Aktualności

Ransomware wciąż groźny

Data publikacji: 19/09/2013, Łukasz Siewierski

malware-icon

W miesiącach wakacyjnych zauważyliśmy wzmożoną aktywność złośliwego oprogramowania typu ransomware, które już kilkukrotnie opisywaliśmy (tutaj znajduje się opis podobnego zagrożenia, natomiast tutaj znajduje się informacja jak usunąć je z komputera). Dotarły do nas trzy próbki tego oprogramowania i przy każdej byliśmy w stanie ustalić wektor infekcji komputera ofiary. Prawdopodobnie wszystkie te próbki są dystrybuowane przez tę samą grupę przestępczą. Jedna z tych próbek została uzyskana we współpracy z CERT.GOV.PL, podczas rutynowego skanowania stron w domenie gov.pl, kolejna pochodziła ze strony w domenie .eu, ostatnia pochodziła z systemu reklam znajdującego się na jednej ze stron w domenie .pl. Podobny przypadek kampanii malware na stronie rządowej opisywaliśmy wcześniej.
Czytaj więcej

Domeny rejestratora Domain Silver, Inc – statystyki z sinkhole’a

Data publikacji: 23/08/2013, Łukasz Siewierski

NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z Domain Silver, Inc – sytuację tę opisywaliśmy w niedawno wydanym raporcie. Dzisiaj publikujemy wersję tego raportu zaktualizowaną o statystyki pochodzące z 20 botnetów sinkhole’owanych przez CERT Polska, których domeny C&C znajdowały się pod domenami zarejestrowanymi przez Domain Silver, Inc. Nie są to wszystkie botnety, a jedynie te, które były sinkhole’owane 23 lipca 2013 roku. Wśród nich znajdują się botnety stworzone za pomocą malware’u ZeuS ICE IX, Citadel, Andromeda/Gamarue oraz Dorkbot/NgrBot. Wśród tych botnetów znajdował się również botnet plitfi, z którego przejęcia raport publikowaliśmy wcześniej. Z zebranych danych wynika, że:
Czytaj więcej

Nowy rozdział w walce z zagrożeniami – przejęcie domen rejestratora Domain Silver, Inc

Data publikacji: 31/07/2013, Łukasz Siewierski

Dzisiaj publikujemy raport, który zawiera opis domen rejestrowanych za pośrednictwem firmy Domain Silver, Inc rejestratora działającego w domenie .pl. Rejestrator ten rozpoczął swoje działanie w maju 2012 roku. Od tego czasu zespół CERT Polska zaczął obserwować duży wzrost liczby rejestrowanych złośliwych domen (w tym do rozpowszechniania i zarządzania złośliwym oprogramowaniem) oraz otrzymywać wiele skarg z zewnątrz na domeny rejestrowane za pośrednictwem Domain Silver. W maju 2013 doszło do przejęcia i sinkhole’owania kilkudziesięciu złośliwych domen przez CERT Polska. Większość domen .pl zawierających złośliwą treść byłą rejestrowana właśnie przez Domain Silver. Po dalszych bezskutecznych próbach naprawienia tej sytuacji, NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z partnerem. W kolejnych rozdziałach tego dokumentu omawiamy do czego wykorzystywane były zarejestrowane za pośrednictwem Domain Silver domeny (status na 9 lipca 2013), jakie rozpowszechniano złośliwe oprogramowanie i dlaczego stanowiło to zagrożenie dla Internautów.
Czytaj więcej

Ewolucja złośliwego oprogramowania na Androida – historia kolegi ZitMo

Data publikacji: 12/06/2013, Łukasz Siewierski

malware-icon

Niedawno pisaliśmy o nowym zagrożeniu dla polskich użytkowników elektronicznej bankowości – E-Security. Przypominając, wchodząc na już zainfekowanym komputerze na stronę banku wyświetlany został komunikat o potrzebie instalacji „certyfikatu bezpieczeństwa” na swoim telefonie z systemem Android. „Certyfikat” był w rzeczywistości aplikacją, która pozwalała przechwytywać wiadomości SMS. W ten sposób przestępcy posiadali login i hasło (ponieważ komputer był zainfekowany) oraz mogli przechwycić hasło SMSowe. Prowadziło to do możliwości wykonania przelewu, o którym użytkownik nie wiedział.

