W przedstawianym Państwu raporcie omawiamy najważniejsze trendy i zagadnienia związane z problematyką cyberbezpieczeństwa w Polsce w 2014 roku. Prezentujemy aktualne zagrożenia, kierunki ich rozwoju, informujemy o podejmowanych przez CERT Polska działaniach.
Czytaj więcej
Algorytmy generowania domen (Domain Generation Algorithms) używane są w botnetach do tworzenia specjalnie skonstruowanych nazw domenowych odsyłających do serwerów C&C. Ma to na celu uniemożliwienie przejęcia domen botnetowych lub utrudnienie zablokowania połączeń do tych serwerów (np. przez blacklisty). Domeny te składają się najczęściej ze zbitek losowych znaków, np.: gdvf5yt.pl, które dla ludzi nie mają żadnego sensu, ale z powodzeniem zapewniają łączność. Zajmując się wykrywaniem domen generowanych przez DGA (ich użycie opisywaliśmy np. tu i tu) natrafiliśmy na domeny, które w pewnym stopniu są podobne do tych botnetowych ze względu na dziwny wygląd, ale które jednak są używane do innych celów. Znajomość tych domen przydaje się w wyeliminowaniu dużej liczby fałszywych alarmów systemów detekcji botnetów DGA. W tym wpisie przedstawione zostaną przykłady niezłośliwego występowania takich dziwnych domen, a w kolejnym przypadki, które można rozpatrywać jako zagrożenie.
Czytaj więcej
W ciągu ostatnich kilku dni zaobserwowaliśmy kampanię atakującą tylko polskich użytkowników Internetu za pomocą wiadomości e-mail zawierających złośliwe oprogramowanie. Pobiera ono bota o nazwie Betabot, który następnie przekazuje cyberprzestępcy pełną kontrolę nad komputerem ofiary. Celem atakującego jest zdobycie danych oraz zainstalowanie dodatkowych rodzajów malware’u, które potrafią na przykład podmienić numer rachunku bankowego na stronie bankowości elektronicznej. Poniżej znajduje się opis szczegółów kampanii, a także użytego złośliwego oprogramowania.
Badając incydenty zgłoszone przez użytkowników, odkryliśmy kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich.
Metoda ta znana jest od ponad roku, polega na przejęciu kontroli nad domowym routerem ofiary i zmianie ustawień serwerów DNS. Router przydzielający adresy w domowej sieci komputerom i urządzeniom przenośnym, podaje też ustawienia serwerów DNS, i w ten sposób użytkownicy lokalnej sieci zaczynają używać serwerów DNS kontrolowanych przez przestępców. Serwery te działają tak jak serwery legalne, z jednym wyjątkiem – kiedy użytkownik otwiera stronę banku, zamiast niej kierowany jest na serwer pośredniczący, udający stronę banku. Strona ta nie jest prawdziwą stroną banku i użytkownik loguje się do banku pozostając pod kontrolą przestępców, którzy wykorzystują jego dostęp do wyprowadzenia pieniędzy z konta.
Czytaj więcej
ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji) opublikowała dzisiaj raport “Actionable Information for Security Incident Response”, opracowany przez CERT Polska. Publikacja jest skierowana do członków zespołów reagujących na incydenty, jak i również do wszystkich osób, które zbierają, analizują i dzielą się informacjami dotyczącymi bezpieczeństwa komputerowego.
Złośliwe oprogramowanie iBanking było już opisywane przez nas na blogu, kiedy pod koniec 2013 roku udawało antywirusa na urządzenia mobilne. W rzeczywistości służyło do wykradania haseł jednorazowych z wiadomości SMS zainfekowanych użytkowników. Scenariusz ataku jest dosyć popularny i był już wykorzystywany kilkukrotnie w przeszłości, także w ataku na użytkowników polskiej bankowości elektronicznej. Tym razem jednak, żeby jeszcze bardziej przekonać użytkowników do instalacji aplikacji, wykorzystano ułatwienia, które daje zastosowanie kodów QR.
CERT Polska wspólnie z 19 innymi partnerami z 11 krajów połączył siły w ramach CyberROAD – projektu współfinansowanego przez Komisję Europejską w ramach 7. Programu Ramowego, którego celem jest zidentyfikowanie obecnych i przyszłych problemów w zwalczaniu cyberprzestępczości i cyberterroryzmu, a także stworzenie planu strategicznych działań w obszarze badań naukowych nad cyberbezpieczeństwem. Na bazie szczegółowego opisu środowiska technologicznego, społecznego, ekonomicznego, politycznego i prawnego, w którym rozwija się cyberterroryzm i cyberprzestępczość, dokonana zostanie analiza tych dwóch zjawisk w celu zidentyfikowania luk w obszarach badawczych i odpowiednich priorytetów.
Czytaj więcej
Od dzisiaj istotna część oprogramowania tworzącego platformę n6 jest dostępna na otwartej licencji (GPL). Opublikowana przez nas biblioteka implementuje API REST, którego używamy w nowej wersji n6 oraz posiada mechanizmy ułatwiające pobieranie informacji z różnego rodzaju baz danych. Liczymy, że nasz projekt zmniejszy bariery techniczne związane z dzieleniem się informacjami o bezpieczeństwie, a tym samym przyczyni się do tego, że więcej organizacji zdecyduje się na udostępnianie danych, które mogą być przydatne do walki z zagrożeniami.
Ze wszystkich „polskich” rodzin malware, które zaobserwowaliśmy w zeszłym roku, najbardziej zaawansowaną technicznie był Banatrix. Malware ten podmieniał numer konta w pamięci procesu przeglądarki. Jednak jego budowa pozwalała na dużo więcej i zostało to wykorzystane do wykradania zapisanych w przeglądarce Mozilla Firefox haseł. Poniżej znajduje się omówienie szczegółów technicznych działania oraz szczegóły dotyczące infrastruktury serwera C&C tego złośliwego oprogramowania. W komunikacji z serwerem C&C wykorzystywana jest sieć TOR co utrudnia zarówno namierzenie sprawcy jak i unieszkodliwienie serwera sterującego.
Czytaj więcej
W ciągu ostatnich dwóch tygodni zespół CERT Polska otrzymał wiele zgłoszeń dotyczących podejrzanych wiadomości e-mail, pochodzących rzekomo od Komornika Sądowego działającego przy Sądzie Rejonowym dla Warszawy-Woli. Treść wiadomości nie zawiera szczegółowych informacji o rzekomej należności, co ma skłonić odbiorcę do kliknięcia w załącznik PDF opisany jako fotokopia nakazu zapłaty.Czytaj więcej
