna przeznaczona dla użytkowników urządzeń z systemem Android. Przeprowadzona analiza wykazała złośliwe działanie narzędzia, polegające na gromadzeniu wrażliwych danych przechowywanych na urządzeniu ofiary, a następnie przesyłaniu ich na wskazany serwer.

W dniu przeprowadzania analizy nie posiadaliśmy informacji o sposobie dystrybucji złośliwego narzędzia ani skali infekcji. Sposób funkcjonowania aplikacji wskazuje jednak, że mogła ona stanowić część większej kampanii, kierowanej do osób zainteresowanych uzyskaniem kredytu.

Poniżej prezentujemy przebieg procesu instalacji, a także ustalony zestaw funkcjonalności zarówno tych widocznych, jak i ukrytych przed użytkownikiem.

Widzimy, że standardowa konfiguracja zabezpieczeń w systemie Android nie zezwala na instalację aplikacji pochodzących spoza oficjalnego sklepu Google. Załóżmy jednak, że autorom kampanii udałoby się nakłonić właściciela urządzenia do zmiany ustawień bezpieczeństwa, a także uruchomienia pobranego instalatora.

 

 

Informacja o braku specjalnych wymagań na etapie instalacji ma na celu uśpienie czujności użytkownika. Dopiero uruchomienie aplikacji domaga się przyznania niebezpiecznych uprawnień…


…bez których zakończy ona swoje działanie:

 

Z chwilą przyznania uprawnień złośliwe narzędzie próbuje gromadzić informacje o nazwie urządzenia, numerze IMEI, zawartości skrzynki SMS i rejestrze połączeń, by następnie przesłać je w nieszyfrowanej postaci do zewnętrznego serwera:

 

Poniżej podgląd komunikacji:

 

W momencie eksfiltracji danych, nieświadoma ofiara widzi na swoim urządzeniu jedynie ekran powitalny uruchamianej aplikacji.

Następnie wyświetlana jest strona logowania do serwisu: hxxp://genialnykredyt[.]eu/loginPage

 

 

Rola złośliwego narzędzia sprowadza się w dalszej kolejności głównie do bycia mobilnym interfejsem, umożliwiającym poruszanie się po witrynie genialnykredyt[.]eu. Rejestracja i zalogowanie w serwisie pozwalają uzyskać dostęp do formularza kredytowego. Jego treść, podobnie jak zawartość na zakładkach strony głównej, naszpikowana jest rażącymi błędami językowymi.

 

 

W jakim celu przygotowano serwis?

Jak przy każdej złośliwej kampanii powstaje pytanie o motywy towarzyszące jej powstaniu. Wyłudzone dane osobowe mogą posłużyć np. do utworzenia fałszywego dowodu tożsamości. Ten z kolei może zostać użyty do wyłudzenia rzeczywistego kredytu, chwilówki, czy otwarcia rachunku bankowego służącego dalszej działalności przestępczej. Dodatkowe dane pozyskane z formularza, takie jak stan cywilny, wykształcenie, informacje o zatrudnieniu czy miesięczny dochód, pozwalają na precyzyjne sprofilowanie ofiary. W połączeniu ze szkodliwą aplikacją, umożliwiającą pozyskanie przechowywanych na urządzeniu wiadomości wraz z pełnym rejestrem połączeń, mamy do czynienia z zestawem narzędzi pozwalającym na prowadzenie dalszych złośliwych działań.

Analizowana aplikacja nie monitorowała zawartości skrzynki SMS w sposób ciągły, co nie wyklucza takiego wykorzystania narzędzia w przyszłości. Pozyskanie danych logowania do konta bankowego ofiary połączone z dostępem do kodów SMS uwierzytelniających transakcje, umożliwiłoby przestępcom kradzież środków zgromadzonych na jej rachunku.