W poprzednim wpisie spekulowaliśmy na temat innego kanału komunikacji – zamiast przesyłać polecenia za pomocą wiadomości SMS, trojan ma możliwość połączenia się z C&C za pomocą protokołu HTTP. W tym artykule chcemy przedstawić historię rozwoju aplikacji E-Security, którą udało nam się odtworzyć na podstawie 10 próbek przedstawiających się czterema różnymi wersjami na platformę Android.

Czytaj więcej

ZeuS-P2P internals – opis wykorzystywanych mechanizmów

Data publikacji: 07/06/2013, CERT Polska

zp2p_ico

Na początku 2012 roku pisaliśmy o pojawieniu się nowej wersji ZeuSa – nazywanej ZeuS-P2P lub Gameover. Wykorzystuje ona sieć P2P (Peer-To-Peer) do komunikacji oraz wymiany danych z Centrum Zarządzania CnC. Malware ten jest nadal aktywny – zagrożenie od ponad roku monitorowanie oraz badane przez CERT Polska. W drugiej połowie 2012 roku dotknęło ono bezpośrednio Polskich użytkowników – konkretnie użytkowników bankowości elektronicznej.
Czytaj więcej

Bezpieczeństwo z pewnego źródła

Data publikacji: 07/06/2013, pawelj

NISHA Logo

Ewolucja Internetu w ostatnich dwóch dekadach przyniosła niesamowite zmiany w codziennym trybie życia i funkcjonowaniu każdego z nas. Nowe technologie przenikają i integrują się z każdym aspektem naszej pracy, życia rodzinnego i odpoczynku. Internet stał się potężnym narzędziem, które niestety jest także wykorzystywane do celów niezgodnych z prawem lub ogólnie przyjętymi normami. Stał się miejscem w którym, podobnie jak w świecie materialnym, na nieświadomą osobę czyhają niebezpieczeństwa. Najliczniejszą grupą jaka ma wpływ na ilość zagrożeń w sieci Internet są użytkownicy komputerów domowych oraz komputerów w małych i średnich firmach. To oni wpływają na poziom bezpieczeństwa Internetu, ponieważ są bezpośrednio narażeni na większość zagrożeń, a jednocześnie są grupą, która najsłabiej potrafi się przed nimi obronić.

Wiele organizacji i ekspertów stara się tej sytuacji przeciwdziałać, jednakże nie zawsze są w stanie dotrzeć do odbiorcy końcowego z ważną informacją, gdyż ginie ona w gąszczu szumu medialnego. Z drugiej strony, odnalezienie jej przez użytkownika końcowego na specjalistycznych portalach nie jest łatwe. CERT Polska oraz NASK starają się wyjść naprzeciw problemowi braku pomostu między specjalistami a zwykłymi użytkownikami komputerów powołując inicjatywę „Bezpieczeństwo z pewnego źródła”. Ma ona na celu zbudowanie platformy wymiany informacji pomiędzy ekspertami, którzy są w stanie dostarczyć sprawdzoną i rzetelną informację, a środowiskiem mediów, które z tą informacją potrafi skutecznie dotrzeć do użytkownika końcowego.

Serdecznie zapraszamy na seminarium „Bezpieczeństwo z pewnego źródła”, które odbędzie się 13 czerwca 2013 r. w Loży (nr 217/218) Stadionu Narodowego w godz. 10:00-14:00 (wejście od Wybrzeża Szczecińskiego). Liczba miejsc ograniczona. W celu rejestracji prosimy o kontakt na adres: [email protected].

