Aktualności

Ze wszystkich „polskich” rodzin malware, które zaobserwowaliśmy w zeszłym roku, najbardziej zaawansowaną technicznie był Banatrix. Malware ten podmieniał numer konta w pamięci procesu przeglądarki. Jednak jego budowa pozwalała na dużo więcej i zostało to wykorzystane do wykradania zapisanych w przeglądarce Mozilla Firefox haseł. Poniżej znajduje się omówienie szczegółów technicznych działania oraz szczegóły dotyczące infrastruktury serwera C&C tego złośliwego oprogramowania. W komunikacji z serwerem C&C wykorzystywana jest sieć TOR co utrudnia zarówno namierzenie sprawcy jak i unieszkodliwienie serwera sterującego.
Czytaj więcej

W ciągu ostatnich dwóch tygodni zespół CERT Polska otrzymał wiele zgłoszeń dotyczących podejrzanych wiadomości e-mail, pochodzących rzekomo od Komornika Sądowego działającego przy Sądzie Rejonowym dla Warszawy-Woli. Treść wiadomości nie zawiera szczegółowych informacji o rzekomej należności, co ma skłonić odbiorcę do kliknięcia w załącznik PDF opisany jako fotokopia nakazu zapłaty.Czytaj więcej

Niedawno ogłosiliśmy konkurs HackMe w ramach ECSM. Najszybciej odpowiedziały następujące osoby:

1. Mateusz Rek
2. albercik
3. Michał Celiński-Mysław
4. Piotr Kaźmierczak (opis jego rozwiązania w formacie PDF)
5. Łukasz Odzioba

Gratulujemy, niedługo powinniście otrzymać książki i gadżety! Poniżej znajduje się rozwiązanie tego zadania. O ile mogą istnieć inne, niekiedy nawet łatwiejsze, sposoby na znalezienie odpowiedzi na postawione pytania, o tyle postanowiliśmy zaprezentować rozwiązanie, które korzysta tylko z darmowego i ogólnie dostępnego oprogramowania.

Czytaj więcej

Mamy już zwycięzców konkursu SECURE2014-CTF. Najszybsza osoba podesłała komplet flag w niecałe 3 godziny! Konkurs cieszył się dużym zainteresowaniem. Serwer CTF obsłużył ponad 200 tysięcy zapytań (w tym 1200 prób ataku na biedny index.php :P). Zadania będą dostępne on-line jeszcze przez pewien czas (do końca miesiąca) pod adresem http://ctf.secure.edu.pl/.

Poniżej lista zwycięzców. Gratulujemy!

Czytaj więcej

Zapraszamy do udziału w SECURE-2014/CTF!

Do wygrania wejściówka na konferencję SECURE 2014 i wspaniałe zestawy gadżetów!

O tym “o co chodzi w tymi flagami” można przeczytać na: ctftime.org lub Prezentacji DragonSector na Confidence.

Czytaj więcej

Październik został wybrany przez Komisję Europejską oraz ENISA jako miesiąc poświęcony bezpieczeństwu teleinformatycznemu. Trzeci tydzień jest przeznaczony głównie dla studentów i służy przybliżeniu aspektów związanych z bezpieczeństwem aplikacji. W ramach tej akcji mamy do rozdania dwie książki: „Practical Reverse Engineering” oraz „Reversing: Secrets of Reverse Engineering”. Książkę, wraz z gadżetami, otrzyma 5 pierwszych osób, które prawidłowo odpowiedzą na postanowione poniżej dwa pytania. Pierwsze 3 osoby otrzymają po egzemplarzu książki „Practical Reverse Engineering”, a następne dwie otrzymają po egzemplarzu „Reversing: Secrets of Reverse Engineering”. Zapraszamy do udziału w zabawie!
Czytaj więcej

Wczoraj ogłoszono nową podatność: CVE-2014-6271. Podatność ta dotyczy powłok bash, sh, zsh i podobnych oraz pozwala na zdalne wykonanie kodu przy pewnych założeniach, np. przez moduł CGI do serwera Apache. Pomimo, że istnieje poprawka bezpieczeństwa, która rozwiązuje ten błąd, nie jest ona kompletna. Poniżej tłumaczymy na czym polega luka, jak sprawdzić czy jesteśmy podatni i co zrobić, gdy okaże się, że tak jest.
Czytaj więcej

W ostatnich tygodniach otrzymywaliśmy sygnały od użytkowników o nowym rodzaju złośliwego oprogramowania, podobnym w działaniu do opisywanego przez nas wcześniej VBKlip. Tym razem jednak opisy były co najmniej nieprawdopodobne. Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, „na ich oczach”. Brzmiało to podobnie do słynnej grafiki z filmu Matrix, gdzie kolejne cyfry, przelatują przed oczami widzów. Dzięki uprzejmości jednego ze zgłaszających udało nam się uzyskać próbkę tego złośliwego oprogramowania, które nazwaliśmy Banatrix, i zobaczyć na własne oczy jak zmieniają się cyfry wpisywanych numerów rachunków.
Czytaj więcej

W ostatnim czasie w Polsce zaczęły pojawiać się ataki na użytkowników systemu Android. Wiele polskich i zagranicznych serwisów donosiło o ataku za pomocą wiadomości e-mail rzekomo pochodzącej od firmy antywirusowej Kaspersky. Poniżej przedstawiamy malware używany w tym ataku. Dzięki szybkiej współpracy wielu firm, jeden z adresów C&C został skutecznie usunięty. Sam malware natomiast zmienił tylko miejsce swojego pobytu oraz sposób infekcji. Poniżej opisujemy również nowy-stary sposób infekcji korzystający z sieci BitTorrent. Jesteśmy przekonani, że za wszystkimi tymi atakami stoi ta sama osoba, bądź grupa osób, najprawdopodobniej pochodzących z Polski i odpowiedzialnych za złośliwe oprogramowanie VBKlip w wersji .NET, o którym już nieraz pisaliśmy.
Czytaj więcej

W okresie od 19 do 21 lipca 2014 sieć honeypotów systemu ARAKIS zarejestrowała wzmożone skanowanie portu 80 w poszukiwaniu podatnych serwerów PHP. Wykorzystywana była podatność CVE-2012-1823 występująca w serwerach, które mają skonfigurowaną obsługę języka PHP jako skrypty CGI.

Zarejestrowaliśmy ok. 17 000 połączeń kierowanych na port 80/TCP z żądaniami wykorzystującymi wspomnianą dziurę w php-cgi.

Czytaj więcej