Kropką nad “i” wydaje się być otrzymany od jednego z anonimowych zgłaszających formularz, do którego link otrzymał od pracowników serwisu, zgłaszając zainteresowanie pożyczką. Pod adresem hxxp://genialnykredyt.eu/weryfikacja udostępniona była następująca formatka:

 

Skan dokumentu tożsamości, rachunek wystawiony na nasze dane czy selfie twarzy z określonym napisem (który w tym wypadku może zostać wyretuszowany i zmieniony na inny) to regularnie spotykane metody uwierzytelniania tożsamości, wykorzystywane np. przy rejestracji kont na giełdach kryptowalutowych. Te z kolei z powodzeniem można wykorzystać do dalszej odsprzedaży na czarnym rynku lub wytransferowywania środków z przejętych rachunków płatniczych.

Domena genialnykredyt[.]eu została zgłoszona jako złośliwa i jest w obecnie niedostępna. W dalszym ciągu obserwujemy jednak pojawiające się w kontekście nazwy oferty pracy, które jak można zauważyć – niedługo po publikacji stają się niedostępne.

 

 

Świadczy to o rozwijającym się charakterze grupy i wskazuje na mogące pojawić się w najbliższym czasie kolejne odsłony złośliwych kampanii.

 

IoC

Złośliwa domena:
genialnykredyt[.]eu

Rekord A przypisany do domeny (Apr 12 15:34:48 CEST 2019):
82.221.129.17

Aplikacja mobilna: kredyt.apk
SHA256: 8e0ee10a2173875d19534e45d8ecc320496a1d36aeb1616366ab0cc484454f55

Zgłoś incydent

W przypadku zauważenia niepokojących zdarzeń naruszających bezpieczeństwo w sieci, zachęcamy do kontaktu z naszym zespołem. Formularz zgłoszeniowy udostępniamy na stronie: incydent.cert.pl. Kontakt z nami możliwy jest także drogą mailową pod adresem: [email protected]

 

 

SECURE 2019 – Call for Speakers

Data publikacji: 25/04/2019, CERT Polska

Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE. Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej.

SECURE to odbywająca się w dniach 22 oraz 23 października 2019 r. w Warszawie konferencja, poświęcona w całości bezpieczeństwu teleinformatycznemu. Adresowana jest do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, głównie z pierwszej ręki – od najlepszych praktyków i ekspertów. Zapewnia to swoim wieloletnim doświadczeniem organizator wydarzenia: działający w ramach NASK zespół CERT Polska. Tematyka konferencji koncentruje się przede wszystkim na rozwiązaniach praktycznych, najnowszych trendach w przeciwdziałaniu zagrożeniom oraz istotnych zagadnieniach prawnych. Uczestnicy mają dostęp do najnowszej wiedzy, zyskując przez to możliwość podnoszenia swoich kwalifikacji, jak również cennej wymiany doświadczeń.

Scenariusze dotyczące podszywania się pod pośredników płatności, stały się na przestrzeni 2018 roku najpopularniejszym atakiem na użytkowników bankowości elektronicznej. Aktualnym wyzwaniem pozostaje ewolucja złośliwego oprogramowania, coraz częściej wymierzonego w posiadaczy urządzeń mobilnych i internet rzeczy. Standardem staje się wykorzystywanie przez grupy APT nieznanych wcześniej podatności 0-day, a przypadek VPNFilter pokazuje, że zaawansowane ataki mogą również dotyczyć przeciętnego użytkownika. Jak wobec powyższych problemów zadbać o swoją prywatność i bezpieczeństwo? Na te i inne pytania chcemy poszukać odpowiedzi w trakcie SECURE 2019.

Jeśli chciałbyś podzielić się z innymi wiedzą na któryś ze wspomnianych tematów, lub czujesz się ekspertem w jednej z dziedzin wymienionych poniżej, kierujemy niniejsze zaproszenie właśnie do Ciebie.