Czytaj więcej

Kampania malware na stronie rządowej

Data publikacji: 20/05/2013, Łukasz Siewierski

malware-icon

Na początku maja 2013 roku CERT Polska we współpracy z CERT.GOV.PL wykrył stronę w domenie gov.pl, która została przejęta w celu rozprzestrzeniania złośliwego oprogramowania. Na stronie, w zależności od konfiguracji maszyny ofiary, dodawana była ramka (iframe), która przekierowywała do exploita. Następnie za pomocą systemu o nazwie „Smoke Loader” ściągane były dwie złośliwe aplikacje. Pierwsza to oprogramowanie typu FakeAV, czyli złośliwe oprogramowanie udające program antywirusowy. Po „wykryciu” zagrożeń oprogramowanie to zachęca użytkownika do zakupu (za pomocą karty kredytowej) pełnej wersji, która pozwoli usunąć wykryte zagrożenia. Druga z nich to koń trojański Kryptik, który służy do kradzieży danych logowania z wielu popularnych klientów FTP, SSH czy WWW. Oprócz tego wykrada certyfikaty służące do podpisywania aplikacji oraz przeprowadza atak słownikowy na konto zalogowanego użytkownika. Zawiera on również ciekawe techniki zabezpieczające przed deasemblacją i analizą wykonania.
Czytaj więcej

5 sposobów aby Twój smartfon z Androidem był bardziej bezpieczny

Data publikacji: 17/05/2013, Łukasz Siewierski

W dzisiejszych czasach, kiedy większość rynku telefonów komórkowych przejmują smartfony, warto pomyśleć o bezpieczeństwie. Traktuj swój smartfon z Androidem jak przenośny komputer. Oznacza to stosowanie tych samych zasad, które stosujesz w codziennym używaniu komputera i urządzeń przenośnych. Oto 5 prostych wskazówek, które pomogą Ci sprawić, że Twój telefon jest bezpieczny.

Czytaj więcej

5 sposobów aby Twój smartfon z Androidem był bardziej bezpieczny

Data publikacji: 17/05/2013, alex

W dzisiejszych czasach, kiedy większość rynku telefonów komórkowych przejmują smartfony, warto pomyśleć o bezpieczeństwie. Traktuj swój smartfon z Androidem jak przenośny komputer. Oznacza to stosowanie tych samych zasad, które stosujesz w codziennym używaniu komputera i urządzeń przenośnych. Oto 5 prostych wskazówek, które pomogą Ci sprawić, że Twój telefon jest bezpieczny.

Android

1. Używaj zabezpieczenia blokady ekranu

W telefonach poprzedniej generacji blokada ekranu miała zapobiegać przypadkowemu i niepożądanemu naciśnięciu klawiszy, kiedy telefon znajduje się np. w kieszeni. Wraz ze wzrostem ilości informacji jakie przechowujemy na naszych telefonach ta zwykła blokada zyskała dodatkową funkcję zabezpieczenia telefonu przed nieuprawnionym dostępem. Włącz blokadę z wybranym sposobem zabezpieczenia: najpewniejszym będzie hasło, a następnie numer PIN. Jest to zupełnie inny PIN niż ten, który służy do ochrony karty SIM i powinien się od niego różnić. Możesz też posłużyć się rysunkiem symbolu w celu odblokowania ekranu, najlepiej równocześnie wyłączając wyświetlanie śladu symbolu. Miej jednak na uwadze, że ślady po palcach w kształcie symbolu mogą być widoczne na ekranie po wyłączeniu podświetlenia.
Jeśli Twój telefon będzie miał włączoną blokadę ekranu z zabezpieczeniem i dostanie się w ręce niepowołanej osoby, nie będzie ona mogła tak łatwo dostać się do Twoich danych. Pamiętaj, że zwykłe przeciągnięcie palcem po ekranie nie daje żadnej ochrony.

2. Zaszyfruj telefon

Najpewniejszym sposobem zabezpieczenia danych na Twoim w smartfonie jest ich zaszyfrowanie. Wówczas tylko osoba znająca hasło lub kod PIN (ten sam co do odblokowania ekranu) będzie mogła uzyskać do nich dostęp. W przypadku kradzieży telefonu Twoje dane, takie jak zdjęcia, wiadomości czy dane dostępowe do wszystkich kont pozostają bezpieczne. Proces szyfrowania jednorazowo zajmuje około godziny, jednak potem korzystanie z telefonu niczym się nie różni od normalnego użycia z zabezpieczeniem ekranu hasłem lub kodem PIN. Aby zaszyfrować swój telefon możesz skorzystać z instrukcji na stronie: http://support.google.com/android/bin/answer.py?hl=pl&answer=2381815.

3. Aktualizuj oprogramowanie, ale rozsądnie

Utrzymywanie aktualnego oprogramowania jest równie ważne w przypadku smartfonów, co w przypadku zwykłych komputerów. Szczególną uwagę należy zwrócić na aktualizowanie systemu operacyjnego i programów, które mają dostęp do Internetu. Gdy korzystasz ze sklepu Google Play, możesz włączyć automatyczne aktualizacje aplikacji, dzięki czemu Twój telefon będzie zawsze na czasie. Kiedy aplikacja będzie żądała większych uprawnień niż te, które miała do tej pory, zostaniesz poinformowany o tym stosownym komunikatem. Uważaj jednak na takie aktualizacje i staraj się zrozumieć dlaczego nowe uprawnienia są wymagane – pomaga w tym sekcja na stronie aplikacji zatytułowana “Co nowego?”. Jeśli tylko jesteś podłączony do bezpiecznej sieci WiFi lub Twój plan taryfowy pozwala na swobodne korzystanie z Internetu komórkowego nie odkładaj aktualizacji na później! Wykorzystując znaną dziurę w Twoim oprogramowaniu przestępcy mogą przejąć kontrolę nad Twoim telefonem i zdobyć Twoje prywatne zdjęcia czy informacje aby Cię szantażować.

4. Korzystaj rozważnie z sieci bezprzewodowych

Pamiętaj, że niezabezpieczona lub publiczna sieć WiFi może być źródłem wycieku Twoich poufnych danych. Kiedy korzystasz z sieci w miejscach publicznych pamiętaj o wyłączeniu funkcji synchronizacji. Przy przeglądaniu stron stosuj te same zasady, które stosujesz na zwykłym komputerze. Sprawdź czy połączenie, przez które przesyłasz swoje prywatne dane jest szyfrowane. Na standardowej przeglądarce świadczy o tym ikona kłódki przy adresie internetowym. Uważaj na wyskakujące okienka, które proszą o zainstalowanie aplikacji. Ogranicz używanie publicznych sieci WiFi do minimum. Jeśli chcesz być bardzo bezpieczny i posiadasz odpowiednią wiedzę techniczną to rozważ ustanowienie połączenia VPN.

5. Uważaj jakie aplikacje instalujesz

Rozważnie wybieraj aplikacje, które instalujesz na telefonie. O ile możliwość gry w najnowszą wersję ulubionej wyścigówki może być kusząca, to musisz być pewien, że to co instalujesz jest rzeczywiście tym, co chcesz zainstalować. Nie instaluj nigdy aplikacji pochodzących z niezaufanych źródeł. Ogranicz się tylko do aplikacji ze znanych sklepów takich jak Google Play, Amazon Appstore czy Samsung Apps. Bardzo często przestępcy przepakowują aplikację, dodając do niej złośliwy kod, i udostępniają ją taniej bądź za darmo w kontrolowanym przez nich sklepie. Pamiętaj, aby dokładnie przejrzeć i zrozumieć uprawnienia jakich wymaga aplikacja. Z pewnością aplikacja do przeglądania przepisów kuchennych nie musi mieć możliwości wysyłania wiadomości SMS. Wybieraj aplikacje, które zainstalowało już dużo osób i są oznaczone specjalnym logiem, jak np. “Najlepszy programista” w sklepie Google Play. Gdy masz jakiekolwiek wątpliwości po prostu nie instaluj takiej aplikacji.

Koledzy ZitMo: kradzież SMSowych haseł jednorazowych przez aplikację “E-Security”

Data publikacji: 25/04/2013, Łukasz Siewierski

ransomeware

Do laboratorium CERT Polska trafiła próbka złośliwego oprogramowania na platformę Android, która została przeznaczona dla polskich użytkowników bankowości elektronicznej. Plik zawierający aplikację nosi nazwę e-security.apk, a jej ikona jest pokazana na obrazku po lewej stronie. Malware jest dosyć prosty, ale skutecznie realizuje zadanie do którego został zaprojektowany – kradzież haseł jednorazowych do kont bankowości elektronicznej. Jednocześnie, po uruchomieniu, wyświetlany jest komunikat w języku polskim informujący o rzekomym zwiększeniu bezpieczeństwa transakcji internetowych i w związku z tym rzekomej konieczności przeprowadzenia pewnych działań …
Czytaj więcej

...89101112...20...