SECURE 2019 odbędzie się w dniach 22-23 października w Warszawie. Tematykę konferencji wyznaczać będą trzy główne nurty:

    • techniczny – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
    • organizacyjny – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
    • prawny – zwracający uwagę na rzeczywiste możliwości ścigania sprawców przestępstw

Prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów:

    • ewolucja i analiza złośliwego oprogramowania (wirusy, trojany, robaki, botnety, itp)
    • monitorowanie bezpieczeństwa w sieci i wykrywanie włamań
    • nowatorskie zastosowania systemów sandbox i systemów honeypot
    • ataki APT
    • ataki na sieci przemysłowe i bezpieczeństwo systemów SCADA
    • bezpieczeństwo smartfonów i aplikacji mobilnych
    • techniki wizualizacji zdarzeń bezpieczeństwa
    • wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
    • obsługa incydentów bezpieczeństwa
    • standardy wymiany informacji dotyczących bezpieczeństwa
    • ataki DDoS i techniki obrony przed nimi
    • skuteczność narzędzi w zwalczaniu nowych technik ataków
    • narzędzia open source w bezpieczeństwie
    • ochrona tożsamości w sieci
    • bezpieczeństwo rozwiązań IoT
    • bezpieczeństwo sprzętowe
    • zapewnienie bezpieczeństwa w łańcuchu dostaw
    • prywatność, poufność i anonimowość w sieci
    • czynnik ludzki w bezpieczeństwie
    • prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
    • działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
    • projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego

Ważne informacje o prezentacjach

    • zgłoszenia należy przesyłać wyłącznie przez stronę https://easychair.org/conferences/?conf=secure2019
    • do zgłoszenia wymagane jest przygotowanie tytułu prezentacji, krótkiego abstraktu oraz informacji o autorze
    • pytania dotyczące procesu zgłaszania oraz selekcji prezentacji należy kierować na adres: [email protected]
    • przewidywany czas na prezentację wynosi 45 minut, w tym czas na pytania i odpowiedzi
    • prezentacja nie może mieć charakteru reklamowego – materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
    • prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej, a także – w miarę możliwości – w formie nagrań audiowizualnych
    • organizatorzy zapewniają bezpłatny, pełny udział w całej konferencji (nie dotyczy warsztatów) oraz imprezie wieczornej 22 października 2019 r.; organizatorzy nie pokrywają kosztów podróży i zakwaterowania

Ważne terminy

    • nadsyłanie zgłoszeń – do 22 lipca 2019 r.
    • wybór prezentacji – do 12 sierpnia 2019 r.
    • nadsyłanie prezentacji – do 14 października 2019 r.

Krótkie wystąpienia
Zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym.

Ważne informacje o krótkich wystąpieniach

    • maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony
    • zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, także w trakcie jej trwania
    • organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

ECSM 2018 – rozwiązania zadań

Data publikacji: 22/01/2019, Krzysztof Stopczański

Poniżej przedstawiamy rozwiązania do zadań, które pojawiły się na organizowanym przez CERT Polska CTF-ie organizowanym w ramach Europejskiego Miesiąca Cyberbezpieczeństwa. Przez przeczytaniem zachęcamy do próby samodzielnego zmierzenia się z nimi – zadania są dostępne w portalu https://hack.cert.pl/
Czytaj więcej

Przeciwdziałanie phishingowi wykorzystującemu technikę man-in-the-middle

Data publikacji: 21/01/2019, Michał Leszczyński

Zespół CERT Polska zaobserwował interesującą technikę phishingową zastosowaną wobec użytkowników popularnego polskiego agregatora treści. W sieci zrobiło się również głośno za sprawą pojawienia się nowego narzędzia Modlishka służącego do automatyzacji tego typu ataków. Artykuł opisuje mechanizm ataku oraz przedstawia nasze rekomendacje dla twórców stron internetowych.Czytaj więcej

MWDB – nasz sposób na współdzielenie informacji na temat złośliwego oprogramowania

Data publikacji: 16/01/2019, CERT Polska

Analiza bieżących zagrożeń w postaci złośliwego oprogramowania stanowi jedno z najczęstszych wyzwań stojących wobec niemal każdej organizacji zajmującej się cyberbezpieczeństwem. Z roku na rok staje się ona również coraz cięższym orzechem do zgryzienia, na co niewątpliwie wpływ ma rosnąca skala działań podejmowanych przez przestępców i stopień ich zaawansowania. W obliczu tej sytuacji, sprawna wymiana informacji pomiędzy analitykami stanowi kluczowe zagadnienie.Czytaj więcej